分享

涉密网络运维外包的三大隐忧


涉密人员管理、定密管理和涉密网络管理是保密工作的基本内容。如果说涉密人员管理是保密管理的根本,定密管理是保密管理的基石,那么涉密网络管理无疑是保密管理的重中之重。涉密网络承载着关键性、基础性重要涉密业务,其保密安全不容有失。然而,很多机关单位和个别科研院受专业技术力量不足等因素束缚,将涉密网络运维交由第三方运维公司,致使涉密网络运维普遍存在三大隐忧。

隐忧一,建设单位对运维重视程度不够。建设单位对“打江山难”有着切身体会,但对“守江山更难”缺乏足够的认识,重建设、轻运维的情况普遍存在。当涉密网络取得了保密行政管理部门发放的合格证书,标志着涉密网络项目建设已经完成,从此进入运维阶段。一些建设单位认为第三方运维公司专业技术力量充足,自己做个“甩手掌柜”就可以了。于是出现了运维公司完全主导涉密网络运维,建设单位无法有效监管的情况,相关运维台帐、日志、审计报告缺失、记录不完整,出现安全问题无法溯源,发生安全事故难以确定责任人。按照相关保密管理规定,涉密网络承载着建设单位的核心业务,建设单位对涉密网络运维负有主体责任,运维公司只是协作单位,主要是从技术上保障涉密网络正常运行。建设单位应当认识到,良好的运维是涉密网络安全可靠运行的根本保证,也是唯一保证,应该高度重视涉密网络运维,清楚建设单位和运维公司两者之间角色、职责差异,通过合同约束,厘清管理与技术之间的责任边界,切实夯实主体责任,确保涉密网络安全运行。

隐忧二,运维公司对运维技术力量配备不够。运维公司对涉密网络运维的重视程度取决于两个因素,一是建设单位的重视程度,二是运维业务给运维公司带来收益的高低。从涉密网络建设与运维的连续性上来看,按照是否参与了涉密网络建设来区分,涉密网络运维大体有两种情况。第一种情况,同一家公司既参与涉密网络建设,又负责涉密网络运维。这种情况下,运维公司在涉密网络建设阶段会给予项目建设最好的人力资源支持,例如项目经理驻场监督、技术专家骨干坐阵指导等,一旦项目建设完成进入测评阶段,人力资源支持会弱去很多,项目经理和技术专家除了参加测评工作会之外,很少再出现在项目现场,甚至会另外调派人力资源负责跟进项目测评事宜;当项目测评完成,进入运维阶段,建设公司承担起运维工作,往往出于人力资源成本考虑,会完全撇开建设阶段的项目经理和技术骨干,调派技术新人从事运维工作,使得涉密网络的运维服务力量过度削弱。站在建设单位的角度看,承载着关键性、基础性重要涉密业务的涉密网络成了运维公司技术新人的“教练场”,出现问题的概率也会增加。第二种情况,公司未参与涉密网络建设,专门负责涉密网络运维。这种情况下涉密网络建设厂商与运维公司之间需要进行相关资料手续交接,会遇到涉密网络基础资料、技术配置、细节参数不够完备,要素不全的问题,必然需要建设单位居中协调,建设厂商给予积极配合。从工作实践来看,协调作用难以发挥,配合力度比较勉强,结果难以让人满意,自然会影响到涉密网络的正常运维。此外,第二种情况下,运维公司往往由建设单位的上级单位统一招标,下级单位被动接受运维服务,造成运维服务协议自主性和约束力下降,进而产生新的隐患。

隐忧三,对建设人员和运维人员的保密管理存在漏洞。涉密网络建设人员和运维人员属于涉密人员,行业特点决定了这类涉密人员的流动性较强,他们在参与一个项目或同时参与多个项目后,可能直接从公司跳槽离开,甚至脱离行业。尽管落实了涉密人员脱密期管理措施,但这类人员的强流动性仍然给保密管理带来了风险,对涉密网络运维产生不利影响:一是建设阶段的人员与运维阶段的人员在工作交接上无论多么完备,都存在着未知的技术细节无法交接的情况,这个情况必然在未来的运维服务中暴露出来,给运维服务带来未知风险;二是作为项目建设阶段的人员对项目管理和技术细节掌握最为全面,如果保密安全教育和保密管理措施跟不上,在流动过程中容易产生无意识失泄密甚至是以密谋利的问题;三是运维新手在请教技术疑问时可能将运维细节描述给非密的技术人员,也会产生新的泄密隐患。


针对涉密网络运维服务外包的隐忧,笔者认为,机关单位要充分认识自己在涉密网络运维中的地位作用和基本职责,重视防范和化解涉密网络运维存在的潜在风险,建立并充实自有专业技术队伍,夯实三员职责,逐步实现核心业务操作自主化,尽可能减少运维服务外包。同时,要加强对涉密网络建设人员和运维人员的流动性保密管理,通过签订保密承诺、规范人员变动过程中的业务资料交接、严格人员流动审批手续、落实建设单位技术人员旁站陪同等管理制度,确保涉密网络运维安全可控。

版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则