信息設備維修泄密隱患分析與對策

隨著信息設備技術應用越來越廣泛，因違規進行信息設備維修導致的泄密事件時有發生，給保密工作敲響了警鐘，值得引起高度警惕。

典型案例

◆送外維修易失控

案例1：2017年4月，某單位綜合處處長魏某為圖工作方便，違規安排工勤人員將1臺涉密計算機送外維修，致使維修人員將該計算機連接互聯網，并在該機上交叉使用兩個非涉密U盤，造成相關涉密文件失控。魏某被給予黨內警告處分。

案例2：2013年6月，有關部門在工作中發現，某計算機服務公司計算機中存有某局相關的多份標密文件和上千份內部資料，給國家秘密的安全造成嚴重威脅。經查，該局辦公室主任閆某于2009年5月違規將故障硬盤送至某電腦公司維修，后又轉至該計算機服務公司，造成涉密文件失控。閆某被給予行政記過處分。

◆◆雇人維修有風險

案例3：2016年11月，某機關單位兩臺涉密計算機發生故障，無法連接內部局域網。因當日網絡維護技術人員生病住院，經單位負責人尼某同意，工作人員姬某聯系某辦公設備公司售后服務人員進行維修，維修人員在不知情的情況下，將涉密計算機連接互聯網，導致多份內部文件外泄。尼某和姬某被誡勉談話，并作出書面檢查。

案例4：2016年12月，某區監控系統LED顯示屏故障，為確保相關調度工作及時到位，該區一線指揮部工作人員立即聯系售后服務企業維修人員搶修。因需要使用其他計算機，該區一線指揮部工作人員普某誤將涉密計算機當作普通上網機交由售后維修人員使用，連接互聯網后發現該機彈出警告提示，于是迅速斷開了網絡連接。普某被誡勉談話，并作出書面檢查。

◆◆◆旁站監督要落實

案例5：2014年8月，某部委借調人員付某使用的涉密計算機出現故障，未經請示批準，私自將計算機送交其戰友呂某維修，且沒有落實旁站監督規定。期間，呂某因查找設備問題需要，多次使用該計算機連接互聯網，后又因要重新安裝操作系統，用個人U盤復制計算機相關文件進行保存，造成涉密信息失控。付某被給予行政警告處分。

案例6：2009年4月，某單位一臺涉密復印機發生故障，請售后服務商派人維修。修理人員經過簡單測試后斷定是復印機硬盤問題，須將其帶回維修。該單位有關工作人員毫無保密意識，讓其帶走維修，且沒有落實旁站監督要求。幾天后，該單位才意識到存在保密隱患，立即與售后服務商聯系，方得知該硬盤已被送往境外，導致涉密信息失控。有關責任人因此受到了嚴肅處理。

泄密隱患分析

上述案例看似很普通，但所反映出的失泄密渠道卻很典型，具有一定的普遍性和代表性，既有主觀上的因素，也有客觀上的不足，主要體現在以下幾個方面。

1.對維修工作的認識存在偏差。按照保密法規要求，維修國家秘密載體，應當由本機關、本單位專門技術人員負責。但當保密和日常工作存在沖突時，很多工作人員不能始終把保密作為前提，主要體現在以下幾個方面：一是重工作效率，輕安全保密。很多機關部門任務比較繁重，設備如果在關鍵時候出現故障，工作人員往往第一反應就是要盡快修好，于是病急亂投醫，通過網絡、朋友、售后四處尋找維修人員，不能冷靜地聯系定點維修，直接導致違反保密規定問題的發生。二是重維修結果，輕維修過程。很多工作人員能夠熟練使用信息設備的各項功能，但對其工作原理了解不深，所以在設備需要維修時，他們往往只關注設備功能是否恢復良好，而對讓誰維修、如何維修等問題并不關注，對維修人員的審核把關不嚴。三是重數據處理設備，輕辦公自動化設備。大家對于計算機等數據處理設備維修，都能夠提高警惕，而對于打印機等辦公自動化設備，往往覺得不存在泄密隱患，出現雇人維修的現象，殊不知目前市場上多數辦公自動化設備，和普通電腦一樣，硬盤能存儲任何經它打印、復印、掃描、發送過的文字和圖像等數據信息，同樣存在較大的泄密隱患。

