軍工單位涉密網中信息導出的安全風險分析*

陳 剛

（中電科技集團重慶聲光電有限公司，重慶 401332）

0 引 言

2016年，國家保密局會同國家國防科技工業局、中央軍委裝備發展部聯合印發修訂了《武器裝備科研生產單位保密資格認定辦法》以及《武器裝備科研生產單位保密資格標準》和《武器裝備科研生產單位保密資格評分標準》，對軍工單位的涉密信息系統明確要求“應當采取管理或者技術措施，防止信息設備、存儲設備的非授權接入以及信息的非授權輸入輸出”“涉密信息系統和涉密信息設備確定的信息導出點，應當采取符合國家保密要求的技術管控措施，對信息導出進行監控審計，防止涉密信息的非授權導出”[1]。2017年7月，在新一輪軍工保密現場審查認定中，將此類要求作為保密審查的重要內容進行檢查，各軍工單位紛紛加強信息輸出技術防護，守好涉密網中信息流出的最后一道關口，但近年通報的保密案情顯示，突破這道防線流向社會的涉密/敏感信息仍然很多。本文旨在對信息導出這個行為進行梳理，分析主要風險隱患，提出應對策略，供同行參考。

1 信息形式變化及分類利用

信息是社會運轉的空氣，信息形式的變化催生管理方式的變化，作為社會的組成單元，軍工單位需合理分類信息并善加利用方能通聯世界。

1.1 網信發展引發信息存在形式變化

隨著網信技術的發展，工作和生活的信息大量從印刷品形式轉換為電子形式存在，電子信息具體又以電子文檔方式存在，主要包括電子文書、電子信件、電子報表、電子圖紙等，基本依賴計算機系統存取并可在通信網絡上傳輸。信息的電子化極大地提高了效率，但由于存在容易復制、傳輸、刪除等特點，使計算機信息泄密行為也呈上升趨勢。為保證信息受控，軍工單位一般都建有獨立的涉密信息系統，大多數單位還組建了涉密網絡，用以處理涉及國家秘密的信息，通過與外界網絡物理隔離的方式將單位的信息“封存”于滿足安全保密要求的網絡內。

1.2 信息分類是信息導出管理的基礎

涉密網上的信息并不是全都涉密，既有涉密也有非密，需要進行區分。軍工單位涉及國家秘密事項的信息主要為武器裝備發展戰略、規劃、計劃；武器裝備科研生產能力、結構、布局和統計數據；武器裝備的技術指標與性能、目標特性；武器裝備對外合作和軍工貿易敏感事項；武器裝備科研生產保障性方案和措施；武器裝備科研生產許可信息；武器裝備科研生產安全保衛保密防范方案；武器裝備科研生產的運輸計劃、方案以及上級機關用戶單位傳入的涉密文件資料等，需要做好防護進行嚴格保密管控。除此之外，還有內部信息以及大量的非密信息，工作秘密、商業秘密屬于內部信息，不能按照國家秘密的形式進行保護，但如果公開，卻有可能造成某種損害或潛在損害，因此，需要限制公開或控制其傳播的范圍，屬于受控非密信息，也可以叫敏感信息；此外，還有大量一般性的業務資料、宣傳報道、規章要求等屬于非密信息，可面向社會公開，沒有保密要求。

1.3 導出信息是與外界通聯的必然選擇

信息的價值在于利用，軍工單位信息資源的利用，既有保密利用的一面，又有公開利用的一面，二者都是實現信息資源利用價值最大化的必要條件[2]。正確處理保密與公開的關系，關鍵是要明確哪些信息需要保密利用，哪些信息需要公開利用，定密工作是解決這一問題的鑰匙，為各單位制定了本單位的秘密事項細目，為各單位的信息利用規定了范圍和路徑，在物理隔離的涉密網中，使信息輸出到外界使用成為可能，從而避免軍工單位成為信息孤島，可以有條件地與整個社會進行融合，提高單位的效率和效益。

2 信息導出管理梳理

將涉密網內的信息導出到外界，是軍工單位的日常工作，隨時都在發生，如何管控和防護是影響該項工作效率和安全的主要參量。

2.1 涉密網信息導出的典型形態

信息從涉密信息系統輸出到外界，是信息發揮價值必不可少的一步，也是風險防控的最后一步，跨過這一步，就將面對互聯網的汪洋大海，再難受控。在內容上，信息導出有涉密與非涉密之分；在形式上，由于各單位管理方式不一，軟硬件條件各異，存在分散與集中兩種形態。對于按單機管理的涉密信息系統如筆記本電腦，導出信息只能以分散方式導出，對建有涉密網的軍工單位，有各個終端分散導出信息的情況，也有在一個點或幾個點集中導出信息的情況，這與策略設置和授權有關。分散與集中各有優劣，與使用場景密切相關（如表1所示）。對使用者而言，如果能直接在自己的計算機上完成信息導出，將十分便捷，所以分散導出較受歡迎；對管理者而言，要考慮安全保密需求，更傾向于集中導出。

