理论学习
屡禁不止的涉密计算机违规外联行为
保密法第四十八条规定了 12 种严重违规行为,其中第八种“将涉密计 算机、涉密存储设备接入互联网及其他公共信息网络的”,对违规外联行 为予以明确。保密法修订施行已 10 载有余,大量保密规章制度和机关单位内部文件反复重申该项禁止性要求,然而涉密计算机违规外联行为仍屡屡 发生,其背后原因引人深思。
典型案例
案例 1: 2019年9月,有关部门在工作中发现,某省直单位1台涉密计算机多次发生违规外联。经查,王某为该单位新近调入的工作人员,因工作需要,申请1台非涉密计算机连接互联网使用。设备管理员李某遂从库房调配1台旧计算机给王某,由于该计算机的设备标签脱落,李某和王某均未发现该计算机原为涉密计算机,造成王某多次违规连接互联网。案件发生后,王某和李某均被处理。
案例 2: 2020年6月,有关部门在工作中发现,某市属单位工作人员刘某使用的涉密笔记本电脑发生违规外联。经查,刘某因工作需要,将涉密笔记本带入单位会议室使用,由于会议室中网线标识不清,着急开会的刘某误将涉密笔记本接入互联网,触发违规外联报警。案件发生后,刘某及有关责任人员均被处理。
案例 3: 2020年9月,有关部门在工作中发现,某县级单位1台涉密计算机多次发生违规外联。经查,该计算机为办公室工作人员孙某使用,孙某在使用过程中,某软件多次发生故障,遂按照该软件的提示,多次尝试连接互联网进行自动修复,造成违规行为发生。案件发生后,孙某及有关责任人员均被严肃处理。
以上案例都是常见的涉密计算机违规外联行为,其中案例1是因计算机属性未弄清,造成违规外联;案例2是因网络线路属性未搞明,造成违规外联。这两个案例都有一定的客观原因导 致责任人员误判。而案例 3 则是责任人员在明知 涉密计算机的情况下,仍然故意发生的违规外联 行为,其保密意识之淡薄让人唏嘘不已。
原因分析
以上违规外联行为虽然都被技术阻断,未 造成泄密后果,但其背后反映出一些机关单位的 保密管理存在较大隐患。
1.设备管理混乱。案例1反映出该单位涉 密设备管理存在严重问题。涉密设备未单独妥善存放,而是在库房中与非涉密设备混放,造成设备混淆;涉密设备台账不清,设备的密级属性仅靠表面粘贴的设备标签识别;涉密设备清点维护不及时,设备标签脱落未及时发现等。另外,实践中还发现因设备管理混乱导致五花八门的违规外联情形,如人员交替中设备交接不清,未告知设备属性造成违规外联;管理人员违反规定将涉密计算机外送社会公司维修,外修人员违规外联;将报废不用的涉密计算机硬盘拆下,安装在非涉密计算机使用,造成违规外联等。
2.保密意识淡薄。这3起案例背后,都反映出一些机关单位工作人员保密意识淡薄、责任心不强的问题。如案例1中,设备管理员李某在设备标签脱落的情况下,未进一步核实就配发给使用人员,而使用人员也不闻不问,直接连接互联网。案例2中,刘某在网线涉密属性标识不清的情况下,不找管理员询问就着急连接使用,置保密规定于脑后。案例3中,孙某的保密意识、保密常识更是令人堪忧,竟然将涉密计算机连接互联网进行软件修复。而实践中发现,将涉密计算机连接互联网进行软件激活、注册、更新等类似情况时有发生,反映出部分机关单位工作人员的保密意识亟待加强。
3. 保密技能不强。以上案例还反映出机关单位部分工作人员保密知识技能掌握有限。如案例1中,众所周知,涉密计算机都会采取技术手段防止违规外联。启动计算机后,可以很快从计算机屏幕右下角的图标、运行的进程等信息,初步判断是否安装了技术防护措施,若安装,一般可判断为涉密计算机。但该案例中,无论是使用人员还是管理员都未能及时发现,还多次尝试违规外联,其保密常识和技能水平有待提高。案例2中,虽然网线未标清涉密属性,但顺藤摸瓜找到网线对端连接的网络设备、墙插等,也可以进行初步判断。案例3中,孙某的保密技能水平更无须多言,连最基本的保密常识都不掌握。
4. 设备设施不完善。案例1和案例2中,违规行为的发生也有一定的客观原因,反映出机关单位保密设施设备管理仍存在不完善的地方。案例1中,涉密设备标签轻易脱落,反映出该单位设备标识日常管理存在隐患,实践中也发现有的机关单位仅用普通胶水或透明胶带粘贴涉密设备标签,极易脱落;有的设备标签为手写,涂写随意;有的非涉密设备调整为涉密设备后,未及时更换标签,这些都容易导致误连接。案例2反映出该单位网络布线等基础设施的管理、维护有待加强,在会议室这种公用环境中,参会人员在未采取管控措施的情况下,可以随意将设备接入网络,且网络末端接入线路未标清密级属性,极易导致误判,存在严重的安全保密隐患。
对策建议
在保密法律法规不断深入人心、保密“两识”教育 持续开展的今天,违规外联这种低级错误仍然屡犯不止,实属不该。笔者认为,有关机关单位需从人、物两方面 加强保密管理。
对相关人员,加强案例教育和技术普及。以上案例中的责任人员入职前都经过保密教育培训,对有关保密法律法规和保密要求不可谓不知,但事到临头仍然无法避免错,主要原因是保密常识、保密技能掌握不扎实,面对陌生情况不知所措。因此,机关单位的保密教育培训应着重选取本系统、本单位的典型案例,以生动形象、有代入感的方式对大家进行警示提醒。同时,案例教育还应注重多角度覆盖,对于一种违规行为可通过多种情形诠释,不能试图通过一个案例就解决所有问题。当前,随着物联网、移动互联等不断发展,新技术、新设备、新情形频出,信息技术无处不在,应是所有人掌握的基本技能。因此,保密教育培训应注重技术培训,掌握原理才能举一反三。
对载体设备,加强全生命周期和动态管理。涉密设备作为涉密数据的载体,其管理和涉密数据一样,应是 从“生”(确定为涉密设备)到“亡”(报废销毁)的全生命周期闭环管理,不能因人员变更、位置变化、用途调整等因素导致脱管失控。另外,全生命周期管理还意味着是一个动态管理的过程,机关单位应采取实时技 术监控、随机抽查、定期维护等手段,确保涉密设备每时每刻可管可控。