網(wǎng)時(shí)刻新聞5月23日訊(通訊員 王雨晨 梁志友)今年來,大祥區(qū)板橋鄉(xiāng)黨委充分發(fā)揮黨建引領(lǐng)作用,堅(jiān)持“黨管保密”原則,不斷提升保密工作針對(duì)性和有效性,切實(shí)筑牢基層保密工作安全防線。
念好“嚴(yán)”字訣,把牢思想關(guān),為保密工作戴上“緊箍咒”。板橋鄉(xiāng)黨委充分認(rèn)識(shí)做好保密工作的重要性和緊迫性,持續(xù)深化“慎言、慎行、慎微”的“三慎”原則。明確責(zé)任強(qiáng)擔(dān)當(dāng)。成立板橋鄉(xiāng)保密工作領(lǐng)導(dǎo)小組,黨委書記親自掛帥,組織委員分管,黨政辦公室具體負(fù)責(zé),形成黨委統(tǒng)一領(lǐng)導(dǎo)、黨政齊抓共管的工作格局。落實(shí)制度嚴(yán)執(zhí)行。黨委牽頭修訂完善《板橋鄉(xiāng)保密工作制度》等制度,明確保密工作職責(zé)、任務(wù)和流程夯實(shí)保密基礎(chǔ)。進(jìn)一步規(guī)范公文的擬制、辦理和管理過程,加強(qiáng)對(duì)互聯(lián)網(wǎng)平臺(tái)的保密管理,實(shí)現(xiàn)保密工作管在日常、融入平常、抓在經(jīng)常。加強(qiáng)學(xué)習(xí)筑基石。保密工作規(guī)章制度納入板橋鄉(xiāng)黨委中心組學(xué)習(xí)計(jì)劃和鄉(xiāng)干部大會(huì)學(xué)習(xí)計(jì)劃,組織黨員在“三會(huì)一課”、主題黨日等活動(dòng)上學(xué)習(xí)保密法律法規(guī)、開展案例警示教育。開展保密工作培訓(xùn),簽訂黨員《保密承諾書》54份,堅(jiān)決防止和克服“無密可保”“有密難保”的麻痹思想。
念好“踐”字訣,把牢行動(dòng)關(guān),為保密工作打好“預(yù)防針”。加強(qiáng)陣地建設(shè),打造高標(biāo)準(zhǔn)檔案館。板橋鄉(xiāng)黨委高度重視檔案管理工作,對(duì)鄉(xiāng)檔案室進(jìn)行了全面改造升級(jí)。全部更新了鐵皮檔案柜,安裝了防盜網(wǎng)、保濕器、空調(diào)、報(bào)警器等,清查整理檔案室內(nèi)的所有檔案,嚴(yán)格執(zhí)行檔案借閱、歸還、銷毀等制度,確保了檔案安全完整。升級(jí)保密設(shè)備,構(gòu)建硬支撐。黨政辦放置保密文件柜,對(duì)涉密信息材料定點(diǎn)保存、定點(diǎn)借閱登記,保證涉密文件資料安全。按標(biāo)準(zhǔn)配備專用涉密計(jì)算機(jī)、保密U盤等設(shè)施,提升了涉密信息的存儲(chǔ)和傳輸安全性,實(shí)現(xiàn)“人防+技防”雙向管控,確保保密工作萬(wàn)無一失。
念好“實(shí)”字訣,把牢檢視關(guān),為保密工作增強(qiáng)“免疫力”。常態(tài)化開展“保密體檢”。黨委書記帶頭,按照“不漏一個(gè)部位、不漏一個(gè)人、不漏一個(gè)環(huán)節(jié)”的標(biāo)準(zhǔn),對(duì)保密檔案設(shè)施建設(shè)、涉密電腦、移動(dòng)存儲(chǔ)介質(zhì)及文件管理情況定期開展全面檢查,對(duì)問題點(diǎn)名道姓通報(bào)、限時(shí)整改,消除失泄密隱患,進(jìn)一步規(guī)范保密秩序。