|
深入学习科学发展观 切实加强计算机信息系统的保密管理
一、存在的主要问题 1.认识上的误区。一是领导的认识误区。有的领导思想意识还停留在传统保密管理的旧观念上,对高科技状态下窃密手段的先进性缺乏全面客观的认识;有的领导集中精力抓业务工作,误认为保密工作无足轻重、可有可无,没有认真学习上级保密法律法规,没有严格履行保密管理领导责任;有的领导误认为《政府信息公开条例》要求信息完全公开,已经无密可保。二是工作人员的认识误区。有的工作人员误认为基层单位涉密信息少、保密期短、密级低,保密与否无关紧要;有的工作人员对保密管理工作存有侥幸心理,没有形成主动防范、积极应对的意识;有的工作人员误认为本单位的计算机和相关设备没有和外界接触,涉密信息不可能被窃走,从而无视计算机信息系统的安全隐患。由于这些认识上的误区直接导致计算机信息系统保密管理松懈、管理无序。 2.知识上的盲区。主要表现为三个方面:一是对密与非密信息界限把握不准、定密标密随意性大。有些不属于国家秘密的内容被定为国家秘密,有些属于国家秘密的信息却被漏定,被当作普通信息在互联网中传输和发布。有的单位对工作秘密和国家秘密的界定不清,把工作秘密定为非密信息,把处理工作秘密的内部局域网定为非涉密网络,没有与互联网实行物理隔离,存在极大的泄密隐患。二是缺乏计算机保密管理和计算机专业保密技术知识。有的单位领导和工作人员甚至是计算机管理人员对计算机信息系统保密管理、政策法规和制度、计算机泄密的途径和方式以及保密管理防范技术不了解、不熟悉,表现为无知无畏,违规操作。三是大部分单位的领导和工作人员在学校受教育阶段和工作阶段没有或很少接受计算机安全保密防范技术和保密管理知识的培训,知识的盲区造成了业务工作和保密管理两脱节的现象。 3.人才上的白区。当前基层单位计算机信息系统保密管理人员缺乏,既懂专业技术又懂保密管理的人才很少。咎其原因有三点:一是基层单位保密工作岗位待遇较低,发展空间有限,留不住人才;二是基层单位保密工作岗位编制少,部分从事保密工作的人员身兼数职,造成专业保密技术人员的缺失;三是有条件成立相关机构(如信息中心)的单位在机构设置时遇到阻碍,得不到有关部门的支持。上述原因使得有的基层单位任用兼职保密干部或临时聘用的技术人员,而没有配备专职保密人员和计算机管理人员负责计算机信息系统的保密管理,工作中缺乏热情和责任心,对计算机信息系统或网络的管理、维护仅停留在维持正常运行的层面上,难以做好安全保密防范管理,更谈不上对计算机信息系统的保密管理进行有效地监督、检查和指导。 4.投入上的禁区。主要表现为经费投入不足。一方面是有资金却不投入。有的单位在业务工作、交流学习、接待时有经费,做保密工作时却没有经费。有的单位只重视计算机信息系统的基础建设与业务应用,没有将安全保密防范成本纳入信息系统初期开发的经费预算中。在设计阶段忽视安全保密方面的考虑和应用,在实际运行中没有必要的安全防范手段和措施。保密经费不落实直接导致保密人才流失、保密管理技术滞后的情况。另一方面由于计算机网络保密管理对资金投入的要求相对较高,有的单位根本没有财力,只能采用简易的技术和防范设备,达不到保密设施配备的要求。计算机信息系统在基本不设防的状态下运行,没有主动防御、检测的工具,很容易受到木马、病毒和黑客的攻击而致使网络瘫痪,使计算机信息系统的保密管理陷入十分被动的局面。 5.规划上的狭区。部分中央国家机关单位的涉密网络,从部委到省、到市的连接要求很严,而到区县的连接则有明显的放松。有的单位以上级统一规划建设为由,认为保密措施已到位,而忽视对涉密网络的技术防范。有的单位没有结合自身实际情况对网络建设进行规划和管理,保密防范设备完全依靠上级单位统一配置,有的单位甚至在安全防范设备尚未配备到位时就直接在涉密网络中处理涉密信息,造成极大的泄密隐患。有的基层单位的内网由上级垂直管理,内外网共享一线路,没有采取任何物理隔离措施直接在互联网上办公,给整个涉密网络的安全保密造成严重的威胁。有的单位在内网规划时对资源的整合力度不够,重复改造和建设造成了资源的极大浪费。 6.管理上的软区。在这次调研中,我们发现大部分单位都建立了专门的计算机保密管理规章制度,但是管理执行的力度不够。存在时紧时松的现象,检查来了,抓得紧一点,检查过了,管得松一些,有的制度仅停留在纸面上,挂在墙上,而没有落实在行动上。有的单位内外网不分,没有进行物理隔离,一台计算机既处理涉密信息又上互联网,有的虽然安装了物理隔离卡,却仍然在互联网上办公,物理隔离卡形同虚设;有的单位正在建设或者已经投入使用的计算机信息系统没有按照计算机信息系统审批管理规定进行审批;有的单位没有落实涉密计算机定点维护制度,随意在社会上的电脑公司维修;有的单位没有严格执行信息上网“三审”制和“谁上网,谁负责”的责任追究制,很容易造成网上失泄密事件;有的单位没有严格落实涉密载体管理制度,移动存储介质在使用时公私不分、明密不分,在涉密和非涉密计算机之间交叉使用。