构建企业安全长效保密责任体系探讨
2021-12-23路明鸽张海龙
路明鸽 张海龙
(中国航空工业集团公司西安航空计算技术研究所,陕西 西安710065)
0 引言
随着大数据、云计算、物联网、人工智能等高新技术的迅猛发展,信息化浪潮席卷全球。在人们享受高新技术带来的便利的同时,企业之间利用“互联网”等信息化手段窃取机密,进行不正当竞争的现象也愈演愈烈。企业的保密管理面临巨大挑战,如何在信息化浪潮中对自身核心技术、研发项目、客户档案、投标数据等重要涉密信息进行保密管理,构建安全长效的保密责任体系,是目前每个企业需要思考的重要课题。
1 企业安全保密管理的现状
1.1 互联网等高新技术保密占比越来越重
目前,经济全球化速度加快,企业要寻求发展,占据更大的市场份额,对愈加便利、高效的高新技术的研发推广与使用越来越频繁。以互联网为例,目前企业之间所有的经济往来基本都是通过网络来进行。项目的沟通与联系要通过手机或是微信、QQ等第三方通信手段,线上资金划转方便快捷,也成为企业越来越青睐的转账手段,项目的研发要利用计算机、互联网等高新技术进行数据分析,相关内容要进行电子存储,最后产品的宣传更是要利用互联网等电子通信技术于网络平台、电视、手机等各类宣传渠道进行大范围的推广。可以说,企业的生产经营活动已经完全离不开互联网、云计算等高新技术。甚至对于部分企业而言,本身就是基于互联网来开展生产经营活动的。以软件开发企业为例,整个企业的建立基础就是对软件开发技术的研发、使用、推广,整体研发过程都是基于对物联网、云计算、大数据等高新技术的广泛使用。因此,互联网等高新技术的保密管理在企业安全保密管理的占比越来越重。
1.2 信息保密与国家利益、个人利益息息相关
企业的安全保密行为已经不单单是自身的商业经济行为,改革开放以来,企业成为市场最重要的经济主体,其科研、生产、经营活动已经不是简单的商业行为,而是与国家利益、个人利益息息相关。从广义来说,企业的生产经营涉及人们生活衣、食、住、行等方方面面;从狭义来讲,部分军工企业等的科研项目涉及电子工业、核工业、武器工业等国防支柱产业。如果是军工企业信息泄密,经济方面的损失已经不是最应该考虑的方面,这已经不是简单的企业泄密行为,而是直接损害了国家利益、严重危害国家安全甚至是人类安全。如银行、通信等公司的泄密行为,这些公司掌握着人们的个人信息、金融信息,这些信息的泄露会直接侵害个人利益,如个人信息的泄露会为诈骗等不法团伙的行为提供侵害点,不法团伙可以根据个人的手机号,身份证信息,有针对性地开展诈骗活动,增加骗局的成功率,而金融信息的泄露可能直接导致经济方面的损失。以上行为都会对社会造成极大的不良影响。
2 企业构建安全保密责任体系存在问题
2.1 对安全保密的重要性缺乏正确认识
作为企业,获取更高的经济利益是最终极目标,因此,企业大部分的管理行为都是围绕提高工作效率、降低产业成本、扩大生产规模等经济领域中,对保密管理工作的重视度不够。一是领导层对安全保密重要性缺乏认识。市场上企业类型繁杂多样,领导层的学历、素质也是参差不齐,尤其是对安全保密等非经济类、非行政类管理行为,更是没有充分的认识,部分企业甚至没有建立安全保密责任体系,而是走形式,提出几点保密要求,也不进行严密的责任划分或是检查监督行为。二是企业员工对安全保密不够重视。部分企业员工完全没有安全保密意识,将企业信息通过不加密的互联网进行传输、转发,将科研项目信息直接拷贝进U盘,脱离安全保密环境,到安全性较低的公共网络中进行办公,这些都是严重缺乏保密意识的行为。