零容忍糾正違規(guī)行為。將落實(shí)保密工作責(zé)任制情況納入考核內(nèi)容,推動(dòng)各部門落實(shí)黨管保密原則。在涉密計(jì)算機(jī)和互聯(lián)網(wǎng)計(jì)算機(jī)上張貼保密提示,設(shè)置保密標(biāo)識(shí),明確責(zé)任人,確保“涉密信息不上網(wǎng),上網(wǎng)信息不涉密”,對(duì)于涉密問題,及時(shí)處置,嚴(yán)肅追責(zé)。
下一步,板橋鄉(xiāng)黨委將積極探索黨建工作與保密工作融合的最佳結(jié)合點(diǎn),精準(zhǔn)發(fā)力,以高質(zhì)量黨建有序推動(dòng)各項(xiàng)保密工作的完成,時(shí)時(shí)刻刻“拉滿弓”“繃緊弦”,切實(shí)筑牢保密思想防線,提升工作戰(zhàn)斗力。
密U盤以前主要用于國(guó)家涉密單位或部門,但隨著人們對(duì)于信息安全的重視越來越高,在民用企事業(yè)單位以及個(gè)人用戶方面也應(yīng)用得日益廣泛。
使用保密U盤在安全性上比普通U盤具有優(yōu)勢(shì),但卻仍然存在安全危機(jī),具體為:
病毒和木馬程序的風(fēng)險(xiǎn):
保密U盤在使用過程中,極易被植入“擺渡”、“輪渡”等木馬病毒程序。這些病毒一旦植入,就會(huì)成為病毒攜帶者。當(dāng)U盤插入被植入木馬的計(jì)算機(jī)后,再接入內(nèi)網(wǎng)計(jì)算機(jī),就會(huì)導(dǎo)致內(nèi)網(wǎng)計(jì)算機(jī)感染木馬病毒。
木馬病毒在U盤再次連接聯(lián)網(wǎng)計(jì)算機(jī)時(shí),會(huì)非常隱蔽地將竊取的數(shù)據(jù)發(fā)送給竊取者,造成數(shù)據(jù)泄露。
使用不當(dāng)?shù)娘L(fēng)險(xiǎn):
違反保密規(guī)定,如將存儲(chǔ)有敏感信息或涉密文件的保密U盤接入連接互聯(lián)網(wǎng)的計(jì)算機(jī),可能導(dǎo)致文件、資料被竊取。
公私混用、管理困難,如使用個(gè)人U盤從涉密計(jì)算機(jī)上拷貝文件,或在不安全的計(jì)算機(jī)上使用保密U盤,都可能導(dǎo)致數(shù)據(jù)泄露。
丟失或被盜的風(fēng)險(xiǎn):
保密U盤體積小巧,容易丟失或被盜。一旦丟失或被盜,其中存儲(chǔ)的敏感信息就可能被非法獲取。
授權(quán)和訪問控制的風(fēng)險(xiǎn):
如果保密U盤的授權(quán)和訪問控制機(jī)制設(shè)置不當(dāng),可能導(dǎo)致未經(jīng)授權(quán)的用戶能夠訪問和竊取其中的數(shù)據(jù)。
技術(shù)漏洞和缺陷的風(fēng)險(xiǎn):
任何技術(shù)產(chǎn)品都可能存在漏洞和缺陷,保密U盤也不例外。這些漏洞和缺陷可能被黑客利用,繞過加密和保護(hù)機(jī)制,從而竊取數(shù)據(jù)。
物理破壞的風(fēng)險(xiǎn):
保密U盤作為一種物理存儲(chǔ)設(shè)備,可能受到物理破壞的影響。例如,水、火、摔落等物理因素可能導(dǎo)致U盤損壞,從而使數(shù)據(jù)無法恢復(fù)。
該怎么才能既保留保密U盤的使用習(xí)慣,又規(guī)避其安全風(fēng)險(xiǎn)呢?
