政府門戶網(wǎng)站失泄密分析及對策

楊德保

摘 要：本文分析了目前政府門戶網(wǎng)站信息公開導致的失泄密原因和保密漏洞等安全隱患，并提出了相應的安全對策。

關鍵詞：門戶網(wǎng)站；信息公開；失密；泄密；保密；物理隔離；邏輯隔離

1 引言

近年來我國政府部門信息化建設取得了長足的發(fā)展，各級政府相繼建成了自己的門戶網(wǎng)站，行政許可事項多數(shù)上網(wǎng)。據(jù)工業(yè)和信息化部統(tǒng)計數(shù)據(jù)，中央部委政府網(wǎng)站的普及率達到96.1%，省市政府網(wǎng)站普及率達到100%，地市級政府網(wǎng)站普及率達到99.1%?！笆髽溯p輕一點，信息就在眼前”的格局已悄然出現(xiàn)。政府門戶網(wǎng)站由于其信息公開發(fā)布及時、輻射范圍廣泛、獲取便捷、信息完整等，深受百姓的廣泛認同，受到良好的社會服務效果，必將繼續(xù)成為政府信息公開的主導方式。與此同時，在政府信息公開為民服務工作中，違反有關保密審查規(guī)定和信息安全制度，從而導致信息失密和泄密的問題時有發(fā)生，并且呈上升趨勢，產生了不良的社會后果。本文結合自己長期從事信息安全和保密工作的切身體會，介紹了政府門戶網(wǎng)站結構，分析了政府信息公開中的失密和泄密問題，并提出了相應的安全保密對策。

2 失泄密隱患

總的來說，政府信息公開導致失泄密的隱患主要是保密審查制度在一些地方和部門存在職責不清，責任不明的問題，信息公開與保密審查脫節(jié)的現(xiàn)象比較嚴重。有的地方和部門甚至把信息公開當作是為了更新或充實網(wǎng)站內容的需要等。具體來說，主要有以下幾個方面問題。

2.1 沒有嚴格執(zhí)行保密審查程序

⑴少數(shù)單位和部門在信息公開時沒有保密審查導致信息失泄密。有些單位或部門為充實和更新網(wǎng)站內容，直接從文印室批量拷貝有關文件，不進行秘級分類，也不遵守先審查后發(fā)布的正規(guī)流程，而是邊發(fā)布邊審查，致使大量涉密文件刊登在網(wǎng)站上，造成信息的失泄密。有的政府部門利用互聯(lián)網(wǎng)站辦公，不經(jīng)保密審查，直接將工作動態(tài)、請示報告等涉密文件刊登在網(wǎng)站上，造成失泄密。還有少數(shù)政府部門為了豐富門戶網(wǎng)站內容，將內部使用的匯編文件，集中在網(wǎng)站上發(fā)布，導致匯編文件中含有的涉密文件泄露。

⑵轉載其他單位文件或內部刊物資料時不經(jīng)保密審查造成失泄密。如某政府部門網(wǎng)站為了擴大網(wǎng)站信息量，通過網(wǎng)絡下載工具從其他網(wǎng)站上下載了大量文件資料，不經(jīng)領導和相關人員進行保密審查，致使其中含有的涉密文件刊登在政府門戶網(wǎng)站上，造成失泄密。再如某政府部門網(wǎng)站，將涉密刊物上刊登的有關文件，不經(jīng)保密審查，直接在網(wǎng)站上予以發(fā)布，造成失泄密。

2.2 保密審查存在漏洞

⑴只審查文件首頁有無密級標識不審查文件全文。如某政府部門網(wǎng)站信息管理員在刊登信息時，只審查文件首頁有無國家秘密標識，致使一份在第二頁標識國家秘密的文件被刊登在網(wǎng)站上，造成泄密。

⑵只審查文件正文不審查附件。如某政府部門網(wǎng)站信息管理員在刊登信息時，僅對文件正文進行了審查，沒有發(fā)現(xiàn)文件附件屬于涉密內容，而把正文連同附件一并刊登在網(wǎng)站上，造成泄密。

⑶只審查文件出處不審查文件內容。如某政府部門網(wǎng)站信息管理員將該部門需要信息公開的文件在政府網(wǎng)站上進行公開時，認為文件沒有標密，便可以公開。但由于在匯編業(yè)務文件時，存在違規(guī)收錄涉密文件的情況，致使有關涉密文件被刊登在網(wǎng)站上，造成泄密。

