办公室信息化条件下保密管理工作的难点和重点.doc

办公室信息化条件下保密管理工作的难点和重点 信息化条件下保密管理工作的难点和重点 范宁 〔2008年5月〕 按照会议的安排，下面就如何做好信息化条件下集团公司保密工作的有关问题，与大家一起学习交流。 一、信息化条件下保密工作面临的严峻挑战 信息化促进了工业化、现代化，促进了集团公司的发展和综合性国际能源公司的建设。同时，也给集团公司的信息安全带来了严峻挑战，给保密工作提出了新的更高的要求。最为令人担忧的就是我们的生产指挥和经营管理等关键性基础设施在“信息化〞之后，愈来愈严重地依赖以计算机网络通信技术为支撑的庞大而脆弱的信息系统，一旦信息系统出现问题，必将导致严重的后果。与此相应，以信息系统为对象的竞争、犯罪、窃密以及信息战愈演愈烈，信息和信息系统的安全假设剑悬头顶，直接危及企业乃至国家安全和利益。当前，保密工作面临的形势严峻，又有时代的特点，主要浮现以下几个方面的变化： 一是信息秘密的储存和传输方式发生重大变化。存储电子化，传输网络化，介质多样化，载体数码化，隐于无形，复制方便，传递迅捷，涉密渠道显然增多；计算机、复印机、多功能一体机、移动存储介质、无线局域网、手机等，也都成为重要的泄密隐患。 二是窃密方式和技术手段发生重大变化。在应用刺探、窃取和收买等传统窃密方式的同时，现在间谍卫星侦照、计算机网络入侵、办公自动化设备内置窃密程序等窃密渠道和方法快速发展，无孔不入，危害日益加大；窃密手段更具高技术性，空间技术、电子技术、信息技术、网络技术被广泛用于窃密活动，使得窃密手段向高智能、多功能、超微型、善隐蔽的方向发展，新的高技术窃密手段不断涌现。据国家保密局统计，2003～2007年全国泄密案件中，计算机、网络和移动存储介质泄密案件所占比例呈逐年上升趋势，从最初的不到20%，提升到60%以上。 三是窃密主体和目标发生重大变化。窃密主体更具多元性，除传统的情报机构外，以新闻媒体、商务机构、咨询公司、跨国组织、学术团体等为掩护的窃密活动显然增多，特别是境外非政府组织在我境内迅速增加，活动领域和范围不断 扩展，为谋取商业利益所进行的情报活动十分活跃；与以往境内外敌对势力关注并大肆窃取、刺探、搜集我政治、经济、军事、外交等方面情报不同，由于能源的重要性日益突显，特别是石油天然气管理部门及石油企业和研究单位，集中了大量涉及国家能源核心秘密的信息，已经成为国际谍报战、经济战等各种窃密活动的重点目标。从近年来发生的窃密案件看，境外情报机构窃密活动的目标，直指我国石油安全战略、勘探成果及规划布暑，直指我国先进钻探技术、油气管道和油气田地面工程建设，直指我集团公司总部机关、重点科研单位和保密要害部门部位等。 如：我勘探开发重点研究项目、重大研究成果等，被非法提供给境外机构，国家安全局、国家保密局等部门立案侦察，有关人员被拘审；某探井数据库资料被非法出售，涉及3.9万余口探井基础资料数据，被国家有关部门立案侦察，而且列为重案，涉案人员可能受到重判；某油田研究院涉密计算机违规连接互联网，造成该油田勘探战略研究及“十一五〞规划布暑等300余份涉密文件资料被非法入侵下载外泄，被国家安全部门截获并立案调查，经鉴定，近60%为仍在保密期限内的重要商业秘密，有关人员受到严正查处；总部机关某计算机因被U盘植入木马病毒，造成上千页文件资料打包自动向互联网发送，内容涉及仍在保密期内的国家级重点科研项目、某气田地面工程现状及工作布暑等，被国家安全机关责令要求协查；某在京单位在网站上违规上载中央文件作为宣扬活动的报道，也被国家保密局通报协查；某油田野外作业队违规利用搜狐公用电子邮箱传送标密井口数据，被地方安全局查获追究。仅2007年，集团公司保密办接到国家保密局、国家安全局等部门截获的涉及我集团公司商业秘密电子文档资料数量累计高达6.23G，包涵5000余个文件，约11000余页。