飛馳云聯(lián)Ftrans USE U盤安全交換系統(tǒng)圍繞企業(yè)文檔安全傳輸?shù)暮诵男枨螅C合考慮了文件傳輸過程中防病毒、防篡改及防泄密場(chǎng)景,保障了不同區(qū)域、不同場(chǎng)景下的文件安全傳輸。系統(tǒng)具備多種軟硬件終端,滿足不同使用場(chǎng)景要求,同時(shí)也支持第三方文件傳輸前端接入。系統(tǒng)支持FTP、SMB、NAS以及各種非結(jié)構(gòu)化存儲(chǔ)系統(tǒng)。
1、用戶賬號(hào)管理
支持對(duì)用戶賬號(hào)進(jìn)行管理,支持添加用戶、除用戶、批量創(chuàng)建用戶、修改用戶信息,支持對(duì)接LDAP服務(wù)器自動(dòng)批量導(dǎo)入用戶列表。
2、文件過濾限制
具備管理上傳文件和下載文件的存取空間功能,支持設(shè)置限制上傳的文件名,文件類型,文件大小,文件數(shù)量,文件套層數(shù),壓縮包嵌套層數(shù)。
3、文件審批
支持文件審批功能,前端提交放行疑似病毒文件,后臺(tái)管理員可進(jìn)行審批。
4、多病毒引擎掃描
集合多款病毒掃描引擎,一次上傳多引擎并行掃描。
Ftrans USE U盤安全交換系統(tǒng)可以為企業(yè)帶來以下價(jià)值:
1)保留企業(yè)U盤外設(shè)的使用、硬件級(jí)權(quán)限管控
Ftrans U盤安全交換系統(tǒng)可以滿足企業(yè)使用保密U盤進(jìn)行文件交換的需求,保留保密U盤的使用習(xí)慣;其中防中毒U盤為硬件級(jí)別的權(quán)限管控,無需依賴終端軟件,即插即用,便于企業(yè)使用管理。
2)業(yè)界領(lǐng)先的殺毒功能,全面擊潰病毒威脅
FtransU盤安全交換系統(tǒng)具有業(yè)界領(lǐng)先的殺毒功能,含10款殺毒引擎并行查殺文件,適用于Windows、Linux環(huán)境,有效、全面攔截病毒,擊潰潛在威脅,保障進(jìn)入企業(yè)的文件的安全性。
3)操作使用便捷,適應(yīng)多種企業(yè)管理模式
Ftrans U盤安全交換系統(tǒng)支持多種登錄方式,含人臉識(shí)別、賬號(hào)密碼、工卡刷卡等,能適應(yīng)企業(yè)不同的管理式;支持多種終端形態(tài),場(chǎng)景全面,使用操作輕簡(jiǎn)便捷。
您可以搜索“飛馳云聯(lián)”了解更多信息。
關(guān)于飛馳云聯(lián)
飛馳云聯(lián)是中國(guó)領(lǐng)先的數(shù)據(jù)安全傳輸解決方案提供商,長(zhǎng)期專注于安全可控、性能卓越的數(shù)據(jù)傳輸技術(shù)和解決方案,公司產(chǎn)品和方案覆蓋了跨網(wǎng)跨區(qū)域的數(shù)據(jù)安全交換、供應(yīng)鏈數(shù)據(jù)安全傳輸、數(shù)據(jù)傳輸過程的防泄漏、FTP的增強(qiáng)和國(guó)產(chǎn)化替代、文件傳輸自動(dòng)化和傳輸集成等各種數(shù)據(jù)傳輸場(chǎng)景。飛馳云聯(lián)主要服務(wù)于集成電路半導(dǎo)體、先進(jìn)制造、高科技、金融、政府機(jī)構(gòu)等行業(yè)的中大型客戶,現(xiàn)有客戶超過500家,其中500強(qiáng)和上市企業(yè)150余家,覆蓋終端用戶超過40萬(wàn),每年通過飛馳云聯(lián)平臺(tái)進(jìn)行數(shù)據(jù)傳輸和保護(hù)的文件量達(dá)到4.4億個(gè)。
