设为首页  加入收藏
2014年12月1日例会学习资料

发布时间:2014-12-01 10:39    浏览量:    文章来源:未知

 警惕!新媒介泄密

近年来,随着微信、QQ等新媒介的广泛应用,相伴而生的泄密事件呈上升态势,由于其传播时间迅速,传播范围广泛,造成的危害十分巨大,应当引起高度警惕。

微信:快速的大范围泄密渠道

微信是2011年初推出的一款支持多人文件资料共享的互联网移动应用软件。据报道,截至2013年底,全球微信用户已达6亿,是移动互联网上使用人数最多的应用。2013年以来,发生了多起通过微信泄密的事件,由于微信信息资源共享十分方便,一旦发生泄密事件,信息往往呈几何数级扩散。

 

 典型案例:

2013年底,多个微信群中传播着一份涉密文件的影印件,造成严重泄密。有关部门立即介入调查,案件很快水落石出。

经查,10月下旬某日,某单位在内部招待所组织集体学习某会议精神,涉密人员刘某在个人房间中阅读、学习某涉密文件过程中,接到同事邹某发来的聊天微信。刘某和邹某平常关系很好,是微信上的好友。闲聊中,邹某无意中问起刘某在干什么,刘某答复在阅读某涉密文件。邹某一下子被勾起了兴趣,他本来就比较关注文件涉及的某部分内容,就问刘某,能否讲讲文件中关于某部分内容是怎么阐述的。刘某虽然意识到这份文件是涉密的,但侥幸心理和人情考虑还是占了上风,他想到自己和邹某是铁哥们儿,又是同事关系,邹某应该不会把涉密文件传出去,就答复道:我把那一部分拍下来发给你。随即,刘某用手机将有关内容拍照后,通过微信发给了邹某。

邹某看到刘某发来的文件截图后,确信刘某正在阅读该文件,于是追问刘某能否把文件全文发给他看看。刘某错上加错,回复邹某:文件内容比较多,我慢慢拍了发给你,不要着急。随后,刘某花了2个多小时的时间,将文件主要部分进行拍照,陆续通过微信发给邹某。邹某看到文件后,感到文件内容很有用,随即将其中的部分照片在自己的微信群中进行了分享。

此后,邹某又将文件照片整理成较为完整的文档,出于资料共享的目的,通过微信发送给好友王某,王某又传递给其朋友和同事,王某的朋友和同事又通过微信在较大范围内传播扩散,造成该涉密文件大范围泄露。事件发生后,刘某受到留党察看一年、撤职处分,并调离涉密岗位,邹某受到撤职处分。

 

点评:

千里之堤,以蝼蚁之穴漏;百寻之屋,以突隙之烟焚。工作中,经常可以看到,一些涉密人员在从事涉密工作时,身边放着手机。提醒之,答曰:我就放旁边,不会泄密的。然而就是在这一次次的满不在乎之中,造成了泄密的恶果。在前些年查处的经济数据泄密案件中,办案人员发现,责任人孙某就是一手拿着涉密数据,一手通过手机短信将涉密数据源源不断地泄露出去的。

勿以恶小而为之,这些看似不起眼的小恶,正是一步步侵蚀和摧垮保密长堤的致命管涌。在一些机关单位中,随处可见将涉密文件复制、扫描,甚至通过互联网电子邮件发送的现象,也许一两次违规难以发现,可能还心存侥幸。但是,长此以往,就会慢慢放松警惕,违规就会慢慢成为习惯,到那个时候,离泄密也就不远了。

 

QQ 危险的互联网办公工具

     相比于微信,QQ则更经常应用于连接互联网的计算机上。从笔者了解的情况看,在一些机关单位,QQ已然成为一种常用的互联网办公工具,沟通信息用QQ聊天、传递文件使用QQ邮箱、群发文件使用共享文件。2013年以来,使用QQ传递、群发涉密文件的案件时有发生,值得引起我们的注意。

 

典型案例:

201310月,某重要涉密文件在互联网上被泄露。经查,刊登该文件的是某县一所中学的门户网站,文件来源于学校所属的县教育系统QQ群。该QQ群是县教育局办公室为方便发布通知、传达文件,组织各中小学办公室主任组成的。

10月下旬,该县教育局办公室主任马某为及时组织传达某会议精神,向县委某部门办公室主任周某索要市委有关部门的会议文件。周某手中的文件则来自其上级某部门办公室主任洪某。是洪某在明知该材料属于国家秘密的情况下,要求办公室副主任王某通过QQ在线传递给周某的。周某收文件后,在县委组织的会议上进行了发放,并于会后通过QQ邮箱传递给马某,马某又将该文件上传至QQ群共享文件夹中,供各中小学传达学习。某中学办公室主任从QQ群文件共享中下载了该文件,刊登在学校门户网站中,造成泄密。事件发生后,洪某、周某受到党内严重警告处分,王某受到党内警告处分;有关部门对负有领导责任的人员进行了诫勉谈话,并责令作出书面检查。

