|
在信息化飞速发展、信息安全保密问题日益突出的形势下,为有效保护国家秘密安全,国家保密局出台了《计算机信息保密管理暂行规定》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》、《计算机信息系统国际互联网保密管理规定》等相关规定,对如何建设、管理和使用涉密计算机信息系统提供了法律根据,有效地保证了涉密计算机及其网络的信息安全。但在实际执行中,由于各种原因,有些单位和部门在对涉密计算机及其网络的管理使用过程中,存在着不少问题和隐患,主要表现在以下十个方面:
一、集成资质不合格。有些建设单位为了加快信息化步伐,急于建成本部门计算机信息系统,在对外招标的过程中,仅注重投标价格,对投标公司是否具备涉密系统集成资质不够重视,也没有到当地保密工作部门进行查询和核实,致使一些根本不具备资质的公司中标承接涉密系统集成业务。这些公司承建的涉密计算机信息系统,防范水平很低,往往达不到保密规定的要求,一旦投入运行势必会带来泄密隐患。
二、未审批擅自使用。按照国家保密局《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》的有关规定,涉密计算机信息系统投入运行之前,涉密系统主管部门要向保密工作部门申请审批。保密工作部门经过初审、现场测试、性能评估,确认符合安全保密要求后,方能批准投入使用。但在实际中,一些部门和单位对此认识模糊,建成的涉密计算机信息系统未经任何部门审批,就擅自投入使用,从而埋下了泄密隐患。
三、物理隔离不到位。有些单位的涉密计算机及其局域网,虽然有防火墙隔离,没有直接连接互联网,但防火墙的功能只是简单的IP地址过滤,安全性很性,经不住黑客的攻击。还有一些单位内外网之间只是在原有的路由器上增加了一个地址过滤,没有其他安全保密措施。这些都不能真正实现物理隔离,存在着一定的泄密隐患。
四、涉密机违规联网。有的单位虽然有内外网之分,但保密措施不到位,没有将计算机保密管理落到实处,出现一台计算机可以同时上两个网的现象,处理涉密信息时上内网,不处理涉密信息时上外网,信息全部保存在一个硬盘中。这种违反保密规定,导致“涉密微机上网,上网微机涉密”的情况,不仅不易被发现,而且泄密的可能性和危害性也最大。
五、信息上网审查不严格。当前不少单位不仅建有内部局域网,也有自己的对外网站,为了提高点击率,扩大自身的社会影响,源源不断地将大量内部工作信息在网上公开发布。由于对上网信息没有建立审查制度,或者审查把关不严,造成一些涉密信息也同时出现在对外网站上。此类泄密现象相当普遍。
六、涉密硬盘不处理。有的单位在涉密计算机改变用途后,未将该计算机硬盘上原来存储的涉密信息进行删除等技术处理,有的虽然进行了删除,但删除措施不可靠,经过技术处理仍有还原的可能。新的用户不仅可以从中获取涉密信息,而且如果直接用于上互联网,从而造成储存涉密信息的计算机上网泄密的现象发生。
七、笔记本电脑违规使用。不少单位配备有笔记本电脑,由于携带方便,不少工作人员甚至领导干部,经常带着涉密笔记本电脑到办公室以外的地方使用,如为了工作方便带回家中以及出差和参加会议等。其中个别人员由于保密观念不强,经常发生利用笔记本电脑擅自上互联网浏览信息或收发电子邮件等情况,存在着很大的泄密隐患。
八、磁介质管理不规范。大部分单位比较注重涉密计算机及其网络的保密管理,但对于涉密存储介质的管理重视程序不够,没有严格的保密管理措施,或者是保密管理措施不具体,有的甚至根本未被纳入本单位的保密管理范畴。如对涉密软盘、磁盘、移动硬盘等没有登记,没有加密标识,与普通软盘混合使用,出现故障后随便丢弃或重新格式化后继续使用等。这些现象,无疑存在着较大的泄密隐患。
九、维修、销毁不定点。涉密计算机、涉密介质出现故障需要维修或销毁时,有些单位未到保密部门确定的涉密计算机定点维修站和涉密介质定点销毁站进行处理。有的是到购买厂家进行维修,有的是让销售公司上门维修,还有的随意选择计算机公司进行维修,特别是对无法修复以及报废淘汰的计算机和存储磁介质,随意乱扔和丢弃等,都在不同程度存在泄密隐患。
十、思想麻痹出漏洞。少数单位、人员对涉密计算机保密问题的认识有误区,存在“无密可保,有密难保”的麻痹思想和畏难情绪。有的虽然属于涉密单位,但认为单位的级别低,涉密层级低,不是保密重点单位,对计算机信息系统保密与否无所谓;有的认为本单位的涉密信息在局域网中传输,浏览对象属于内部人员,无密可保;还有的认为在信息技术高度发达的今天,电脑黑客无处不在,防不胜防,有密难保等。这些错误认识也是导致当前涉密计算机信息系统存在一些漏洞和泄密隐患的一个主观因素。
(摘自《江西保密》第8期)
|