2.2 安全保密技术层面存在漏洞
对企业而言,即便是有了较强的安全保密意识,但是随着高新技术的发展,窃取信息的手段越来越复杂高超,从技术层面来讲,企业自身未必有足够的能力来应对高科技的机密窃取行为。一些涉及计算机或软件开发的企业可能具备相应的技术的能力,设计安装网络防火墙,或有针对性地对计算机设备进行防护管理,为机密研发行为设计独立的局域网等。然而大部分企业对高新技术的使用、防护能力是缺失的,市场上虽然有第三方的技术顾问公司,提供专门的高新技术安全防护服务,但是一般收费不低,而企业从利益方面考虑可能就直接放弃此方面的支出,依旧通过传统的对人的、对设备的保密管理来进行安全保密,造成技术层面的出现泄密漏洞。
3 构建企业安全长效保密责任体系的有效途径
3.1 提升整体安全保密意识
从总体来看,企业整体安全保密意识的提升是建立安全长效保密责任体系的基础。首先,要对领导层及员工进行保密学习教育。对保密法以及保密制度开展相关的学习,掌握基础性的安全保密知识,提升整体安全保密意识。充分认识到安全保密的重要性,明确保密行为与每个人都息息相关,尤其是对涉及国家支柱产业的企业,要明确企业秘密不仅仅是商业秘密,而是与国家利益、个人利益直接挂钩,是国家安全体系的重要组成部分。其次,是要针对企业的特点,进行有针对的安全保密知识学习。例如,对高新技术企业,互联网的加密、外接储备设备的应用、沟通联系手段的选择要进行重点的保密防护,企业员工需要使用加密过的通信手段或是内部的局域网进行沟通联系、使用U盘、移动硬盘的外接储备设备时,只可以在指定的计算机上使用,不可以带离内部使用区域等。
3.2 明确保密体系主体责任
建立企业安全长效保密责任体系时,要明确主体责任。即在建章立制的过程中,首先要明确各个项目的保密主体责任。对企业而言,每个生产、经营、科研行为都有具体的项目,即便是小企业,每个订单也可以看作是一个独立的项目,每个项目都应当明确保密主体责任,一般应由项目的负责人承担相应主体责任,对整个项目涉及的人员、设备、技术方面进行保密管理。规模较小的企业,可由企业负责人直接进行保密管理。其次,要明确各个环节的保密主体责任。一些大项目,可能涉及许多环节,从事前沟通,明确项目内容,到事中开展具体研发、生产行为,至最后对产品的宣传、推广,每个环节都应当明确主体责任,并要细化责任分工。如此,在出现泄密漏洞时,能够直接找到泄密的关键点以及负责人,可以用最快的速度开展补救、追查、追责等行为,最大限度地弥补损失,并找到承担后果的人员或是第三方,以完整的证据来开展后续的投诉等行为。
3.3 完善保密管理技术防护体系
要使企业的安全保密管理体系更加安全、更加长效,需要从技术层面进行把控。首先是网络信息安全,应根据企业实际情况对互联网传输进行加密,建立防火墙,设立内部局域网,即便是企业规模较小,也一定要高度重视互联网安全,一些基础性的技术防护手段,如设立防火墙,绝大多数的企业还是能够做到的。其次是设备方面的安全保密管理。尤其是对电脑计算机、大型软件设备的保密管理,要及时更新病毒库,根据实际情况安装专业性的杀毒软件。强化移动设备的使用管理,对U盘、移动硬盘的设备进行数据加密处理,并对接入的设备进行严格的管控,将设备的保密管理责任落实到人,谁使用,谁管理。最后,是要定期开展漏洞筛查。技术手段是不断更新的,要利用最先进的技术手段对涉密互联网、机器设备等进行定期筛查,查找病毒漏洞,及时更新杀毒软件,加护防火墙,保证企业安全保密管理体系更安全长效,保障企业生产经营活动正常进行,营造良好的市场竞争氛围。