□ 西安 方予辰 袁小燕
保密管理工作是指针对国家秘密,商业秘密和工作秘密展开的安全管理工作。目前,随着我国大力推进“互联网+”模式,大数据、云计算、物联网、移动互联网等新技术得到不断普及和应用,改变了信息的传输、存储模式,油气田企业的多项工作由传统模式逐步转移到信息化平台,形成了一系列新的信息保密风险因素。因此,如何做好网络时代下油气田企业的保密工作是如今面临的重要课题。
1.网络泄密的传播效率高。现代信息技术的发展和应用,全球“信息高速公路”的建设,移动互联网5G的普及,为网络信息的快速传播创造了条件,也为网络泄密的快速扩散提供了现实基础。
2.网络泄密的渠道隐蔽。网络的安全程度取决于网络攻防技术的成果。一直以来,网络攻防技术的发展始终逃不开“道高一尺魔高一丈”的逻辑怪圈,网络防御技术大都被动于网络攻击技术的发展。这就大大增强了网络泄密渠道的隐蔽性,不利于事前预防、事中防控和事后追查。
3.网络泄密的频率高。网络提供给人们更多发布信息、获取信息、共享信息的平台和机会。由于网络主体保密意识的参差不齐,许多秘密就是在无意的聊天、讨论、微博记录中被泄露出来。另外,基于网络在信息处理上的及时性、高效性、广泛性,网络已成为泄密和窃密的主要方式和渠道。
近年来,国际环境复杂多变,受新冠疫情影响,全球经济增长乏力,一些国家和地区的渗透、策反、窃密活动空前加剧,恶名昭著的“震网病毒”“勒索病毒”等攻击全球工业基础设施的病毒攻击事件越来越猖獗,导致全球众多石油、能源、电信公司的IT系统遭到猛烈攻击。
当前保密工作处于尖锐复杂期、转型升级期、战略机遇期“三期叠加”的关键时期,保密工作事关国家安全和稳定大局,事关油气田企业的核心利益和国家能源安全。因此,保密工作面临的风险更加突出。
1.涉密领域的急速拓展造成保密工作难度加大。大数据、云计算、人工智能、物联网和移动互联等新技术应用更加广泛,保密工作领域已从体制内延伸到体制外,从物理空间延伸到数字空间,进而使得企业的保密工作不再是静态的管住嘴、管好文件、锁好柜门等工作,更需要管好信息、管好网络、管理好各种涉密介质,造成防范难度的不断加大,此外对外合作也存在着泄密风险。随着油气田企业全面倡导高质量发展思路,管理创新、科技创新、市场拓展等对外交流合作力度不断加大,给保密与沟通间界限的划分带来了一定难度,部分、员工存在保密工作与我无关的思想,对如何在确保不存在泄密隐患的前提下开展技术交流没有足够重视,导致涉密信息和一般工作资料边界不清、管理不严,存在较大泄密风险。
2.保密意识普遍提高但整体水平有待提高。在油气田企业中,保密意识已经得到了大幅度提高,越来越多的油气田企业开始重视保密工作,注重保护自身的核心机密。然而,在具体的保密实践中,我们发现油气田企业的保密水平还有待提高的空间。一方面,有些企业虽然认识到了保密的重要性,但在实际操作中仍然存在很多漏洞和不规范的行为。例如,企业信息管理人员混乱、网络管理及维护等专业人员短缺,普遍存在懂技术不懂保密,或懂保密不懂技术,或对保密和信息技术都不太懂,真正既懂技术又懂保密的人才少之又少的现象;员工没有意识到自己对公司信息的保护义务,轻易地将机密信息泄露给外部人员;有些企业并没有制定完备的保密制度和流程,导致保密工作形同虚设。另一方面,由于油气田企业本身的特殊性,企业内部涉及的机密信息范围广泛、难度大,需要全员防范,加强保密知识的宣传和培训,提高员工保密素质和技能,才能真正达到防范泄密、确保信息安全的目的。因此,油气田企业保密工作管理发展还存在一些问题和挑战。
3.硬件建设不到位。信息化建设目前存在短期内投资大,效益小的现状,由于各个企业单位对于信息技术设备的认知不同,以及受各地财政条件的限制,故而某些企业单位的硬件、软件往往不能按保密部门要求配备到位,信息建设中重建设轻保护、重硬件轻软件的现象依然存在。①采购硬件上存在隐患。在购买硬件时只注重设备的价格和数量,而忽视了对硬件保密性能的选择,造成设备本身保密上的技术漏洞,进而导致在使用时极有可能被窃密。②保密配套设备不到位的隐患。有的单位由于资金紧张或是为了省钱,往往将有限的资金只投入在机房设备和计算机配置上,而忽视了对电磁信号干扰、信息加密、网上监测、杀毒等保密技术防范硬件、软件的配备使用。
