國家保密事業中反情報思維的應用

陳亞峰

（江蘇國瑞信安科技有限公司，江蘇南京 210009）

0 引言

早在遠古時期，各部落之間就為爭奪領地而頻繁發生戰爭，戰爭雙方為了探聽對方虛實，了解敵情，制定對策，這就產生了信息保密的問題。隨著社會的發展，信息安全保密工作逐漸成為國家安全的重要組成部分。進入新世紀，信息安全專家越來越意識到了“非傳統信息安全”延伸的重要性，主張從以技術為中心的傳統保密策略轉向以核心地位工作者的內在心理因素為中心的新型保密策略上來，同時改進技術體系和管理體制存上的不足，從根本上改變信息安全的被動局面。

信息安全工作中的情報介入，旨在利用情報學的理論與方法，研究信息安全保護中雙方的情報活動，分析信息安全中的人際因素及信息安全技術背后的政治功能，找到情報流通背后深層次的利害關系，發揮情報在信息安全保護中的耳目、尖兵、參謀作用，以輔助信息安全戰略的制定，從國內外具體工作中的事物因素和人為因素綜合考慮，“反向適應”我國信息安全工作。文章將反情報方法運用到我國保密工作中，討論情報工作在具體信息安全保密工作中發揮的作用，并對我國國家保密事業的開展提出建議。

1 反情報工作概述

1.1 保密工作中的情報學

如果將信息保密作為護衛的盾，那么情報就是進攻的矛，矛和盾是制勝的兩大武器，它們是互為補充和保障的。不了解情報人員如何獲取有價值的信息，保密人員就難以有針對性地采取有效的防衛措施。從攻防的視角來看，情報思維就是保密研究的求異思維，它有助于保密工作者突破已有經驗思維的束縛和被動防御的工作模式，判斷竊密的手段、方法、意圖和動向，提高對竊密行為的警覺力、危機發生的預警力和應變力。

將情報思維納入保密意識，需要了解情報獲取的手段，同時也要了解相應的對策，即反情報知識。反情報的研究內容，不僅包括敵方或競爭對手的情報活動，而且包括考察自身的信息流，換言之，反情報主要是一種針對情報活動的逆向過程（Counterintelligence），其目的是最大限度地掐斷對方獲取本機構情報的來源和渠道，保護自己的情報不被對方獲得。與保密相比，反情報更加積極、主動地防御。反情報具有以下特點：（1）預防性，模仿情報對手的工作模式，通過監測和分析企業自身運營活動的過程，預先采取措施阻止或防范措施，針對自身的情報搜集活動；（2）主動性，針對對手的進攻可采取積極的防御措施，包括“反”（counter）和“防”（defensive），“反”強調了防御過程中的“進攻性”；（3）針對性，由于反情報是模仿對手的情報活動跡象進行監測和分析的，可針對性地分析本單位的信息安全問題，鎖定可疑的情報收集者，掌握其意圖和整體計劃，更有效地掌控情報威脅，提高保密的效率并降低成本。

1.2 反情報活動的主要流程

反情報活動與情報活動的流程比較相似，只不過情報搜集對象是敵方情報機構或個人的情報活動信息。國外關于反情報理論的研究已有二十多年歷史，其中OPSEC（Operation Security，操作安全性）模型是接受度較高的反情報活動模型，OPSEC模型過去主要用于軍事部門，后來多為政府采用，是一種確定競爭對手如何及時獲得對他們有價值信息的系統方法，其基本概念是根據每條信息的相對重要性來確定適當的保護措施。它了解對手怎樣獲得信息，如何利用信息，失去信息帶來的代價，保護信息需要的成本等。其具體工作模型如圖1所示。

圖1 OPSEC操作安全性模型

情報機構需首先提出保護需求（識別關鍵信息），確定哪些是能夠讓敵方情報部門獲得情報的信息；其次，辨別競爭對手搜集有價值信息的能力及充分認識自身的弱點，了解自己需要保護什么，發現自己防范不當的疏忽之處；再次，制定對策，其過程是反情報流程中最重要的一步；第四步是分析監控，對之前做出的決策進行分析與監控，判斷哪些決策是正確的、可以繼續實施的，這也可以幫助斷定對手的搜集活動在哪些方面更有威脅，反過來推動促進我方修訂反情報對策；第五步是傳遞結果，將反情報的成果及時傳遞給相關的涉密部門，獲得反饋的同時回到“確定保護需求”步驟，產生新的情報方案。

