國家保密局網(wǎng)站>>宣傳教育>>警鐘長鳴

信息設(shè)備維修泄密隱患分析與對策

2018年08月29日    來源:秘書行政司【字體: 打印

隨著信息設(shè)備技術(shù)應(yīng)用越來越廣泛,因違規(guī)進(jìn)行信息設(shè)備維修導(dǎo)致的泄密事件時有發(fā)生,給保密工作敲響了警鐘,值得引起高度警惕。

 

典型案例

◆送外維修易失控

案例1:2017年4月,某單位綜合處處長魏某為圖工作方便,違規(guī)安排工勤人員將1臺涉密計算機(jī)送外維修,致使維修人員將該計算機(jī)連接互聯(lián)網(wǎng),并在該機(jī)上交叉使用兩個非涉密U盤,造成相關(guān)涉密文件失控。魏某被給予黨內(nèi)警告處分。

案例2:2013年6月,有關(guān)部門在工作中發(fā)現(xiàn),某計算機(jī)服務(wù)公司計算機(jī)中存有某局相關(guān)的多份標(biāo)密文件和上千份內(nèi)部資料,給國家秘密的安全造成嚴(yán)重威脅。經(jīng)查,該局辦公室主任閆某于2009年5月違規(guī)將故障硬盤送至某電腦公司維修,后又轉(zhuǎn)至該計算機(jī)服務(wù)公司,造成涉密文件失控。閆某被給予行政記過處分。

◆◆雇人維修有風(fēng)險

案例3:2016年11月,某機(jī)關(guān)單位兩臺涉密計算機(jī)發(fā)生故障,無法連接內(nèi)部局域網(wǎng)。因當(dāng)日網(wǎng)絡(luò)維護(hù)技術(shù)人員生病住院,經(jīng)單位負(fù)責(zé)人尼某同意,工作人員姬某聯(lián)系某辦公設(shè)備公司售后服務(wù)人員進(jìn)行維修,維修人員在不知情的情況下,將涉密計算機(jī)連接互聯(lián)網(wǎng),導(dǎo)致多份內(nèi)部文件外泄。尼某和姬某被誡勉談話,并作出書面檢查。

案例4:2016年12月,某區(qū)監(jiān)控系統(tǒng)LED顯示屏故障,為確保相關(guān)調(diào)度工作及時到位,該區(qū)一線指揮部工作人員立即聯(lián)系售后服務(wù)企業(yè)維修人員搶修。因需要使用其他計算機(jī),該區(qū)一線指揮部工作人員普某誤將涉密計算機(jī)當(dāng)作普通上網(wǎng)機(jī)交由售后維修人員使用,連接互聯(lián)網(wǎng)后發(fā)現(xiàn)該機(jī)彈出警告提示,于是迅速斷開了網(wǎng)絡(luò)連接。普某被誡勉談話,并作出書面檢查。

◆◆◆旁站監(jiān)督要落實

案例5:2014年8月,某部委借調(diào)人員付某使用的涉密計算機(jī)出現(xiàn)故障,未經(jīng)請示批準(zhǔn),私自將計算機(jī)送交其戰(zhàn)友呂某維修,且沒有落實旁站監(jiān)督規(guī)定。期間,呂某因查找設(shè)備問題需要,多次使用該計算機(jī)連接互聯(lián)網(wǎng),后又因要重新安裝操作系統(tǒng),用個人U盤復(fù)制計算機(jī)相關(guān)文件進(jìn)行保存,造成涉密信息失控。付某被給予行政警告處分。

案例6:2009年4月,某單位一臺涉密復(fù)印機(jī)發(fā)生故障,請售后服務(wù)商派人維修。修理人員經(jīng)過簡單測試后斷定是復(fù)印機(jī)硬盤問題,須將其帶回維修。該單位有關(guān)工作人員毫無保密意識,讓其帶走維修,且沒有落實旁站監(jiān)督要求。幾天后,該單位才意識到存在保密隱患,立即與售后服務(wù)商聯(lián)系,方得知該硬盤已被送往境外,導(dǎo)致涉密信息失控。有關(guān)責(zé)任人因此受到了嚴(yán)肅處理。

 

泄密隱患分析

上述案例看似很普通,但所反映出的失泄密渠道卻很典型,具有一定的普遍性和代表性,既有主觀上的因素,也有客觀上的不足,主要體現(xiàn)在以下幾個方面。

1.對維修工作的認(rèn)識存在偏差。按照保密法規(guī)要求,維修國家秘密載體,應(yīng)當(dāng)由本機(jī)關(guān)、本單位專門技術(shù)人員負(fù)責(zé)。但當(dāng)保密和日常工作存在沖突時,很多工作人員不能始終把保密作為前提,主要體現(xiàn)在以下幾個方面:一是重工作效率,輕安全保密。很多機(jī)關(guān)部門任務(wù)比較繁重,設(shè)備如果在關(guān)鍵時候出現(xiàn)故障,工作人員往往第一反應(yīng)就是要盡快修好,于是病急亂投醫(yī),通過網(wǎng)絡(luò)、朋友、售后四處尋找維修人員,不能冷靜地聯(lián)系定點維修,直接導(dǎo)致違反保密規(guī)定問題的發(fā)生。二是重維修結(jié)果,輕維修過程。很多工作人員能夠熟練使用信息設(shè)備的各項功能,但對其工作原理了解不深,所以在設(shè)備需要維修時,他們往往只關(guān)注設(shè)備功能是否恢復(fù)良好,而對讓誰維修、如何維修等問題并不關(guān)注,對維修人員的審核把關(guān)不嚴(yán)。三是重數(shù)據(jù)處理設(shè)備,輕辦公自動化設(shè)備。大家對于計算機(jī)等數(shù)據(jù)處理設(shè)備維修,都能夠提高警惕,而對于打印機(jī)等辦公自動化設(shè)備,往往覺得不存在泄密隱患,出現(xiàn)雇人維修的現(xiàn)象,殊不知目前市場上多數(shù)辦公自動化設(shè)備,和普通電腦一樣,硬盤能存儲任何經(jīng)它打印、復(fù)印、掃描、發(fā)送過的文字和圖像等數(shù)據(jù)信息,同樣存在較大的泄密隱患。

