党政机关移动办公面临的安全保密问题复杂多样,要坚持综合施策、技管并重,切实建好用好管好移动办公系统,在方便工作的同时,确保国家秘密安全。
一、移动互联网易受攻击
1.应用程序窃密。手机应用程序在安装时,不少都要求用户开启拨打电话、读取通讯录、存储读取信息、使用麦克风和摄像头、调取定位信息等权限,这些权限一旦开启并被恶意利用,手机就可能成为一台随身携带的窃听窃照窃录设备。
2.间谍软件窃密。各种类型的手机间谍软件层出不穷,有的技术手段非常先进。媒体爆出的“飞马”间谍软件,通过向目标手机发送恶意短信或电子邮件等消息,触发目标手机自动下载并安装攻击程序,不需要目标用户进行任何操作,手机上没有任何显示,攻击程序就可自动完成对目标手机的入侵控制,窃取目标手机上的通讯录、用户短信、电子邮件、通话记录等各类信息并实时监控用户活动。
3.传输过程被窃听。移动终端基于4G、5G网络接入时,移动终端和基站之间通过空口无线信号进行数据传输,可利用专业设备对空中信号进行截获,还原信息内容。移动终端通过不安全的WiFi接入时,也存在被窃听的风险。公开报道还显示,境外情报机构对通信光缆进行严密监听,流经境外光缆的通信内容被窃听的可能性极大。
二、移动办公泄密的主要情形
微信工作群泄密。不少党政机关建有微信工作群,用于发布通知、交流情况和工作联络。微信工作群只能用于公开信息的交流,但有的同志保密意识不强、保密观念淡薄,违规在微信工作群中随意谈论、传输涉密事项和内部敏感信息,更有甚者,用智能手机将涉密文件拍照后在微信工作群中发布,严重危害国家秘密安全。
微信小程序泄密。有的同志罔顾保密纪律、贪图工作方便,违规在智能手机上使用图文识别小程序将涉密文件图片转换成文字,用语音识别小程序将涉密会议录音转换成文档,最终导致涉密信息泄露。如,某地方党政机关部门办公室干部,用智能手机将一份机密级文件拍照后上传某图文识别小程序,文件随即被小程序运营公司工作人员从服务器中下载并公开发布,造成严重泄密。
后台数据泄露。一些党政机关没有建设自有的移动办公系统,依托公共应用软件和基础设施开展移动办公,或自建移动办公系统完全委托企业进行管理和运维,数据存储在相关企业的后台。一旦企业运维管理或技术防护出现漏洞,被内部人员恶意利用或遭受外部攻击,都可能导致后台数据泄露。
三、加强移动办公安全保密管理
移动办公是新时代党政机关的刚需,要增强保密风险防范意识,坚持综合施策、疏堵结合、技管并重,统筹好发展与安全的关系。
守住保密底线。保守国家秘密法第二十六条明确规定:“禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。”党政机关工作人员使用智能手机、平板电脑等移动终端时,要时刻牢记“涉密不上网,上网不涉密”的保密铁律,时刻绷紧保密这根弦不放松,既不要通过互联网传输、存储、处理国家秘密,也不能通过普通移动办公系统传输、存储、处理国家秘密。党政机关确有需要开展涉及国家秘密的移动办公时,要按照国家有关规定和标准,采用专门的设备,建设专门的涉密移动办公系统。
加强保密教育提醒。党政机关要经常性开展“两识”教育、保密法纪教育和泄密案例警示教育,不断强化敌情意识和保密观念,普及保密常识和基本技能,筑牢保密思想防线。加强日常保密提醒,通过制作保密提示牌、在移动办公系统中增加保密提示语、在召开会议前提出保密要求等方式,提醒大家遵守保密要求。党政机关工作人员使用智能手机时要提高防范意识,不点击来历不明的链接,不下载来历不明的软件,不接受来历不明的“好友”,不开启未知来源的权限,使用正规渠道下载应用程序,及时更新升级操作系统和应用软件,定期开展病毒查杀,发现异常及时报告。
落实技术防护措施。党政机关移动办公系统原则上应当自行建设、自行管理、自行运维。要按照保守国家秘密法、网络安全法、数据安全法、密码法等法律法规和国家相关标准规范,在移动办公系统中采取身份鉴别、访问控制、密码保护、边界防护、安全审计等安全保密措施,并把这些措施与移动办公系统同步规划、同步设计、同步部署、同步实施,切实保障移动办公信息产生、流转、存储、处理全生命周期安全保密。
强化系统运维管理。党政机关要建立健全移动办公系统运维管理规章制度和工作机制,以书面协议等方式明确建设、使用、运维各方安全保密管理责任,确保不留盲区、不留死角。切实加强对移动办公系统运维工作的监督管理,严格运维人员背景审查,落实旁站陪同制度,严控运维人员访问、下载数据权限,定期开展巡查检查,确保运维过程安全保密。针对移动办公的应用特点,提前制定应急预案,一旦发现移动办公系统存在失泄密风险,立即按照预案进行应急处置,防止国家秘密泄露或阻止国家秘密进一步扩散,避免或减轻对国家安全和利益造成的危害。
(来源:《秘书工作》)