事实证实，我集团公司作为国有重要骨干企业和国内最大的石油天然气生产供应企业，已成为国内外各方关注的焦点，处于保密与窃密斗争的前沿，保密工作面临的形势和任务非常艰巨。 二、信息化保密工作面临的主要难点问题 由此可见，信息化在促进生产力发展和社会进步的同时，保密工作的领域、对象、环境等都随之发生了重大变化，也促生了许多矛盾和难题。通过2008年3月份展开的计算机及移动存储介质专项保密检查的状况可以看出，目前集团公司在计算机及移动存储介质的保密管理方面存在着许多隐患、漏洞和不够。这次保密专项检查是依据《中共中央保密委员会关于展开中央和国家机关计算机及移动存储介质保密检查的通知》要求，由集团公司保密委员会组织进行的一次全面自查，检查范围覆盖总部26个部门、5个专业公司、3个直属单位和5个在京保密重点单位，在自检的基础上，集团公司保密办还组织对总部13个保密要害部 门部位和7个在京保密重点单位进行了复查抽检。本次保密检查共涉及39个局级单位，377个处室，4950余人；这次检查采用一边展开检查，一边梳理思路，以便完善措施，一边健全制度的做法，取得了很好的效果。一是成功应用国家保密局指定的涉密信息检查、上网痕迹检查和移动介质读取记录检查工具等软件；二是摸清了涉密计算机及移动存储介质的底数；三是查出了计算机及移动存储介质管理中存在的问题。这次保密检查，查出计算机及移动存储介质存在的特别问题，涉及规章制度、管理手段、网络体系、信息系统等软件和硬件各方面的问题23个，涉密计算机及移动存储介质未按国家有关规定使用问题尤为特别。据初步统计，目前总部和保密重点单位共有涉密计算机1530台，存储涉密信息移动介质611个，真正执行物理隔离或没有上网记录的计算机17台，能够确认没有在非涉密机上使用的有13个，分别占1.1%和2.1%，这还不包括非涉密计算机及移动存储介质处理、存储涉密信息，可见问题的严重性。 归纳起来，目前集团公司保密工作主要面临以下6个方面的难点问题： 第一，保密意识仍待提升，保密素养难适应。干部职工中仍然存在着保密意识松懈和对保密重要性熟悉不够，甚至认为无密可保的现象。究其原因，并非各部门、各单位对保密工作不重视，而是有些干部职工大道理明白，小问题不注意，认为保密与我无关，该怎么做也不清楚，没有熟悉到作为企业也有密可保，特别是国有大型能源企业，更是有要密要保；也没有熟悉到保密就在身边，发生泄密事件看似偶然，但是违规行为和泄密隐患的存在对引发泄密事件来讲具有必定性；更没有熟悉到由于防范意识弱、防范能力低而容易造成泄密的危害性。同时，我们的保密管理和宣扬教育模式也与目前的形势不适应，没有充分调动干部员工的积极性，没有树立起涉密人员既是保密管理的对象，更是从事保密工作的主体观念，使保密管理工作长期处于被动、难以被人理解的状况，这些都是目前影响集团公司保密管理工作水平提升的问题所在。 第二，规章制度制修滞后，信息保密难规范。随着集团公司企业化的不断完善和国际化的不断深入，尤其是股份公司作为上市公司，资本市场信息的公开化要求，对外交流与合作的日益频繁，传统的封闭环境已被打破，保密管理体制、工作机制和规章制度已经严重不相适应，尤其是集团公司现有保密管理规章制度，脱胎于党政机关的管理模式，一方面比较原则，针对性、有用性和操作性不够强；一方面制修订工作滞后，没能跟上信息化条件下保密工作状况的变化和要求，还存在“空白点〞。如对计算机及移动存储介质保密管理尚无专门的规章制度可循；大批使用的数字复印机和集打印、复印、 、扫描于一身的多功能一体机，还没有明确的保密管理措施；还有一些重要环节上，如对涉密人员流动的 管理，尤其是对海外项目及涉密人员的保密管理，也出现了死角。保密工作规章制度的覆盖面和指导性、操作性不够，导致人难管，密难保，成为制约业务和管理部门保密工作顺利展开的又一大难题。 第三，定密标准尚待完善，是密非密难把握。