一、威脅與挑戰

在信息技術領域，信息安全和計算機系統安全是兩個相互依賴而又很難分開的問題。保證信息安全的一個必要條件是實現計算機系統的安全。計算機固有的可訪問性、聚生性和設防困難體現了計算機信息安全保密的脆弱性。網絡的關聯性以其“無國界性”和“超領土性”的虛擬存在，一定程度上已經成為整個社會賴以正常運轉的神經系統。每個用戶都可通過自己的計算機終端，充分利用各個計算機存儲的大量文字、數據和圖像資料。然而，由于計算機網絡數據共享的需要，主機與用戶之間、用戶與用戶之間要頻繁的通過線路進行聯絡，這就存在許多泄密漏洞。

從2010年開始，按照有關保密規定要求，國家機關和涉密單位互聯網接入口數量大幅縮減，保密行政管理部門網絡安全監控重心逐漸向中央企業偏移?？v觀近年來我國發生的泄密案件，80%以上都是計算機網絡泄密。深刻分析泄密的原因，石油企業計算機信息安全保密形勢仍不容樂觀。

二、問題與隱患

從2009年開始，根據國家保密要求和集團公司有關規定，石油企業大多數單位和機關部門先后配備了涉密計算機和安全U盤、安全移動硬盤等涉密移動存儲介質，從整體運行和檢查結果來看，基本上能夠滿足處理涉密信息的需要。但還存在以下問題和隱患：

一是保密觀念淡薄。少數人認為保密工作是保密部門的事情，與己無關。更有甚者，認為不產生秘密就無密可保，也就不需要保密。實際上，我們日常工作中的產生的文件以及工作秘密，也同樣屬于保密工作范疇，一旦泄露，會對國家和公司造成損失。另外，有些工作人員雖然具有一定保密意識，但缺乏基本的保密技能。例如，部分機關人員意識到企業文件應該保密，存儲在自己的辦公計算機上會設置密碼，但卻不知道在電子郵件中傳輸涉密文件也會造成泄密，更加不知道“涉密計算機不上網，上網計算機不涉密”的保密要求。

二是管理制度落不到實處。在石油企業涉密計算機、涉密移動存儲介質保密管理暫行規定中，都明確了連接互聯網的計算機不得存儲、處理、傳遞涉密信息等內容，處理涉密信息必須在涉密計算機上進行，但在實際中，仍有一些單位把這些“寫在紙上、掛在墻上”的規定當做“擺設”，有令不行，有禁不止，在沒有任何防范措施的情況下“一機兩用”（一臺計算機既當辦公計算機用，又當涉密計算機用）。

三是技術防范能力參差不齊。個別單位以成本緊張為由，不購買涉密計算機，用淘汰的計算機代替涉密計算機，人為制造泄密漏洞；有的部門涉密計算機設置的口令長度過短，使用周期過長，有的甚至不設口令，忽視了當前的“信息網絡”防竊，任何人打開計算機就能進入系統，隨意下載、拷貝存儲的信息，造成了極大地泄密隱患；有些單位在計算機網絡監控上舍不得投入，致使保密工作人員沒有專業檢測工具對計算機存儲信息進行檢查，計算機信息安全保密檢查處于空白，即便發現問題也束手無策，保密工作難以深入有效開展。

四是日常保密管理薄弱。計算機及其網絡泄密根在網下。2011年11月某省出現的五家門戶網站從互聯網和其他網站轉載秘密信息造成泄密事件，保密部門對五起泄密事件驚人一致的調查結論：單位領導對保密工作重視不夠，管理不力；具體辦事人員失職，對上網信息把關不嚴。

根據這樣的結論，同樣的原因，也可能導致其他形式的泄密，比如編書、撰寫論文、匯編資料，或向小販賣文件等。有的機關工作人員計算機網絡安全知識缺乏，總認為自己都在連接網絡的辦公計算機上處理文件、填寫財務報表，已經無密可保，更談不上采取防護措施等等。

三、對策與建議

強化宣傳教育。保密管理最主要的還是提醒到位。一是必須加強普及性的保密宣傳教育。在進行保密法律法規普及教育的同時，要緊密結合保密工作形勢發展變化的需要，及時補充新的保密知識，包括秘密保護范圍、涉密載體性能、計算機病毒防護和網絡保護基本知識等。二是宣傳教育要突出系統性和針對性。宣傳教育內容要力求規范，具有可操作性。三是要加強涉密人員保密知識培訓。要按照石油企業“六五”保密法制宣傳教育規劃，在抓好宣傳教育的同時，扎扎實實搞好保密基礎知識培訓。

加強日常管理。在現有的體制下，保密管理仍需要通過各級行政管理來具體實現。一是要強化領導干部保密責任制的落實。要通過定期的領導干部保密教育培訓、責任書簽訂、形成保密工作記錄等形式，切實落實領導干部保密責任制。要樹立保密工作與信息公開、快速發展是相互促進的理念。二是要嚴格按照“控制源頭、落實制度、加強檢查、明確責任”的原則，重視計算機信息安全保密工作。三是要確保信息傳輸系統安全。生產數據傳輸，可根據業務需求和工作需要，統一申請使用集團公司VPN系統。

加大投入力度。物防是保密工作的基礎，是盾牌。做好計算機信息安全保密工作的關鍵，除過的人的第一因素外，設備是關鍵。一是要明確專項費用，購置相關保密技術設備和信息檢查、清除工具，具備完善可靠的人防、物防、技防保障條件。二是加強技術培訓，特別是新知識、新技術的跟蹤培訓。三是要加強基礎防護設施建設。除安裝“三鐵一器”防盜設施外，業務部門要在計算機網絡操作系統、密碼加密、病毒防治、防火墻、監控檢測等制約計算機信息安全保密工作發展的“瓶頸”技術上下功夫，確?；炯夹g防護不出問題。

加強監督檢查。要牢固樹立“執行第一、落實為重”的理念，通過督促檢查，不折不扣地把各項任務落到實處。一是要定期開展保密檢查，通過健全機制、改進手段，真正實現“以查促管、以查促改、以查促教、以查促防”的目的，推動保密管理規范化運行。二是要加大違規行為和失泄密事件的查處力度，按照中保委提出的“重典治亂”要求，打破常規，小題大做，敢于上手抓住不放，敢于下手從重處理，從而震懾那些懷有僥幸心里、工作敷衍塞責、護短隱瞞問題的行為。三是要加大獎懲力度，完善落實保密工作責任制，定期檢查考核，對不符合保密要求的要限期整改，逾期不改的要嚴肅處理。不斷提高保密工作者的工作積極性，積極營造“風清氣正”的工作環境。