2.對維修工作管理不夠嚴格。按照保密法規要求，涉密信息設備維修，應當指定專人全程監督。一些單位在設備維修過程中沒有很好地落實監督人員旁站的要求，究其原因是維修工作管理不夠嚴格，主要體現在：一是臺賬底數不清楚。有的單位對涉密信息設備數量情況記錄不清楚，標識不明顯，在使用、維修、報廢等方面不夠規范，導致很多涉密信息設備與普通設備混在一起，需維修使用時難以快速區分。二是維修審批不完善。有的單位在信息設備維修方面雖然制定了嚴格的審批程序，但實際執行中隨意性大，落實不到位，制度形同虛設，特別是旁站人員陪同維修落實不夠。三是維修機制不健全。有的單位對于信息設備沒有明確指定維修單位，致使工作人員遇到設備故障過分迷信品牌售后服務，第一時間不是聯系單位信息化或保密工作機構加以解決，而是私自聯系產品售后進行處理，導致違規問題頻發。

3.維修服務體系建設有欠缺。按照保密法規要求，涉密信息設備維修，應當在本單位內部進行，確需送外維修的，須拆除涉密信息存儲部件。大家對涉密信息設備送外維修的高風險都有一定認識，此類案件時有發生，與當前保密技術服務體系不完善有較大的關系。一是市場上信息設備品牌和種類繁多，設計功能和原理有較大的差別，而各機關單位使用情況又各不相同，很多地區在布局選點上還有欠缺，構建點面結合的涉密維修維護網絡還不能滿足目前的多樣化信息設備維修需求。二是部分地區涉密設備維修工作機制還不夠健全，在接修、檢測、維修、監修和移交等環節的工作責任、工作流程以及服務標準還不夠規范，維修維護質量和水平還有待提升。三是維修人員隊伍建設上相對滯后，普遍存在能力跟不上、流動較快、待遇偏低、投入不足等問題，制約了保密技術服務事業發展。

防范泄密對策

通過分析這些案例發生的原因，筆者認為杜絕信息設備維修泄密隱患，需要機關單位和保密行政管理部門共同努力，重點從以下幾個方面進行治理。

1.加強保密教育，提升保密意識。充分利用身邊人、身邊事，講清保密工作的具體要求，展示泄密案件的重大危害，讓全體工作人員，特別是涉密人員時刻牢記保密要求，在維修信息設備上嚴格落實相關保密規定，堅決克服僥幸心理和圖省事思想，確保各項保密措施覆蓋設備維修全過程。

2.強化主體責任，完善保密措施。加強對涉密信息設備的管理，統一采購、登記、標識、配備，做到臺賬完備，底數清楚，責任使用人明確；建立完善信息設備維修使用管理制度，落實“誰使用，誰負責”原則，嚴格履行維修審批登記手續；統籌保密設備維修管理，在加大構建涉密維修維護網絡的同時，注重強化保密資質（資格）單位的宣傳和相關技術合作交流，充分發揮保密技術服務機構主體作用，不斷豐富技術防護、技術檢測、維修維護等方面的手段和能力。

3.加強監督檢查，堵塞泄密隱患。機關單位要適時開展自查自評，對涉密信息設備從購買到報廢全壽命全過程，嚴格按有關保密規定管理；將辦公自動化設備納入檢查范圍，高度重視涉密信息設備維修等重要環節，及時查找存在的泄密隱患，確保保密法規規定能夠得到有效的落實。保密行政管理部門要通過常規檢查、專項檢查等方式，加強對信息設備使用、維修等違規問題的查處。

（原載于《保密工作》2018年第8期）