张明书
武警工程大学电子技术系,陕西西安 710086
随着我国国家实力和国防实力的提升,西方国家和敌对势力对我国侦察窃密力度明显加大,同时商业上对信息资源的获取与掠夺,以及不法份子的恶意攻击,给党政机关、军事部门、企事业单位的信息安全保密工作带来的新的挑战,信息安全保密工作也呈现出新特点:
1)前沿性。在窃密与反窃密的斗争中,层出不穷的窃密病毒、摆渡木马、跳板攻击等新的黑客技术和手段,已成为造成失泄密事件频发的主要原因,同时,新的信息技术和信息产品的应用,如3G智能手机、云计算技术和产品等,也给部队带来了新的安全隐患;
2)广泛性。当今信息时代,信息安全不仅仅是针对过去那些标有绝密、机密和秘密的文件、数据和文档,它的内涵和外延都发生了很大的变化,涉及有行政秘密、工作秘密、信息软件秘密等多个涉密区域;
3)渗透性。秘密总是依附渗透在各项业务工作中,保密工作与业务工作具有密不可分的必然联系。保守秘密,不是保密部门强加于哪个部门和单位的份外工作,而是自身业务工作的客观需要。这种依附渗透性,要求保密工作必须紧密结合各项业务工作去做;
4)关联性。保密工作不是单一的,它需要各个工作部门的协调配合才能完成。比如一份密件,因涉密人员的流动、传阅范围的扩散、岗位职责的划分不同而来回传递,它涉及收发、传阅、复制、借阅、保管、归档的全过程。
面对电子政务、电子商务、无纸化办公及数据网络传输等技术革新带来的新情况,传统的保密方式已不能适应信息时代保密工作的需要,拓展保密思路,优化更新保密对策已是势在必行,新时期军队信息安全保密工作须做到:
思想不仅要常抓严峻性、迫切性的形势教育,还要常抓保密法规制度的教育,解决当前保密工作中存在的“口头上重视、行动上忽视”的不良现象。同时,还要常抓安全保密知识的普及,从鲜活的警示性案例入手,力促每一个人要以事为鉴,以人为镜,在工作中做到居安思危,未雨绸缪。
信息安全保密已深入到工作、生活的各个方面,因此信息安全保密教育也要全面展开,首先是从人员入手要抓重点,带整体。要坚持掌握核心秘密的人员的重点教育与全体人员的普遍教育相结合。其次是要从岗位入手重核心,顾全局。既要突出抓好核心区域的安全保密工作不疏漏,也要发动全员,站好各自一班岗。
思想教育要针对当前信息安全领域不断出现的新技术、新情况,以及高技术条件下窃密与反窃密斗争的新变化。例如针对日益猖獗的“摆渡木马”、“窃密病毒”等窃探密软件,要搞好技术演示,使大家更直观、更深刻地认识其危害性,认识到保障信息安全的重要性和紧迫性;教育宣传还要瞄准新情况,新任务。要贴近国内外窃密与反窃密斗争的技术前沿,贴近业务工作的新任务,贴近现实生活的新情况。
目前,信息网络侦察窃密技术发展迅速,侦察攻击的手段越来越多,隐蔽性也越来越强,因此搞好信息安全防护工作必须采取积极有效的应对措施,加强技术防护建设,守护好信息防护的安全大门。
信息化建设要遵循应用开发与安全设计同步的原则,从运行安全、信息防护、灾难恢复等多方面统筹考虑,对于核心机密,要从物理隔离和电磁屏蔽入手,论证和检验其系统要求和设计目标;重点部门要按需求配备干扰器、手机信号屏蔽仪、电子检测和电视监控系统等设备,并及时更新换代;在办公计算机上加装监控与防范软件,打造行之有效的单位信息安全内部防护体系。
在国家安全部门认证的基础上,根据本单位特点和要求,要有专门、专业的产品评估中心,对采购的信息产品进行安全检测、评估与授权认证,把好使用产品的入口关。须保证产品内部信息网络使用过程中 “经得起查,抗得起攻,耐得起用”。
信息安全保密工作是一项复杂的系统工程,它涉及到人员、技术、法律、制度和管理等多个方面,要扎紧防范篱笆,封堵风险漏洞,势必要求有一大批政治觉悟好、专业水平高、业务素质强的保密人才队伍。
1)突出应用人才培养,在“业务”上提纯淬炼。信息安全与保密工作的主要业务涉及到基础软硬件建设、安全产品的选购与评估、运行可靠性的检测、网络监控、安全保密检查等多个方面。这都需要立足工作需要,对口培养大批安全保密方面的“业务尖子”和“工作能手”,从先进手段、有效工具及高新技术装备的应用上拓展工作能力;
2)加强高端技术人才的发掘,在“科研”上铸魂砺剑。我国在窃密与反窃密战场上能否占领隐蔽战争的制高点,很大程度上取决于我们对安全保密技术的研究和开发水准;取决于我们对安全保密人才教育与培训水平的高低。必须不断加大对安全保密技术研究所、科研单位、院校专业学科的建设与投入,大力开展信息安全保密的技术研究和装备开发工作,打造能够出奇制胜的安全产品,铸造我军信息安全保密的克敌“利剑”。
信息安全保密工作,必须严格抓好相关法规制度的贯彻落实,培养正规有序的秩序,为保密工作规范落实营造良好氛围。
1)要制定严格的信息安全管理制度,做到“有法管密”。信息安全与保密工作要坚持以保密法规制度为依据,首先要进一步建立健全严密完善的安全保密制度,有效封堵网络失泄密途径;其次要加强对载有秘密信息的所有系统、单机、设备、设施的管理,完善信息安全保密法规和技术标准,真正建立起制度健全、管理科学、运转协调的正规化办公保密秩序;
2)要开展经常性的安全保密监督检查,做到“依法治密”。近年来,我国发生的失泄密事故,多数都是与部门疏于管理、人员侥幸心理严重和制度落实不到位有着直接关系。针对这些问题,必须要强化信息安全保密监督检查,建立健全定期监督检查机制,及时发现和排除安全隐患;
3)要严格执行责任追究制度,做到“严法保密”。要严格执行保密工作失职、渎职的问责制度,一旦出现问题,必须严厉、严肃查处一切与失泄密案件相关的人员和严重违规、违纪的行为,并追究相关领导责任,切实维护保密法规的严肃性和权威性。
总之,只有对信息化建设中的信息安全风险有着科学、系统的认识,并根据具体情况,采取积极有效的防范措施,加强领导、精心组织、强化管理、做好科学决策,抓教育,揽人才,增投入,我国的信息化建设才能得到安全有效的保障。
[1]贾丽,张大虎,余晓青,等.浅谈信息安全保密工作形势与对策[J].科技探索,2011(6).
[2]周虹.计算机网络信息安全主要威胁与防范措施[J].信息系统工程,2011(10).
[3]徐任晖,高蕊,王海.美军信息安全教育简介[J].情报杂志,2010(6).
[4]丁绍文.高技术条件下部队信息安全管理问题研究[D].西安:西安交通大学,2007.