(第81期,供2018年4月11日学习使用)
重点文章核心内容导读——
信息公开不审查 转载泄密风险大
此文作者:周 娟,刊载于《保密工作》
根据《政府信息公开条例》《关于施行〈中华人民共和国政府信息公开条例〉若干问题的意见》及《关于进一步做好政府信息公开保密审查工作的通知》相关规定,机关、单位在信息公开之前,应当依法对拟公开的信息进行保密审查。但在实践中,一些机关单位在发布信息时,不严格履行保密审查规定,随意从其他网站等渠道转载文件资料,导致失泄密事件的发生。
两起门户网站泄密案
案例1:2015年3月,有关部门在工作中发现,某省一所职业学院门户网站违规刊登1篇属于秘密级国家秘密的文章。经查,案件直接责任人为该学院信息中心主任黎某。根据学院开展校园环境安全教育活动安排,黎某要求工作人员王某组织编辑校园环境安全教育资料,上传至学院门户网站供全体师生学习。为此,王某上网搜索相关资料,并编辑成1篇文章,交黎某审查。黎某认为,文章内容均源自互联网,未进行保密审查,直接让王某上传至学院门户网站,造成泄密。事件发生后,有关部门对黎某、王某进行通报批评。
案例2:2014年12月,有关部门在工作中发现,某研究院信息资料库网站违规刊登1篇属于秘密级国家秘密的文章。经查,2012年12月13日,该研究院信息资料库网站维护人员陈某,在互联网看到上述文章(无密级标识),以为是可公开的信息,便收录到网站信息库。2014年3月,信息资料库网站开通,负责信息审查的何某未作保密审查,将该文上传到网站上,造成泄密。事件发生后,有关部门责令陈某、何某在全院大会上作出深刻检讨。
原因分析
在案例1、案例2中,负责信息公开保密审查的黎某、何某犯了同样的错误,他们都错以为从互联网上搜索到的内容即为可公开信息,不再进行第二次保密审查,殊不知网上发布的信息亦可能是未经保密审查的“漏网之鱼”。究其原因,笔者认为,主要有以下两点:
一是认识上有偏差。据两起案件当事人陈述,他们普遍认为,机关单位在互联网门户网站上登载的信息都应当属于可公开的信息,因为这些机关单位不可能把涉及国家秘密的信息上传到网站上。正是出于这种认知,他们觉得直接从互联网上下载信息,转载到本单位门户网站上,即使出现违规问题,也不应追究他们的责任。事实上,网上登载的有关信息是否涉密真伪难辨,如果不是特定领域的专业人士,很难判断哪部分内容涉及国家秘密、哪部分内容又是敏感信息。如果“一根筋”地认为网上信息属于可公开信息,那么泄密案件的发生是再所难免。
在国务院办公厅《关于进一步做好政府信息公开保密审查工作的通知》中,对机关单位信息公开工作提出了明确要求:“各机关、单位网站管理部门要建立政府信息发布登记制度。在政府网站上发布政府信息,承办单位应向网站管理部门提供保密审查机构的审查意见和机关、单位负责同志的审批意见。机关、单位网站要做好相应记录备查。”这些规定同样适用于企事业单位的门户网站。要按照“谁主管,谁负责”的原则,加强门户网站的保密管理,确保所公开信息都不涉及国家秘密、工作秘密、商业秘密和个人隐私,这是所有机关单位都应尽到的审查责任。
二是审查不严格。从案发情况看,这两起案件还有一个共同特点,即履行保密审查程序不严格,没有对拟上传到网站上的信息进行把关。当事人认为,这些信息都不是本单位产生的,而是从其他机关单位门户网站下载的,无须再次进行保密审查。事实上,无论是根据政府信息公开条例,还是根据保密法及其实施条例,在任何情况下都必须严格履行保密审查程序。在国务院办公厅《国务院办公厅关于进一步做好政府信息公开保密审查工作的通知》中也有明确规定:“要坚持‘先审查,后公开’和‘一事一审’原则。各机关、单位对拟公开政府信息进行保密审查,由承办单位提出具体意见,经机关、单位指定的保密审查机构审查后,报机关、单位有关负责同志审批。未经审查和批准,不得对外公开发布政府信息。”因此,机关单位门户网站拟公开的信息无论来源何处,都必须进行严格的保密审查,审查的原则和程序必须符合规定。
信息公开保密管理任重道远
当前,信息公开不进行保密审查导致门户网站发生泄密事件的现象比较突出,我们必须高度重视,采取有效应对措施,最大限度地确保国家秘密安全。