 

点评:

破山之雷,不发聋夫之耳;朗夜之辉,不开矇叟之目。一些机关单位的同志,长期在涉密环境中工作,对涉密文件终日视之而不见,听之而不闻,违规操作,导致泄密,虽无主观故意,但客观上产生了开门揖盗、拱手送密的后果。本案中,有关责任人员在明知会议材料是国家秘密,仍然心存侥幸,违规操作。从市委某部门到县委某部门再到县教育局,有关工作人员缺乏应有的工作责任心,在文件传达过程中,该审核不审核,该报批不报批,满足于完成任务式地层层转发。这种情况,在实际工作中并不少见。比如,近期发生了多起机关、单位互联网OA系统中存储、传递涉密文件资料的案件,探究起来,都是有关工作人员缺乏责任意识,贪图工作方便,明知有关文件资料属于国家秘密,却不按照涉密文件保管、传递的要求进行操作,违规扫描,违规传递,最终导致了泄密。

希腊神话中有一个故事叫《塞壬女妖的歌声》,说的是居住在塞壬岛上的女妖,会对着经过的船只唱起悠扬动听的歌,每个听到歌声的人,都会情不自禁地跳入大海,为追寻魔幻歌声而葬身鱼腹。英雄奥德修斯路过塞壬岛时,想听听女妖的歌声,他让水手们把耳朵用蜡封住,然后用绳索把他绑在桅杆上。随着越来越接近塞壬岛,美妙的歌声传入奥德修斯的耳朵,他不禁心潮澎湃起来,在桅杆上使劲晃动,由于水手们什么都听不见,仍然划橹前行,他们最终逃脱了塞壬女妖的歌声。而今,随着互联网技术的不断发展,微博、微信、网盘、云存储等层出不穷,极大地方便了我们的工作和生活,然而对于保密工作而言,这些就犹如塞壬女妖的歌声,虽然美妙,但暗藏杀机。要保护好国家秘密,每一位涉密人员都必须坚定涉密不上网,上网不涉密的根本底线,具备信息化条件下保守秘密的基本意识和常识,这是英雄奥德修斯绑在身上的救命绳,也是确保国家秘密安全的安全索。

美国有多少涉密人员?

截至去年101日,美国拥有涉密资格的人数超过486万,美国国家情报总监办公室7月下旬在提交国会的专题报告里披露了相关数据。

2010年,美国国会在当年的《情报授权法》中明确要求行政当局就拥有涉密资格的人员数量及相关审批情况提交年度报告。去年公布的首份报告披露,美国拥有涉密资格的人数超过420万,令国会、媒体和研究人士吃惊不小——美国号称民主典范,讲究限制政府权力,保密系统也一直主张最小化原则,这一数字显然超出了人们的心理预期。今年的报告不但创造了新纪录,而且按新的统计标准将去年公布的数据修正为470万,引发又一轮批评在所难免。

国会当时出台相关条款的目的,是加强对情报界的监督,督促安全保密系统解决涉密资格审查的延宕和脱节问题,美国产业界对此抱怨已久。至于美国拥有涉密资格的人数,此前公众了解甚少,国会的政府责任署(简称GAO,旧译总审计署)的估算误差很大,比后来正式公布的数字少了100万。

美国议会目前正在审议《2013财年情报授权法案》,在参院的版本中,提交专题报告的条款被取消。为此,22家民权团体于87日致信参院领导人,要求保留原来的做法,以保持和增进公众对安全保密系统的了解与监督。

此事将如何演进还有待观察,本文关心的是:美国到底有多少涉密人员?

报告提供的是美国政府及政府承包商中拥有涉密资格的人数,不能和涉密人员数量划等号,但为外界了解其规模提供了参照。

报告显示,截至去年101日,美国拥有涉密资格的人数超过486万,其中秘密和机密级345万,占70%,绝密级141万。这486万人中有345万为政府雇员,108万为承包商,被划入其他类的有32万人。在该财年中,美国政府新批准的涉密资格总人数为85万(其中政府雇员58万,承包商20万)。

照此统计,美国拥有涉密资格人数的年增长幅度超过了20%。又是一年过去,目前其总数很可能超过500万。美国是人口大国,总人口超过3亿,尽管如此,它拥有涉密资格的人数,以及相应的涉密人员规模仍可谓惊人。这一现象凸显了美国的两面性:政治上主张有限政府小政府,实际上其政府规模极为庞大(资料显示,美国吃政府饭的人数超过2400万,占总人口的8%);自认为民主国家,却拥有世界上最强大的军队和情报系统,以及规模最大的军工产业。

