新時期完善信息安全保密管理的策略

殷帥虎 榮志剛

摘要：目前，信息化背景下高科技竊密的形勢非常嚴峻，應對這種形勢，必須加強保密科技工作，重點是加強自主創(chuàng)新能力，全面掌握計算機網(wǎng)絡中關鍵核心技術，研發(fā)出具有自主知識產(chǎn)權、先進的、實用穩(wěn)定的保密科技產(chǎn)品，推廣應用到我國信息系統(tǒng)和網(wǎng)絡的各個領域和環(huán)節(jié)。同時要加強制度建設，把信息安全保密工作管理帶上法制化軌道，依法辦事、依法管理，不斷提高信息安全管理的權威性和規(guī)范性。

關鍵詞：信息安全 保密管理 網(wǎng)絡時代

一、加強涉密計算機信息系統(tǒng)的技術防護

互聯(lián)網(wǎng)的安全脆弱性是與生俱來的，目前沒有絕對安全可靠的防護技術。因此，確保企業(yè)秘密絕對安全最有效的辦法就是將各種涉密信息系統(tǒng)、涉密計算機和涉密存儲設備，與互聯(lián)網(wǎng)、固定電話網(wǎng)、移動通信網(wǎng)、廣播電視網(wǎng)及未采取保密措施的專用通信網(wǎng)，實行嚴格的物理隔離，既不能直接連接，也不能間接連接：既不能通過有線連接，也不能通過無線連接，實現(xiàn)涉密信息與非涉密網(wǎng)絡的絕對隔離，有效保護秘密源頭，切斷泄密途徑。

通過在計算機系統(tǒng)中安裝管控軟件和配置相應的安全策略，用技術手段防范網(wǎng)絡泄密。安裝違規(guī)外聯(lián)管控軟件，指定接入網(wǎng)絡的設備的MAC地址，一旦有未知外來設備接入涉密網(wǎng)絡，管控軟件將自動進行攔截，并發(fā)出警報。使用身份鑒別技術，可以控制系統(tǒng)的訪問用戶。涉密人員通過自己的賬戶和密碼或USB Key、磁卡、指紋等方式，進入信息系統(tǒng)，沒有注冊的非法用戶則無法訪問。權限控制軟件可以劃分合法用戶的訪問權限，包括對數(shù)據(jù)的訪問權限、操作權限和維護權限，并且對每種權限針對具體用戶劃分等級，對于一個文件哪些用戶可以看到，哪些用戶可以進行改寫，哪些用戶可以拷貝打印，通過劃分權限防止系統(tǒng)的合法用戶越權操作，做到最小化涉密信息的知悉范圍追蹤審計軟件可以記錄涉密信 息系統(tǒng)所有合法用戶及非法闖入者在系統(tǒng)中進行的操作的詳細過程，包括訪問時間，訪問地點和訪問的數(shù)據(jù)、程序、IP地址等。安裝了軟件，一旦發(fā)生系統(tǒng)安全問題，可以提取記錄，査找原因，打擊網(wǎng)絡侵犯行為。

二、大力開展信息安全宣傳教育工作

信息安全保密工作能否做好很多程度上取決于涉密人員的保密意識。如果涉密人員保密意識強，則各項保密規(guī)章制度就能很好的落實下去，保密工作的開展就能做到事半功倍；如果涉密人員保密意識淡薄，再完善的保密制度都也只能是掛在墻上，寫在紙上，保密管理將很難推行下去。提高涉密人員保密意識的關鍵則是大力開展保密宣傳教育工作。

