新形势下信息安全保密管理工作探究

    王勇 郭东华

    [摘 要] 本文从信息安全保密管理工作的基本概念着手,就国内信息安全保密管理工作的形势以及具体的保密管理原则与措施进行了论述与说明,旨在为信息安全保密管理工作的强化提供一些参考。

    [关键词] 新形势 信息安全 保密管理

    中图分类号:G203 文献标志码:A

    定密工作是信息安全保密管理工作的基础环节。按照机密的性质差异,可将其划分为国家机密、商业机密、工作机密与个人隐私等类型。不同性质、不同等级的机密,对保密管理工作的标准要求也各不相同。本文论述了信息安全保密管理工作的基本概念,介绍了机密泄密的途径,最终提出切实可行的信息安全保密管理措施。

    一、信息安全保密管理工作的基本概念

    确保信息安全,是维护国家利益、企事业单位利益以及个人利益的必要前提。为加强信息安全保密管理工作落实效果,必须通过隐秘、伪装等多样化方式对信息进行保护,以此保障国家利益、企事业单位利益与个人利益。为确保信息安全保密管理工作的正常运转,需组织一系列技术服务工作与管理工作,采取合法化、合理化的技术手段与经济手段,约束与规范信息知情者的行为,避免信息知情者对外泄露机密。简单来说,信息安全保密管理工作就是在信息被判定为机密信息的情况下,对信息实行全方位、动态化管理,限定知情人数[1]。

    二、国内信息安全保密管理工作形势

    (一)获取机密更加便捷

    如今,机密信息的存储与调配越来越依赖于互联网与信息系统。除声、光、电、磁等存载媒介形式以外,网络化、数字化与集成化存储也逐步成为主流存载体形式。机密文件处理逐步由人工干预模式向计算机信息系统处理模式过渡转变,同时,传输方式也逐步由人工传递模式向计算机信息系统与远程通信系统传输模式过渡转变。在科技时代背景下,获取机密信息的渠道与手段越来越多样化,且传播范围越来越广、传播速度越来越快。

    (二)保密风险系数提升

    由于机密信息的存储、处理与传输对互联网与计算机信息系统的依赖程度较高,而互联网具有开放性、共享性特征,增大了机密信息的保密风险系数。一旦计算机信息系统遭到恶意入侵或攻击,极有可能导致整个系统崩盘,机密信息被窃取,造成巨大的经济损失[2]。

    (三)国内机密信息安全保密管理工作形势严峻

    随着我国综合实力的增强,机密信息数量与日俱增,同时也成为国外情报人员窃密的重点目标。现阶段,境外敌对势力与境内反党组织联合对国家机密信息展开监控,这不仅对国家利益与人民利益造成了极大的威胁,也会直接扰乱国际关系。此外,随着我国社会主义市场经济的繁荣发展,与外商贸往来日趋频繁,这给敌对情报组织的大规模窃密活动提供了可乘之机,加大了机密信息安全保密管理工作的难度。

    三、机密信息泄密途径

    以国家电网为例,在日常工作中,采取计算机内外网隔离的方式,可基本保证计算机内网的安全性。即便如此,仍无法完全保证计算机内网不会遭到黑客或病毒的侵袭。同时,其他信息设备也极有可能成为机密信息安全保密管理工作的隐患。

    打印机、复印机与传真一体机都或多或少存在泄密隐患。首先,多功能一体机既连接涉密计算机,又连接市话网,这就为机密信息的泄露提供了渠道;其次,复印机的泄密隐患也相对较大。由于复印机的数字化程度较高,在现场维修时,维修技术人员需要使用自配计算机与故障机进行连接,若复印机涉及未处理的机密信息,极有可能通过维修途径泄露;再次,移动存储介质的泄密隐患。移动存储介质具有存储量大、适用范围广、操作便利等特征,受到广大办公人员的高度推崇。但移动存储介质也是极易被忽视的机密信息泄露源;最后,涉密人员的泄密隐患。在国有企业、私有企业与小规模组织等工作中,“无密可保”的思想普遍存在。部分从事机密信息安全保密管理工作的员工责任意识与安全防范意识淡薄,存在极大的信息泄露隐患。且对相关法律法规的一知半解,未能认知维护机密信息安全的重要性。