这两点,是美国涉密资格人数高企的背景因素。与此同时,美国的涉密人员管理保持着一定的开放性。美军和美国情报界一贯重视科技力量,与硅谷和院校等研究机构的合作很密切,许多涉密项目以军民融合方式进行,参与此类项目的民间人士,事先要取得涉密资格,比如在硅谷创业期间的乔布斯。再者,美国的信息、咨询业很发达,各种智库、基金会的数量众多,政府、军队是其重要的服务对象(比如兰德公司),接触内部信息的情况不可避免,没有涉密资格,其工作很难开展。

这种开放性甚至在司法领域也有体现,比如专门打国家安全和涉密官司的律师,也可以申请涉密资格,并且申请门槛不算太高,它不需要你证明绝对忠诚,遵纪守法、言行举止符合主流价值观即可——在美国的司法架构中,维护被告的合法权益至少和保密的价值同等重要。

 

五角大楼新版保密管理手册简介

保密系统有一种不是太正确的说法:保密法是统领,实施《办法》或《细则》是支撑,如果只有保密法没有《办法》,保密工作没办法开展。

一段时间以来,美国就面临这样的问题。以奥巴马发布13526号总统令为标志(200912月),美国政府对其保密政策进行了重大调整,大政方针已定,可具体怎么操作?”2012224日,美国国防部在完成庞杂的废、改、立工作之后交出了自己的答卷,新版信息安全程序(文件编号5200.01)公布并以手册形式下发,沿用十多年的1997版就此废止。

信息安全的名,实际全是保密内容,这种两个概念交叉混用的现象,在美国当前的保密管理文件中并不少见。

作为五角大楼保密管理的全面解决方案5200.01以明确规则、程序和办法为要义,以规范实务、操作为目的,其主要对象为负有保密领导职责的政府官员和专业的保密管理人员,而非一般意义上的涉密人员。

这个手册的篇幅可真不小,全文3584大卷,标题分别为:概述、定密和解密,保密标志,涉密信息的保护,受控非密信息(CUI)。

概述部分为了解美军和美国的保密体制敞开了一扇窗口。上自总统,下至保密专员(正式名称是行动安全管理者,有自己的小体系),他们的权力和职责是什么,怎么开展工作,怎么和政府其他部门、司法系统、合同商、北约组织甚至外国政府打交道,介绍得很详细,站在阅读者的角度,兼收宏观和微观之效,因此也可以把它当作美军保密管理的镜子甚至全息图来看。

新总统令坚持的保密工作原则在定密部分集中体现,听着有点像美式官话和套话,但不是废话。比如,讲保密,同时也讲共享、利用和效率。33页开始阐述定密政策:保密只能用于维护国家安全这一目的;重申有重大疑问就不能定密,不得错定或高定,要尽快解密等两届民主党政府坚持的原则;秘密的源信息必须为政府所有、所生成、为政府所用或技术上可被政府控制一旦泄露,所造成的损害必须是明确的、可界定的;重复总统令中关于不得定密4项禁止性条款,单列基础科研活动及其成果不得定密,除非直接与国家安全相关,等等。

 “不得不要这样的字眼是保密管理文件中少不了的,但5200.01给人更强烈的印象是应怎样怎样去做,很符合它实施办法管理手册的定位,具体操作的人因此不必搞什么创新和探索。此类内容才是整个文件的主体,但对介绍者来说比较难概括,因为它最合适的用途是有问题来查,然后照着去做,本文只能对它进行简化的外在描述。

解密是奥巴马保密改革的重点之一(代表性举措是在档案局之下成立国家解密中心),5200.01对如何开展解密工作(密级变更等也被列入这一块)有具体、细致的安排。突出的感受是,解密已内化为保密管理的日常工作,而非停留在文件上的点缀,这一点,仅从篇幅上就能看出来。

 第二卷保密标志占全文1/3,读起来像微软office教程,手把手教你的那种。这说明两点:美军的保密标志已经体系化、标准化;内容虽然复杂但搞顶层设计的人头脑还是清楚的,没把自己绕进去。新标准不但对地图、胶卷、照片、可移动存储介质等载体的标志作出明确规定,同时也出台了电子环境下的保密标志管理规则,电子邮件、网页、链接、BBS、博客甚至即时通信都被纳入其中。

第三卷专述保密管理,篇幅最大,内容为三块涉密信息的保护、存储、销毁、传输和运送;教育培训,违法违规行为的调查查处,危机处置和损害管控;信息安全管理者应知应会的信息技术。或许这部分的参考价值最大,其中的涉密会议管理、非传统环境下的保密管理(新技术、设备、社交网站等等),都不乏借鉴意义。

