从国防科技工业安全保密

以“六条规定”为纲，建立保密主动“防护网”

——谈国防科技工业涉密单位计算机、互联网使用保密保障体系的建设

摘要：以计算机、互联网为媒介的非自主泄密，已成为当前国防科技工业涉密单位最主要的泄密方式和趋势，针对于此，国防科技工业安全保密“六条规定”应势出台，强令要求和指导涉密单位如何保密，杜绝计算机、互联网泄密。本文以“六条规定”为纲要，并结合工作实际进行延伸，从人防、技防的角度出发，研究国防科技工业涉密单位保密保障体系的建设，针对于计算机、互联网使用所造成的泄密问题，提出建立保密意识“防护墙”、规章制度“保密盾”、管理监督“加密锁”三位一体的计算机、互联网使用保密保障体系。

关键词：国防科技六条规定保密

现今，任何科学研究都离不开计算机和互联网的使用，而随着计算机和互联网在科研领域使用的越来越深、越来越广，其也成为了高科技窃密所使用的一条主渠道，甚至称之为窃密的利器。由此造成的泄密问题快速的浮出水面，日益严重。尤其在重要、重点的，掌握高精尖技术的国防科技工业相关的涉密单位，更成为窃密分子通过计算机和互联网进行窃密“攻击”的重点对象。彻底抛开计算机和互联网的使用，不现实。面对这种有着潜伏很深、随时随地存在、专攻麻痹大意特点的计算机和互联网窃密，我们所能做的、所要做的就是要建立一个完善的、强大的计算机、互联网使用保密保障体系，所谓“魔高一尺道高一丈”，以主动地保密意识、谨慎的保密行为、严格的保密管理、更高的防窃秘技术，杜绝泄密，保证秘密的安全，使窃密者无孔可钻、无计可施。

一、建立时刻具有保密警醒的自我意识“防护墙”

保密意识“防护墙”的建立，这是人防泄密的核心和关键，也是这个计算机、互联网使用保密保障体系的核心和关键，是保密的第一道关口。

存在于国防科技工业涉密单位的泄密行为，绝大多数为非主动的无意识泄密，根源之一就在于保密意识的薄弱。而保密意识“防护墙”就是针对于此最有效地、主动地泄密防卫。这层“防护墙”，主要作用就是时刻保持着对保密的警醒——在言，警觉是否涉密，出口之前，过滤掉涉密信息；在行，熟知保密工作流程，操作前后，确保无违规，无泄密。

保密意识的薄弱，没有建立起保密意识“防护墙”的主要因素有以下两点：第一，没有进行正规、系统的保密教育，使相关人员对于保密常识、保密技术、

涉密关联等一知半解，或知其一不知其二，从而从根本上无法树立起保密的意识，不知觉就发生了涉密的行为；第二，缺乏责任心、责任感和对问题严重性、严肃性的深刻理解。最明显的例子就是不少涉密人员对保密的认知还没有提升到法律的高度，缺少“畏惧感”、“责任感”。正是这种“畏惧感”、“责任感”的缺失，反馈到行为上就变成或对工作的重视程度不够，或意识上的懒散、松懈，而使保密只停留在表层，虽然掌握了保密的相关知识和技术，却不能积极主动地进行运用，工作中漏洞百出，使窃密分子大有机可乘。

《保密工作》2010年第7期刊登的“与美籍华人聊保密”一文，读后感触颇深，文中美籍涉密人员时刻保持保密意识和对有可能造成泄密的警醒，让人印象深刻——不管什么场合、面对什么样的群体，一旦涉密，马上警觉，或转变话题或避而不谈，而之所以有这样的“效果”，根源于美国构建了高度认同的“保密就是保自己”的内驱动力机制（不想泄密）。

建立起保密意识“防护墙”，正规、系统和随时随地的保密教育是关键。保密教育的形式可以多种多样，如学习、培训、座谈会、考试等等，但无论那种形式，教育内容要与实际相结合，要与具体案例相结合，与当下所承担的涉密工作相结合，教育才能有效果，也能较快的建立其涉密人员的保密意识“防护墙”。