4.保密管理手段不足。在油气田企业的保密管理工作中,技术手段的作用越来越重要。例如,安全防护软件、信息加密技术、凭证验证等手段都可以有效地提高企业信息的安全性。但目前,一些油气田企业在技术手段运用上还有待提高,尤其是在新型技术的应用上。此外,油气田企业的信息系统和保密管理体系往往相对独立,缺乏有效的集成和协同,这就导致一些信息安全漏洞难以被及时发现和处理,同时也增加了信息泄露的风险。
5.保密防护的复杂性不断增强。随着互联网、云计算、物联网等技术的发展,企业的信息化程度日益提高,国家秘密、商业秘密在保密措施、泄密形式上较以往的传统方式有所不同,网络时代下企业的各种秘密具有使用和存储的高度聚集性、保密和泄密的高技术性等特点,但与此同时也带来了新型的安全风险。油气田企业是国家的重点支柱产业,其生产过程中涉及到大量的敏感信息和关键数据,一旦被黑客攻击或遭受窃密事件,会给企业带来严重的损失和影响,甚至危及国家能源安全。同时,由于其员工众多,组织架构复杂且分布点多、线长、面广,造成保密措施的实施难度大,泄密现象时有发生。
此外,随着人工智能技术的发展,企业内部的信息安全威胁也愈发复杂和难以预测。例如,利用机器学习算法模拟出用户的行为模式,更容易欺骗企业的安全系统,从而实施攻击和窃密。对于油气田企业而言,如何应对这种新型的安全威胁,保证信息的安全性和保密性,成为了一个亟需解决的问题。
6.宣传教育内容缺乏针对性。大部分企业的保密培训活动缺乏顶层设计,大多通过典型的失泄密案例以案说法,对保密工作法律法规、知识技能等保密知识和保密常识方面的内容涉及不够深入,导致员工虽然有一定的保密意识,但是在实际工作中不知道什么样的信息需要保密,应该怎样去保密,保密知识和技能水平难以提高,使培训效果大打折扣,保密管理基本处于被动状态。
7.保密管理监督检查不彻底。①规章制度不健全。部分企业对计算机办公设备的内部局域网缺乏完善的管理办法,没有相应的制度,或者虽有制度,但流于形式、执行乏力。②涉密磁介质缺乏有效的监督和管理。对移动硬盘、优盘、软盘等存有涉密信息的介质没有编号和任何标识,随意放在桌面或不加锁的抽屉中,极易丢失或被非法复制。③重防外轻防内。对网络信息安全仅停留在查防病毒的层次,对防止外部“黑客”侵入和内部网络信息安全泄漏等工作的管理力度不够。此外,企业的保密检查存在例行公事、走过场的现象,保密自查未形成常态化长效机制,大多数自查仅限于检查记录的填写,难以取得发现问题、整改问题的效果。保密主管部门开展的保密检查不严格、不仔细,让被检查者认为是“光打雷、不下雨”的虚张声势,起不到教育人、警示人的效果,存在的问题得不到整改,漏洞和威胁没有消除,保密检查没有起到应有的作用和效果。
1.切实加大对油气田企业保密工作的组织领导力度。信息化时代保密工作的顺利开展,离不开领导的重视和支持。因此,要进一步落实保密工作的领导责任,做到“谁主管、谁负责”,把保密工作融入到全局工作之中,将责任层层落实到人。①平时要加强对领导干部的宣传教育,使其从思想上充分认识到保密工作的极端重要性与紧迫性,切实把做好保密工作作为开展工作的首要前提和基础,确保保密工作顺利开展。②按照以“以点带面”的工作方法,紧紧围绕重点部门,重点人员和重点环节有序开展各项保密工作,做到实时监控、安全防护,有章可循、有责必究,努力构筑起一道坚不可破的“安全防火墙”。③不断推进保密工作的理论创新、体制创新和科技创新,建立健全适应信息化要求的保密工作长效机制,努力开创保密工作制度化和保密手段现代化协调发展的良好格局。
2.完善油气田企业保密工作管理制度体系。完善的组织体系是做好保密工作的基本保障,要重点关注制度、责任、机制等构成要素,做到保密管理无缝隙、无漏洞。要坚持党管保密原则,不断健全保密委员会制度和有关机制,推动各部门相互配合,在职责范围内支持和配合保密工作开展。坚持“突出重点、明确标准、严格管理”的基本工作准则,围绕新型信息载体、信息传输方式、信息存储方式等,及时修订完善保密制度体系,提升数字化时代下保密管理工作力度。遵循“管业务必须管保密”原则,严格执行保密工作责任制,确保责任传递全覆盖、无死角,促使企业整体保密工作水平转型升级,做到保密管理的科学化、规范化、制度化、法制化。油气田企业应优化内部管理流程,加强对保密工作的监管和控制。通过建立完善的保密管理体系,明确保密工作的各个环节,统一保密标准和规范,有效控制内部人员的操作权限及行为,从而减少内部泄密的风险。