密計(jì)算機(jī)是存儲(chǔ)、處理涉密信息的重要設(shè)備。按照保密管理要求,為防止Windows操作系統(tǒng)涉密計(jì)算機(jī)非授權(quán)訪問,有關(guān)人員須在其BIOS(Basic Input Output System,即基本輸入輸出系統(tǒng))中將硬盤設(shè)置為第一啟動(dòng)設(shè)備,并設(shè)置超級(jí)用戶口令,確保啟動(dòng)項(xiàng)不被隨意修改。但在日常保密管理過程中,該要求時(shí)常執(zhí)行不到位,這一漏洞導(dǎo)致的失泄密事件屢見不鮮。
典型案例及分析
2021年3月,有關(guān)部門在工作中發(fā)現(xiàn),某單位重要涉密人員丁某為圖省事,在單位系統(tǒng)管理員對(duì)其使用的涉密計(jì)算機(jī)進(jìn)行運(yùn)維操作時(shí),非授權(quán)獲取BIOS超級(jí)用戶口令,并使用該口令擅自登錄涉密計(jì)算機(jī)BIOS系統(tǒng),將第一啟動(dòng)優(yōu)先權(quán)由硬盤啟動(dòng)改為U盤啟動(dòng)。隨后,丁某通過啟動(dòng)事先準(zhǔn)備好的U盤,多次違規(guī)進(jìn)入Windows PE操作系統(tǒng)、直接訪問本地硬盤,將多份涉密文件分批拷貝到非密U盤中,進(jìn)而拷貝至個(gè)人互聯(lián)網(wǎng)計(jì)算機(jī)和非密移動(dòng)存儲(chǔ)硬盤,造成涉密信息失控。
正如案例所示,涉密計(jì)算機(jī)的開機(jī)看似“小節(jié)”,卻關(guān)系重大。這個(gè)環(huán)節(jié)出現(xiàn)問題,極易引發(fā)失泄密事件。而涉密計(jì)算機(jī)違規(guī)開機(jī)行為之所以能夠?qū)崿F(xiàn),與一些深層次的管理問題脫不開關(guān)系。
一是涉密網(wǎng)絡(luò)“三員”履職不到位。案例中,系統(tǒng)管理員未嚴(yán)格管理涉密計(jì)算機(jī)BIOS超級(jí)用戶口令,導(dǎo)致口令被無關(guān)人員知悉,涉密計(jì)算機(jī)BIOS系統(tǒng)安全配置被篡改。安全保密管理員未定期查看涉密計(jì)算機(jī)安全配置策略是否有效,這使得丁某的違規(guī)行為多次得逞。此外,安全審計(jì)員也未按要求對(duì)系統(tǒng)管理員、安全保密管理員履職情況進(jìn)行審計(jì)、跟蹤、分析和監(jiān)督檢查,以至于相關(guān)風(fēng)險(xiǎn)隱患得不到排除,丁某的違規(guī)行為長(zhǎng)期未被發(fā)現(xiàn)。
二是涉密人員保密教育培訓(xùn)不到位。丁某作為重要涉密人員,平時(shí)的保密教育培訓(xùn)沒有入腦入心,敵情意識(shí)和保密意識(shí)極其淡薄、令人唏噓。精通計(jì)算機(jī)操作本是好事,但丁某為了個(gè)人工作便利、罔顧國(guó)家秘密安全,利用其技術(shù)優(yōu)勢(shì)和單位保密管理漏洞,違規(guī)獲取涉密信息并非法持有,其行為的隱蔽性和危害性極強(qiáng)。
三是日常保密監(jiān)督檢查不到位。案例中,單位保密干部對(duì)丁某長(zhǎng)期用于辦公的個(gè)人互聯(lián)網(wǎng)計(jì)算機(jī)缺乏管理,沒有做到相應(yīng)的保密提醒和保密檢查,也未能及時(shí)發(fā)現(xiàn)該計(jì)算機(jī)存儲(chǔ)、處理涉密信息,最終導(dǎo)致了國(guó)家秘密的失控。
對(duì)策建議