    四、信息安全保密管理原则与措施

    在新形势背景下,进一步明确信息安全保密管理工作的基本原则,优化机密信息安全保密管理措施显得尤为重要。具体内容如下。

    (一)管理原则

    各涉密单位、团体组织与部门必须严格执行《保密法》,在此基础上,根据机密信息等级,限定知情人数。换言之,机密信息等级越高,限定知情人数就越少。与此同时,严格审查涉密人员,以免国家机密、企业机密与组织机密被恶意窃取。在机密信息安全保密管理中,要建立健全的规章制度,加大对涉密人员的培训力度,完善各项预防措施,降低发生机密信息泄露的风险系数。最后,秉承与时俱进的基本原则,引入先进的管理理念与管理技术,提升保密工作水平[3]。

    (二)管理措施

    1.建立健全的規章制度

    根据不同的涉密主体与涉密环节,建立对应的规章制度。主要包括涉密人员管理制度、涉密计算机信息系统管理制度与涉密辅助设备管理制度三类。其中,创建涉密人员管理制度应从如下几方面着手:对涉密人员进行等级划分与集中管理;加大对涉密人员的监督与审查力度;与涉密人员签订保密协议与法律合同;定期组织涉密人员技能培训与职业素质教育活动;严格限制涉密人员跨领域活动;在约束与规范涉密人员行为的基础上,保障涉密人员的根本权益。

    创建涉密计算机信息系统管理制度,应从如下几方面着手:对涉密网络与非涉密网络实行独立管理;加强涉密信息传输终端与渠道管理;严格管理涉密网络环境与涉密传输设备。

    2.加大宣传教育投入力度

    从目标对象层面来说,要将领导干部、涉密人员、行政人员、文秘人员与技术人员等列为宣传教育重点目标对象;从内容层面来说,需加强保密法律法规教育、保密知识教育与保密技术教育,利用内网、外部局域网、宣传栏与多媒体等多元化媒介形式,扩大宣传教育覆盖面,增强宣传教育影响力[4]。

    3.优化防控技术手段

    介质安全管理:计算机信息系统包含的存储介质数量大,种类丰富,应用率较高。然而,这些存储介质极易遭受病毒侵袭,导致整个计算机信息系统崩盘。以U盘为例,其凭借存储容量大,无格式限制,且线下交互便利等优势,受到广大员工的高度推崇,但其病毒防御能力较差,极易造成信息泄露。为此,就有必要做好存储介质安全检测工作,将信息泄露风险降到最低水平。

    身份认证与访问控制:身份认证是计算机信息系统对申请访问用户身份进行审核的过程,具体来说,用户在提出系统访问请求后,应核查用户身份,快速判定用户是否具备访问权限。身份认证方式包括口令认证、验证码认证、指纹认证与虹膜认证等。

    传输加密技术与存储加密技术:首先,根据工作环境差异,传输加密技术主要划分为线路加密技术和脱线加密技术两类。其中,线路加密技术具有一定的局限性,不考虑网络连接端口的加密处理,单纯注重网络连接导线的加密处理。而脱线加密技术是对整个数据传输过程实行管理,且非配套的网络连接端口不具备解密功能。这充分保障了机密信息的安全性。

    4.加强对涉密人员的培训

    组建一支高水平、高素质的加密工作队伍,是加强信息安全保密管理工作落实效果的先决条件。涉密人员必须是“可靠、可信、可控、可用”的,既要懂保密、会保密、善保密,还应客观应对复杂的主体市场环境的诱惑,具备良好的信息安全防御能力。各国有企业、私有企业与团体组织,应定期组织培训活动,增强涉密人员的责任意识与安全防范意识,提升涉密人员的信息技術水平,强化其职业道德素养。

    五、结语

    在新形势背景下,信息安全保密管理工作尤为重要。大力落实该项工作,从宏观角度来说,涉及国家安全防控工作以及国有企业经济贸易的运转;从狭义角度来说,该管理与个人企业、团体组织的经营发展以及个人隐私息息相关,因而应该受到重视与应用。

    参考文献:

    [1]孙铃.浅谈新形势下信息安全保密管理工作[J].现代国企研究,2018(2).

    [2]邢琪.浅谈新形势下信息安全保密管理工作[J].军民两用技术与产品,2018(22).

    [3]郭翠芳.信息化条件下保密管理工作的难点和对策[J].现代经济信息,2019(15).

    [4]金路.基于云计算下计算机信息安全与保密分析[J].网络安全技术与应用,2019(5).