保密技术是指防止国家秘密失窃和泄露的保障技术。从广义上讲，保密技术可指一切防止秘密泄露的防护保障技术。保密技术是保密工作的一项重要内容和重要手段，是其它保密手段无法替代的，与现代科学技术关系密切，如行政管理手段、法制管理手段和宣传教育手段等等。随着监狱信息化建设的迅速发展，如何完善保密技术手段，确保监狱信息安全，是很值得我们认真研究和探讨的。

一、当前监狱信息保密技术手段存在的缺陷

1、有机可乘的系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这些缺陷或错误可以被他人利用以获取远程计算机的控制权，轻易窃取远程计算机中的监狱工作中相关重要资料。尽管通过“打补丁”的方式可以缓解由“漏洞”引起的问题，但是大多数民警没有及时“打补丁”的意识，或者不会“打补丁”，造成计算机系统长期存在系统漏洞，这就给了一些别有用心人的可乘之机。

2、形同虚设的简单口令。近几年来，随着监狱信息化建设全面展开，监狱工作越来越依赖电脑，依赖互联网，但信息化给我们工作带来便利的同时，我们的一些基本防范措施却没有跟上。表现最为突出的密码口令的设置问题。在某监狱进行的几次网络信息检查过程中，就发现了有近60%的电脑未设置开机密码、系统用户名密码或电子邮箱密码等等，同时即使在设置了密码口令的电脑中，绝大部分还是原始密码或仅由几位阿拉伯数字或字母构成，设置的口令过短，口令使用周期过长等。这就为窃密者提供一条通过建立一个空连接，悄悄进入远程计算机的技术便利。lockdown.com曾公布了一份采用“暴力字母破解”方式获取密码的“时间列表”，其中显示，如果用一台双核pc破解密码，瞬间就能搞定6位数字密码（如银行密码），8位需348分钟，10位需163天；6位大小写字母需33分钟，8位需62天；混合使用数字和大小写字母，6位需一个半小时，8位耗时253天；混合使用数字、大小写字母和标点，6位耗时22小时，8位需23年。

3、防不胜防的泄密载体。随着信息科技的高速发展，移动储介质的种类日趋多样，软盘、优盘、移动硬盘、mp3、mp4、数码相机记忆棒等在工作中的应用十分广泛。特别是优盘，由于其便于携带、方便存取，越来越多地出现在我们的工作中，所有监狱工作信息均可以存储在一个小小的优盘中。不少人用它私自下载和保存涉密文件，还有的人将工作优盘带回到家庭电脑中进行监狱工作信息处理，甚至带着涉密的优盘逛街、访友，一旦丢失，损失巨大。除了这些泄密隐患外，优盘一旦被植入病毒，特别是“木马”病毒后，如果接入监狱涉密计算机，我们的涉密文件就会在不知不觉中被别有用心者窃取。

4、里应外合的病毒侵入。这几年“熊猫烧香”、“木马”等新名词，因为和电脑病毒联系在一起，让我们“耳熟能详”，甚至是深受其害。特别是“木马”病毒，就是一个窃密者的“好帮手”。它在优盘等移动存储介质内驻存隐藏文件autorun.inf和sys.exe，当该优盘接入涉密a主机时，病毒程序自动运行，将a主机内的涉密文档下载并打包保存在隐藏文件中，当该优盘又接入b主机时，就会将从a主机中下载的文件传入b主机中。这样，如果该优盘是在内网中使用的，就有可能造成涉密文档在内网不同主机间的传播；如果该优盘插入了外网主机，涉密文档就会通过互联网，被窃密者远程下载。

二、当前监狱信息安全保密技术手段不尽完善的原因分析

1、思想认识不到位。从当前监狱网络信息保密工作形势看，部分领导和民警没有充分认识到新形势下保密与窃密斗争的尖锐复杂和监狱保密工作任务的繁重艰巨，还存在着麻痹思想、侥幸心理和厌烦情绪。认为随着监狱“政务公开”和“狱务公开”不断深入，监狱可以不需要保密，或无秘密可保，同时认为即使要保密也是某个部门和某些人的事，与自己无关，因此在对做好监狱网络信息保密工作时口头上说起来重要，执行起来却不重要，甚至弃置不理。

