辦公自動化(Office Automation),簡稱OA。隨著信息化的不斷推進(jìn),OA系統(tǒng)日益成為機(jī)關(guān)單位內(nèi)部信息收集、匯總、流轉(zhuǎn)、組織、共享、傳播的主渠道。近年來,一些機(jī)關(guān)單位利用連接互聯(lián)網(wǎng)的OA系統(tǒng)存儲、處理、傳遞涉密文件,導(dǎo)致國家秘密泄露或存在嚴(yán)重泄密隱患的事件時有發(fā)生,為我們敲響了警鐘。
迷霧重重 誰上傳了涉密文件?
2013年3月,有關(guān)部門在檢查中發(fā)現(xiàn),某集團(tuán)公司(屬地方國企)的一家下屬公司在連接互聯(lián)網(wǎng)的OA系統(tǒng)服務(wù)器中存儲了6份涉密文件資料,當(dāng)?shù)乇C苄姓芾聿块T立即前往該公司核查。當(dāng)向該下屬公司有關(guān)負(fù)責(zé)人詢問服務(wù)器中這些涉密文件資料的來源時,出乎辦案人員的意料,該負(fù)責(zé)人沒有推脫責(zé)任,一口承認(rèn)這些涉密文件資料都是違規(guī)掃描并存儲在OA系統(tǒng)中的,并愿意承擔(dān)一切法紀(jì)責(zé)任。
案件辦理得太順利了,讓人覺得其中似乎還有隱情。
辦案人員沒有草草結(jié)案,而是再次細(xì)細(xì)梳理案件線索,并發(fā)現(xiàn)了其中的端倪:該下屬公司存儲在連接互聯(lián)網(wǎng)的OA系統(tǒng)服務(wù)器中的涉密文件資料,最早的一份產(chǎn)生于2007年,而該下屬公司卻是2011年搬遷到新址,涉案網(wǎng)絡(luò)服務(wù)器也是搬遷后購置的。一臺2011年購置的服務(wù)器中居然存有2007年的涉密文件資料掃描件,顯然,該下屬公司有關(guān)負(fù)責(zé)人的說法存在問題。當(dāng)辦案人員指出此問題時,該負(fù)責(zé)人無言以對。
案件查辦陷入了僵局,突破口在哪里?辦案人員緊緊盯著顯示屏上幾份涉密文件資料的掃描件。功夫不負(fù)有心人,在調(diào)閱查看這些掃描為PDF格式文件屬性的時候,龔某的名字進(jìn)入辦案人員的視線,6份文件中,3份文件顯示的作者都是他。
核對員工名錄后,辦案人員發(fā)現(xiàn),龔某不是該下屬公司的人,他是集團(tuán)公司經(jīng)理辦公室的一名員工。此后,通過對龔某的詢問談話,辦案人員順藤摸瓜,先后找到陳某、黃某、吳某等直接責(zé)任人員,查清了案件的來龍去脈。
經(jīng)查,該集團(tuán)公司的OA系統(tǒng)連接互聯(lián)網(wǎng),采用授權(quán)訪問認(rèn)證方式登錄,包括個人事務(wù)、公文管理、信息中心、門戶網(wǎng)站管理、文獻(xiàn)庫、系統(tǒng)管理等功能模塊,供機(jī)關(guān)20個部門和27個下屬公司使用。6份涉密文件資料中,由下屬公司有關(guān)人員上傳的只有1份,其余5份則是集團(tuán)公司3個部門有關(guān)人員自行上傳的,均為轉(zhuǎn)發(fā)文件,通過OA系統(tǒng)流轉(zhuǎn)到下屬單位。
龔某稱,公司接到外單位來文后,從不需要通過集團(tuán)公司文秘部門集中登記,而是由各業(yè)務(wù)部門領(lǐng)取,自行決定是否需要轉(zhuǎn)發(fā)。需要轉(zhuǎn)發(fā)的文件資料只需經(jīng)部門負(fù)責(zé)人同意,就可以通過OA系統(tǒng)向各下屬單位轉(zhuǎn)發(fā)。陳某稱,日常工作中,他從沒意識到哪些文件資料可以通過OA系統(tǒng)傳遞,哪些文件資料不能通過OA系統(tǒng)傳遞。在收到有關(guān)部門發(fā)來的文件資料后,他會根據(jù)部門負(fù)責(zé)人的指示,將文件資料進(jìn)行掃描,與擬制的文頭一同上傳到OA系統(tǒng)中,供下屬各單位使用,從不區(qū)分哪些文件資料涉密,哪些不涉密。
事件發(fā)生后,該集團(tuán)公司對有關(guān)責(zé)任人員進(jìn)行了嚴(yán)肅處理,給予負(fù)有領(lǐng)導(dǎo)責(zé)任的原任和現(xiàn)任集團(tuán)公司經(jīng)理辦公室主任夏某、何某,黨委辦公室主任譚某行政警告處分。給予負(fù)有直接責(zé)任的集團(tuán)公司工作人員陳某行政記過處分,黃某、吳某行政警告處分,對其余責(zé)任人員進(jìn)行通報批評,責(zé)令作出深刻檢查。
隱患就在日常操作中
當(dāng)前,機(jī)關(guān)單位對于OA系統(tǒng)的依賴性越來越強(qiáng)。一些機(jī)關(guān)單位罔顧不得在連接互聯(lián)網(wǎng)的計算機(jī)中存儲、處理涉密文件資料的規(guī)定,貪圖方便,利用連接互聯(lián)網(wǎng)的OA系統(tǒng)起草、審批、制發(fā)、掃描、傳遞涉密文件資料,造成嚴(yán)重泄密隱患。
