涉密計(jì)算機(jī)是存儲(chǔ)、處理涉密信息的重要設(shè)備。按照保密管理要求，為防止Windows操作系統(tǒng)涉密計(jì)算機(jī)非授權(quán)訪問，有關(guān)人員須在其BIOS（Basic Input Output System,即基本輸入輸出系統(tǒng)）中將硬盤設(shè)置為第一啟動(dòng)設(shè)備，并設(shè)置超級(jí)用戶口令，確保啟動(dòng)項(xiàng)不被隨意修改。但在日常保密管理過程中，該要求時(shí)常執(zhí)行不到位，這一漏洞導(dǎo)致的失泄密事件屢見不鮮。

 典型案例及分析 

2021年3月，有關(guān)部門在工作中發(fā)現(xiàn)，某單位重要涉密人員丁某為圖省事，在單位系統(tǒng)管理員對(duì)其使用的涉密計(jì)算機(jī)進(jìn)行運(yùn)維操作時(shí)，非授權(quán)獲取BIOS超級(jí)用戶口令，并使用該口令擅自登錄涉密計(jì)算機(jī)BIOS系統(tǒng)，將第一啟動(dòng)優(yōu)先權(quán)由硬盤啟動(dòng)改為U盤啟動(dòng)。隨后，丁某通過啟動(dòng)事先準(zhǔn)備好的U盤，多次違規(guī)進(jìn)入Windows PE操作系統(tǒng)、直接訪問本地硬盤，將多份涉密文件分批拷貝到非密U盤中，進(jìn)而拷貝至個(gè)人互聯(lián)網(wǎng)計(jì)算機(jī)和非密移動(dòng)存儲(chǔ)硬盤，造成涉密信息失控。

正如案例所示，涉密計(jì)算機(jī)的開機(jī)看似“小節(jié)”，卻關(guān)系重大。這個(gè)環(huán)節(jié)出現(xiàn)問題，極易引發(fā)失泄密事件。而涉密計(jì)算機(jī)違規(guī)開機(jī)行為之所以能夠?qū)崿F(xiàn)，與一些深層次的管理問題脫不開關(guān)系。

一是涉密網(wǎng)絡(luò)“三員”履職不到位。案例中，系統(tǒng)管理員未嚴(yán)格管理涉密計(jì)算機(jī)BIOS超級(jí)用戶口令，導(dǎo)致口令被無關(guān)人員知悉，涉密計(jì)算機(jī)BIOS系統(tǒng)安全配置被篡改。安全保密管理員未定期查看涉密計(jì)算機(jī)安全配置策略是否有效，這使得丁某的違規(guī)行為多次得逞。此外，安全審計(jì)員也未按要求對(duì)系統(tǒng)管理員、安全保密管理員履職情況進(jìn)行審計(jì)、跟蹤、分析和監(jiān)督檢查，以至于相關(guān)風(fēng)險(xiǎn)隱患得不到排除，丁某的違規(guī)行為長期未被發(fā)現(xiàn)。

二是涉密人員保密教育培訓(xùn)不到位。丁某作為重要涉密人員，平時(shí)的保密教育培訓(xùn)沒有入腦入心，敵情意識(shí)和保密意識(shí)極其淡薄、令人唏噓。精通計(jì)算機(jī)操作本是好事，但丁某為了個(gè)人工作便利、罔顧國家秘密安全，利用其技術(shù)優(yōu)勢和單位保密管理漏洞，違規(guī)獲取涉密信息并非法持有，其行為的隱蔽性和危害性極強(qiáng)。

三是日常保密監(jiān)督檢查不到位。案例中，單位保密干部對(duì)丁某長期用于辦公的個(gè)人互聯(lián)網(wǎng)計(jì)算機(jī)缺乏管理，沒有做到相應(yīng)的保密提醒和保密檢查，也未能及時(shí)發(fā)現(xiàn)該計(jì)算機(jī)存儲(chǔ)、處理涉密信息，最終導(dǎo)致了國家秘密的失控。

 對(duì)策建議 

總而言之，丁某的違規(guī)行為手段隱蔽、性質(zhì)惡劣，危害嚴(yán)重。廣大涉密單位應(yīng)引以為戒、舉一反三，全面加強(qiáng)涉密計(jì)算機(jī)及相關(guān)使用人員的保密管理。

一是強(qiáng)化保密教育培訓(xùn)，增強(qiáng)保密意識(shí)。為進(jìn)一步提高涉密計(jì)算機(jī)相關(guān)使用人員保密 能力，應(yīng)多開展技術(shù)防護(hù)方面的實(shí)操培訓(xùn)，并在培訓(xùn)中增加考試、考察環(huán)節(jié)，充分運(yùn)用評(píng)價(jià)考核結(jié)果，倒逼有關(guān)人員真學(xué)真用。此外，還應(yīng)充分利用典型泄密案例開展警示教育，以案示警、以案為戒、以案促改，講清危害、敲響警鐘，不斷增強(qiáng)涉密人員的敵情意識(shí)和保密意識(shí)，幫助其克服僥幸心理，繃緊保密之弦 ，常懷謹(jǐn)慎之心。

二是加強(qiáng)信息設(shè)備管理，完善保密措施。要加強(qiáng)對(duì)信息設(shè)備的全生命周期管理和動(dòng)態(tài)管理，尤其是對(duì)涉密計(jì)算機(jī)的保密管理，重點(diǎn)在安全審計(jì)上下功夫，在對(duì)主機(jī)進(jìn)行安全審計(jì)的同時(shí)，加強(qiáng)對(duì)涉密計(jì)算機(jī)BIOS操作日志的記錄和審計(jì)。還要建立健全相關(guān)制度，明確涉密計(jì)算機(jī)使用人員和管理人員的不同職責(zé)，堅(jiān)決杜絕偷看、偷聽、偷記相關(guān)口令的行為，對(duì)越權(quán)操作嚴(yán)懲不貸。

三是加大保密檢查力度，消除失泄密隱患。涉密單位在開展針對(duì)信息設(shè)備的專項(xiàng)保密檢查時(shí)，不僅要查本單位的信息設(shè)備，還應(yīng)重點(diǎn)關(guān)注涉密人員平時(shí)用于工作的個(gè)人互聯(lián)網(wǎng)計(jì)算機(jī)。同時(shí)，加大對(duì)“三員”履職情況的監(jiān)督檢查，重點(diǎn)核查“三員”口令是否定期更換、是否定期開展安全審計(jì)、安全策略是否有效等問題。發(fā)現(xiàn)問題 和隱患后，要及時(shí)調(diào)整、堵塞漏洞，以查促改、以查促學(xué)、以查促管，切實(shí)提升保密管理水平。

四是加快新技術(shù)應(yīng)用，提升防護(hù)能力。隨著信息技術(shù)的飛速發(fā)展，新的攻防手段不斷涌現(xiàn)，涉密單位應(yīng)加快推進(jìn)新技術(shù)應(yīng)用，有效提升涉密計(jì)算機(jī)技術(shù)防護(hù)能力。比如，可使用安全增強(qiáng)的國產(chǎn)計(jì)算機(jī)，從根源上解決“后門”、惡意漏洞等問題。如因?qū)嶋H工作需要，確需使用非國產(chǎn)計(jì)算機(jī)，應(yīng)優(yōu)先選擇具有BIOS日志記錄功能的計(jì)算機(jī)，并加強(qiáng)相關(guān)審計(jì)。此外，涉密計(jì)算機(jī)中的電子文檔還可應(yīng)用隱寫溯源等技術(shù)，通過將隱藏水印嵌入電子文件的方式，幫助事后定位泄密源頭。