第一,遵守“先审查,后公开”和“一事一审”原则,落实信息公开保密审查审批各环节保密制度措施。做好信息公开保密审查工作,是确保国家秘密安全的前提。按照政府信息公开条例要求,机关、单位均应当建立信息公开保密审查制度,由机关单位主要领导总负责、分管领导组织协调、责任部门和专门审查人员具体落实,确保拟公开信息审查审批符合原则和程序。
第二,加大信息公开保密审查业务培训力度,增强信息公开保密审查人员及门户网站工作人员的保密意识。信息公开保密审查工作,是一项政治性、政策性和技术性都很强的工作,从事这项工作的人员只有通过系统培训,才能掌握应知、应会知识。首先,要做到持证上岗。各机关单位负责信息公开保密审查人员必须参加保密行政管理部门举办的专业培训,取得合格证书,经本机关单位正式授权后履行保密审查职责。其次,各机关单位要有针对性地抓好信息公开审查人员和门户网站工作人员的日常保密教育和保密提醒。
第三,加强信息公开保密审查检查力度,防止失泄密事件的发生。各机关单位要定期或不定期组织力量,对本机关单位的公开信息和门户网站登载信息开展自检,自检内容应包括政府信息公开条例、信息公开保密审查、网站信息发布登记、网站开展保密检查等执行情况,通过检查及时发现问题,消除隐患。各级保密行政管理部门要结合本地区的情况,每年开展1—2次信息公开保密审查专项督查活动,促进各机关单位做好信息公开保密管理工作。
让风险评估为涉密网络加一道屏障
此文作者:刘星星,刊载于《保密工作》
当前,国家秘密存储和处理数字化、网络化进程快速推进,涉密人员、涉密计算机、涉密载体“人机物”三元加速融合,涉密网络互联化、移动化、物联化发展趋势不可逆转,网络空间日益成为失泄密的重灾区和主渠道,也是窃密和反窃密斗争的主战场。
在这一背景下,涉密网络管理面临着更新的挑战和更高的要求。作为涉密网络全过程管理的重要抓手,风险评估工作应当怎样开展,重点关注哪些问题,成为当下涉密网络管理的一项重要研究课题。
涉密网络安全保密管理的突出问题
随着分级保护制度深入推进,涉密网络的应用越来越广泛,与机关单位的业务需求也结合得越来越紧密,但在现实中,涉密网络安全保密管理还存在以下几个突出问题。
1.涉密网络设计与建设的模板化。随着涉密网络大量建成并广泛应用,建设使用单位对相关政策要求和技术标准逐渐熟稔,涉密网络集成商丰富并积累了大量的实践经验,相应的安全保密产品经过较大规模的使用和升级改进,日臻成熟。由于很多机关单位的办公场景及涉密网络的应用模式相似,如机关办公内网、同一业务领域的科研生产涉密网等,因此,在搭建涉密网络以及开发相关应用系统时,出现了不少单位在方案设计和建设过程中相互模仿甚至照搬照抄的现象。这种趋同性在提高涉密网络建设效率的同时,也因缺乏针对性,未结合机关单位特点进行安全需求及风险分析,从而忽视了很多实际可能面临的威胁,暴露出更多脆弱性。
2.涉密网络使用管理不到位。一是不少建设使用单位认为通过测评审批就可以一劳永逸。在这样的观念和心态影响下,一些涉密网络投入使用后,管理制度形同虚设,防护策略不能有效落实,安全保密产品堆砌、误用或不用等现象时有发生。二是一些建设使用单位认为只要照着上级机关或相关单位的模式依葫芦画瓢,涉密网络的运行就是安全的,因此,不少单位的涉密网络管理制度大同小异甚至千篇一律。三是随着涉密网络硬件或软件升级,机关单位业务需求的变化,以及网络运行环境的改变,涉密网络处于动态变化中。这些都有可能造成新的系统漏洞,带来潜在的安全隐患,或产生新的安全保密防护需求。然而,很多涉密网络使用单位对投入运行后的情况却掌握得不全面、不准确,对动态变化引发的新问题、新需求缺少相应的分析和管控机制。
3.人员管理方式单一。涉密网络既要防“外贼”攻击,也要防“内鬼”窃密,而内部威胁始终是防护的薄弱环节。近年来,“维基揭秘”“斯诺登”事件等均由“内鬼”造成,国内也发生过因内部管理不严格、不规范造成的涉密网络失泄密案件,教训惨痛而深刻。当下,对涉密网络相关人员的管理主要以保密审查、签订承诺书、宣传教育等为主,还有待于探索更加深入有效的监管方式。
何为涉密网络风险评估
要解决上述问题,就要进一步深化、细化涉密网络的日常使用管理和保密监督检查要求。其中,笔者认为风险评估作为重要手段,可以提供有效支撑。
通常,涉密网络风险评估有两种形式:一种是机关单位在涉密网络投入使用后,由保密工作机构、信息化工作机构配合,定期对涉密网络安全保密状况、制度落实情况进行自查,并结合日常运行维护中发现的问题,对其中的安全保密隐患及时分析、评估和改进,因此又称为安全保密风险自评估。