一是連接互聯(lián)網(wǎng)的OA系統(tǒng)服務(wù)器存在受攻擊的可能。OA系統(tǒng)與互聯(lián)網(wǎng)相連接,面臨著嚴(yán)重的安全威脅,入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn),若OA系統(tǒng)服務(wù)器中存儲有涉密文件資料,這些涉密文件資料就有可能被入侵者竊取。
二是通過連接互聯(lián)網(wǎng)的OA系統(tǒng)傳輸?shù)奈募Y料有可能被截獲。當(dāng)前,黑客通過一些高技術(shù)手段,設(shè)法在公網(wǎng)線路上做些手腳,很容易獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。此外,有一些OA系統(tǒng)終端計算機(jī)通過無線網(wǎng)絡(luò)的形式訪問OA系統(tǒng)服務(wù)器,并傳輸、下載文件資料。由于無線網(wǎng)絡(luò)采用公共電磁波作為載體,電磁波能夠穿透天花板、玻璃、樓層、墻壁等物體,在一個無線訪問點(diǎn)所服務(wù)的區(qū)域中,任何一個無線用戶都可以接收到客戶端傳來的數(shù)據(jù)。
三是網(wǎng)絡(luò)終端隱患多。由于OA系統(tǒng)中文件資料存儲在連接互聯(lián)網(wǎng)的服務(wù)器中,任何一個互聯(lián)網(wǎng)終端都可以訪問,也可以下載。如果使用OA系統(tǒng)傳遞涉密信息,將導(dǎo)致該涉密信息的擴(kuò)散范圍難以界定,更難以采取補(bǔ)救措施。應(yīng)當(dāng)引起注意的是,由于計算機(jī)在分辨用戶時認(rèn)“碼”不認(rèn)“人”,那些未經(jīng)授權(quán)的非法用戶或竊密者都有可能通過冒名頂替、長期試探或其他方法掌握用戶口令,然后進(jìn)入OA系統(tǒng)進(jìn)行竊密。
請管好“入口”“權(quán)限”和“終端”
如何才能做好OA系統(tǒng)的保密管理呢?
一要管好“入口”。一些機(jī)關(guān)單位特別是一部分國有企業(yè),開展辦公自動化工作比較早,目前已基本實(shí)現(xiàn)了無紙化辦公。然而,個別企業(yè)在信息化過程中,忽視保密管理,有的將接收到的涉密文件資料隨意掃描,上傳到連接互聯(lián)網(wǎng)的OA系統(tǒng)中;有的直接通過連接互聯(lián)網(wǎng)的OA系統(tǒng)起草、傳輸涉密文件資料。比如,某國企對收到的文件資料不經(jīng)任何區(qū)分,均由文書進(jìn)行掃描,再將掃描后的文件資料通過連接互聯(lián)網(wǎng)的OA系統(tǒng)發(fā)送給主管領(lǐng)導(dǎo)審批,其中包含大量涉密文件資料。因此,為確保涉密文件資料不在連接互聯(lián)網(wǎng)的OA系統(tǒng)中存儲、流轉(zhuǎn),必須建立OA系統(tǒng)上傳、傳輸文件資料審批制度。同時,對于國家秘密信息的產(chǎn)生、使用和管理必須嚴(yán)格規(guī)范,絕不允許將國家秘密信息擴(kuò)散到?jīng)]有保護(hù)措施的連接互聯(lián)網(wǎng)的OA系統(tǒng)中去。
二要管好“權(quán)限”。工作中,一些機(jī)關(guān)單位OA系統(tǒng)的訪問權(quán)限范圍不清,且存在大量僵尸用戶,一些離職員工繼續(xù)享有OA系統(tǒng)訪問權(quán)限,一些調(diào)離的員工仍然享有原崗位OA系統(tǒng)的權(quán)限,有的系統(tǒng)管理員不能說明一些賬戶的具體使用人員,有的單位甚至將“會議室”設(shè)定為一個終端用戶。這實(shí)質(zhì)上就將OA系統(tǒng)置于不可控的狀態(tài)。此外,有的單位沒有區(qū)分員工的不同權(quán)限,使得不需要知悉有關(guān)信息內(nèi)容的員工也可以瀏覽相關(guān)內(nèi)容,人為擴(kuò)大了信息的知悉范圍。因此,機(jī)關(guān)單位要明確OA系統(tǒng)的權(quán)限范圍,明確合法用戶的權(quán)限,明確其可以進(jìn)行什么類型的訪問操作,防止合法用戶越權(quán)使用系統(tǒng)資源。對涉及內(nèi)容敏感程度不高的系統(tǒng),可以按用戶類別進(jìn)行訪問權(quán)限控制;對涉及內(nèi)容敏感性強(qiáng)的系統(tǒng),訪問權(quán)限要控制到單個用戶。
三要管好“終端”。近年來,由于沒有必要的技術(shù)防護(hù)手段,內(nèi)部敏感數(shù)據(jù)經(jīng)由OA系統(tǒng)終端計算機(jī)外泄的事件時有發(fā)生。有的機(jī)關(guān)單位沒有建立安全審計系統(tǒng),缺乏安全登錄、監(jiān)控審計和保密檢查等方面的監(jiān)管。在一次案件調(diào)查過程中,辦案人員甚至發(fā)現(xiàn),某單位人員竟在境外登陸OA系統(tǒng),且下載了大量內(nèi)部信息,給數(shù)據(jù)安全帶來威脅。因此,要加強(qiáng)對OA系統(tǒng)終端的審計管理,降低計算機(jī)終端違規(guī)行為帶來的風(fēng)險。