智能互联时代信息化保密安全工作问题与对策

文/上海市计量测试技术研究院 唐松 张一帆 谢若龑

在智能互联的新时代，人们享受着信息化和智能化给工作带来方便、高效和快捷的同时，不得不面对互联网成为间谍组织等机构收集重要价值情报途径的问题，这给信息化安全管理，特别是信息化保密安全管理带来了前所未有的困难和挑战。本文基于当前智能互联时代的背景，结合本单位的工作实际，分析了信息化保密安全工作所面临的问题挑战，并提出了相应的解决对策。

一、信息化保密安全工作的现状及存在的问题

（一）信息化保密安全工作的现状。在智能互联的时代背景下，信息化保密安全工作的内容和任务正发生着巨大而深刻的变化，各种信息化系统及应用如雨后春笋般涌现出来，信息系统的数据量和复杂度成倍增加，与之相适应的软硬件不断更替变迁，种种变化对信息化保密安全工作提出了越来越高的技术和管理要求，传统以人防为主的信息化保密安全管理方式现已演变到了人防、物防加技防高度融合并举的模式。

（二）信息化保密安全工作存在的问题。1.人、机、物高度互联的问题。随着智能穿戴和移动通信设备的普及，人与机、人与物以及机与物的关系正向着广泛互联、高度融合的趋势发展。与此同时，在大数据和5G技术的影响下，越来越多的个人隐私和工作数据被存储、共享在互联设备以及云端，这不仅会使得泄密的渠道拓宽、影响变广，更会造成“无意识泄密”。不久前由于智能运动手表流行，美军基地信息等军事机密因为美军士兵使用具有GPS定位的智能手表的相关数据被攻破而被曝光，这种“无意识泄密”案例发生后，很多国家立刻采取行动，禁止军人使用相关智能穿戴设备。随着智能穿戴设备的录音、拍照、通话、无线传输和GPS定位等功能不断丰富，这些功能强大的智能穿戴设备给保密工作带来不小的隐患，这些智能穿戴设备一旦连接互联网，就可能成为严重的泄密隐患，如果这些设备被敌特分子所利用，那么很可能成为窃取国家秘密的直接武器。2.多网络类型客户端共存使用的问题。在信息化管理逐渐细化的形势下，许多企事业单位为实现更规范、高效和安全的管理，常会对网络进行“内网”和“外网”的划分，事业单位可能还存在“政务网”，在“内网”“外网”和“政务网”等多种网络类型的客户端共存的形势下，一机多用或者多网私自互联等问题都会带来很大的泄密安全隐患。其中特别是政务网客户端的使用，因其作为存储和处理公务文件资料的重要工具，所带来的失泄密安全风险问题值得关注。3.网络安全技术防范措施不足问题。习近平总书记指出：“没有信息化就没有现代化，没有网络安全就没有国家安全。”在当前我国网络安全环境相对复杂、严峻的形势下，一方面对于外部利用网络木马、病毒等网络攻击行为窃取国家秘密的风险依然不容忽视；另一方面，内部由于上网行为不规范、技术手段有漏洞以及监管系统不健全等问题，也给信息化保密安全工作带来很大挑战。4.信息化保密安全检查困难的问题。由于保密工作的特殊性，信息化保密安全检查必须做到重点突出、覆盖全面，所以对于非密信息设备和存储设备的保密安全检查同样不容忽视。然而，由于涉密设备少、涉密岗位少，相应的参与保密工作的人员也很少，面对上千台的信息设备和存储设备信息化保密安全检查，人员缺口巨大、检查任务艰巨的问题显而易见。5.信息化保密安全意识有待加强的问题。建立较强保密安全意识需要持续不断加强保密安全教育，对于刚刚加入涉密行业的企事业单位来说，保密安全教育有待加强。同时，对于涉密业务和涉密人员均十分有限的较大企事业单位来说，很多平时与涉密业务无关的人员，很容易存在自己“无秘需保”的错误认识，很多有保密意识的人员也同样会存在前述的“无意识泄密”风险。

二、信息化保密安全工作改进的对策

（一）积极应对新技术新挑战完善管理要求。信息技术的变革日新月异，从事信息化保密安全管理决不可故步自封，面对新技术、新挑战唯有积极应对，及时完善管理要求，才能及时消除泄密隐患。针对智能制造、大数据以及云平台等新技术，必须时刻“警惕智新科技背后的眼睛”，积极组织开展保密安全调研讨论，并及时针对新设备、新科技建立符合单位实际的信息化保密安全管理要求，从思想上和制度上建立全体员工“泄密”的防火墙。

（二）切实做好多网络类型的安全运行。在多网络类型终端共存的情况下，为严防一机多用和多网互联所带来的泄密隐患，需做好以下方面：一是技术层面。利用防火墙和相关网络安全管理软件严格实行不同网络间的逻辑隔离，严格执行客户端的IP与MAC地址绑定策略，严格禁止一机多网卡接入等情况。二是管理层面。积极利用信息化手段，将相关管理制度规定，以单位对内门户公告、对内职工学习平台以及员工移动办公平台等多渠道进行宣贯培训。通过“科技+制度”真正实现保密安全管理融入日常业务工作。

（三）努力筑牢网络安全技术保护屏障。网络安全的保密管理，必须紧密结合工作实际和现实技术手段，找准风险点、筑牢保护屏。首先，利用企业级的安全防病毒系统，实现单位全网络的病毒库的及时升级与定期查杀。其次，针对信息设备的管理，可以利用技术手段实现实名制上网以及上网行为监控，同时针对移动存储设备，可以在单位内建立白名单库并动态管理，白名单内存储设备可以限定使用范围具体至某台指定终端，从而实现移动存储设备的最小化使用原则。最后，积极防外的同时，内部风险不容忽视。例如，针对办公邮件，可以建立工作邮件网关保密安全关键字拦截告警机制，以封堵邮件泄密的重要出口。

（四）着力提升信息化保密安全检查实效。紧跟信息化保密安全建设新形势、新要求，每年依势制定年度信息化保密安全检查方案。建章立制为先，落地生根为重。为真正让方案稳落地，让检查见实效，充分结合单位工作实际，积极探索实施“突出重点，分类检查”的保密安全检查。通过采用自查、监督抽查和专项检查等多种检查相结合的方式，突出对重点部位、重点人员和重点设备的保密安全检查，实现保密检查有的放矢，检查范围全面覆盖，切实解决检查任务重、检查范围广与检查人员少的突出矛盾，真正让信息化保密安全检查有力、有效。

（五）扎实推进信息化保密安全教育培训。“没有比保密意识更重要的保密手段”，可见持续不断地推进保密“两识”教育至关重要。首先，对于从事涉密业务的信息化工作人员，必须持证上岗，且定期参加理论知识和安全技术培训。其次，从事涉密业务的普通人员，具有较强保密意识和保密技能同样重要，在定期参加培训学习的同时，也应适时接受测试考核，确保学有所获、学有所用。最后，针对普通员工，通过经常性开展泄密警示教育，让其树立“100-1=0”的保密安全意识。

三、总结

在智能互联的时代背景下，信息化保密安全工作正面临着系统体量大、技术要求高和日常任务重等种种挑战，这不仅需要不断完善管理制度建设，更需要持续加强信息化安全技术保障。本文正是基于当前的时代背景，结合工作实际，针对信息化保密安全管理中存在的问题和挑战，从管理要求到技术支持再到检查、教育等方面提出一些建议和对策，为切实做好保守国家秘密提供参考和启发。