摘要: 本文结合当前信息安全保密新形势及国防科技工业的特点,论述了构建国防科技工业信息安全保密体系的必要性,明确了国防科技工业信息安全保密体系的目标定位,从构建宣传体系、责任体系、制度体系、技术体系、组织体系、保障体系、更新体系等方面探讨了构建国防科技工业信息安全保密体系的基本结构框架。
关键词: 国防科技工业;信息安全;保密;体系
引言
以现代信息技术为核心的高新技术,将人类社会推进到信息时代,高新技术在军事领域的广泛应用,正在引发一场新的深刻的军事革命,给国防科技工业的发展带来了机遇,也使国防军工信息安全保密工作面临严峻的挑战。如何适应新形势新任务的要求,依据国家相关法律、法规,结合本系统实际,构建一套有军工保密特色的、科学、规范、系统的信息安全保密体系,走科学化保密管理之路,已经成为新形势下需要重点思考的课题。
1构建信息安全保密体系的必要性
1.1构建信息安全保密体系,是加强国防科技工业建设的需要。能否有效保护军事秘密安全,对国防科技工业建设来说,历来是生死攸关的大事。信息安全保密,已成为国防科技工业信息安全保密工作的主体。信息的获取与防护能力,已成为战争制胜的关键因素。以信息防护为主要内容的军事保密,已不再是一项单纯的保障性工作,而成为信息战的一种重要手段。世界各国尤其是发达国家,都非常重视信息安全保密建设,纷纷把信息安全保密放在国家安全和国防建设的突出位置。
1.2构建信息安全保密体系,是国防科技工业新形势下安全保密的需要。国防科技工业作为国家战略性产业,有几个突出特点,一是科技含量高,代表国家科技领域的前沿技术。二是涉密程度高,很多涉及国家核心秘密。三是研制周期长。目前,我国国防科技工业在科研生产、行政管理等方面,都面临着许多新情况、新问题。其中一个突出方面,就是境内外敌对势力,越来越多地利用现代科技手段,尤其是信息技术,对我进行窃密、渗透和破坏。特别是最近几年,国防科技工业系统连续发生了多起间谍窃密案件,给国家安全和利益造成重大损失。国防科技工业安全保密面临的形势十分严峻,亟待构建系统、规范的信息安全保密体系。
1.3构建信息安全保密体系,是信息安全保密工作从制度化向体系化管理迈进的历史必然。许多管理工作都经历了从制度化管理向体系化管理的渐进过程,从国家保密局对信息安全保密管理的宏观走向,可以清楚地看出体系化管理思想的形成和演变过程。早期颁布涉密信息系统安全保密审批办法属于典型的制度化管理做法,将管理要求以单一的规章制度来体现,其执行力难以得到有效保证。而近年来陆续颁布的标准要求和开展的相关工作,如涉密信息系统建设指南、分级保护技术要求和管理要求、安全保密技术研发和产品测评、涉密信息系统的系统测评、涉密信息系统建设资质审核等,是按照体系化管理的思想构建的闭环管理体系。尽管它在许多方面还有待补充和完善,但是,已经可以明显感受到它对信息安全保密管理工作的指导力、支撑力和强制力。信息安全保密工作的加强,需要体系化,信息安全保密工作的提升,离不开体系的建设。构建信息安全保密体系,是军工生产单位保密管理方式从低级向高级发展的一次飞跃,是信息安全保密工作从制度化向体系化管理迈进的历史必然。
2构建信息安全保密体系的关键是正确的目标定位
按照体系化思想来开展信息安全保密工作,目标定位是至关重要的。对于国防科技工业信息安全保密工作来说,它需要什么样的体系呢?不言而喻,保守国家秘密、维护国家安全和利益是信息安全保密工作的永恒目标。信息安全保密工作需要的体系应该是紧扣保守国家秘密、维护国家安全和利益的总目标,建立一个以发现、消除泄密隐患为目标,将各个管理终端连接成一体,能够迅速作出决策,功能强大,高度动态性的控制平台,使信息安全保密工作渗透到科研生产及管理活动的各个环节、整个过程,确保一旦科研生产任务启动,信息安全保密工作就自动运行,保证国家秘密始终处于受控状态,使保密管理无缝隙、无漏洞,将保密管理工作纳入科学化、系统化、规范化的轨道。
3构建信息安全保密体系的基本结构框架