2.對維修工作管理不夠嚴(yán)格。按照保密法規(guī)要求,涉密信息設(shè)備維修,應(yīng)當(dāng)指定專人全程監(jiān)督。一些單位在設(shè)備維修過程中沒有很好地落實監(jiān)督人員旁站的要求,究其原因是維修工作管理不夠嚴(yán)格,主要體現(xiàn)在:一是臺賬底數(shù)不清楚。有的單位對涉密信息設(shè)備數(shù)量情況記錄不清楚,標(biāo)識不明顯,在使用、維修、報廢等方面不夠規(guī)范,導(dǎo)致很多涉密信息設(shè)備與普通設(shè)備混在一起,需維修使用時難以快速區(qū)分。二是維修審批不完善。有的單位在信息設(shè)備維修方面雖然制定了嚴(yán)格的審批程序,但實際執(zhí)行中隨意性大,落實不到位,制度形同虛設(shè),特別是旁站人員陪同維修落實不夠。三是維修機(jī)制不健全。有的單位對于信息設(shè)備沒有明確指定維修單位,致使工作人員遇到設(shè)備故障過分迷信品牌售后服務(wù),第一時間不是聯(lián)系單位信息化或保密工作機(jī)構(gòu)加以解決,而是私自聯(lián)系產(chǎn)品售后進(jìn)行處理,導(dǎo)致違規(guī)問題頻發(fā)。

3.維修服務(wù)體系建設(shè)有欠缺。按照保密法規(guī)要求,涉密信息設(shè)備維修,應(yīng)當(dāng)在本單位內(nèi)部進(jìn)行,確需送外維修的,須拆除涉密信息存儲部件。大家對涉密信息設(shè)備送外維修的高風(fēng)險都有一定認(rèn)識,此類案件時有發(fā)生,與當(dāng)前保密技術(shù)服務(wù)體系不完善有較大的關(guān)系。一是市場上信息設(shè)備品牌和種類繁多,設(shè)計功能和原理有較大的差別,而各機(jī)關(guān)單位使用情況又各不相同,很多地區(qū)在布局選點上還有欠缺,構(gòu)建點面結(jié)合的涉密維修維護(hù)網(wǎng)絡(luò)還不能滿足目前的多樣化信息設(shè)備維修需求。二是部分地區(qū)涉密設(shè)備維修工作機(jī)制還不夠健全,在接修、檢測、維修、監(jiān)修和移交等環(huán)節(jié)的工作責(zé)任、工作流程以及服務(wù)標(biāo)準(zhǔn)還不夠規(guī)范,維修維護(hù)質(zhì)量和水平還有待提升。三是維修人員隊伍建設(shè)上相對滯后,普遍存在能力跟不上、流動較快、待遇偏低、投入不足等問題,制約了保密技術(shù)服務(wù)事業(yè)發(fā)展。

 

防范泄密對策

通過分析這些案例發(fā)生的原因,筆者認(rèn)為杜絕信息設(shè)備維修泄密隱患,需要機(jī)關(guān)單位和保密行政管理部門共同努力,重點從以下幾個方面進(jìn)行治理。

1.加強(qiáng)保密教育,提升保密意識。充分利用身邊人、身邊事,講清保密工作的具體要求,展示泄密案件的重大危害,讓全體工作人員,特別是涉密人員時刻牢記保密要求,在維修信息設(shè)備上嚴(yán)格落實相關(guān)保密規(guī)定,堅決克服僥幸心理和圖省事思想,確保各項保密措施覆蓋設(shè)備維修全過程。

2.強(qiáng)化主體責(zé)任,完善保密措施。加強(qiáng)對涉密信息設(shè)備的管理,統(tǒng)一采購、登記、標(biāo)識、配備,做到臺賬完備,底數(shù)清楚,責(zé)任使用人明確;建立完善信息設(shè)備維修使用管理制度,落實“誰使用,誰負(fù)責(zé)”原則,嚴(yán)格履行維修審批登記手續(xù);統(tǒng)籌保密設(shè)備維修管理,在加大構(gòu)建涉密維修維護(hù)網(wǎng)絡(luò)的同時,注重強(qiáng)化保密資質(zhì)(資格)單位的宣傳和相關(guān)技術(shù)合作交流,充分發(fā)揮保密技術(shù)服務(wù)機(jī)構(gòu)主體作用,不斷豐富技術(shù)防護(hù)、技術(shù)檢測、維修維護(hù)等方面的手段和能力。

3.加強(qiáng)監(jiān)督檢查,堵塞泄密隱患。機(jī)關(guān)單位要適時開展自查自評,對涉密信息設(shè)備從購買到報廢全壽命全過程,嚴(yán)格按有關(guān)保密規(guī)定管理;將辦公自動化設(shè)備納入檢查范圍,高度重視涉密信息設(shè)備維修等重要環(huán)節(jié),及時查找存在的泄密隱患,確保保密法規(guī)規(guī)定能夠得到有效的落實。保密行政管理部門要通過常規(guī)檢查、專項檢查等方式,加強(qiáng)對信息設(shè)備使用、維修等違規(guī)問題的查處。

 

(原載于《保密工作》2018年第8期)