从信息防范技术的认识角度来看，一直以来，许多人认为，经过高级格式化或文件删除后的硬盘，其存储的数据就被彻底删除了，这是一种误解。其实，硬盘的格式化操作，只是重新规划了磁盘上的储存区域；而删除文件操作，只是将文件的记录表格删除；即使是经过重新分区后的硬盘，也仅仅重新写入了硬盘的分区信息而已。同时大量维修实践证明，当优盘出现问题（系统不认、不能读取、进水、破裂）时，绝大部分是电路的问题，而作为存储数据的芯片并没有发生故障。当出现上述几中情形时，硬盘或优盘中的文件内容、存放位子并没有发生任何变化，只需要简单的方法就可以将内容完整地恢复出来，而我们很多人却错误的认为移动盘坏了，存储在里面的信息也不复存在了。

2、监狱信息网络在保密防护技术措施方面的不足。因为投入的不足，监狱涉密计算机系统安全保密方面的投入还低于国家规定标准，很难保证计算机涉密信息的安全。不少单位为了图省事、少花钱，在没有采取任何防范措施的情况下，不同程度地存在着“一机两用”的现象。而监狱网络信息化涉及到的是大量电子文本信息和数据，而这些信息数据在保密防护上又存在缺陷性和脆弱性，即数据的可访问性，数据信息可以很容易被终端用户拷贝下来而不留任何痕迹；信息的聚生性，当信息以零散形式存在时，其价值往往不大，一旦网络将大量关联信息聚集在一起时，其价值就相当可观了；设防的困难性，尽管可以层层设防，但对一个熟悉网络技术的人来说，下些功夫就可能通过相关技术，就会突破这些关卡，给保密工作带来极大的困难。

3、管理制度跟不上。对计算机网络信息安全管理，从监狱情况来看，尽管各单位普遍明确了相应的管理人员，但从制度实际执行的检查情况看，还存在人员责任不明确。例如，尽管签收电子文件的人员固定，但本单位的任何一个人都可以签收、下载和打印文件，可以随意在个人的移动u盘中保存电子文件。此外，各单位对民警所拥有的移动存储介质没有严格的使用规定，民警可以在个人u盘中存放监区或分监区的各种资料，并将其带到外网中下载信息资料。

三、完善技术防范手段，确保监狱信息安全

过去，有些同志以为靠人工手段、靠制度管理就可以做好保密工作。现在科学技术发展很快，窃密手段很先进，仅靠人工手段和制度管理，不能完全发现泄密漏洞，不能保护国家秘密安全，需要增加技术手段，才能发现泄密漏洞和做好保密工作。如果这种认识得不到解决，就不能提高防范意识，达不到全面加强保密工作的效果。

1、定期检查涉密系统，从软件上把好安全保密关。应当定期或不定期对操作系统进行安全检查，及时发现系统安全隐患，堵塞安全漏洞，消除不安全的苗头。检查的内容应该包括：系统安全漏洞补丁，硬盘的工作状态，系统进程中有无恶意插件运行，病毒是否驻留内存；检查网络状态，发包的程度、大小等。一旦发现安全隐患就要立即采取措施弥补，保持系统和硬盘的正常工作，这样既可以减少硬盘故障的可能，保证数据安全，也会减少涉密资料的丢失或泄露的风险。

