信息設(shè)備維修泄密隱患分析與對策

隨著信息設(shè)備技術(shù)應(yīng)用越來越廣泛，因違規(guī)進行信息設(shè)備維修導(dǎo)致的泄密事件時有發(fā)生，給保密工作敲響了警鐘，值得引起高度警惕。

典型案例

◆送外維修易失控

案例1：2017年4月，某單位綜合處處長魏某為圖工作方便，違規(guī)安排工勤人員將1臺涉密計算機送外維修，致使維修人員將該計算機連接互聯(lián)網(wǎng)，并在該機上交叉使用兩個非涉密U盤，造成相關(guān)涉密文件失控。魏某被給予黨內(nèi)警告處分。

案例2：2013年6月，有關(guān)部門在工作中發(fā)現(xiàn)，某計算機服務(wù)公司計算機中存有某局相關(guān)的多份標(biāo)密文件和上千份內(nèi)部資料，給國家秘密的安全造成嚴重威脅。經(jīng)查，該局辦公室主任閆某于2009年5月違規(guī)將故障硬盤送至某電腦公司維修，后又轉(zhuǎn)至該計算機服務(wù)公司，造成涉密文件失控。閆某被給予行政記過處分。

◆◆雇人維修有風(fēng)險

案例3：2016年11月，某機關(guān)單位兩臺涉密計算機發(fā)生故障，無法連接內(nèi)部局域網(wǎng)。因當(dāng)日網(wǎng)絡(luò)維護技術(shù)人員生病住院，經(jīng)單位負責(zé)人尼某同意，工作人員姬某聯(lián)系某辦公設(shè)備公司售后服務(wù)人員進行維修，維修人員在不知情的情況下，將涉密計算機連接互聯(lián)網(wǎng)，導(dǎo)致多份內(nèi)部文件外泄。尼某和姬某被誡勉談話，并作出書面檢查。

案例4：2016年12月，某區(qū)監(jiān)控系統(tǒng)LED顯示屏故障，為確保相關(guān)調(diào)度工作及時到位，該區(qū)一線指揮部工作人員立即聯(lián)系售后服務(wù)企業(yè)維修人員搶修。因需要使用其他計算機，該區(qū)一線指揮部工作人員普某誤將涉密計算機當(dāng)作普通上網(wǎng)機交由售后維修人員使用，連接互聯(lián)網(wǎng)后發(fā)現(xiàn)該機彈出警告提示，于是迅速斷開了網(wǎng)絡(luò)連接。普某被誡勉談話，并作出書面檢查。

◆◆◆旁站監(jiān)督要落實

案例5：2014年8月，某部委借調(diào)人員付某使用的涉密計算機出現(xiàn)故障，未經(jīng)請示批準(zhǔn)，私自將計算機送交其戰(zhàn)友呂某維修，且沒有落實旁站監(jiān)督規(guī)定。期間，呂某因查找設(shè)備問題需要，多次使用該計算機連接互聯(lián)網(wǎng)，后又因要重新安裝操作系統(tǒng)，用個人U盤復(fù)制計算機相關(guān)文件進行保存，造成涉密信息失控。付某被給予行政警告處分。

案例6：2009年4月，某單位一臺涉密復(fù)印機發(fā)生故障，請售后服務(wù)商派人維修。修理人員經(jīng)過簡單測試后斷定是復(fù)印機硬盤問題，須將其帶回維修。該單位有關(guān)工作人員毫無保密意識，讓其帶走維修，且沒有落實旁站監(jiān)督要求。幾天后，該單位才意識到存在保密隱患，立即與售后服務(wù)商聯(lián)系，方得知該硬盤已被送往境外，導(dǎo)致涉密信息失控。有關(guān)責(zé)任人因此受到了嚴肅處理。

泄密隱患分析

上述案例看似很普通，但所反映出的失泄密渠道卻很典型，具有一定的普遍性和代表性，既有主觀上的因素，也有客觀上的不足，主要體現(xiàn)在以下幾個方面。

1.對維修工作的認識存在偏差。按照保密法規(guī)要求，維修國家秘密載體，應(yīng)當(dāng)由本機關(guān)、本單位專門技術(shù)人員負責(zé)。但當(dāng)保密和日常工作存在沖突時，很多工作人員不能始終把保密作為前提，主要體現(xiàn)在以下幾個方面：一是重工作效率，輕安全保密。很多機關(guān)部門任務(wù)比較繁重，設(shè)備如果在關(guān)鍵時候出現(xiàn)故障，工作人員往往第一反應(yīng)就是要盡快修好，于是病急亂投醫(yī)，通過網(wǎng)絡(luò)、朋友、售后四處尋找維修人員，不能冷靜地聯(lián)系定點維修，直接導(dǎo)致違反保密規(guī)定問題的發(fā)生。二是重維修結(jié)果，輕維修過程。很多工作人員能夠熟練使用信息設(shè)備的各項功能，但對其工作原理了解不深，所以在設(shè)備需要維修時，他們往往只關(guān)注設(shè)備功能是否恢復(fù)良好，而對讓誰維修、如何維修等問題并不關(guān)注，對維修人員的審核把關(guān)不嚴。三是重數(shù)據(jù)處理設(shè)備，輕辦公自動化設(shè)備。大家對于計算機等數(shù)據(jù)處理設(shè)備維修，都能夠提高警惕，而對于打印機等辦公自動化設(shè)備，往往覺得不存在泄密隱患，出現(xiàn)雇人維修的現(xiàn)象，殊不知目前市場上多數(shù)辦公自動化設(shè)備，和普通電腦一樣，硬盤能存儲任何經(jīng)它打印、復(fù)印、掃描、發(fā)送過的文字和圖像等數(shù)據(jù)信息，同樣存在較大的泄密隱患。