在日常工作中，涉密信息系统安全等级保护的定级、保密要害部门部位和保密重点单位确实认、涉密岗位和涉密人员的分级确定，以及文件材料定密、密级鉴定和风险评估等项工作，都缺乏科学依据和统一标准，随意定密、随意标密，密级一定永远不变、不按所定密级管密；什么信息能上网，什么信息不能上网，什么信息必需在物理隔离的涉密机中处理；哪些属于国密、哪些属于商密、哪些又属于工作秘密，又是属于哪个级别，级别定高了怕增加工作难度和管理成本，定低了又怕增加泄密风险，等等，结果导致目前乱定密、乱标密，乱上网、乱发邮，乱印文、乱发文，乱发言、乱报道的现象。这些问题一直疑惑着业务部门和管理部门，成为制约集团公司保密管理工作制度化、规范化、科学化的一个关键问题。 第四，电脑介质尚未分类，涉密信息难掌控。目前，集团公司没有采用强制区分涉密与非涉密计算机及移动存储介质的保密管理措施，非涉密设备处理涉密信息，涉密设备与互联网连接，涉密与非涉密介质混合交叉使用等现象比较普遍，而且也没有执行涉密移动介质统一审批、登记、编号和标识管理，更没有对其使用执行严格管理，随意携带外出、出差、出国，基本处于失控状态。尤其是OA 系统等涉密信息系统及日常使用的绝大多数计算机，依托于中国石油广域网，而该网是按非涉密网建设的，与互联网连接采用逻辑隔离〔防火墙〕技术措施，近年来已发生过因木马病毒或网络攻击造成总部涉密信息外泄的状况，成为目前集团公司保密管理重大隐患和难题。 涉密便携计算机也基本处于失控状态，购置时无保密部门审批备案，使用时无管理控制措施，不少处理存储涉密信息的便携计算机都安装了无线网卡，还常常使用 、网卡上网，而且随意携带出入公共场所、出差、出国，随时带密上网查询资料、传输信息，有的在旅途中、飞机上还使用便携计算机编写、查看涉密信息。如何更好地对其进行保密管理，特别是对出差、出国、上网等制定出具有可操作性的使用防护措施，尚无章可循，也是目前集团公司保密管理中的重点和难点之一。 第五，信息基础设施薄弱，涉密信息难传递。集团公司尚未建设物理隔离办公专网及涉密信息加密传输专用通道。目前，无论集团公司OA系统是按照普密级、股份公司OA是按照商密级建设的，但由于系统均依托于中国石油广域网，没有与互联网执行物理隔离，因此在个人计算机中拟写的文稿在上载到OA系统 进行加密传输之前，以及从OA系统脱密后阅览文件，都有可能受到外来攻击而造成泄密。目前规定OA系统不能传输涉及国家秘密和公司“油商密★★★〞的公文，而可传输公司“油商密★★〞和“油商密★〞级涉密公文的现行做法，也是迫不得已，承当着较大的泄密风险。此外，日常工作中大量的涉及国家秘密、公司商业秘密的信息，除其中部分公文可通过OA系统传输外，总部与所属企事业单位之间的大量涉密信息，只能利用广域网电子邮件系统进行传输，现在集团公司对各单位及海外发送涉密文件资料等信息，主要是依靠密码 机。在目前电子数据量特别大的状况下， 方式已不适应。特别是在海外，电子邮件作为主要的信息传输方式，也成为重大泄密源。假设严格执行“上网不涉密〞原则，则致使一些重要、紧急的涉密信息没有传输途径，难以快速安全地传递到所属企事业单位或海外项目，成为提升办公效率，保证信息安全保密的一个瓶颈。 第六，重点单位各具特点，矛盾特别难解决。管道建设和运行管理单位、科研和规划研究院、海外勘探开发等重点保密单位存在的具有各自业务特点的保密管理问题，缺乏针对性的保密管理规定和相应措施。如油气管道建设从项目前期研究、选线踏勘、规划可研、初步制定，到招标采购、施工投产、运行管理、维护检测等众多环节，涉及油气资源数据、大比例地形图、地理坐标数据、管道运行参数、建设投资规模、价格等众多重要信息，而由于油气管道项目工程大，往往是多家组成联合体展开工作，参加油气管道建设的队伍从制定、施工、EPC、监理、采购到运营单位多达上百家，分布在全国各地，而且还有外国公司参加，各个环节的保密管理问题十分特别。