说起来你可能不信,我做安全咨询这些年,发现好多涉密单位的泄密事件不是在核心人员身上出的问题,而是出在访客身上。去年秋天有个客户找到我,说他们公司的产品规划泄露了,竞争对手抢在他们前面发布了类似产品。调查了大半个月,最后查出来的源头是一个来公司做短期技术交流的外部工程师。那个工程师的权限莫名其妙被开到了研发内网,他利用午休时间偷偷下载了好几份产品方案。这事虽然最终追责了,可产品的市场窗口期已经错过了。所以访客管理在涉密单位的整体安全体系中分量非常重。
访客管理的第一个环节是提前预约和审批。涉密单位不能允许没有预约的访客直接进入,所有访客必须提前通过正式渠道提出申请。申请信息至少要包括访客姓名、所属单位、身份证件号码、来访事由、计划访问的区域、预计停留时间和陪同人员信息。这些信息提交之后,由被访部门负责人审批,涉密区域的访客还要经过保密管理部门审批,审批通过后才能生成访客信息记录。我见过有些单位审批流程走得很随意,一个微信消息就能约人进来,事后连个记录都没有,这种管理方式基本等于没设防。
访客身份核验是来访当天的第一道关口。访客到达后,前台或者安保人员要核对访客的身份证件原件,确认与预约信息一致。然后要拍照留存,制作临时访客证件。访客证件要跟正式员工的工牌有明显区别,比如使用不同的颜色或者款式,让人一眼就能分辨出来。有些做得好的单位还会在访客证上标注可访问的区域范围,这样安保人员和内部员工看到后就能判断这个人应该出现在哪里、不应该出现在哪里。
访客进入涉密区域必须有本单位人员全程陪同,这是一条铁律。我曾经在一次内部检查中发现,有员工把访客安排到会议室后自己去忙别的事了,访客一个人在会议室里待了快一个小时。这一个小时里访客干了什么、有没有翻看桌上的文件、有没有拍照、有没有在会议室里放置可疑设备,完全不可控。全程陪同的意思就是访客在涉密区域内的每一分钟都有本单位人员在场,包括去卫生间也要陪同人员跟着或者指定路线。这个要求听起来有点严厉,但涉密安全就是这样,没有通融的余地。
涉密区域的访客路线要提前规划好,不是想去哪就去哪。访客只允许在被批准的区域范围内活动,一旦发现访客偏离了既定路线,陪同人员要立即制止并带离。涉密区域的出入口、走廊拐角较好有路线指引标识,帮助访客和陪同人员清楚知道哪些地方可以去哪些地方不能去。有一次我去一家单位做检查,发现他们涉密楼层的地图做得非常好,在地面用不同颜色的线条标注了访客可行走路线,顺着绿色线走就不会越界,这个方法我觉得值得推广。
访客携带的物品也要做严格管理。手机、相机、录音笔、笔记本电脑、U盘这些电子设备原则上不能带入涉密区域。有特殊情况的,要经过审批并在入口处进行登记,贴上防拆标签。涉密会议室外的手机保管柜是较为基础配置,访客的电子设备一律入柜,会议结束后凭手牌领取。有些单位的会议室使用的手机屏蔽袋效果也不错,手机放进去信号就断了,既安全又方便。大件行李和包裹要在入口处寄存,不能带入涉密区域内部。
访客的保密承诺书也不能省。来访涉密区域之前,要请访客签署保密承诺书,明确告知访客在涉密区域活动期间应当遵守的保密规定和违反后的法律后果。保密承诺书的内容要包括不得拍照、不得录音、不得私自记录、不得向无关人员透露看到听到的信息等基本条款。有些单位请外部专家来做交流,觉得让人家签承诺书不太礼貌,但这个环节真的不能省。法律上的明确约束比人情面子重要得多。
技术防护手段也是访客管理的重要补充。涉密区域的访客通道可以加装安检门和X光行李检查设备,跟机场安检类似。重要涉密区域的出入口还可以安装人脸识别或者指纹识别设备,访客进入时进行生物特征比对,确认与预约信息一致。我曾经参与过一家单位的访客管理系统升级,他们采用了访客预约申请审批准入定位跟踪离场注销的全流程数字化管理,每个环节的数据都自动记录,非常方便事后追溯和审计。
访客离开涉密区域的时候,要办离场手续。陪同人员要检查访客有没有带走不该带的物品,有没有泄露涉密信息的痕迹。临时访客证件要收回,权限要立即注销。如果访客当天有多个访问环节,每个环节之间都要有陪同人员陪同和交接。一些管理精细的单位还会在访客离开后进行回访,了解一下访客对接待安排的满意度,同时也侧面了解一下有没有发现什么异常情况。
说到访客类型,不同类型访客的管理要求是有差异的。政府机关和上级单位的检查人员,也要按照访客流程来管理,虽然身份特殊但不能例外。长期合作的供应商和合作伙伴,可以建立白名单制度,简化每次的审批流程,但该有的陪同和区域管控不能减少。临时访客比如快递员、外卖员、维修工,原则上不允许进入涉密区域,必须在公共区域或者专门的接待室完成交接。
涉密区域的访客管理说到底是风险管理。每放进来一个访客,就是把一部分风险引进了家门。风险不可能降到零,但通过规范的流程和严格的执行,可以把风险控制在可接受的范围内。