2 反情報在信息安全保護工作中的開展

在我國保密工作中，泄密案件總體可以被分為兩大類：一是人為泄密；二是技術性泄密。前者主要指因為一些人為的原因（失職、大意、被敵方組織誘惑或欺騙等）造成的泄密案件，后者則主要是敵方組織、個人利用一定的技術手段，從我方涉密信息傳輸、接收、保管環節中竊取秘密。人為泄密案件的關鍵在于保密人員，而保密人員可能因為各種各樣的原因導致泄密，另外，與保密工作相關的非保密人員，因缺乏保密意識導致泄密的案件也有很大數量；利用技術手段竊密的案件，多是利用了技術防范本身的脆弱性和流程的復雜性，找出保密薄弱點從而達到竊密目的。

反情報在保密工作中的開展，可根據具體案件的不同，借助反情報流程對其進行識別，制定相應的防泄密方法。反情報活動的實施盡管形式多樣，但大體遵循了一定的流程化方法，這里選取OPSEC操作模型來詳述保密工作中反情報的具體實施。

2.1 識別關鍵信息

識別關鍵情報信息，旨在找到保密工作中具有情報價值的核心信息，情報機構可以通過分析核心信息被敵方情報機構獲取可能造成的危害，來界定其情報價值。

2.1.1 工作信息清查法

對自身情況做一次徹底的清查，雖然需要很大的工作量，但在反情報工作中卻是很有必要的，對自身情況的清查，不應忽略公開信息等看似不涉密的信息，例如：

（1）對外公開材料和其他公開講話；

（2）公共檔案和技術資料；

（3）外部媒體報道消息；

（4）內部信息源，如BBS、討論版、政府網頁、電子公告等。

敵方情報機構通過分析我方發布的公開信息，可以找到一些蛛絲馬跡，進而得出更多情報，給保密工作造成巨大威脅。清查自身信息，還有必要將敏感信息交給情報或安全部門審查，并請法律顧問、技術專家、產品開發人員先檢查公共資料，盡量不提供可以進行深入分析的必要資料等。

2.1.2 反向追溯法

反向追溯，往往是通過密切關注敵方情報機構的情報活動，反過來發現自身關鍵信息的方法，這種方法的實施，往往是一種“將計就計”的形式。實施反向追溯法獲得關鍵信息，其前提是涉密人員具有較高的政治素養。同時，一方面要留意本方管理人員的日常行動，另一方面，反情報活動也需要在排查泄密事件與繼續放置“誘餌”之間做出平衡，以最少、最外圍的秘密為代價，獲取敵方最關心的核心秘密信息。

2.2 分析威脅

分析威脅可從敵方情報機構入手，掌握涉密信息的保密人員都是特定的，只有涉密信息對敵方有竊取價值，敵方才會采取相應的情報活動，因此，對涉密信息本身的分析是不可少的；其次，保密人員的檔案、素質、社會關系等，也是敵方情報機構想要了解的內容之一，通過與保密人員的接觸，有助于敵方情報組織摸清我方保密部門情況，制定針對的情報方案竊取機密。分析威脅還需考慮到敵方情報機構對有用信息的獲取途徑，可根據其可能采取的公開源途徑、灰色途徑甚至非法途徑來針對分析。下文是對反情報中幾種有用的分析方法。

2.2.1 假說驗證排除法

情報與反情報的對抗其實就是雙方知行能力的對抗，其中又更多地體現為一種認知分析、判斷能力的對抗。在對抗性的活動中，由于敵我雙方都是具有能動意識的人，有經驗的情報工作者都明白，最困難的不是缺少情報信息，而是一般性的信息太多。要掌握敵人的意圖，不僅要掌握行動時一些支離破碎的信息，而且只有能先敵一步對形勢、對對方的意圖與部署做出判斷，才有可能采取有效而及時的反制措施。因此，在情報與反情報的對抗中，如何把各種已知的現象、疑點拼接起來，形成若干個有可靠依據，能對對方的意圖與可能行動做出解釋的假設性推斷就成了“知彼”的關鍵。

2.2.2 推導樹法

在反情報分析中，針對已有征兆與線索，分析背后的原因是整個過程中非常關鍵的一個環節。有時推導樹法就能幫助反情報分析人員找到現象后面的本質。

2.2.3 綜合比對分析法

綜合比對分析法類似于刑事偵查中的并案偵查，在那些目標對象有周密計劃、每一項情報手段都充分考慮到避免事后反查的情況下，每一條單獨的線索都有可能是無效的，但綜合各個渠道的線索，多次出現類似活動的線索，情況可能就有所不同了。從事情報活動特別是隱蔽情報活動需要的是一種“學習周期很長，培養成本很高”的技能，真正天衣無縫的計劃和方案是罕見的，真正專業的隱蔽情報工作小組也是不多見的，在這類情報收集活動中，雖然情報收集者精心策劃，想掩蓋各種與自己有關的線索，但從其實施手段、風格都仍然有可能表現出某種相對不變的規律或者風格。因此，建立在全面周密的反情報監測基礎上，對一段時間內的情報手段、關注點、實施人員的口音、體貌特征、車輛、可疑的電話號碼進行綜合的比對，就可能從大量的可疑跡象和線索中找出關聯性，從而鎖定真正可疑的情報活動線索，再對這些線索進行深度分析，發掘出關于目標對象自身特性的更多線索。