2.對維修工作管理不夠嚴格。按照保密法規(guī)要求，涉密信息設(shè)備維修，應(yīng)當(dāng)指定專人全程監(jiān)督。一些單位在設(shè)備維修過程中沒有很好地落實監(jiān)督人員旁站的要求，究其原因是維修工作管理不夠嚴格，主要體現(xiàn)在：一是臺賬底數(shù)不清楚。有的單位對涉密信息設(shè)備數(shù)量情況記錄不清楚，標(biāo)識不明顯，在使用、維修、報廢等方面不夠規(guī)范，導(dǎo)致很多涉密信息設(shè)備與普通設(shè)備混在一起，需維修使用時難以快速區(qū)分。二是維修審批不完善。有的單位在信息設(shè)備維修方面雖然制定了嚴格的審批程序，但實際執(zhí)行中隨意性大，落實不到位，制度形同虛設(shè)，特別是旁站人員陪同維修落實不夠。三是維修機制不健全。有的單位對于信息設(shè)備沒有明確指定維修單位，致使工作人員遇到設(shè)備故障過分迷信品牌售后服務(wù)，第一時間不是聯(lián)系單位信息化或保密工作機構(gòu)加以解決，而是私自聯(lián)系產(chǎn)品售后進行處理，導(dǎo)致違規(guī)問題頻發(fā)。

3.維修服務(wù)體系建設(shè)有欠缺。按照保密法規(guī)要求，涉密信息設(shè)備維修，應(yīng)當(dāng)在本單位內(nèi)部進行，確需送外維修的，須拆除涉密信息存儲部件。大家對涉密信息設(shè)備送外維修的高風(fēng)險都有一定認識，此類案件時有發(fā)生，與當(dāng)前保密技術(shù)服務(wù)體系不完善有較大的關(guān)系。一是市場上信息設(shè)備品牌和種類繁多，設(shè)計功能和原理有較大的差別，而各機關(guān)單位使用情況又各不相同，很多地區(qū)在布局選點上還有欠缺，構(gòu)建點面結(jié)合的涉密維修維護網(wǎng)絡(luò)還不能滿足目前的多樣化信息設(shè)備維修需求。二是部分地區(qū)涉密設(shè)備維修工作機制還不夠健全，在接修、檢測、維修、監(jiān)修和移交等環(huán)節(jié)的工作責(zé)任、工作流程以及服務(wù)標(biāo)準(zhǔn)還不夠規(guī)范，維修維護質(zhì)量和水平還有待提升。三是維修人員隊伍建設(shè)上相對滯后，普遍存在能力跟不上、流動較快、待遇偏低、投入不足等問題，制約了保密技術(shù)服務(wù)事業(yè)發(fā)展。

防范泄密對策

通過分析這些案例發(fā)生的原因，筆者認為杜絕信息設(shè)備維修泄密隱患，需要機關(guān)單位和保密行政管理部門共同努力，重點從以下幾個方面進行治理。

1.加強保密教育，提升保密意識。充分利用身邊人、身邊事，講清保密工作的具體要求，展示泄密案件的重大危害，讓全體工作人員，特別是涉密人員時刻牢記保密要求，在維修信息設(shè)備上嚴格落實相關(guān)保密規(guī)定，堅決克服僥幸心理和圖省事思想，確保各項保密措施覆蓋設(shè)備維修全過程。

2.強化主體責(zé)任，完善保密措施。加強對涉密信息設(shè)備的管理，統(tǒng)一采購、登記、標(biāo)識、配備，做到臺賬完備，底數(shù)清楚，責(zé)任使用人明確；建立完善信息設(shè)備維修使用管理制度，落實“誰使用，誰負責(zé)”原則，嚴格履行維修審批登記手續(xù)；統(tǒng)籌保密設(shè)備維修管理，在加大構(gòu)建涉密維修維護網(wǎng)絡(luò)的同時，注重強化保密資質(zhì)（資格）單位的宣傳和相關(guān)技術(shù)合作交流，充分發(fā)揮保密技術(shù)服務(wù)機構(gòu)主體作用，不斷豐富技術(shù)防護、技術(shù)檢測、維修維護等方面的手段和能力。

3.加強監(jiān)督檢查，堵塞泄密隱患。機關(guān)單位要適時開展自查自評，對涉密信息設(shè)備從購買到報廢全壽命全過程，嚴格按有關(guān)保密規(guī)定管理；將辦公自動化設(shè)備納入檢查范圍，高度重視涉密信息設(shè)備維修等重要環(huán)節(jié)，及時查找存在的泄密隱患，確保保密法規(guī)規(guī)定能夠得到有效的落實。保密行政管理部門要通過常規(guī)檢查、專項檢查等方式，加強對信息設(shè)備使用、維修等違規(guī)問題的查處。

（原載于《保密工作》2018年第8期）