信息安全保密管理体系是融入了管理学、法学、信息科学、心理学、密码学、情报学、计算机科学等多门学科的综合性专业的体系。体系在实施过程中,应体现全方位、全过程管理、全员参与和持续改进的特点。从军工单位实施保密认证五年的实践来看,构建信息安全保密体系框架,应该由宣传、责任、制度、技术、组织、保障、更新等七大体系所组成。
3.1宣传体系。
做好新时期高技术条件下的计算机网络信息安全保密工作,关键在人,因此,要注重人的因素,采取各种有效形式,进行保密形势教育,引导职工了解、分析当前信息安全保密工作中出现的新情况、新问题,看到信息安全保密工作面临的严峻形势和挑战,强化越是改革开放,越是要加强信息安全保密工作的观念;要进行爱国主义教育,使职工认识到信息安全保密工作是关系到国家的安全和利益,关系到党的生死存亡和社会主义现代化建设事业成败与否的大问题,强化“国家利益”的观念;利用重大窃密典型案例进行反面教育,使大家看到以美国为首的西方敌对势力亡我之心不死,强化“敌情”观念;进行由于高技术进入窃密领域,保密与窃密的斗争越来越尖锐复杂的新情况教育,使大家认识到高技术越是迅猛发展,越要做好计算机网络信息安全保密工作,强化“科学保密”观念,提升全体职工的保密意识,实现职工“要我保密”向“我要保密”的观念转变,真正在全体职工的思想上、组织上、行为上筑牢信息安全防线。
3.2责任体系。
按照“谁主管,谁负责”的原则,实行“政府主管部门监督指导、企事业单位分级负责”的信息安全保密工作责任制。“谁主管,谁负责”是指业务工作谁主管,相关业务范围内的信息安全保密工作谁负责,使领导人明确自已的安全保密责任,保证国家有关信息安全保密工作法律、法规、方针政策的贯彻执行,提供信息安全保密工作条件,进行保密检查,从而推进各项工作落实。上级与下级、单位与部门、部门与个人签订“保密责任书”,实行责任考核,将保密纳入任期目标考核内容,作为单位和集体评先创优的考核内容,作为职工绩效工资和评职晋级的考核内容,明确责任追究形式和方法,层层分解安全保密责任,形成层次清晰、职责明确、逐级负责,实现从上到下、从组织到个人的安全保密责任体系。
3.3制度体系。
不断完善规章制度,建立规章制度体系,是加强信息安全保密工作的根本措施,是实现信息安全保密管理体系化持续改进的标志。不断加强制度建设,建立涵盖保密教育、定密和变更密级、国家秘密载体保密管理、涉密人员管理、计算机和信息系统管理、涉密通信及办公自动化保密管理、保密监督检查、涉密会议管理、外场试验管理、协作配套管理、涉密人员管理、泄露国家秘密事件报告和查处、重大涉密活动保密管理、涉外保密管理、责任追究与奖惩等方面的基本制度,做到各项保密管理有章可循、有序进行。
3.4技术体系。
强化信息安全防范能力、提高技术装备水平是构建信息安全保密体系的有力保证。在网络技术高速发展的今天,信息安全技术涉及的内容很多。大体包括以下方面:实体硬件安全,软件系统安全,网络安全防护,数据信息安全,病毒防治技术,防火墙技术,网络站点安全。
3.4.1实体硬件安全。满足设备正常运行环境的要求,包括为保证机房的温度、湿度、清洁度、电磁屏蔽要求而采取的各种技术和措施;相应高可靠、高技术的产品;为防止电磁辐射泄露的高屏蔽、低辐射设备,为保证系统安全可靠的设备等。
3.4.2软件系统安全。针对所有计算机程序和文档资料,保证它们免遭破坏、非法拷贝和非法使用而采取的技术和方法。包括操作系统、数据库系统、所有应用软件的安全,口令控制、鉴别技术、漏洞扫描、软件加密、软件防拷贝、防跟踪技术。选用系统软件和标准工具软件、软件包,保证软件满足安全保密技术标准要求,确保系统安全运行。
3.4.3网络安全防护 。网络安全是指网络运行中的保密性、完整性、可用性及可审查性。包括对象认证、访问控制、数据保密性、数据完整性、防抵赖等安全服务。通过建立加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、防业务流分析机制、路由控制机制、公证机制、安全审计等网络安全机制,进行鉴别管理、访问控制管理、密钥管理、信息网络的安全管理,以保证运行系统、网络上系统信息、信息传播、信息内容等的安全。