     因为白宫仍未确定相关政策,第四卷的CUI管理实际上是个过渡性的东西。

     就笔者所见,5200.01是美国能源部20058月版信息安全手册第二年被披露出来之后最具参考价值的一份国外管理文件,它体现了政府的政策调整,反映时代要求,有利规范和指导实际工作。

内事不决问百度,外事不决问谷歌,美国已将这份文件公开,需要的人可以上网去查。

 

破解商业秘密确认难题

商业秘密范围划分方法尚无统一标准,而且由于各企业的商业秘密信息不同、环境不同、保护要求不同,也无法建立统一的识别方法和标准。一般来说,企业可采用列举式、概括式和强制式三种方法,划分出本单位的商业秘密范围。

列举式方法。所谓列举式,就是将企业内符合商业秘密构成要件的信息全部列举出来。实践中,一般由企业内负责商业秘密保护的部门会同各业务部门,对企业的业务流程、岗位职责划分进行深入调查研究,对各类信息产生的形态及其价值和保密要求进行细致分析,形成本企业的商业秘密信息范围清单或商业秘密事项目录。

采取列举式方法,企业各业务部门只需按照目录或清单,对号入座即可完成商业秘密事项的确定和定级工作,适用于组织机构复杂、业务流程相对稳定的大型企业。但是,由于列举式方法需要提前统一编制商业秘密事项清单,前期工作量大、涉及部门多,需要企业最高管理层统筹协调安排,从各部门抽调专人或委托商业秘密保护专业咨询服务机构才能完成。

概括式方法。所谓概括式,就是将企业的商业秘密信息概括性地划分为几个大类,然后规定一个相对科学的商业秘密信息识别和确定标准,企业各个部门依照统一的标准,界定具体的商业秘密事项。

概括式方法不需要编制繁杂的商业秘密清单,各部门只需按照标准自行判定是否属于商业秘密。这种确定商业秘密的方法简便快捷,但由于各部门对标准理解和把握的差异,可能会出现对商业秘密确认不完整、保护不周延、不统一等种种问题。因此,这种确认方法仅适用于规模小、商业秘密资产变化较快的企业。

强制式方法。所谓强制式方法,就是强制性地把某些信息规定为商业秘密,并统一规定其密级。强制方法仅限于在一定时间内对特殊项目的管理,如项目研发、样品制造、招投标活动、市场推广、商务谈判等。强制式方法把特定范围内的信息规定为商业秘密,甚至把一些不属于商业秘密的信息也提升到最高保护等级,企业在条件具备时应及时解除强制状态,防止保护过度导致的成本浪费。

一般说来,对于大型企业或研发类企业,可综合运用上述三种方法来保证保护成本的最优化。如:在运行稳定的企业集团总部、管理层和职能部门,可采取列举法;对于商业秘密资产变化快、数量多的研发部门采用概括法更为有效;对特殊的研发项目则可以采取强制式方法。

商业秘密的密级、保密期限及保密标志

由于商业秘密的多样性和复杂性,法律并未对商业秘密的密级、保密期限及保密标志作出统一规定,而由企业根据生产经营管理实际需要自行决定。

商业秘密的密级划分。实践中,有的国有企业参照国家秘密的密级划分,将商业秘密划分为绝密级、机密级和秘密级三级,这一划分方法易于将商业秘密与国家秘密混淆,不应提倡。2010年,国务院国有资产监督管理委员会出台的《中央企业商业秘密保护暂行规定》,对中央企业商业秘密密级的划分提出了指导性意见,要求根据泄露会使单位的经济利益遭受损害的程度,将商业秘密确定为核心商业秘密普通商业秘密两级,但是也不乏将商业秘密分为三级、四级、五级、六级乃至七级的企业。

商业秘密的保密期限。市场形势瞬息万变,商业秘密的价值周期也难以确定:一项原定为5年保密期限的研发技术,可能随着技术发展,不到1年就丧失了保密价值;原本处于高度保密状态的市场拓展方案,随着竞争态势的变化,提前将其公之于众可能更容易达到预期目的。因此,商业秘密的保密期限宜由企业根据具体情况变化自行设定、及时调整。

商业秘密的保密标志。标注保密标志符合商业秘密保护的基本要求,企业商业秘密一经确定,建议在其载体上做出明显标注。标注的方法,由企业自行确定,也可参照《中央企业商业秘密保护暂行规定》的要求,标注核心商密普通商密。实践中,有的企业将保密标志设计得鲜明醒目,纸介质密件的封面使用不同的颜色,电子文档铺满不可删除的企业LOGO,这既强调了商业秘密的权利,也向接触、使用者发出了保密警告信号。另外,为避免造成管理上的混乱,建议将商业秘密的保密标志与国家秘密的密级标志明显区别开来。



版权所有 © 2014-2034 中共马龙县委办公室 ICP备案:滇ICP备14001280号