3.切实加大保密工作硬件建设力度。加强技术保障措施、采用先进的技术手段防止不法分子的窃密,是信息化时代保密管理工作的重要内容。为此,要充分利用资源,添置、更新保密工作硬件设备,积极改善保密条件,不断更新保密技术,配置必需的保密技术防范设备,增强科技保密的防范能力和工作效能,提高科技保密管理工作的水平。主要可以通过强化涉密载体管控,严格执行“密来密往”要求,确保涉密载体的制作、收发、传递等全过程规范;通过强化数据秘密保护,针对不同的数据信息流转特点,完善以数据全生命周期动态安全管理为主要内容的防护措施,对数据创建、密级标定、知悉范围、数据存储、数据使用、数据共享、数据归档等进行访问控制和安全管理,积极构建新型数据安全技术防护体系。通过强化技术支撑,加强对办公内网、智能手机、新媒体及无线网络使用的保密管理,全面运用网络检查监测技术,有效防范和处置违规行为。
油气田企业应根据自身的情况,采用先进的信息技术手段,对数据进行加密、安全监控、风险评估等操作。例如,利用物联网技术实时监测油气田生产情况,快速发现异常情况,提高信息安全的反应能力;采用防病毒软件、漏洞扫描工具等技术手段,对企业信息系统进行全面监控和保护;要逐步为各级领导配备电子密码柜,在重点涉密会议场所配备无线通讯干扰仪,不断提高保密技术防范能力和监测水平;还要加强与安全厂商、科研机构等合作,了解最新的信息安全技术和相关趋势,使企业的信息保护工作始终处于领先地位。此外,油气田企业要严格内外网隔离要求,加强中石油安全终端工具箱应用,构建敏感信息数据“防火墙”,健全敏感信息、邮件监测、审查、反馈工作机制,确保敏感信息不外泄。强化权限管理,构建并完善数据权限许可管理,重点排查外聘人员、外包单位人员等是否存在违规接触秘密数据的行为,确保不发生数据泄密等安全事件。
4.加强保密监督检查力度。坚持以问题导向,建立健全保密检查长效机制,积极运用先进检查技术,做好风险提示,消除隐患短板,做到保密检查全覆盖。要突出三个“严格”:①检查依据标准要严格。保密工作各方面情况是否符合规定要求要严格按照检查标准进行判断。②现场整改标准要严格。对检查中发现的问题,应当场指出、立即纠正,不迁就、不遮掩、不变通。③问责标准要严格。对违反保密法律法规的行为,依法依纪严肃处理,以严肃追责推动保密管理各项制度规定的贯彻落实。在强化问题销号管理的基础上,加强对问题成因的分析研究,做到“标本兼治”。对某一专业、某一区域发现的问题,要举一反三,防止类似问题再次发生。
5.丰富保密宣传教育形式。保密法制的宣传教育是一项长期的基础性工作,必须坚持常抓不懈。企业应该牢牢掌握保密意识形态主阵地,强化规矩意识、红线意识,持续巩固保密工作的思想防线,实行常态化、日常化保密宣传,构建全方位、多层次、宽领域的保密宣传教育格局,不断强化保密意识,加强保密责任落实。油气田企业可以制定科学有效的保密宣传教育方案和计划,对保密宣传教育的内容设置征求意见,合理设置培训内容,从员工入职开始,就通过各种方式加强对保密意识的培训,让员工充分认识到保密的重要性,知道自身的保密责任,掌握基本的保密知识和技能,真正做到学有所用,警钟长鸣。
此外,油气田企业还应该建立培训效果评估机制,在工作中追踪保密培训对提升员工保密工作技能的实际作用,不断总结经验、修正培训方案,使保密培训内容内化于心,外化于行。以保密宣传月、保密宣传周活动为契机,用好传统阵地与新媒体技术,开展有内容、有声势的集体性保密宣传教育活动,营造“人人保密、时时保密、处处保密”的浓厚氛围,提高员工学习的积极性,让保密成为员工的行动自觉。
6.推动行业标准化建设。油气田企业应积极参与行业标准化建设,共同制定适用于油气田行业的保密标准和规范。通过推广行业标准化建设,提高油气田企业保密工作的整体水平,推进企业信息化和标准化发展,保障企业的信息安全。
信息化时代是油气田企业加强保密工作管理的重要时期,科学信息技术的迅猛发展给信息化时代下油气田企业的保密工作带来了更高的挑战与更难的要求,我们更应当通过加强保密意识培训、提高技术手段运用水平、加强内部管理和流程规范化以及推动行业标准化建设等措施,严防泄密和涉密违规事件发生,以完善的制度体系,监督检查的加强,宣传教育形式的丰富为油气田企业的高质量发展保驾护航。