何歡
【摘 要】隨著載體使用傳播需求的不斷擴(kuò)大,其安全問(wèn)題也隨之顯現(xiàn)。為提高管理者對(duì)載體使用傳遞過(guò)程中相關(guān)保密安全問(wèn)題的認(rèn)識(shí),本文在介紹載體從產(chǎn)生至銷毀全過(guò)程可能存在的一些風(fēng)險(xiǎn)問(wèn)題、安全技術(shù)及防護(hù)策略。
【關(guān)鍵詞】載體全過(guò)程;風(fēng)險(xiǎn);措施
引言
目前最常用于涉密單位的載體類型為紙質(zhì)、光盤、U盤、硬盤等,為使載體從輸出至閉環(huán)過(guò)程中更加安全可控,通過(guò)系統(tǒng)管控實(shí)現(xiàn)載體制作、載體流轉(zhuǎn)、載體外發(fā)、載體留存、載體修復(fù)、載體歸檔、載體回收銷毀的全過(guò)程閉環(huán)管理。進(jìn)而做到載體賬目清晰,操作全程監(jiān)控、數(shù)據(jù)實(shí)時(shí)追溯,然而在載體的全過(guò)程中的各階段仍存在著風(fēng)險(xiǎn)點(diǎn),針對(duì)載體的每個(gè)階段的風(fēng)險(xiǎn)點(diǎn)進(jìn)行輔助分析預(yù)警,使載體管理的過(guò)程中風(fēng)險(xiǎn)最小化。
一、載體全生命周期管理分層概述
在系統(tǒng)中實(shí)現(xiàn)載體全過(guò)程管理分為四層,分別為業(yè)務(wù)應(yīng)用層、臺(tái)賬數(shù)據(jù)層、分析統(tǒng)計(jì)層、業(yè)務(wù)監(jiān)管層。
應(yīng)用層為載體的各項(xiàng)業(yè)務(wù)應(yīng)用,從載體的制作到閉環(huán)狀態(tài)的所有業(yè)務(wù)應(yīng)用操作,此層的對(duì)象為用戶及(功能)操作管理員,用戶提交操作經(jīng)流程審批完成后管理員進(jìn)行閉環(huán)操作。數(shù)據(jù)層為載體在產(chǎn)生至閉環(huán)過(guò)程中業(yè)務(wù)流程完結(jié)后產(chǎn)生的臺(tái)賬,每一個(gè)業(yè)務(wù)均有對(duì)應(yīng)的操作記錄臺(tái)賬,記錄關(guān)鍵臺(tái)賬信息,將數(shù)據(jù)進(jìn)行匯總呈現(xiàn),并以報(bào)表形式展示。統(tǒng)計(jì)層是整合了載體不同維度的信息數(shù)據(jù)統(tǒng)計(jì),可分人員三級(jí)權(quán)限、計(jì)數(shù)維度、時(shí)間維度、應(yīng)用維度進(jìn)行統(tǒng)計(jì),以表格、柱狀圖、折線圖等方式展示載體相關(guān)各項(xiàng)指標(biāo),為單位管理層人員全盤掌握載體使用情況,提供分析解析工具。監(jiān)管層為管理者進(jìn)行載體監(jiān)管的依據(jù),系統(tǒng)中數(shù)據(jù)提取分析之后形成報(bào)表。
二、載體全生命周期管理風(fēng)險(xiǎn)點(diǎn)
經(jīng)本人調(diào)研大多數(shù)載體管理系統(tǒng)的運(yùn)行架構(gòu)都大致相同,就我單位現(xiàn)載體管理情況,進(jìn)行此次的載體管理風(fēng)險(xiǎn)點(diǎn)分析。
(一)載體應(yīng)用管理風(fēng)險(xiǎn)
1.載體在產(chǎn)生過(guò)程需要關(guān)注的是產(chǎn)生密級(jí)的確定性及制作過(guò)程的嚴(yán)密性。
