載體全過(guò)程管理中的風(fēng)險(xiǎn)研究

何歡

【摘 要】隨著載體使用傳播需求的不斷擴(kuò)大，其安全問(wèn)題也隨之顯現(xiàn)。為提高管理者對(duì)載體使用傳遞過(guò)程中相關(guān)保密安全問(wèn)題的認(rèn)識(shí)，本文在介紹載體從產(chǎn)生至銷毀全過(guò)程可能存在的一些風(fēng)險(xiǎn)問(wèn)題、安全技術(shù)及防護(hù)策略。

【關(guān)鍵詞】載體全過(guò)程；風(fēng)險(xiǎn)；措施

引言

目前最常用于涉密單位的載體類型為紙質(zhì)、光盤、U盤、硬盤等，為使載體從輸出至閉環(huán)過(guò)程中更加安全可控，通過(guò)系統(tǒng)管控實(shí)現(xiàn)載體制作、載體流轉(zhuǎn)、載體外發(fā)、載體留存、載體修復(fù)、載體歸檔、載體回收銷毀的全過(guò)程閉環(huán)管理。進(jìn)而做到載體賬目清晰，操作全程監(jiān)控、數(shù)據(jù)實(shí)時(shí)追溯，然而在載體的全過(guò)程中的各階段仍存在著風(fēng)險(xiǎn)點(diǎn)，針對(duì)載體的每個(gè)階段的風(fēng)險(xiǎn)點(diǎn)進(jìn)行輔助分析預(yù)警，使載體管理的過(guò)程中風(fēng)險(xiǎn)最小化。

一、載體全生命周期管理分層概述

在系統(tǒng)中實(shí)現(xiàn)載體全過(guò)程管理分為四層，分別為業(yè)務(wù)應(yīng)用層、臺(tái)賬數(shù)據(jù)層、分析統(tǒng)計(jì)層、業(yè)務(wù)監(jiān)管層。

應(yīng)用層為載體的各項(xiàng)業(yè)務(wù)應(yīng)用，從載體的制作到閉環(huán)狀態(tài)的所有業(yè)務(wù)應(yīng)用操作，此層的對(duì)象為用戶及（功能）操作管理員，用戶提交操作經(jīng)流程審批完成后管理員進(jìn)行閉環(huán)操作。數(shù)據(jù)層為載體在產(chǎn)生至閉環(huán)過(guò)程中業(yè)務(wù)流程完結(jié)后產(chǎn)生的臺(tái)賬，每一個(gè)業(yè)務(wù)均有對(duì)應(yīng)的操作記錄臺(tái)賬，記錄關(guān)鍵臺(tái)賬信息，將數(shù)據(jù)進(jìn)行匯總呈現(xiàn)，并以報(bào)表形式展示。統(tǒng)計(jì)層是整合了載體不同維度的信息數(shù)據(jù)統(tǒng)計(jì)，可分人員三級(jí)權(quán)限、計(jì)數(shù)維度、時(shí)間維度、應(yīng)用維度進(jìn)行統(tǒng)計(jì)，以表格、柱狀圖、折線圖等方式展示載體相關(guān)各項(xiàng)指標(biāo)，為單位管理層人員全盤掌握載體使用情況，提供分析解析工具。監(jiān)管層為管理者進(jìn)行載體監(jiān)管的依據(jù)，系統(tǒng)中數(shù)據(jù)提取分析之后形成報(bào)表。

二、載體全生命周期管理風(fēng)險(xiǎn)點(diǎn)

經(jīng)本人調(diào)研大多數(shù)載體管理系統(tǒng)的運(yùn)行架構(gòu)都大致相同，就我單位現(xiàn)載體管理情況，進(jìn)行此次的載體管理風(fēng)險(xiǎn)點(diǎn)分析。

（一）載體應(yīng)用管理風(fēng)險(xiǎn)