3.4.4数据信息安全。为保证计算机系统的数据库、数据文件和所有数据信息的免遭破坏、修改、泄露和窃取而采取的一切技术、方法和措施。包括用户身份识别技术,口令、指纹验证技术,存取控制技术和数据加密技术,以及建立备份、应急响应和系统恢复技术,异地存放、妥善保管技术等。
3.4.5病毒防治技术。计算机病毒威胁计算机系统安全,这已成为一个重要的问题。要保证计算机系统的安全运行,除了运行服务安全技术措施外,还要专门设置计算机病毒检测、诊断、杀除设施,并采取成套的、系统的预防方法,以防止病毒的再入侵。
3.4.6防火墙技术。防火墙目的是提供安全保护。我们要不断完善网络系统的“防火墙”功能,阻止“黑客”入侵网络,防止窃取、拷贝、更改或毁坏网络信息。
3.4.7网络站点安全。为了保证计算机系统中的网络通信和所有站点的安全而采取的各种技术措施。包括身份鉴别、数字签名技术、访问控制技术、加压加密技术、密钥管理技术等。此外,还应该正确选用网络产品、高安全的网络操作系统产品。
3.5 组织体系。防患未然,建立科学、高效、规范的信息安全保密组织体系,提供专门的组织编制和实力编制,是建设信息安全保障体系的根基,是做好信息安全保密工作的重要保证。
3.5.1组织领导机制。组织领导机制,即保密委员会和安全保密领导小组,其职责是:对信息安全工作实行统一领导、分工负责,从组织上保证保密工作常抓不懈,确保信息安全工作有计划、有组织地实施。
3.5.2保密工作机构。其职责是:对单位保密工作进行指导、监督和管理;拟定基本保密制度,指导二级制度和专项制度的制定;组织对涉密人员的保密教育、培育;组织、指导定密和变更密级工作;对国家秘密事项知悉范围的确定进行指导和监督;对涉及或可能涉及国家秘密的事项组织审查;组织确定和调整保密要害部门;组织制定和指导实施保密防护措施,对保密防护措施的落实情况进行监督检查;查处违反保密法规的行为和泄密事件等。
3.6保障体系。
根据信息安全保密工作的需要,将信息安全保密工作执行情况纳入目标管理考核,设置考核要素和标准,制定考核评价的评分细则;加强对信息安全管理的监管力度,充分发挥信息安全职能部门的作用,利用有效的手段和技术,对各业务部门信息的使用与管理情况实施有效的监控、指导和管理。建立定期的保密专项检查、不定期的巡查制度和检查结果通报与责令整改制度,建立互相关联的考核机制、奖惩机制、内审机制、日常检查机制、泄密隐患预警机制、违规事件查处机制,为落实信息安全保密工作提供有力保障。
3.7更新体系。
组织的管理体系从其产生开始,就不可能尽善尽美,因此,管理体系总是在不断完善和改进之中。用新的管理思想、方法和措施来改造和完善组织的管理体系,本身也是实施体系化管理的重要内容。通过识别改进保密管理的需求、确定改进保密管理的目标、制定改进工作的方案和评价改进工作的效果等工作流程,使保密管理不断创新发展。在总体目标框架下建立持续改进模式。
4 结束语
信息安全保密工作是一门科学,必须按客观规律办事,走全面协调可持续发展之路。保密管理体系的构建与实施,有利于促进信息安全保密工作的开展,做到有章可循,有据可查,使信息安全保密工作更加科学化、规范化、系统化,但是,如何构建科学的保密管理体系,仍然是需要信息安全保密工作者不断探索的重要课题。相信随着对信息安全保密工作特点和规律研究的不断深入,保密管理体系的理论研究和管理实践必将结出丰硕成果,在维护国家安全和利益中发挥重要作用。
参考文献:
1. 田忠 以体系化建设促进保密工作的全面发展 [J]保密工作 2008 V01.1 P30-32
2. 满宁 体系化管理-美军作战体系给我们的一些启示 [J]保密工作 2008 V01.1 P35
3. 徐济仁 计算机安全技术综述 [J] 舰船电子对抗 2006 V01.26 No.2 P38-39
4. 毕军 构建边防部队信息安全体系的几点思考[J] 武警学院学报 2006 V01.22 No.2 P15-17
5. 蔡立军 计算机网络安全技术 [电子文献] 中国水利出版社出版
(责任编辑:)
