去年我接手过一个让人挺感慨的咨询项目。一家做精密仪器的企业,研发出的核心算法被认为是公司的命根子。他们的保密制度写得洋洋洒洒几十页,可一查实物管理发现,存放涉密载体的铁皮柜子连个密码锁都没有,用的还是那种老式挂锁,钥匙就放在柜子顶上谁都拿得到。更让人无语的是,他们的涉密光盘流转全靠人工传递,没有任何签收记录。最后这些光盘到底去了哪儿,谁也说不清楚。这就是典型的制度写在纸上,管理落在空里。
涉密载体的定义其实挺广的,纸质文件、光盘、硬盘、U盘、磁带、胶片这些都算。只要是记录了涉密信息的物理介质,都是涉密载体。很多人有个误区,觉得电子数据才是秘密,纸质文件不重要。可实际上很多核心秘密最开始就是手写在纸上的,或者在白板上写完之后顺手拍个照。纸质的涉密载体管理往往是最容易被忽略的环节。
存储环节最关键的是分级分类管理。不同密级的涉密载体要用不同等级的存储设备。秘密级的用保密文件柜存放就行,机密级的要用密码文件柜要求更高一些,绝密级的则需要专用保险柜。这些柜子也不是随便买就行的,要买通过国家保密部门认证的产品。我见过有单位图便宜,在网上买了两三百块钱的所谓保密柜,结果那个柜子的铁皮才零点几毫米厚,用改锥都能撬开,那还保什么密啊。
涉密载体的存放环境也有讲究。不能放在潮湿高温或者阳光直射的地方,这个好理解。但很多人不知道的是,涉密存放场所的温度湿度控制其实直接影响载体的使用寿命。比如光盘如果长期放在潮湿环境里,镀层会脱落,数据就读不出来了。磁带更娇气,保存不当磁粉会脱落。所以涉密载体存放场所要配备温湿度监控设备,做好环境调控。
登记造册是涉密载体管理的基础工作。每一份涉密载体从产生那一刻起就要编号登记,明确密级、载体类型、责任部门、保管人、存放位置。借用、归还要有记录,谁借走的、什么时候借的、什么时候还的、借出去干什么用的,都要一清二楚。我有时候去客户那边查台账,发现他们记录做得倒是挺细,可一盘点实物跟台账对不上账。这种账实不符的情况其实是较大的风险点,说明有人在管理之外流转涉密载体。
流转环节就更需要严格管控了。涉密载体在单位内部的流转,要使用专用的流转袋或者流转箱,加封条或者密码锁。接收方要当面清点核对,确认无误后在流转单上签字。跨部门的流转必须有专门交接记录,不能由个人直接转交。我碰到过一个案例,某公司研发部跟生产部之间有频繁的图纸流转需求,他们为了省事直接用内部快递袋装好让人力部门的人帮忙带过去。结果是图纸在过程中丢失了,因为没有正式的签收手续,谁的责任都追查不了。
涉密载体外出也是高风险场景。携带涉密载体外出开会或者出差,要经过审批,明确携带理由、外出地点、预计时长。外出期间要随身携带、人不离件。如果因为住宿或者交通原因确实需要短暂寄存的,要使用酒店的保险柜保存,不能随意放在房间桌上或者车里。去年有一个企业的工程师带着涉密U盘出差,在高铁上打了个盹,醒来发现包不见了。这种事谁都不想发生,可偏偏就发生了。
涉密载体的复制更得谨慎。复印涉密文件要经过审批,在指定复印机上操作,并做好登记。复印后的废页、废片不能乱扔,要当场销毁。有些单位的复印机有硬盘存储功能,复印过的文件图像会保存在复印机硬盘里。如果复印机是联网的,那问题就更大了,别人可能通过网络把这个硬盘里的内容读取出去。所以涉密场所的复印机如果是数码类设备,硬盘要加密或者定期清除,废旧的复印机处理前硬盘要物理销毁。
数字化时代的涉密载体管理面临新的挑战。以前管理纸质载体,看得见摸得着,丢了容易发现。现在U盘、移动硬盘、固态硬盘这些介质体积小容量大,一个指甲盖大小的U盘就能装下几百份涉密文件。而且这些介质的信息清除不像碎纸那么简单,格式化之后的数据还能恢复,必须用专业的数据擦除软件或者物理粉碎才行。
最后我想说,涉密载体的安全管理核心不在于买了多贵的保险柜,而在于有没有把管理制度真正执行下去。每个人都有敬畏心,每个环节都有人负责,每个流转都有据可查。做到这些,涉密载体的安全才能算是真正落地了。