尤其是大量的重要涉密信息都是通过电子邮件传输，而且一些参建单位又不在中国石油内部局域网的环境中，只得通过公共信息系统电子邮箱在互联网上传输涉密信息。又如有的重点保密单位租用涉外宾馆和写字楼办公，不具备必要保密条件，也没有必要的保密措施和设备，一些重大工程项目的规划、研究和初步制定均在临时租用的写字楼内进行等，没有采用必要的保密措施，也没有设置独立的内部办公专网，所有计算机都与互联网连接，涉密文件资料和数据都在互联网上传输；还有勘探院课题研究中核心数据的采集与处理，规划总院前期研究中大量涉密信息的处理和传输，勘探开发公司海外项目信息的传递，管道调控中心油气管道指挥控制系统没有实施与互联网的物理隔离，销售分公司处理有关军必需油品信息的计算机使用环境等等，都必需要进行深入研究和认真解决，否则会对公司利益甚至国家安全造成危害。 三、下步重点工作的建议 工作的难点就是工作重点，就是工作的着力点。针对上述保密工作难点问题，拟采用以下相应的对策：第一，落实责任，强化考核，健全集团公司保密工作领导责任体系。建设保密管理体系，做好保密管理工作，落实领导责任制是关键。要把“谁主管、谁负责〞的原则落到实处，执行分级负责的原则，就是层层分解、逐级落实工作责任，即集团公司、总部部门、所属单位分级负主体责任，公司、部门和单位一把手、分管领导、处室领导，一直具体到涉密岗位人员对保密工作分级负责。同时要落实各级保密管理部门既是保密规章制度的制定者，又是本部门、本单位保密工作主管部门和监督部门的使命。为把领导责任制落到实处，建议将保密工作领导责任制列入干部业绩考核内容，研究制定保密工作考核细则和评分标准，并把考核结果直接与晋职晋级、评先评优挂钩，将保密工作摆在重要的位置。另外，为保证保密工作责任落实落实到位，应提升保密工作监督检查的力度和层次，除保密管理部门加大监督力度外，建议各级党委、纪检监察部门也要把保密工作检查监督纳进到常规性督察工作体系之中，切实提升保密工作监督检查的效力。同时，要研究制定《中国石油天然气集团公司涉密人员保密行为十不准》，并建立公文收发传阅、上机上网、复印 、涉密会议、科技交流、出国出境等各个环节的保密提醒制度，做到人人皆知、层层落实，以达到进一步强化涉密人员保密意识，规范保密行为的目的。 第二，健全制度，科学管理，构建集团公司科学系统规范的保密管理体系。规章制度的健全完善，是筑牢保密防线的重要环节之一。要在这次征求看法的基础上，尽快修改并印发《涉密计算机及移动存储介质保密管理暂行办法》、《保密要害部门部位管理暂行办法》和《保密重点单位管理暂行办法》等相应的配套规定，明确制定《涉密计算机使用禁则十条》和《涉密移动存储介质使用禁则八条》等具体细则，便于规范操作和管理。同时以此次为契机，修订完善《中国石油天然气集团公司保密工作管理规定》，并积极探究以信息化为重点，从指导文件、程序文件和操作文件三个层面，构建集团公司保密管理规章制度文件化体系，用科学发展观统领和改善集团公司保密工作，走科学化保密管理和发展之路，逐步构建起系统、规范的保密管理体系，实现对涉密人员、涉密载体、涉密信息、涉密场所和涉密活动的“全方位、全过程、全员化〞的科学管理，促进保密工作从制度化管理向体系化管理的转变。 第三，准确定密，科学定密，研究制订《集团公司涉密信息分级保护目录》。由各部门、专业公司和有关单位将所涉及的涉密信息按照国家秘密、公司商业秘密和工作秘密进行类别划分，按照相应的级别对涉密信息的密级进行确认，在此基础上，汇总形成《集团公司涉密信息分级保护目录》〔以下简称《目录》〕，为定密工作提供科学依据。制定好《目录》的关键在于国家秘密、商业秘密和工作秘密的区分和级别划分，同时要明确什么密级能采纳什么方式发送和管理等。 此外，为保证《目录》的实效性，应对其采用版本化管理，每年修订一次，以适应业务发展和保密管理的必需要，使定密、更密、解密和鉴密工作走上科学规范、继续改善的轨道。 