風(fēng)險(xiǎn)問(wèn)題:在沒有電子文檔定密流程輔助下,電子文檔在輸出為載體時(shí)的密級(jí)確定性存在很大隱患,極大可能出現(xiàn)了“高密低出”的情況,而這種情況源于標(biāo)密不準(zhǔn)確、脫密不完全及使用過(guò)程失誤等。
防護(hù)措施:此類情況可通過(guò)電子文檔定密軟件輔助精確定密、加強(qiáng)載體制作過(guò)程審批及加強(qiáng)載體輸出審計(jì)等方法處理;確保制作過(guò)程的嚴(yán)密性,必須載體制作審批手續(xù)齊全,制作過(guò)程臺(tái)賬狀態(tài)信息完善及時(shí)準(zhǔn)確。
2.載體在流動(dòng)過(guò)程是在全過(guò)程中存在較高風(fēng)險(xiǎn)的環(huán)節(jié),載體的流動(dòng)時(shí)狀態(tài)更新的及時(shí)性很重要,用于追溯載體的去向及所屬人。
風(fēng)險(xiǎn)問(wèn)題:載體流動(dòng)分為內(nèi)部移交及外送,內(nèi)部移交是載體的所屬人發(fā)生變更,為減少載體在借用過(guò)程中的不可控因素,以載體狀態(tài)及所屬人為準(zhǔn),及時(shí)變更載體所屬人可控制內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)。
防護(hù)措施:載體的外送在實(shí)際應(yīng)用中又會(huì)有有多種情況,為載體外送、載體外出使用、載體機(jī)要外送等。不同類型的使用方式,對(duì)應(yīng)不同的管控措施。載體外送是將單位內(nèi)產(chǎn)生的載體通過(guò)審批手續(xù)后移交予本單位外單位及人員,載體所屬人則變更成本單位外人員,責(zé)任人單位也變成外接收單位,在這種流轉(zhuǎn)的過(guò)程中的要求載體的出入單位的手續(xù)及接收單位及接收人的交接手續(xù)必須完整有效。外出使用的載體同樣需要出所手續(xù),因不進(jìn)行交付則沒有交接手續(xù),涉密載體外送過(guò)程中在攜帶人從攜帶載體出單位到使用完成回到單位這過(guò)程中,控制載體的知悉范圍及避免載體遺失為此階段的風(fēng)險(xiǎn)點(diǎn),在此過(guò)程中載體的管理尤為重要,要求攜帶人對(duì)涉密載體做好嚴(yán)密的保密管理工作,目前采用封裝式的的管理方法來(lái)降低涉密載體知悉范圍及泄密幾率。
3.載體歸檔過(guò)程中是否做到的完整性及一致性。
風(fēng)險(xiǎn)問(wèn)題:基于載體管理系統(tǒng)與檔案管理系統(tǒng)的系統(tǒng)集成及信息的讀取,檔案管理員需謹(jǐn)慎核對(duì)將要進(jìn)行歸檔的文件,要素項(xiàng)如文件名、編號(hào)、密級(jí)、份數(shù)、頁(yè)數(shù)、所屬人等信息,檔案管理員接收文件時(shí)應(yīng)當(dāng)確保歸檔文件要素準(zhǔn)確無(wú)誤,避免歸檔后文件要素缺失。
防護(hù)措施:在載體管理過(guò)程中“頁(yè)”管理的感念被逐漸模糊,為融入實(shí)際工作并保持文件完整性及去向、狀態(tài)統(tǒng)一性,載體插換頁(yè)管理是精細(xì)到文件“頁(yè)”的管理,只針對(duì)于紙質(zhì)載體文件。工作中經(jīng)常出現(xiàn)多份文件間互相交換頁(yè)或者追加頁(yè)的情況,插換頁(yè)功能是必不可少的一項(xiàng)管理功能。
4.載體的回收與銷毀中過(guò)程是否安全保密。