總而言之,丁某的違規(guī)行為手段隱蔽、性質(zhì)惡劣,危害嚴(yán)重。廣大涉密單位應(yīng)引以為戒、舉一反三,全面加強(qiáng)涉密計(jì)算機(jī)及相關(guān)使用人員的保密管理。
一是強(qiáng)化保密教育培訓(xùn),增強(qiáng)保密意識(shí)。為進(jìn)一步提高涉密計(jì)算機(jī)相關(guān)使用人員保密 能力,應(yīng)多開展技術(shù)防護(hù)方面的實(shí)操培訓(xùn),并在培訓(xùn)中增加考試、考察環(huán)節(jié),充分運(yùn)用評(píng)價(jià)考核結(jié)果,倒逼有關(guān)人員真學(xué)真用。此外,還應(yīng)充分利用典型泄密案例開展警示教育,以案示警、以案為戒、以案促改,講清危害、敲響警鐘,不斷增強(qiáng)涉密人員的敵情意識(shí)和保密意識(shí),幫助其克服僥幸心理,繃緊保密之弦 ,常懷謹(jǐn)慎之心。
二是加強(qiáng)信息設(shè)備管理,完善保密措施。要加強(qiáng)對(duì)信息設(shè)備的全生命周期管理和動(dòng)態(tài)管理,尤其是對(duì)涉密計(jì)算機(jī)的保密管理,重點(diǎn)在安全審計(jì)上下功夫,在對(duì)主機(jī)進(jìn)行安全審計(jì)的同時(shí),加強(qiáng)對(duì)涉密計(jì)算機(jī)BIOS操作日志的記錄和審計(jì)。還要建立健全相關(guān)制度,明確涉密計(jì)算機(jī)使用人員和管理人員的不同職責(zé),堅(jiān)決杜絕偷看、偷聽、偷記相關(guān)口令的行為,對(duì)越權(quán)操作嚴(yán)懲不貸。
三是加大保密檢查力度,消除失泄密隱患。涉密單位在開展針對(duì)信息設(shè)備的專項(xiàng)保密檢查時(shí),不僅要查本單位的信息設(shè)備,還應(yīng)重點(diǎn)關(guān)注涉密人員平時(shí)用于工作的個(gè)人互聯(lián)網(wǎng)計(jì)算機(jī)。同時(shí),加大對(duì)“三員”履職情況的監(jiān)督檢查,重點(diǎn)核查“三員”口令是否定期更換、是否定期開展安全審計(jì)、安全策略是否有效等問題。發(fā)現(xiàn)問題 和隱患后,要及時(shí)調(diào)整、堵塞漏洞,以查促改、以查促學(xué)、以查促管,切實(shí)提升保密管理水平。
四是加快新技術(shù)應(yīng)用,提升防護(hù)能力。隨著信息技術(shù)的飛速發(fā)展,新的攻防手段不斷涌現(xiàn),涉密單位應(yīng)加快推進(jìn)新技術(shù)應(yīng)用,有效提升涉密計(jì)算機(jī)技術(shù)防護(hù)能力。比如,可使用安全增強(qiáng)的國(guó)產(chǎn)計(jì)算機(jī),從根源上解決“后門”、惡意漏洞等問題。如因?qū)嶋H工作需要,確需使用非國(guó)產(chǎn)計(jì)算機(jī),應(yīng)優(yōu)先選擇具有BIOS日志記錄功能的計(jì)算機(jī),并加強(qiáng)相關(guān)審計(jì)。此外,涉密計(jì)算機(jī)中的電子文檔還可應(yīng)用隱寫溯源等技術(shù),通過將隱藏水印嵌入電子文件的方式,幫助事后定位泄密源頭。
- END -
內(nèi)容來源:《保密工作》雜志 2021年第10期
當(dāng)你讀完本文的時(shí)候,你還可以:
1、點(diǎn)贊在看,分享給身邊的人
2、不去理會(huì)它,靜靜地收藏它