2.3.3 分析薄弱點

分析薄弱點主要是分析自身保密工作情況，旨在發現自身秘密信息保護中可能存在的能被敵方情報機構利用的弱點或漏洞，所謂遵循“木桶原理”，堵塞安全漏洞，分析薄弱點的目的就在于找出木桶最短的那塊板。薄弱點分析主要是識別人為因素和環境、技術因素兩個方面的薄弱點。在人為因素方面，情報部門應主要關注保密人員或與秘密信息產生、傳送、保管等流程相關的工作人員，實際上因工作疏忽或缺乏基本保密意識而造成泄密的案件占了我國泄密案件中的一大部分；對于識別工作環境、技術等因素中的薄弱點，則需要考慮到現有技術本身可能存在的缺陷及因技術復雜性可能導致的缺陷。

2.3.4 風險評估

風險評估主要是將前三個步驟進行綜合分析與評估，找出最為核心的風險，得出維恩圖如圖2所示。通過將關鍵信息、威脅和薄弱點進行整合，從而發現最需要保護的秘密信息，此步驟不僅可以縮小核心秘密保護范圍，降低保密成本，而且能有針對性地制訂保密措施，加強秘密保護能力。

圖2 反情報風險評估維恩圖

2.3.5 采取對策

通過前四個步驟，確定需要保護的核心信息后，制定反情報對策則更有針對性。對核心秘密的保護，從情報傳播的角度來看，就是切斷該秘密的傳播途徑：

（1）重視對保密人員社會關系的管理，理順人際關系網，發現可疑人員則應該做針對性的行動，追查可疑的情報活動線索；對于線人、誘餌人員等的工作策略制定，應考慮其泄密風險，適時可偽造對我方有利的涉密信息。

（2）控制涉密內容知悉范圍。考慮到對方情報機構可能盯上我方工作流程中的一系列有關人員，拖長涉密工作流程是非常不可取的，應注意讓盡可能少地人完成盡可能多的涉密工作，同時加強涉密人員管理。

除了切斷秘密的傳播途徑，還可適當增大信息的模糊度，加大敵方情報機構竊密的難度：

（1）稀釋核心信息，使對方難辨主次，延長敵方情報活動周期，及時發現并調整我方反情報策略。

（2）制造假象，轉移目標和視線，對偵探的思維和行動進行誤導，使對方難辨真假，被迫分散力量去對付所有可能出現的情況，這種情況下，敵方情報活動很有可能露出馬腳，我方可根據少量情報活動信息，追查出一些線索。

需要強調的是，反情報模型的運作在一定程度上取決于全體人員的參與程度。如果能包括盡可能多的人員，在反情報工作中將可以找到更多的信息（畢竟對方的情報活動需要從各方面與我方接觸，多多少少會留下一些情報供我方追查）。這些人既包括那些活躍的、有義務的信息搜集員，也包括那些搜集過程涉及的外圍人員。另一方面，保密程序的關鍵在于保密工作中的每個成員，如果在搜集敵方情報活動資料后，能夠告訴保密人員有多少信息是從他們身上或者他們工作中獲得的實際情況，效果將會更好。

3 結語

電子技術高速發展的今天，各種高新技術手段都使用到了現代化竊密中，如收集激光、紅外、遙感、傳感信號、手機通訊信息等，針對此類竊密活動的反情報工作雖然有一定難度，但保密人員還可采用電話追查、人員追查、物品追查等方式找到些許蛛絲馬跡。針對情報活動跡象進行反情報工作如果能掌握特點，抓住過程中必然存在的失真和矛盾之處，長期布線，連續監測，找出漏洞的可能性仍是存在的。在保密工作中引入反情報思維，不僅可以變被動防御為主動防御，更能增強自身的競爭意識，通過不斷的分析與反饋，得出一套更聰明、更有效率的保密管理方法，以幫助保密管理人員更好地進行保密管理工作。總之，懂保密、會保密、善保密，不僅有利于了解竊密者的情報手段，了解包括情報分析方法在內的一切相關知識，還能培養一定的情報研究能力。

［1］靖繼鵬，馬費成，張向先.情報科學理論［M］.北京：科學出版社，2009.

［2］王知津.競爭情報［M］.北京：科學技術文獻出版社，2005.

［3］倪新雨，周學廣.非傳統信息安全與傳統信息安全比較研究［J］.計算機與數字工程，2007（3）：75-77，87，121-122.

［4］李映洲，歐陽霞.試論企業反競爭情報活動［J］.圖書與情報，2007（2）：62-66.