第四，强化控制，强化技防，以信息化手段解决信息化条件下信息保密问题。要把信息安全保密作为信息化建设的内在环节，树立新的与信息化建设相适应的信息安全保密观念，建立新的与计算机信息系统相适应的信息安全保密体系。注重以信息化手段解决信息化条件下的信息系统安全保密问题，对涉密移动存储介质进行保密认证，用技防手段强化涉密信息控制，有效堵塞信息泄密漏洞，使计算机及移动存储介质处于受控状态；加快实施集团公司信息技术总体规划中信息系统安全体系建设项目，通过布暑桌面安全管理子系统解决台式计算机、便携式计算机的防病毒、木马、端点准入的问题；通过布暑身份管理与认证子系统实现专业应用系统、管理应用系统、办公应用系统的强认证保护；通过布暑网络安全域子系统构建保密网络，为集团公司的保密工作提供强有力的技术手段。同时，要在总部和在京保密重点单位的保密要害部门部位、重要涉密岗位执行涉密与非涉密计算机及移动存储介质分类管理，完善有关工作流程、审批手续及配套措施，建立健全有关规章制度，以此推动信息化条件下的保密管理。 第五，注重基础，加大投入，加快总部和企事业单位涉密办公专网的建设。在迁入石油大厦时建成以总部为中心，覆盖所有地区公司和企事业单位的涉密办公专网，形成办公专网与内部广域网物理隔离、广域网与互联网逻辑隔离的基础网络格局。严格规范涉密信息传输方式，涉密信息必需在涉密办公专用网中加密传输，驻外机构涉密信息必需通过公网专用信道加密传输，涉密纸质信息必需使用密码 设备加密传输，形成“两网三线〞的涉密信息系统运行格局。办公专网和内部广域网要依据承载信息的重要性和保密要求，划分不同级别的保护层次和区域，采用相应的安全技术手段，有效控制各区域间的信息流，并严格按照国家有关规定由集团公司统一配备涉密信息传输相关设备设施，保证涉密信息的安全。 第六，查教结合，注重效果，探究保密检查和教育培训工作新路子。要改变以往保密检查和保密培训工作的传统模式，利用检查工具展开有针对性的专项保密检查，查重点，查细节，查整改，查落实，规范检查流程，完善检查手段，使检查工作规范化、制度化。要结合检查中发现的问题，随时展开专题培训，讲问题，讲危害，讲要求，讲做法，将保密检查中发现的问题梳理出来，作为编撰保密培训教材的案例，改变保密培训讲理论、讲道理多，讲案例、讲做法少的模式，而是讲保密保什么，保密怎么保，定密怎么定，密级怎么标，哪些是秘密，哪些 不是密，上网怎么做，出差怎么办，合作怎么搞，出国防什么等等，集成《保密手册》，使保密教育培训特别有用性；周吉平同志在不久前召开的保密委员会扩展会议上强调指出，要把保密宣扬教育纳进党委宣扬教育工作之中，纳进党校及对各级各类人员的教育培训之中，要把对领导干部、涉密人员、专兼职保密干部的重点教育与对全员的普及教育相结合，把保密宣扬教育同企业生产经营和改革发展相结合，与思想政治教育相结合，与法律法规教育相结合，与保密检查和整改相结合，不断丰富教育内容和手段。因此，要与党校对接，将保密培训工作纳进教学计划，研究制订保密教学和培训计划，组织专门人员编写保密教育教材，科学设置保密教学内容，实施规范化的保密教育，将保密教育真正落实到实处。 第七，结合实际，展开调研，积极展开信息化条件下集团公司保密管理和技术防范对策研究。由办公厅牵头，依托有关部门和单位，聘请有关专家做顾问，结合总部和保密重点单位工作特点，有针对性地展开调研，就集团公司信息化条件下做好保密管理对策和技术防范措施进行系统研究，探究如何建立一套科学、系统、规范的集团公司保密管理体系，拿出一套适应信息化发展和集团公司建设国际化能源公司的要求，切实可行的保密管理和技术防范对策，把集团公司保密管理工作推向探究新思路、谋求新发展的科学管理新阶段。此项课题研究已经作为软科学研究课题在集团公司立项，而且得到国资委保密办、国家保密局的肯定和支持，希望我们搞好研究，取得成果，作为大型企业保密工作的典型经验加以推广。