另一种是保密行政管理部门对于投入使用满两年的秘密级、机密级网络,投入使用满一年的绝密级网络,以及网络密级、连接范围或规模、物理环境、安全保密设施、主要应用等方发生重大变化的涉密网络进行安全保密风险评估。
其中,机关单位对自身网络运行模式和业务开展情况等较为熟悉,安全保密风险自评估可结合其特点和易出现的问题展开,时效性强,是涉密网络风险评估的重要基础。
而保密行政管理部门组织的风险评估从安全保密管理全局的角度出发,能够觉察到机关单位不易发现的问题,更具客观性。二者相辅相成,共同确保涉密网络日常运行安全。
同时,在这一过程中,还要注意区分涉密网络风险评估与涉密网络安全保密测评的不同,二者虽同为涉密网络日常保密管理和监督检查的必要环节与重要手段,依照的国家标准、使用的测评表也相同,但在实际应用中却大相径庭。
二者的区别主要体现在:
其一,在时间节点上,涉密网络安全保密测评适用于涉密网络建设完成后、投入使用前,涉密网络风险评估则适用于其投入使用后。
其二,在现场检测中,涉密网络安全保密测评主要关注涉密网络建设的合规性,涉密网络风险评估则更注重涉密网络在日常使用中的合规性。即使对于相同的测评项,二者的检测要求和把握粒度也有所区别。以相关管理测评项为例,涉密网络安全保密测评主要关注其是否设立了相应的管理制度,而涉密网络风险评估则重在查看制度是否在日常运行中落到实处。
其三,在结果评价上,涉密网络安全保密测评有详细的得分,而涉密网络风险评估虽然也可打出分数,但实际意义不大,且二者的得分不具可比性。
涉密网络风险评估应关注的重点
当前,根据在用涉密网络运行实际,保密行政管理部门进行风险评估时应着重关注以下内容。
1.涉密网络中的数据信息
在用涉密网络与新建涉密网络最大的区别,在于投入使用后承载了大量真实的业务数据。即使是同样的建设方案,用于不同的机关单位后,也因其业务和数据的不同,导致安全保密风险千差万别。
因此,风险评估应特别关注网络中承载的数据和信息流,可以通过问卷调查、文档审查、上机检查、工具扫描等方式,对涉密网络在用信息资源进行分析。例如,信息种类、密级、数量,以及信息来源、存储方式、知悉范围、访问权限分配等,根据数据信息状况及流向,综合运用分析手段,判断威胁的可能性。此外,风险评估时,还应当将其现状与最初的建设方案,以及测评时的信息资源情况进行比对,查看是否存在显著差异。如果有,应进一步考证可能引发的新的安全保密风险。
2.涉密网络日常使用管理情况
涉密网络日常使用管理主要包括管理制度的执行、安全策略设置、网络系统的变化,以及是否发生过异常事件和相应的处置情况。
在风险评估中,一要结合涉密网络防护监管情况和保密检查结果,了解日常使用管理中的问题,以及总结改进的成果。二要检查相关审计日志、日常记录、报告材料的规范性和完整性。三要对照建设方案和管理制度,检查规划执行情况,并设置网络设备和安全保密产品的策略。四要及时捕捉涉密网络发生的变化,对于重大变化应立即对有关部分甚至全网重新进行安全保密测评。
3.涉密网络人员管理情况
涉密网络人员管理可以从两个维度进行划分:一是内部工作人员和外部相关人员。由于背景审查和行为约束程度的不同,接触和使用涉密网络产生的安全保密风险也不尽相同。对于内部工作人员,应重点关注是否按照最小化原则清晰地划定了访问权限和知悉范围;对于外部有关人员,则主要关注保密要求知会情况,安全控制区隔离、限制携带物品、旁站陪同控制等制度的落实。
另一个维度是使用人员和管理人员。使用人员对应的是用户,直接接触涉密网络中存储、处理的信息;管理人员则不得直接或间接接触涉密网络中的信息。对于身兼二者角色的人员,应独立区分两个角色的账户。
在进行风险评估时,要对当前人员管理的现状,如是否经过保密审查、签订承诺书、明确安全保密职责,是否对账户做全生命周期的闭环管理等方面进行检查。同时也应针对不同类别的人员,检查各类管理制度的落实情况。
在网络信息技术不断发展的今天,涉密网络管理的重点已经由网络建设合规性管理转向网络建设与日常安全保密并重式的管理,我们也必须与时俱进,适应涉密网络的新变化,创新管理方式、完善管理模式,确保网络空间内党和国家秘密的绝对安全,切实维护国家安全与发展利益。
