三是网络泄密的频率高。互联网被称为第四媒体,它和传统媒体不同之处在于具有良好的交互性。网络提供给人们更多发布信息、获取信息、共享信息的平台和机会。同时,由于网络主体保密意识的参差不齐,许多国家秘密就是在无意的聊天、讨论、博客记录中被泄露出来。另外,基于网络在信息处理上的及时性、高效性、广泛性,网络已成为泄密和窃密的主要方式和渠道。据全国人大内务司法委员会的一项调研报告显示,目前计算机网络泄密事件已占泄密总数的70%以上,并呈逐渐增长趋势,计算机网络泄密已严重威胁国家安全和利益。
基于网络泄密事件的危害性和高发性,规范计算机网络的保密管理,防范网络泄密行为,已成为世界各国保密管理的重点。我国修订后的保密法从事前、事中、事后三个阶段制定了对涉密信息系统全过程的保密管理制度,这是对我国保密工作实践经验的总结。从这个角度来看,网络泄密也算是个老生常谈的问题了。除了之前理论界及实务界有关防范网络泄密的建议之外,笔者在这里主要针对网络信息的互联性、海量性、聚合性,以及与现实的关联性来分析如何防范网络泄密,希望这个老话题能够常谈常新。
涉密计算机信息系统的物理隔离
涉密计算机信息系统的物理隔离是指含有涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,即“上网不涉密,涉密不上网”。物理隔离方法是网络条件下真正能够有效保证涉密信息系统安全的手段,它的落实需要从以下两方面来推进。
一方面要正确认识物理隔离方法的作用和地位。基于对互联网开放平台上网络主体行为的不可预知性和不可控制性的认识,以及对技术本身发展限制性的考虑,如果说没有一项安全技术可以百分百地保证涉密信息的安全,恐怕没有人会对此质疑。即便发达如美国,还时不常发生政府网站被入侵的现象;即便强大如微软、Google,依然会有源代码被窃取、网站被黑客攻击等事情的发生。因此,在没有万全之策的情况下,在必须保证国家秘密最大程度上安全的要求下,涉密信息系统必须和互联网实施物理隔离,以杜绝哪怕一点点安全风险的承担。从比较研究的角度来看,在同样的网络难题面前,世界上许多国家的保密管理制度都规定对涉密计算机信息系统实施物理隔离的措施。例如,早在1999年底,美国军方就强制涉密网络与公共网络断开;德国保密法律规定内部局域网要与互联网在物理上完全隔离;古巴《信息安全规章》中明确规定禁止将处理密级信息的网络与互联网连接等等。另一方面,制度不是制定出来摆着看的,落实才是其生命力所在。物理隔离对涉密信息系统中国家秘密安全性的保护,主要依靠涉密人员的自觉主动和可靠有效的外部监督来实现,其中涉密人员的保密素质是国家秘密安全的最重要的保障。在保密管理的全过程中,技术的发展和应用、设备的使用和管理、制度的制定和实施,每一个环节都要靠具体人员来操作和完成,所以,管好人才能管好密。然而,“日防夜防,家贼难防”,堡垒总是最容易从内部攻克。“维基揭秘”事件中,维基揭秘网站和传统媒体只是将获知的国家秘密资料公布出来,而真密不是将秘密束之高阁,物理隔离也不是将涉密系统绝对封闭。信息必须使用才能有价值,必须共享才能价值最大化,国家秘密也不例外。只不过,基于国家秘密知悉范围有限的特性,国家秘密的使用必须限制在一定的范围内,并且只能采用限定的方法。因此,必须保证涉密人员的可靠忠诚、遵纪守法,进一步完善与落实涉密人员资格审查和管理制度,同时必须确保网络信息使用方法的安全性,加强对信息传输技术设备的权威认证。