保密宣傳教育的內(nèi)容要廣泛，既要宣傳當前信息安全保密工作的嚴峻形勢，又要包括法律政策，IT技能等方面的培訓。開展保密形勢教育是讓所有的涉密人員認清當前的國內(nèi)外環(huán)境的嚴峻形勢，增強保護國家秘密的責任感和緊迫感。由于我國長期處于和平環(huán)境，幾十年一直以經(jīng)濟建設為中心，很多人認為天下太平已經(jīng)無秘密需要保護。尤其是基層員工平時接觸到關于安危大局的資料文件很少，保密意識很淡薄，保密管理也比較混亂，通過開展保密形勢教育，講解我國信息安全保密工作的嚴峻形勢，國際網(wǎng)絡攻擊的猖撅，策反滲透的猛烈攻勢，使大家認識到安全保密這場沒有硝煙的戰(zhàn)爭從未停止過，并且隨著中國國際地位的提升愈演愈烈，信息安全保密工作雖不是中心工作，卻事關大局，從而增加公務人員保守國家秘密的自覺性，加強自身的責任感、使命感。開展保密形勢教育時加入警示案例的內(nèi)容會讓涉密人員感受更深切。傳統(tǒng)的宣傳形式要繼續(xù)發(fā)揚，定期組織信息安全涉密人員開會學習文件，參觀失泄密案件巡展、觀看警示教育片、請保密方面的專家講解授課，保密技術現(xiàn)場演示、失泄密事件現(xiàn)場演戲等這些形式都很好地宣傳了保密知識提升了受教育者的保密意識。開展征文、演講、知識競賽、文藝演出、書畫征集等多種形勢，通俗易懂，能夠在寓教于樂中起到宣傳信息安全保密知識的目的。

三、完善細化各項信息安全管理規(guī)章制度

信息安全工作的第一步就是定密。只有把密定準了，后續(xù)的工作開展的才有意義，才能做到既保障了國家的利益又保障了民眾的知情權?！墙⑼晟贫茇熑稳酥贫?。有定密權限的機關、單位應該指定一名人員負責定密的工作，其他人無權定密。選擇的定密責任人應當熟悉信息安全的保密規(guī)章制度、以及本企業(yè)的業(yè)務、保密工作的重點，了解產(chǎn)生企業(yè)秘密的部門，同時必須熟悉本行業(yè)的國家公布的定密范圍和標準。定密責任人制度借鑒了國外的定密的制度，明確定密責任人可以明確責任，減少隨意定密、胡亂定密的現(xiàn)象。二是嚴格定密工作程序，要有嚴格的審批程序，不能隨便定密。如果要確定企業(yè)秘密，首先應當由發(fā)起人對照企業(yè)秘密事項范圍提出具體意見并向本單位定密責任人發(fā)出申請，定密責任人審批認定后才能被定密。如果存在有爭議的事項，本單位的定密責任人不能確定，則應該求助于當?shù)乇Ｃ苄姓芾聿块T，幫其鑒定是否應被確定為國家秘密。三是建立解密制度。建立解密制度，及時地將已經(jīng)不屬于國家秘密范圍的信息、已經(jīng)向社會公開的信息或公開后不會危害國家安全和利益的信息進行解密，既減少了企業(yè)秘密的數(shù)量，節(jié)省了管理成本，又保障了群眾的知情權。各機關單位應該積極適應保密工作的新形勢，建立解密審査制度，定期對本單位的秘密事項進行審核，對符合解密條件的，應及時解密。

總之，信息安全影響因素眾多，涉及內(nèi)容廣泛，是一個綜合性問題，并且會隨著信息通信技術的不斷發(fā)展進步而發(fā)生變化，因此對信息安全管理的研究很難做到面面俱到，需要不斷探索，與時俱進。隨著云計算、大數(shù)據(jù)時代的到來，不久以后新的技術將在企業(yè)信息系統(tǒng)中使用，信息安全管理將面臨新的問題和挑戰(zhàn)，需要繼續(xù)豐富理論與對策研究。

參考文獻：

[1]王煥祥.企業(yè)信息安全系統(tǒng)的建設[J].大經(jīng)貿(mào)，2015，（09）.

[2]李立忠.信息安全產(chǎn)業(yè)發(fā)展的趨勢[J].電子技術與軟件工程，2011，（12）.

（作者單位：航天動力技術研究院）