1.載體在產(chǎn)生過(guò)程需要關(guān)注的是產(chǎn)生密級(jí)的確定性及制作過(guò)程的嚴(yán)密性。

風(fēng)險(xiǎn)問(wèn)題：在沒有電子文檔定密流程輔助下，電子文檔在輸出為載體時(shí)的密級(jí)確定性存在很大隱患，極大可能出現(xiàn)了“高密低出”的情況，而這種情況源于標(biāo)密不準(zhǔn)確、脫密不完全及使用過(guò)程失誤等。

防護(hù)措施：此類情況可通過(guò)電子文檔定密軟件輔助精確定密、加強(qiáng)載體制作過(guò)程審批及加強(qiáng)載體輸出審計(jì)等方法處理；確保制作過(guò)程的嚴(yán)密性，必須載體制作審批手續(xù)齊全，制作過(guò)程臺(tái)賬狀態(tài)信息完善及時(shí)準(zhǔn)確。

2.載體在流動(dòng)過(guò)程是在全過(guò)程中存在較高風(fēng)險(xiǎn)的環(huán)節(jié)，載體的流動(dòng)時(shí)狀態(tài)更新的及時(shí)性很重要，用于追溯載體的去向及所屬人。

風(fēng)險(xiǎn)問(wèn)題：載體流動(dòng)分為內(nèi)部移交及外送，內(nèi)部移交是載體的所屬人發(fā)生變更，為減少載體在借用過(guò)程中的不可控因素，以載體狀態(tài)及所屬人為準(zhǔn)，及時(shí)變更載體所屬人可控制內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)。

防護(hù)措施：載體的外送在實(shí)際應(yīng)用中又會(huì)有有多種情況，為載體外送、載體外出使用、載體機(jī)要外送等。不同類型的使用方式，對(duì)應(yīng)不同的管控措施。載體外送是將單位內(nèi)產(chǎn)生的載體通過(guò)審批手續(xù)后移交予本單位外單位及人員，載體所屬人則變更成本單位外人員，責(zé)任人單位也變成外接收單位，在這種流轉(zhuǎn)的過(guò)程中的要求載體的出入單位的手續(xù)及接收單位及接收人的交接手續(xù)必須完整有效。外出使用的載體同樣需要出所手續(xù)，因不進(jìn)行交付則沒有交接手續(xù)，涉密載體外送過(guò)程中在攜帶人從攜帶載體出單位到使用完成回到單位這過(guò)程中，控制載體的知悉范圍及避免載體遺失為此階段的風(fēng)險(xiǎn)點(diǎn)，在此過(guò)程中載體的管理尤為重要，要求攜帶人對(duì)涉密載體做好嚴(yán)密的保密管理工作，目前采用封裝式的的管理方法來(lái)降低涉密載體知悉范圍及泄密幾率。

3.載體歸檔過(guò)程中是否做到的完整性及一致性。

風(fēng)險(xiǎn)問(wèn)題：基于載體管理系統(tǒng)與檔案管理系統(tǒng)的系統(tǒng)集成及信息的讀取，檔案管理員需謹(jǐn)慎核對(duì)將要進(jìn)行歸檔的文件，要素項(xiàng)如文件名、編號(hào)、密級(jí)、份數(shù)、頁(yè)數(shù)、所屬人等信息，檔案管理員接收文件時(shí)應(yīng)當(dāng)確保歸檔文件要素準(zhǔn)確無(wú)誤，避免歸檔后文件要素缺失。

防護(hù)措施：在載體管理過(guò)程中“頁(yè)”管理的感念被逐漸模糊，為融入實(shí)際工作并保持文件完整性及去向、狀態(tài)統(tǒng)一性，載體插換頁(yè)管理是精細(xì)到文件“頁(yè)”的管理，只針對(duì)于紙質(zhì)載體文件。工作中經(jīng)常出現(xiàn)多份文件間互相交換頁(yè)或者追加頁(yè)的情況，插換頁(yè)功能是必不可少的一項(xiàng)管理功能。