2.3 涉密文件資料管理存在漏洞

⑴少數(shù)政府部門在與連接互聯(lián)網(wǎng)的OA系統(tǒng)上處理涉密信息。如某政府部門有關人員錯誤認為連接互聯(lián)網(wǎng)時采取防火墻、密碼登錄等方式可以避免公眾瀏覽內部網(wǎng)絡，而在OA系統(tǒng)中刊登大量涉密信息，結果OA系統(tǒng)防護被攻破，造成涉密的待信息公開文件早已泄露。

⑵是少數(shù)政府部門擅自向網(wǎng)站制作單位提供涉密信息。如某政府部門在開發(fā)部門網(wǎng)站時，未經(jīng)保密審查，將本單位一些涉密的工作簡報提供給網(wǎng)站制作公司用于網(wǎng)站調試，該公司在調試過程中將有關簡報直接刊登在網(wǎng)站上造成泄密。

2.4 信息公開有關人員缺乏保密意識

目前政府機關工作人員基本上是人手一臺計算機，由于大部分人員未經(jīng)系統(tǒng)的計算機和網(wǎng)絡專業(yè)培訓，對信息化條件下保密管理知識嚴重匱乏，計算機網(wǎng)絡信息保密防范能力低下。主要表現(xiàn)如下：

⑴是少數(shù)政府網(wǎng)站信息管理員缺乏保密意識。如某政府網(wǎng)站信息管理員為了增加信息公開數(shù)量，擅自刪除涉密文件的國家秘密標識，并刊登在網(wǎng)站上，造成泄密。再如某政府網(wǎng)站信息管理員對Excel表格不熟悉，沒有看到首頁上的國家秘密標識，又不向其他同志求教，擅自將文件刊登在網(wǎng)站上，造成泄密。

⑵少數(shù)政府部門信息公開保密審查人員缺乏保密意識。如某政府部門信息公開保密審查人員告知網(wǎng)站信息管理員，除會議紀要、請示報告不能發(fā)布在網(wǎng)站上，其他都能公開，結果網(wǎng)站信息管理員將數(shù)份涉密文件及領導涉密講話公開發(fā)布在門戶網(wǎng)站上，造成泄密。

⑶政府部門工作人員缺乏網(wǎng)絡信息化基本知識，造成過失泄密。目前有部分黨政機關工作人員對信息技術、網(wǎng)絡技術、計算機技術接觸不多，對高新技術條件下的保密形勢認識較浮淺，沒有從思想上形成主動防御的意識，并且防范能力和電子政務保密要求也有很大的距離，因而造成了失泄密。

2.5 網(wǎng)絡信息系統(tǒng)管理漏洞

⑴網(wǎng)絡安全漏洞。目前政府部門內部一般建有政務內網(wǎng)、政務專網(wǎng)、政務外網(wǎng)、門戶網(wǎng)。政務內網(wǎng)是涉密的機關辦公業(yè)務網(wǎng)絡，與國際互聯(lián)網(wǎng)物理隔離，在滿足工作需求的前提下，覆蓋范圍盡可能少；政務專網(wǎng)是非涉密內部辦公網(wǎng)，主要用于機關非涉密公文、信息的傳遞和業(yè)務流轉，它與外網(wǎng)之間不是通過傳統(tǒng)的防火墻來隔離，而是通過網(wǎng)閘隔離，具有較高的安全性；政務外網(wǎng)是政府對外服務的業(yè)務專網(wǎng)，與國際互聯(lián)網(wǎng)通過防火墻邏輯隔離，主要用于機關發(fā)布政府公開信息，受理、反饋等；政府門戶網(wǎng)是各級政府機關面向社會開展服務的電子政務窗口，推進政務公開，擴大服務范圍和對外宣傳，開展政府與公眾的溝通和交流，是政府信息服務的樞紐和接受社會監(jiān)督的窗口，與國際互聯(lián)網(wǎng)邏輯隔離，其主要作用是對外發(fā)布政務信息。有少數(shù)政府機關沒有嚴格按照要求進行網(wǎng)絡隔離，這就帶來了嚴重的網(wǎng)絡信息安全漏洞。

⑵涉密機管理漏洞。根據(jù)保密法涉密機必須與互聯(lián)網(wǎng)進行嚴格理隔離。許多單位涉密機也加有隔離卡，但是為了工作方便，不是采用切電重啟轉換，而是采用系統(tǒng)休眠或其它方式進行切換，其實這只是電子隔離，并非是物理隔離；還有些工作人員下班不關機，導致計算機長期開機；或者關機沒有切斷插座電源的不良習慣等，黑客完全可以通過遠程啟動登錄進入你的計算機，極有可能造成大量信息的非法竊取，這些都給信息泄密帶來極大的安全隱患。

