信息设备维修泄密隐患分析与对策
随着信息设备技术应用越来越广泛,因违规进行信息设备维修导致的泄密事件时有发生,给保密工作敲响了警钟,值得引起高度警惕。
典型案例
送外维修易失控
案例1:2017年4月,某单位综合处处长魏某为图工作方便,违规安排工勤人员将1台涉密计算机送外维修,致使维修人员将该计算机连接互联网,并在该机上交叉使用两个非涉密U盘,造成相关涉密文件失控。魏某被给予党内警告处分。
案例2:2013年6月,有关部门在工作中发现,某计算机服务公司计算机中存有某局相关的多份标密文件和上千份内部资料,给国家秘密的安全造成严重威胁。经查,该局办公室主任闫某于2009年5月违规将故障硬盘送至某电脑公司维修,后又转至该计算机服务公司,造成涉密文件失控。闫某被给予行政记过处分。
雇人维修有风险
案例3:2016年11月,某机关单位两台涉密计算机发生故障,无法连接内部局域网。因当日网络维护技术人员生病住院,经单位负责人尼某同意,工作人员姬某联系某办公设备公司售后服务人员进行维修,维修人员在不知情的情况下,将涉密计算机连接互联网,导致多份内部文件外泄。尼某和姬某被诫勉谈话,并作出书面检查。
案例4:2016年12月,某区监控系统LED显示屏故障,为确保相关调度工作及时到位,该区一线指挥部工作人员立即联系售后服务企业维修人员抢修。因需要使用其他计算机,该区一线指挥部工作人员普某误将涉密计算机当作普通上网机交由售后维修人员使用,连接互联网后发现该机弹出警告提示,于是迅速断开了网络连接。普某被诫勉谈话,并作出书面检查。
旁站监督要落实
案例5:2014年8月,某部委借调人员付某使用的涉密计算机出现故障,未经请示批准,私自将计算机送交其战友吕某维修,且没有落实旁站监督规定。期间,吕某因查找设备问题需要,多次使用该计算机连接互联网,后又因要重新安装操作系统,用个人U盘复制计算机相关文件进行保存,造成涉密信息失控。付某被给予行政警告处分。
案例6:2009年4月,某单位一台涉密复印机发生故障,请售后服务商派人维修。修理人员经过简单测试后断定是复印机硬盘问题,须将其带回维修。该单位有关工作人员毫无保密意识,让其带走维修,且没有落实旁站监督要求。几天后,该单位才意识到存在保密隐患,立即与售后服务商联系,方得知该硬盘已被送往境外,导致涉密信息失控。有关责任人因此受到了严肃处理。
泄密隐患分析
上述案例看似很普通,但所反映出的失泄密渠道却很典型,具有一定的普遍性和代表性,既有主观上的因素,也有客观上的不足,主要体现在以下几个方面。
1.对维修工作的认识存在偏差。按照保密法规要求,维修国家秘密载体,应当由本机关、本单位专门技术人员负责。但当保密和日常工作存在冲突时,很多工作人员不能始终把保密作为前提,主要体现在以下几个方面:一是重工作效率,轻安全保密。二是重维修结果,轻维修过程。三是重数据处理设备,轻办公自动化设备。
2.对维修工作管理不够严格。按照保密法规要求,涉密信息设备维修,应当指定专人全程监督。一些单位在设备维修过程中没有很好地落实监督人员旁站的要求,究其原因是维修工作管理不够严格,主要体现在:一是台账底数不清楚。二是维修审批不完善。三是维修机制不健全。
3.维修服务体系建设有欠缺。按照保密法规要求,涉密信息设备维修,应当在本单位内部进行,确需送外维修的,须拆除涉密信息存储部件。大家对涉密信息设备送外维修的高风险都有一定认识,此类案件时有发生,与当前保密技术服务体系不完善有较大的关系。
防范泄密对策
通过分析这些案例发生的原因,笔者认为杜绝信息设备维修泄密隐患,需要机关单位和保密行政管理部门共同努力,重点从以下几个方面进行治理。
1.加强保密教育,提升保密意识。充分利用身边人、身边事,讲清保密工作的具体要求,展示泄密案件的重大危害,让全体工作人员,特别是涉密人员时刻牢记保密要求,在维修信息设备上严格落实相关保密规定,坚决克服侥幸心理和图省事思想,确保各项保密措施覆盖设备维修全过程。
2.强化主体责任,完善保密措施。加强对涉密信息设备的管理,统一采购、登记、标识、配备,做到台账完备,底数清楚,责任使用人明确;建立完善信息设备维修使用管理制度,落实“谁使用,谁负责”原则,严格履行维修审批登记手续;统筹保密设备维修管理,在加大构建涉密维修维护网络的同时,注重强化保密资质(资格)单位的宣传和相关技术合作交流,充分发挥保密技术服务机构主体作用,不断丰富技术防护、技术检测、维修维护等方面的手段和能力。
3.加强监督检查,堵塞泄密隐患。机关单位要适时开展自查自评,对涉密信息设备从购买到报废全寿命全过程,严格按有关保密规定管理;将办公自动化设备纳入检查范围,高度重视涉密信息设备维修等重要环节,及时查找存在的泄密隐患,确保保密法规规定能够得到有效的落实。保密行政管理部门要通过常规检查、专项检查等方式,加强对信息设备使用、维修等违规问题的查处。