载体全过程管理中的风险研究
2017-12-09中国电子科技集团公司第十研究所
何 欢 / 中国电子科技集团公司第十研究所
载体全过程管理中的风险研究
何 欢 / 中国电子科技集团公司第十研究所
随着载体使用传播需求的不断扩大,其安全问题也随之显现。为提高管理者对载体使用传递过程中相关保密安全问题的认识,本文在介绍载体从产生至销毁全过程可能存在的一些风险问题、安全技术及防护策略。
载体全过程;风险;措施
引言
目前最常用于涉密单位的载体类型为纸质、光盘、U盘、硬盘等,为使载体从输出至闭环过程中更加安全可控,通过系统管控实现载体制作、载体流转、载体外发、载体留存、载体修复、载体归档、载体回收销毁的全过程闭环管理。进而做到载体账目清晰,操作全程监控、数据实时追溯,然而在载体的全过程中的各阶段仍存在着风险点,针对载体的每个阶段的风险点进行辅助分析预警,使载体管理的过程中风险最小化。
一、载体全生命周期管理分层概述
在系统中实现载体全过程管理分为四层,分别为业务应用层、台账数据层、分析统计层、业务监管层。
应用层为载体的各项业务应用,从载体的制作到闭环状态的所有业务应用操作,此层的对象为用户及(功能)操作管理员,用户提交操作经流程审批完成后管理员进行闭环操作。数据层为载体在产生至闭环过程中业务流程完结后产生的台账,每一个业务均有对应的操作记录台账,记录关键台账信息,将数据进行汇总呈现,并以报表形式展示。统计层是整合了载体不同维度的信息数据统计,可分人员三级权限、计数维度、时间维度、应用维度进行统计,以表格、柱状图、折线图等方式展示载体相关各项指标,为单位管理层人员全盘掌握载体使用情况,提供分析解析工具。监管层为管理者进行载体监管的依据,系统中数据提取分析之后形成报表。
二、载体全生命周期管理风险点
经本人调研大多数载体管理系统的运行架构都大致相同,就我单位现载体管理情况,进行此次的载体管理风险点分析。
(一)载体应用管理风险
1.载体在产生过程需要关注的是产生密级的确定性及制作过程的严密性。
风险问题:在没有电子文档定密流程辅助下,电子文档在输出为载体时的密级确定性存在很大隐患,极大可能出现了“高密低出”的情况,而这种情况源于标密不准确、脱密不完全及使用过程失误等。
防护措施:此类情况可通过电子文档定密软件辅助精确定密、加强载体制作过程审批及加强载体输出审计等方法处理;确保制作过程的严密性,必须载体制作审批手续齐全,制作过程台账状态信息完善及时准确。
2.载体在流动过程是在全过程中存在较高风险的环节,载体的流动时状态更新的及时性很重要,用于追溯载体的去向及所属人。
风险问题:载体流动分为内部移交及外送,内部移交是载体的所属人发生变更,为减少载体在借用过程中的不可控因素,以载体状态及所属人为准,及时变更载体所属人可控制内部流转风险。
防护措施:载体的外送在实际应用中又会有有多种情况,为载体外送、载体外出使用、载体机要外送等。不同类型的使用方式,对应不同的管控措施。载体外送是将单位内产生的载体通过审批手续后移交予本单位外单位及人员,载体所属人则变更成本单位外人员,责任人单位也变成外接收单位,在这种流转的过程中的要求载体的出入单位的手续及接收单位及接收人的交接手续必须完整有效。外出使用的载体同样需要出所手续,因不进行交付则没有交接手续,涉密载体外送过程中在携带人从携带载体出单位到使用完成回到单位这过程中,控制载体的知悉范围及避免载体遗失为此阶段的风险点,在此过程中载体的管理尤为重要,要求携带人对涉密载体做好严密的保密管理工作,目前采用封装式的的管理方法来降低涉密载体知悉范围及泄密几率。
3.载体归档过程中是否做到的完整性及一致性。
风险问题:基于载体管理系统与档案管理系统的系统集成及信息的读取,档案管理员需谨慎核对将要进行归档的文件,要素项如文件名、编号、密级、份数、页数、所属人等信息,档案管理员接收文件时应当确保归档文件要素准确无误,避免归档后文件要素缺失。
防护措施:在载体管理过程中“页”管理的感念被逐渐模糊,为融入实际工作并保持文件完整性及去向、状态统一性,载体插换页管理是精细到文件“页”的管理,只针对于纸质载体文件。工作中经常出现多份文件间互相交换页或者追加页的情况,插换页功能是必不可少的一项管理功能。
4.载体的回收与销毁中过程是否安全保密。
风险问题:大多数载体已直接销毁的方式完成载体管理全过程,少数单位先对载体进行定点回收再集中运往销毁中心销毁。两种方式各有利弊,直接销毁的方式风险点在于载体销毁不完全存在再次收集使用的风险几率,定点回收再集中在销毁风险点在于因是完整载体集中存放,必须保证其部门部位管理严谨,加大了管理难度,并且在运往销毁中心的过程中载体的保密安全仍不完全可控。
防护措施:相对比来说,使用机密级销毁设备对载体进行精细销毁再以碎屑的形态运输销毁中心目前为最佳的方式。
(二)载体数据统计及监管管理风险
系统中所有业务数据均由业务流程中产生,对多个业务数据提供分类,形成对应的操作台账数据表,用于相关数据的多入口多维度追溯查询。不同业务台账中关注的要素点不同,不同维度对数据进行分析对比。
风险评估基于数据要点,同时需要充分考虑要点相关的各类属性,找出数据关注点,对关注点进行频数分布比较统计分析,并以图表方式展现。
风险的计算可通过定量及定性计算,根据定义公式来判定出风险值,并对风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行分级处理,每个等级代表了相应风险的严重程度。
载体全生命周期查询用于数据的历史追溯,可查看载体的历史发生事件及状态转换,确保文件的状态准确性。
作业审计管理是载体管理必不可少的一环节,面对庞大的作业数量怎样有效的进行审计,并查找出问题目标,可以通过“现象”看到“本质”,现象就是所谓的问题数据群,在所有数据中筛选出具有特殊属性的数据群集,在群集中抽样审计,看到“本质”问题所在,从而提升审计效率。
三、结语
在涉密载体管理实际工作中,载体输出、流转、存放、销毁过程遇到过各种特殊问题,而管理者需要“对症下药”,针对重点难点问题制定特色管理策略及方法。通过对涉密载体的日常管理,积累经验总结出有效的管理措施。