⑶網(wǎng)站制作、改版更新的善后善后工作處理不到位。目前政府部門的門戶網(wǎng)站的制作、改版更新等多數(shù)是采用服務外包的形式，只注重開始，不注重善后工作的處理。往往在開始階段抓的比較緊，制作過程中多數(shù)采用是邊調試邊使用的方式。不少政府部門在網(wǎng)站制作或更新改版任務完成后，沒有關及時閉協(xié)作單位人員的入口，這就為網(wǎng)站信息的非法篡改、刪除等提供了方便之門。

3 政府機關門戶網(wǎng)站信息安全保密對策

針對上述問題，為確保政府門戶網(wǎng)站信息安全，一要加強網(wǎng)站自身管理；二要抓好信息公開中的保密審查，具體應從以下幾個方面著手。

3.1 建立門戶網(wǎng)站網(wǎng)絡信息保密管理長效機制

“三分技術，七分管理”。各級機關門戶網(wǎng)站要建立健全安全保密管理機構和保密管理長效機制，配備專職專業(yè)的網(wǎng)站網(wǎng)絡信息安全保密管理人員。與有關涉密人員和協(xié)作單位簽訂保密責任書，嚴格管理信息發(fā)布人員權限。人員管理中，涉密人員、臨時聘用人員和服務外包人員是重中之重。經(jīng)常性地開展安全保密形勢教育，宣傳和貫徹保密法規(guī)政策，增強安全保密意識。同時業(yè)務部門要利用各種渠道對保密管理人員進行保密法規(guī)、國家保密標準專業(yè)知識的培訓，增強其安全保密管理能力，提高安全保密業(yè)務工作水平。同時，要建立完善自查自糾機制，提高自查能力，以查促管，及時發(fā)現(xiàn)和解決失泄密隱患。

3.2 是在保密審查主體方面，要堅持“誰公開、誰負責、誰審核”的原則，嚴格落實保密審核責任制

政府網(wǎng)站由于業(yè)務多，信息公開數(shù)量大、情況復雜等特點，應當堅持誰提供公開的信息，就由誰負責對該信息進行保密審查，并對公開的信息不涉密負責的原則。要嚴格上網(wǎng)信息和保密審查制度的記錄，并建立詳細的登記臺帳，明確責任到人頭，確保涉密信息不上網(wǎng)。

3.3 是嚴格落實“涉密不上網(wǎng)，上網(wǎng)不涉密”的規(guī)定

堅持涉密信息網(wǎng)絡與外網(wǎng)物理隔離；在與互聯(lián)網(wǎng)連接的物理設備上，不存儲、處理、傳遞涉密信息；

3.4 是加強有效監(jiān)督

加強對上網(wǎng)信息的保密檢查，發(fā)現(xiàn)涉密信息及時采取糾正措施，查清泄密渠道和原因。

3.5 嚴格落實保密審查責任

要嚴格按照《政府信息公開條例》規(guī)定的政府信息發(fā)布保密審查機制的責任追究，對有關網(wǎng)站信息公開中失泄密事件責任人作出嚴肅處理，以起到警示作用，產生一人受處分，大多數(shù)人受教育的效果，以遏制政府網(wǎng)站信息公開泄密的高發(fā)勢頭。

4 結語

政府門戶網(wǎng)站信息安全保密是一項長期性的工作，保密工作必須實施全程管理，對任何細節(jié)的放松都有可能導致前功盡棄。要做到這一點，就必須不斷完善和細化保密審查工作制度、工作程序、工作規(guī)范和工作要求，嚴格遵守保密審查制度。我們要站在國家安全的高度，牢固樹立保密就是保自己，涉密就要掉腦袋的保密觀。堅決克服那種認為政務公開，無密可保；以及將信息公開與信息保密完全對立起來錯誤觀念。要根據(jù)國家信息化領導小組提出的“堅持積極防御，綜合防范”的方針，既要毫不動搖地倡導政府信息的充分公開，同時也要確保政府信息的安全保密。保密審查就是一道安全閥，猶如只有安全閥最好的車才能跑得最快、最穩(wěn)，只有將秘密信息保住守好，信息公開才能健康平穩(wěn)推進。

[參考文獻]

[1]吳世忠，等，編著.信息安全技術.機械工業(yè)出版社.2014.

[2]本社，著.中華人民共和國保守國家秘密法.金城出版社.2012.

[3]王宇，閻慧，編著.信息安全保密技術.國防工業(yè)出版社.2010.

[4]本社，著.計算機及辦公自動化設備管理保密須知.金城出版社.2012.

[5]青平，蔣若莘，著.信息安全保密問題與應對.金城出版社.2013.

[6]本社，著.泄密就在身邊.金城出版社.2012.

[7]本書編寫組，編.黨政機關工作人員保密須知.金城出版社.2009.