您现在的位置: 首页» 理论学习» 保密

警惕网盘成为新的泄密渠道

作者: 姚斌 | 来源: 中国保密在线 | 发布日期:2017-12-20 | 阅读次数: 次

  近年来,一些机关单位工作人员开始将网盘作为辅助办公的重要手段,引发了不少保密违法案件,需引起警惕。

  网盘保密违法案件的基本类型

  网盘,又称网络硬盘、网络U盘,是互联网公司推出的一种在线服务,使用方法主要包括存储、传递、分享文件资料。以此为标准,我们可以将网盘保密违法案件分为3类。

  1.将网盘当作“涉密硬盘”,违规存储涉密文件资料。网盘就像一个放在互联网上的“大硬盘”,最主要的功能就是在线存储文件资料。但是,部分机关单位工作人员错把这个“大硬盘”看作“涉密硬盘”,违规存储、备份涉密文件资料。如案例1,2013年12月,某市经济和信息化局办公室借调人员孙某为撰写材料方便,在未经保密审查的情况下,擅自将计算机中存储的有关文件资料上传到某网盘(其中包括6份秘密级国家秘密),被给予党内警告处分。

  2.将网盘当作“涉密U盘”,违规传递涉密文件资料。由于网盘具有多终端登录特点,用户们可以像使用“虚拟U盘”一样,在连接互联网的条件下,实现文件资料的异地拷贝。但是,少数机关单位工作人员错把这个“虚拟U盘”看作“涉密U盘”,违规从甲地上传涉密文件资料,再到乙地登录下载。如案例2,2014年2月,某县政协工作人员杨某为方便《地方志》撰写工作,在未经保密审查的情况下,擅自在单位将收集的5000余份文件资料(其中包括1份机密级、2份秘密级国家秘密)上传到某网盘,回家下载后使用,被给予行政警告处分。

  3.将网盘当作“涉密平台”,违规分享涉密文件资料。网盘除存储空间大、网络速度快等特点外,还是一个“在线分享平台”,使用十分方便。但是,个别机关单位工作人员错把这个“在线分享平台”看作“涉密平台”,违规上传涉密文件资料,并分享给其他人员。如案例3,2013年8月,某县政法委副书记方某为完成“文明县城创建活动”任务,在未经保密审查的情况下,要求办公室工作人员秦某将报县文明办的15份文件资料(其中包括1份秘密级国家秘密)上传到某网盘,设置为分享模式,供县文明办有关人员浏览,方某被给予党内警告处分。

  违规使用网盘行为的法律风险分析

  一、合法性分析

  通过网盘存储、传递、分享国家秘密,本质上就是使国家秘密上传至互联网,依法应当禁止。

  1.禁止在互联网上存储国家秘密。保密法第二十一条规定,国家秘密的保存应当符合国家保密规定;第二十六条第1款规定,禁止非法复制、记录、存储国家秘密。据此可知,涉密文件资料应当存储在符合保密要求的涉密计算机或者涉密网络中,而非存储在连接互联网的计算机中或者互联网上。但在案例1中,孙某为一己之便,没有仔细查看拟上传的文件资料中是否含有涉密内容,便将涉密文件资料混同其他文件资料一并存储在网盘中,严重违反了保密法律法规。

  2.禁止在互联网上传递国家秘密。从甲地将涉密文件资料上传到网盘,再到乙地登录下载,实质上就是通过网盘服务器传递涉密文件资料。保密法第二十六条第2款规定,禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。也就是说,国家秘密只能在符合保密要求的涉密网络中传递,而不能在互联网上“裸奔”。但在案例2中,杨某为了异地拷贝文件资料,违规将涉密文件资料在单位上传、家中下载,不能不说是工作目的的扭曲和工作方法的变形。

  3.禁止在互联网上分享国家秘密。如果网盘中的涉密文件资料被分享出去,则任何人都能通过互联网看到。根据《最高人民检察院关于渎职侵权犯罪案件立案标准的规定》,所谓“泄露国家秘密”就是使国家秘密被不应知悉者知悉,或者超出了限定的接触范围。按照这一定义,通过网盘分享涉密文件资料就是互联网泄密。在案例3中,方某为尽快完成工作任务,不仅要求秦某将涉密文件资料上传到网盘,还设置为分享模式,客观上造成了国家秘密的泄露。

  二、危害性分析

  用网盘存储、传递、分享涉密文件资料,不仅在法律上不被允许,在技术上也是不安全的。

  1.网盘的安全保密受限。互联网高度的开放性,决定了它在安全保密方面的局限性。一方面,只要将涉密文件资料上传到网盘,就存在泄密的可能性。所有的网盘服务器都是24小时连接互联网,甚至部分服务器还在境外运行,具有严重的泄密风险隐患。另一方面,用户仅是网盘的使用者,运营商才是它真正的管理者,只要网盘中存储了涉密文件资料,运维人员就能随时查看其中的内容,存在国家秘密接触范围失控问题。

  2.网盘的攻击难度较低。相较其他网络攻击来说,对网盘实施攻击相对容易。其一,对网盘的攻击方式更多。攻击者除攻击网盘服务器外,还可以攻击用户所用的计算机终端,直接控制、窃取,或者盗取用户口令,登录窃取其中存储的内容。其二,通过网盘传输的数据容易被截获。在网盘上传、下载文件资料,还受上网环境的安全性影响,如上网环境不安全,则传输中的文件资料有可能被攻击者截获。