除了日常的保密教育之外，对于涉密单位，每开展一个涉密项目，都是一个绝佳的保密教育契机。把保密教育贯穿整个项目的始终，而一举多得——既进行了保密教育，又进行了保密之战的实践，也实现了保密。

涉密人员必须接受保密教育和培训。必须掌握保密知识、必须掌握保密技能、必须具备保密责任和意识，有了这“三必须”，才能走上涉密岗位，成为涉密人员。在工作中，结合具体工作，涉密人员还要不断地完善自己的保密意识“防护墙”，为其“增砖添瓦”。

第二、结合自身实情，细化“六条规定”，打造规章制度“保密盾”

完善的保密规章制度，就像一面“盾牌”，抵挡着窃密分子的攻击。相应的规章制度的建立和不断完善，是建立计算机、互联网使用保密保障体系的关键一环。它即能承前——以规章制度为约束进一步增强个体保密意识“防护墙”，又能启后——为管理监督“加密锁”的运作提供依据和指导。

国防科技工业安全保密的六条规定具体为：第一条，禁止私自在机关、单位登陆互联网；第二条，禁止在家用计算机处理涉密信息；第三条，禁止涉密网与互联网连接或在连接互联网计算机处理涉密信息；第四条，禁止私自留存涉密计算机、涉密移动存储介质或涉密文件资料；第五条，禁止在涉密计算机与非涉密计算机之间交叉使用移动存储介质；第六条，禁止擅自对外披露单位涉密信息和

内部信息。涉密单位完全可以此“六条规定”为纲，结合自身的涉密环境和工作实际，对其进行细化，每一条都可做为一个规章制度总则，分解成一个相关的规章制度，从而以这六条为纲要，形成一个规章制度体系。比如将第一条拓展为《XXX重点实验室登陆互联网管理条例》，根据保密实际所需和单位自身互联网环境，制定出其下的具体条款。

此外，还要不断对此规章制度体系进行完善。工欲善其事，必先利其器。越完善的规章制度之盾，防泄密、窃密的能力就越强大。比如说，要增加涉密人员自身相关信息的保密制度。涉密人员相关信息的保密工作做得不足，本身就是一种泄密。凡是与保密工作相关的人员，其个人信息本身就是要保密的第一个资料。世界各国，都有相关的法律条文规定，对于重大涉密人员的身份、职业等信息的保护都有法律效力。类此还有诸如保密承诺制度、结合具体科研项目的涉密项目保密工作流程和细则等等。

三、管理监督“保密锁”，在保密细节上“做足文章”

完善的规章制度，使我们具有了“保密盾”，然而要想让盾真正的发挥作用，要靠这三位一体的计算机、互联网使用保密保障体系的第三“位”——管理监督。对涉密人员和事物严格的管理监督，保障着规章制度的严格执行，加上在此层面上对保密细节的关注和重视，无疑又为秘密加上了一重“保密锁”。

作为“保密”技防的具体执行环节，我们以具体案例为引子，重点讨论一下管理监督这个“保密锁”应该对细节的有足够关注和强力的执行。

案例一：保密网络的规模大小问题。

要根据自身情况，做出具体的标准和规划，而并非越大越好。《涉密网络建设应控制在最少最小范围》（《保密工作》，2010年第4期）一文作者肖刚提出，大而多的涉密网络会有以下几种隐患：扩大了涉密信息的接触范围、造成了更多的不应知悉者有了合法的知悉权、增加了无意识泄密的可能性、增加了网络传输泄密的可能性、扩大了泄密源等等。我同意这种观点，涉密网络建设应“少而精”，够用就行，从物理硬件、涉密人员数量的层面上就减少泄密的可能性，为保密工作减轻“负担”。无论从保密的硬件建设还是软件建设上，最大程度的减少涉密关联，是一条应该遵循的标准和原则。

案例二：建立保密室，涉密介质不出室，非涉密介质、人员不入室。

保密室室内硬件、软件配置完善，所有设备为保密专用，专网（内网，不外连）专用；专人管理保密室，人员进出记录、存储记录必须准确、完整；一切涉密操作均在保密室里完成；室内设立保密介质保存柜，每一个介质都有明确的身份标签、使用范围和使用记录；室内设立涉密介质销毁中心，专门负责对要销毁