管理措施不硬、制度落实不严,给保密工作的开展增加了难度。 二、应采取的对策和措施 用科学发展观的要求,切实加强对计算机信息系统的管理,提升保密工作管理水平,是各级保密工作部门和保密组织工作的重中之重,必须抓紧抓好。主要从以下几方面入手: 1.以宣传教育为契机,增强安全保密意识。通过多种形式和渠道,在全体领导干部和群众中加强安全保密形势教育,同时可以把保密宣传教育与学校教育相结合,在学校开设保密教育课程,使保密知识的普及更加深入和全面。在宣传保密政策制度和法规标准,普及计算机保密知识,特别是计算机泄密渠道、窃密手段和防范技术知识教育时,要坚持做到“三个讲清”。即:一是讲清重大失泄密事件的严重危害和惨痛教训,充分认识到计算机保密的重要性;二是讲清网络防范的基本常识和发生失泄密事件的原因,充分认识到计算机保密的复杂性;三是讲清保密工作面临的严峻形势和普遍存在的问题,充分认识到计算机保密的长期性。 2.以业务培训为平台,加强保密队伍素质建设。以提高计算机保密管理业务水平为目标,有针对性地对党政机关、涉密重点单位和承担重要科研任务的大中专院校的领导干部、涉密人员和计算机信息系统管理人员开展国家保密法规、保密标准和保密检查防范技术等方面的培训,增强安全保密管理能力。一是计算机信息系统管理人员要经过严格的信息安全保密技术培训,并与所在单位签订保密责任书。二是针对计算机信息技术发展速度快的特点,要建立保密技术培训考核制度,定期开展专业培训,更新计算机信息系统保密管理知识结构。此外,上级主管部门可以定期或不定期地向(地)市单位推荐和推广计算机信息系统的安全保密防范产品和实践操作性较强的安全保密管理技术与措施,以提高计算机信息系统的安全防护水平。 3.以增加投入为保障,提高保密防范能力。在计算机信息系统的保密防范上实行人防、物防和技防一体化,采用技术手段,提高有效监管和及时发现泄密隐患的能力。一是配备专业管理人员。适当增加保密岗位的人员编制,通过招聘、选聘、录用等多种形式,把懂技术、精业务的保密技术人才充实到保密队伍中来。配备计算机专业保密管理人员负责计算机信息系统的运行维护、保密防范和监管工作,以满足计算机信息系统安全保密管理的实际需要。二是加大保密经费投入。上级主管部门应制定并出台强有力的法律政策规范,为保密技术经费的落实提供有效的政策依据;同时,各单位可设立固定项目预算并将其纳入专项经费预算管理,为计算机信息系统配备安全保密防范设施、营造安全环境提供物质保障;对于实际需要以及上级要求配备的保密软、硬件设备一定要落实到位,不给计算机信息系统留下泄密隐患。 4.以规范内网建设为目标,加大保密监管力度。基层单位的新建涉密网络在定级、方案设计、工程实施、系统运行各个阶段都要自觉接受保密工作部门的评审和监管,对于已经投入运行的涉密网络必须严格按照国家有关计算机信息系统审批管理标准进行审批。为了便于基层单位涉密网络评审工作的开展,建议在地(市)级设置具有涉密网络承建和监理资质的集成商。同时在内网建设规划时要兼顾系统资源优化整合,避免重复建设和资源浪费,争取用最少的资源建设更有效的网络。部分由中央、省垂直管理的基层单位的涉密网络应从规划建设的源头入手,将内网与互联网实行物理隔离或完全物理断开,防止国家秘密和内部工作秘密直接暴露在互联网上。确保计算机信息系统中运行的涉密信息的安全保密。 5.以强化管理为手段,抓好保密制度的落实。制度是管理的依据。各单位首先要结合本单位的实际情况,制定明确的计算机信息系统安全保密管理制度和责任追究制度,规范用户的操作行为。其次要强化管理,抓好制度落实,做到令行禁止。一是加强对“物”的管理。包括对计算机信息系统周边物理环境与设施、系统中所使用的设备与介质以及涉密信息自身的保密管理。要依据国家相关保密法规和标准,采取具体可行、操作性强的措施,对其运行、使用的情况实行严格的保密监管。例如涉密移动存储介质保密管理较困难,很多单位反映“中间机机制”很麻烦,不便于业务工作的开展。因此,寻求一种既能服务于业务工作又能确保涉密信息安全保密的规范管理模式是目前亟待解决的问题。二是加强对“人”的管理。包括对计算机信息系统内部工作人员和外部相关人员的管理。即要抓好内部工作人员的选配录用、保密教育和日常考察,又要抓好外部相关人员的职责划分和操作权限管理。三要将监督检查和日常管理相结合,发现问题要及时处理、积极整改、堵塞漏洞、消除隐患,并严格落实责任追究制度,杜绝同样的问题再次发生。 党政机关单位的计算机信息系统保密管理任重而道远,我们将在实践中认真学习、思考、总结。以科学发展观为指导,不断强化计算机信息系统的保密管理,使保密工作更好地服务于党委政府的中心工作。(贾再安) |
|
|