  3.网盘的可用终端太多。网络的终端越多,信息泄露的风险就越大,网盘即是如此。首先,网盘的多终端登录特点,会导致多终端存储国家秘密。任何知晓用户口令的人员,都可以随时随地登录,下载涉密文件资料并存储在不同终端中,造成存储国家秘密的载体范围不可控。其次,网盘的在线分享特点,还会导致泄密范围不可控。如前所述,一旦网盘中存储的涉密文件资料被分享,其实就是互联网泄密,至于泄露范围多广、下载人员多少,根本无法估量。

  发生网盘保密违法案件的原因

  任何保密违法案件的发生,都有主客观两方面的原因。就网盘保密违法案件而言,既有责任人员思想方面的主观原因,也有机关单位保密管理方面的客观原因。

  一、主观原因

  责任人员主观上持有的“不知不会”“虽知,但过于自信”“虽知,但疏忽大意”心态,是网盘保密违法案件发生的内因。

  1.不知不会。保密上的“不知不会”,是指行为人对保密法律法规规定完全无知,不掌握基本的保密知识和保密常识。就网盘保密违法案件而言,有的机关单位工作人员对保密工作重视不够,对保密法律法规规定了解不多,不知道“涉密不上网,上网不涉密”的基本要求,违规通过网盘存储、传递、分享涉密文件资料,结果不但自己在保密问题上“栽跟头”,而且还给国家安全和利益造成损害。

  2.虽知,但过于自信。保密上的“虽知,但过于自信”,是指行为人知悉保密法律法规规定,也已经预见到自己的保密违法行为可能导致危害国家秘密安全的后果,但轻信能够避免这一后果的发生。就网盘保密违法案件而言,有的机关单位工作人员明知不得在网盘上存储、传递、分享国家秘密,也知晓该行为可能造成泄密,但是他们过于自信,甚至抱有侥幸心理,一厢情愿地认为网盘是私人存储空间,存储、处理涉密文件资料不会发生泄密。

  3.虽知,但疏忽大意。保密上的“虽知,但疏忽大意”,是指行为人知悉保密法律法规规定,且应当预见自己的保密违法行为可能导致危害国家秘密安全的后果,但由于疏忽大意而未预见到这一后果的发生。就网盘保密违法案件而言,有的机关单位工作人员知保密、懂保密,也能够预见到违规使用网盘存储、传递、分享涉密文件资料可能造成泄密,但他们缺乏应有的警惕,为了所谓的“方便工作”,而未严格履行保密工作规程,犯了不该犯的错,乃至最后“大意失荆州”。

  二、客观原因

  机关单位保密管理的到位程度,与保密违法案件的发生几率成反比。换言之,保密管理不到位,是网盘保密违法案件发生的外因。

  1.日常管理不到位。就案件发生特点而言,所有的网盘保密违法案件都有一个前置性的“违规存储、处理国家秘密行为”。每个网盘保密违法案件责任人员都事先实施了在连接互联网的计算机或存储介质中存储、处理国家秘密的违法行为,然后再将国家秘密上传到网盘上。在此过程中,案发机关单位既没有发现责任人员存储、处理国家秘密,也没有发现他们使用网盘存储、传递、分享国家秘密。这说明案发机关单位的日常管理不到位,在保密管理问题上负有责任。

  2.保密监管成效低。一方面,机关单位保密监管手段单一、落后。大多数机关单位除保密检查外,没有其他监管手段,而保密检查既不具备瞬时发现能力,也不可能高频率、不间断地开展,无法对违规使用网盘行为进行有效监督。另一方面,违规使用网盘行为隐蔽性较高。网盘具有传输迅速、使用方便的特点,责任人员可以在较短时间内完成上传、下载,而不被本机关本单位保密监管部门发现。

  治理违规使用网盘行为的对策建议

  对机关单位来说,如果对违规使用网盘行为视而不见、放任自流,无疑埋下了一颗泄密的“定时炸弹”。那么,怎样才能防止这颗炸弹炸伤自己?笔者认为,应当着力做好以下几方面工作。

  1.开展保密教育,强化保密思想防线。机关单位要经常对本机关本单位工作人员进行保密教育,对违规使用网盘行为进行深刻的合法性和危害性分析,牢固树立保密意识和保密常识,认识到违规使用网盘将对国家秘密安全造成的严重危害,从思想上杜绝用网盘存储、传递、分享国家秘密这种低级错误发生的可能性。

  2.签订保密承诺书,强化涉密人员管理。机关单位应当与工作人员签订保密承诺书,督促工作人员遵守保密法律法规。这既可以对“不知不会”和“虽知,但疏忽大意”的工作人员进行保密提醒,又可以对“虽知,但过于自信”的工作人员进行有效威慑,从而从源头上消灭他们做出违规行为的倾向性苗头,降低网盘保密违法案件的发生几率。

  3.加强保密检查,强化日常保密管理。机关单位应当经常开展有针对性的保密检查,及时发现、制止在连接互联网的计算机及存储介质中存储、处理国家秘密的错误行为,防止其进一步发展为违规通过网盘存储、传递、分享国家秘密行为,确保国家秘密安全。

  4.采用技术手段,强化保密监管效果。针对违规使用网盘等工具在互联网上存储、传递、分享国家秘密行为,机关单位可部署专门的局域网上网管理软件、网络控制软件施以监控,禁止网盘上传、QQ发送等具有泄密风险隐患的操作;针对违规通过USB端口复制国家秘密的情况,可部署专门的计算机USB端口管理软件,禁止U盘、移动硬盘、手机等连接办公计算机。

  案发机关单位还要依法依纪对网盘保密违法案件责任人员进行处理,警示他人避免重蹈覆辙,不在保密问题上“触礁”“栽跟头”,达到既保护自己、又保护国家秘密安全的双重目标。