2、设置相关技术防范技术，确保监狱信息资源安全。一是设置访问控制技术。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。访问控制可以说是保证网络安全最重要的核心策略之一，主要包含的技术有：注册授权，各单位应对移动磁盘及使用者相关信息进行收集备案，如使用者、使用单位、启用时间、磁盘容量、磁盘型号、授权码等。在对上述信息注册之后，将授权使用码写入磁盘；使用许可，管理软件能封锁当前计算机的usb接口，当经过注册的移动磁盘在安装有管理软件的机器上使用时，读取授权码，可实现对授权移动磁盘的许可，执行读写操作，而未经注册的则不能在本机上使用；软件自我保护，非管理人员，未经授权不能对管理软件执行卸载功能，只有经授权的保密工作人员才能执行此功能；入网访问控制，它控制哪些用户能够登录到服务器并获取网络资源，同时也控制准许用户入网的时间和准许他们从哪台工作站入网；网络的权限控制，网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源以及用户可以执行的操作。二是全面使用安全防范技术。对于监狱信息安全防范技术主要可以采用防毒软件、防火墙、密码技术和虚拟专有网络（vpn）等技术手段，从技术手段上切断监狱信息泄密的渠道和途径。同时，作为监狱网络信息安全防范的最基本手段密码口令设置要把握好以下四个原则，即，密码至少有8个字符长度；最好包含有非字母字符，包括数字和特殊字符，如～ ! @ $ % ^ & * （ ） _ - + = [ ] < > , . ? / 和空格；必须容易记住而不必写下来；不用看键盘而能迅速键入，使偷看的人不能识别出键入的字符。三是加大投入，提高技术防范能力。在加强保密安全管理的同时，努力创造条件，不断加大对保密工作经费的投入，做到设施建设与安全保密两同步，着力改善安全保密防护措施，避免因安全防护设备落后而造成泄密。坚持管理与投入并举。统一规范标准，跟踪检查督促，发挥重点涉密单位自身优势，不断加大单位内部保密要害部位硬件设施投入，提高安全保密防范能力。

3、规范涉密存储介质处理工作。涉密存储介质一般都是发生了数据损坏需要维修，对于涉密数据恢复，国家保密局《涉密信息系统集成资质管理办法》规定有涉密涉密数据发生损毁，应该到具有涉密数据恢复资质的单位进行恢复。但是对于硬盘的销毁（包括消磁）还没有具体明确的管理规定，在实际过程中，为了保证涉密数据的安全，应经过对硬盘等存储介质的检测、消磁、安全鉴定等专业的技术处理后，再送到指定的涉密存储介质销毁地点实施物理销毁，在对损坏报废磁盘进行注销时，保密工作人员要在管理软件数据库中将其信息注销，并出具注销清单。特别是对尚在保修期内的存有涉密信息的新盘，不能为了省钱，省事而直接送到售后服务单位进行维修，以防造成泄密。

4、完善监狱信息安全管理制度。在网络安全中，除了采用相应技术措施之外，制定完善有关规章制度，对于确保网络的安全、可靠运行，将起到十分有效的作用。一是完善网络的安全管理制度。网络安全管理包括确定安全管理等级和安全管理范围、制订有关网络操作使用规程和人员出入机房管理制度和制定网络系统的维护制度和应急措施等。二是完善行政管理制度。为确保监狱网络安全，在强化技术防范手段的基础上，还应该完善相应的行政管理制度，如，购买制度。应从购买制度人手，进行严格规范。在购买前，要经本单位保密工作部门审批：购买时，要选择经信息安全产品测评认证中心认证、并具有一定加密强度的产品，购买后，要将所购产品报保密工作部门备案，由保密工作部门出具证明后，到财务部门结算，确保从源头严格把关；使用管理制度。应建立保密工作部门、本单位保密工作人员和使用者三位一体的管理制度，并用软件方法予以授权，分配其使用权限，确保使用的合法性；检查监督制度。保密工作人员要经常对本单位保密工作情况进行定期和不定期的检查，及时发现问题，督促解决，检查情况与单位的绩效考核挂钩；销毁制度，磁盘损坏需报废时，使用人员应将其及时上交，在处理报废有关涉密设施设备时，要确保物理销毁。三是完善人员管理制度。在信息安全保密管理中，人是最基本、也是最薄弱的因素，加强对人员的培训和管理尤为重要。要强化教育培训制度，通过教育培训，使使用和管理人员有效提高对泄密隐患的认识，使保密成为每个涉密人员的自觉行为；要强化动态管理，加强对单位内流动人员的管理，使人员流动不影响保密管理。人员调走或离岗时，所涉及到的保密设施要到本单位保密工作人员处注册，人员调入或重新上岗，要重新到保密工作部门进行备案、授权。

论文作者：

叶 敏：男，赣江监狱党委副书记、政委

胡 军：男，赣江监狱办公室副主任