4.載體的回收與銷毀中過(guò)程是否安全保密。

風(fēng)險(xiǎn)問(wèn)題：大多數(shù)載體已直接銷毀的方式完成載體管理全過(guò)程，少數(shù)單位先對(duì)載體進(jìn)行定點(diǎn)回收再集中運(yùn)往銷毀中心銷毀。兩種方式各有利弊，直接銷毀的方式風(fēng)險(xiǎn)點(diǎn)在于載體銷毀不完全存在再次收集使用的風(fēng)險(xiǎn)幾率，定點(diǎn)回收再集中在銷毀風(fēng)險(xiǎn)點(diǎn)在于因是完整載體集中存放，必須保證其部門部位管理嚴(yán)謹(jǐn)，加大了管理難度，并且在運(yùn)往銷毀中心的過(guò)程中載體的保密安全仍不完全可控。

防護(hù)措施：相對(duì)比來(lái)說(shuō)，使用機(jī)密級(jí)銷毀設(shè)備對(duì)載體進(jìn)行精細(xì)銷毀再以碎屑的形態(tài)運(yùn)輸銷毀中心目前為最佳的方式。

（二）載體數(shù)據(jù)統(tǒng)計(jì)及監(jiān)管管理風(fēng)險(xiǎn)

系統(tǒng)中所有業(yè)務(wù)數(shù)據(jù)均由業(yè)務(wù)流程中產(chǎn)生，對(duì)多個(gè)業(yè)務(wù)數(shù)據(jù)提供分類，形成對(duì)應(yīng)的操作臺(tái)賬數(shù)據(jù)表，用于相關(guān)數(shù)據(jù)的多入口多維度追溯查詢。不同業(yè)務(wù)臺(tái)賬中關(guān)注的要素點(diǎn)不同，不同維度對(duì)數(shù)據(jù)進(jìn)行分析對(duì)比。

風(fēng)險(xiǎn)評(píng)估基于數(shù)據(jù)要點(diǎn)，同時(shí)需要充分考慮要點(diǎn)相關(guān)的各類屬性，找出數(shù)據(jù)關(guān)注點(diǎn)，對(duì)關(guān)注點(diǎn)進(jìn)行頻數(shù)分布比較統(tǒng)計(jì)分析，并以圖表方式展現(xiàn)。

風(fēng)險(xiǎn)的計(jì)算可通過(guò)定量及定性計(jì)算，根據(jù)定義公式來(lái)判定出風(fēng)險(xiǎn)值，并對(duì)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行分級(jí)處理，每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。

載體全生命周期查詢用于數(shù)據(jù)的歷史追溯，可查看載體的歷史發(fā)生事件及狀態(tài)轉(zhuǎn)換，確保文件的狀態(tài)準(zhǔn)確性。

作業(yè)審計(jì)管理是載體管理必不可少的一環(huán)節(jié)，面對(duì)龐大的作業(yè)數(shù)量怎樣有效的進(jìn)行審計(jì)，并查找出問(wèn)題目標(biāo)，可以通過(guò)“現(xiàn)象”看到“本質(zhì)”，現(xiàn)象就是所謂的問(wèn)題數(shù)據(jù)群，在所有數(shù)據(jù)中篩選出具有特殊屬性的數(shù)據(jù)群集，在群集中抽樣審計(jì)，看到“本質(zhì)”問(wèn)題所在，從而提升審計(jì)效率。

三、結(jié)語(yǔ)

在涉密載體管理實(shí)際工作中，載體輸出、流轉(zhuǎn)、存放、銷毀過(guò)程遇到過(guò)各種特殊問(wèn)題，而管理者需要“對(duì)癥下藥”，針對(duì)重點(diǎn)難點(diǎn)問(wèn)題制定特色管理策略及方法。通過(guò)對(duì)涉密載體的日常管理，積累經(jīng)驗(yàn)總結(jié)出有效的管理措施。