風(fēng)險(xiǎn)問(wèn)題:大多數(shù)載體已直接銷毀的方式完成載體管理全過(guò)程,少數(shù)單位先對(duì)載體進(jìn)行定點(diǎn)回收再集中運(yùn)往銷毀中心銷毀。兩種方式各有利弊,直接銷毀的方式風(fēng)險(xiǎn)點(diǎn)在于載體銷毀不完全存在再次收集使用的風(fēng)險(xiǎn)幾率,定點(diǎn)回收再集中在銷毀風(fēng)險(xiǎn)點(diǎn)在于因是完整載體集中存放,必須保證其部門部位管理嚴(yán)謹(jǐn),加大了管理難度,并且在運(yùn)往銷毀中心的過(guò)程中載體的保密安全仍不完全可控。
防護(hù)措施:相對(duì)比來(lái)說(shuō),使用機(jī)密級(jí)銷毀設(shè)備對(duì)載體進(jìn)行精細(xì)銷毀再以碎屑的形態(tài)運(yùn)輸銷毀中心目前為最佳的方式。
(二)載體數(shù)據(jù)統(tǒng)計(jì)及監(jiān)管管理風(fēng)險(xiǎn)
系統(tǒng)中所有業(yè)務(wù)數(shù)據(jù)均由業(yè)務(wù)流程中產(chǎn)生,對(duì)多個(gè)業(yè)務(wù)數(shù)據(jù)提供分類,形成對(duì)應(yīng)的操作臺(tái)賬數(shù)據(jù)表,用于相關(guān)數(shù)據(jù)的多入口多維度追溯查詢。不同業(yè)務(wù)臺(tái)賬中關(guān)注的要素點(diǎn)不同,不同維度對(duì)數(shù)據(jù)進(jìn)行分析對(duì)比。
風(fēng)險(xiǎn)評(píng)估基于數(shù)據(jù)要點(diǎn),同時(shí)需要充分考慮要點(diǎn)相關(guān)的各類屬性,找出數(shù)據(jù)關(guān)注點(diǎn),對(duì)關(guān)注點(diǎn)進(jìn)行頻數(shù)分布比較統(tǒng)計(jì)分析,并以圖表方式展現(xiàn)。
風(fēng)險(xiǎn)的計(jì)算可通過(guò)定量及定性計(jì)算,根據(jù)定義公式來(lái)判定出風(fēng)險(xiǎn)值,并對(duì)風(fēng)險(xiǎn)值的分布狀況,為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍,并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行分級(jí)處理,每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。
載體全生命周期查詢用于數(shù)據(jù)的歷史追溯,可查看載體的歷史發(fā)生事件及狀態(tài)轉(zhuǎn)換,確保文件的狀態(tài)準(zhǔn)確性。
作業(yè)審計(jì)管理是載體管理必不可少的一環(huán)節(jié),面對(duì)龐大的作業(yè)數(shù)量怎樣有效的進(jìn)行審計(jì),并查找出問(wèn)題目標(biāo),可以通過(guò)“現(xiàn)象”看到“本質(zhì)”,現(xiàn)象就是所謂的問(wèn)題數(shù)據(jù)群,在所有數(shù)據(jù)中篩選出具有特殊屬性的數(shù)據(jù)群集,在群集中抽樣審計(jì),看到“本質(zhì)”問(wèn)題所在,從而提升審計(jì)效率。
三、結(jié)語(yǔ)
在涉密載體管理實(shí)際工作中,載體輸出、流轉(zhuǎn)、存放、銷毀過(guò)程遇到過(guò)各種特殊問(wèn)題,而管理者需要“對(duì)癥下藥”,針對(duì)重點(diǎn)難點(diǎn)問(wèn)題制定特色管理策略及方法。通過(guò)對(duì)涉密載體的日常管理,積累經(jīng)驗(yàn)總結(jié)出有效的管理措施。