涉密计算机违规外联报警调查核查是保密行政管理部门的一项重要职责。近两年来,按照属地管理原则,西安市保密局调查核查了多起违规外联报警事件,通过对这些事件的调查,发现了一些共同点和相似点,了解这些特点可以帮助我们更好地预防风险、堵塞漏洞,更好地做好涉密计算机保密管理。
原因分析
对近两年调查核查情况进行统计发现,涉密计算机违规外联在党政机关单位、公司企业中均有出现,其中党政机关单位占比62%,公司企业占比38%。对违规外联行为进行初步分析发现,主要有以下四类:第一类,更换办公地点或维修过程中,误连互联网网线,占比38%;第二类,当事人不知情,升级病毒库等连接互联网,占比15%;第三类,工作人员缺少保密技能培训,不知不懂,错误操作,占比15%;第四类,技术人员在安装“三合一”过程中操作不当,占比32%。由于违规外联后被及时阻断,所有事件均未造成严重后果。
从以上统计可以看出,首先,涉密计算机管理不善是发生违规外联报警的最主要原因,如第一类和第二类,总数占比达到53%。管理不善主要表现为涉密计算机标识不清楚、底数不掌握、淘汰后不及时处理、责任人交接不认真、搬迁或更换办公地点过程中未按照管理要求强调涉密计算机保护等。
其次,安装“三合一”防护产品的技术人员业务不熟是发生涉密计算机违规外联报警的另一个主要原因,占比达到32%。主要表现为安装人员缺乏经验,出现安装即违规、未使用就有违规记录的情况,如在未确认涉密笔记本是否拆除无线模块的情况下即开始安装,安装重启后笔记本电脑自动联网导致报警;为安装成功,先使用个人电脑操作“三合一”软件安装包,后忘记卸载联网导致报警等。
最后,当事人保密意识淡薄、保密基础知识技能缺乏是发生涉密计算机违规外联报警的又一个原因。当事人缺少保密知识技能培训,对涉密计算机的有关保密要求不清楚、不了解,使用操作不正确,导致无知犯错,占比为15%。
防范建议
从以上分析可以看出,涉密计算机违规外联报警原因主要涉及两个方面:涉密计算机的使用方或购买方(甲方)、提供技术支持和产品服务的企业方(乙方)。建议从以上两方面入手,加之保密行政管理部门齐抓共管,以有效减少涉密计算机违规外联次数。
一、对于涉密计算机的使用方或购买方(甲方)
1.规范涉密计算机管理。
涉密计算机违规外联最容易发生在安装调试、搬迁或维修、淘汰报废3个阶段。这3个阶段属于动态管理阶段,具有一定的风险性,存在较大安全保密隐患,是需要加强保密措施的关键阶段。在这些阶段,机关单位保密工作机构应提出明确保密要求,如搬迁中要制定保密工作方案、“三合一”产品安装时要对公司技术人员提出基本素质能力要求;保密干部要提升责任心,密切关注涉密计算机动态管理各环节保密措施的落实;涉密计算机的责任人要确保该计算机在自己管控范围内,防止未经允许搬运、打开、检修、使用等情况发生;对于淘汰不用的涉密计算机一定要做好台账登记、标识,及时联系销毁,防止误搬误用等。
2.减少过度防护。
“三合一”产品主要用于涉密计算机防护,检查中发现,部分机关单位由于对国家秘密的理解和认识存在偏差,对财务专用机等本来用于处理工作秘密或内部敏感事项的计算机也安装“三合一”产品,但日常不能按照涉密计算机的要求严格管理,导致违规报警。这种情况在一些机关单位不同程度存在,说明其在保密宣传教育、国家秘密和工作秘密的界定、保密事项范围的学习等方面还存在很大提升空间。
3.加强涉密人员培训。
严格落实涉密人员岗前审查和岗前培训,特别是涉密计算机使用技能培训,务必做到先培训后上岗,保证涉密计算机使用人对相关知识应知应会。同时,建议以技能培训为切入口,注重提升涉密人员保守国家秘密的荣誉感、使命感、责任感,进而增强涉密人员心理和意识层面对保密工作的认同,自觉将保密要求内化于心、外化于行,减少违规操作的可能性。
二、对于提供技术支持和产品服务的企业方(乙方)
1.加强企业员工培训。
调查中发现,甲方向乙方购买计算机用于涉密用途时,同时会要求乙方负责安装“三合一”软件产品。通常乙方并非“三合一”软件厂家,技术人员对“三合一”的安装程序和过程并不十分清楚,一般情况下会通过电话远程询问并接受指导,但“三合一”软件厂家技术人员无法确切了解现场情况,一些该提醒的没有提醒,该发现的没有发现,容易导致不该发生的发生了。所以,建议厂家在出售“三合一”软件产品的同时做好相关技术人员培训,编制《安装服务手册》,将安装流程及注意事项以书面形式固定下来,保证安装过程的标准化,防止由于技术人员流动带来的安装风险。
2.将安装“三合一”产品人员确定为涉密人员。
“三合一”软件产品通常安装于涉密计算机,而且安装于计算机的底层,如果此时对计算机动了手脚,后果将不堪设想。调查中发现,甲方都有保密意识,要求乙方具有保密资质,但是在对乙方公司调查中发现,一些乙方公司的安装技术岗位并不是涉密岗位,相应人员也未按照涉密人员进行资格审查、接受保密教育等,存在极大风险隐患。建议提供“三合一”产品及安装服务的公司要根据具体业务性质,合理确定涉密岗位,完善涉密人员审查,加强涉密人员管理和教育,明确保密责任和义务,防患于未然,以专业的态度、精湛的技术更好地服务客户。
三、对于保密行政管理部门
1.建议有关保密行政管理部门按照管理权限加大对保密资质企业的日常保密检查。特别要注意从承接的业务着手,了解业务流程,分析保密要求,检查相关制度和措施落实情况,督促其加强日常保密管理,不断强化工作人员业务素质和能力培训,为客户提供高水平服务。
2.调查中发现,目前行业内对涉密计算机的采购基本上是按照一般商品对待,对涉密计算机的代理商、中间商是否具有保密资质,最终用户是否用于正当合法的用途,没有明确规定和要求。建议国家保密行政管理部门开展安全风险调研,联合有关部门出台相关政策,加强对涉密计算机流通、采购环节的保密管理。