表1 分散導出與集中導出比較

2.2 不同管控方法對信息導出影響各異

根據軍工保密標準對導出涉密信息系統中的信息進行管控的要求，軍工單位都制定了相應的管理制度，在制度落實上，有些靠人工，有些靠技術，更多的是以人工和技術相結合的方式開展管理（如表2所示）。在信息化管理手段不足的單位，信息導出審批依靠手工填單，人工逐條登記導出信息，在此過程中，可以同步完成對導出內容的審驗，但花費的時間較長，審批的內容和導出的內容存在脫節的可能。在保密管理信息化程度較高的單位，可以通過電子流程綁定措施來保證導出信息在審批和導出過程中的完整性和唯一性，同時生成導出信息記錄，這種不必與申請者見面就能進行的審批，極大地提高了工作效率，不過因工作量大，難以對信息內容精準把關，因此，許多單位采用人工與技術相結合的方式對信息導出進行管控，在流程的關鍵節點加上人工核驗或抽檢，如一些單位在信息集中導出點指定專人對涉密導出建立臺賬和領取載體登記記錄，對非密導出的信息內容進行非涉密審查，確認無涉密信息后，方同意領用以及對外傳遞和發布等。

表2 信息導出管控方式比較

2.3 基于生物識別的防替代防護

在信息化程度較高的大型軍工單位中，基本上都是靠技術進行管控，人與人之間不熟悉，審批或查驗信息導出靠輸入密碼或刷卡具有相關權限，存在被非授權人替代的可能，為彌補該類漏洞，基于生物識別的新技術如指紋識別、掌紋識別、人臉識別技術等紛紛被嘗試用于信息交換的控制中。生物識別技術雖具有便捷性，但考慮到現階段其技術的成熟度和可靠性，在大規模應用下，應避免其與開放的線上應用場景相結合，在沒有專網和硬件可信設備的支持下，生物識別技術無法應對來自網絡竊取復制信息的眾多風險[3]，仍然有被非授權人替代的可能。

3 信息導出主要安全風險分析

在信息導出行為中，對涉密信息具有較嚴格的管控，員工的保密意識較強，在導出過程中不會產生較大差錯，能做好涉密信息的標識、傳輸、領用、銷毀等全周期的記錄并形成閉環，可以保證導出信息在審批和導出過程中的完整性和唯一性，失泄密風險很低，本文不予贅述。軍工單位涉密網信息導出的風險主要集聚在非密信息的輸出上，非密信息導出后會脫離單位管理，管控的重點是防止涉密信息以非密方式導出，這是涉密網信息導出的最大風險隱患點。

3.1 違規/誤操作形成的風險

軍工保密標準對信息導出有詳盡的技術防護要求，各單位均能按要求做好，不構成當前主要風險，本文不予討論。在工作中，更多是因管理不到位造成的風險，從結果來看，違規/誤操作是受到保密處罰最多的行為。這些行為，責任人員沒有主觀故意，但可能因工作不仔細，查驗不盡心，技術能力不匹配等因素，導致涉密信息以非密方式導出（如表3所示）。這些信息，如果在導出后尚未流向互聯網就快速阻斷，風險仍能夠控制，如已經流出，比如發到私人郵箱，在微信群、QQ群、各種公眾號上披露等，將帶來不可估量的損失或安全隱患。近幾年，在國家保密局通報的失泄密案件中，因信息導出失誤造成的違紀違法問題占據多數，但主管部門并不會因誤操作而減輕對當事人的責任追究。

表3 信息導出過程中幾種典型違規/誤操作行為

3.2 隱藏涉密信息惡意導出的方法分析

信息導出時，可以將信息剪裁編輯，惡意利用當前技術查驗漏洞將涉密信息隱藏于非密信息導出。這種行為能夠造成失泄密的后果且不被發覺，會形成極大的安全威脅。如表4所示，當前可用的主要方式有文檔嵌入、文件拼接、擴展名篡改等方式，如果單位內部有間諜、不滿意單位人員等主觀犯險者，存心利用這些手段，將“擊穿”軍工單位涉密網的技術防護墻，將里面的涉密信息“夾帶”卷出，雖然出現的概率不大，但風險極大。3

表4 惡意導出信息的幾種技術路徑

.3 審批中的風險分析

涉密網內的信息導出，都會按要求進行審批。常見的審批風險：一是各級審批受責任心、時效性影響較大，在保密檢查中，經常發現一張幾百兆的光盤刻錄申請幾秒鐘就批完了，這種“秒批”是不負責任的，也許是“事急從權”而快速辦理，但刻錄出去的信息不再受控，暗藏的隱患無從知曉，風險顯而易見；二是缺少對電子文檔格式的技術查驗能力，對于隱藏涉密信息的電子文檔（如修改文件擴展名等）無能為力，對多層壓縮文件也沒有耐心，做不到深入各層級把關；三是審批替代問題，雖然有用戶/鑒權管理，審批者要使用USB-KEY、密碼（電子簽章）等進行身份驗證，但只要有USB-KEY、掌握相應密碼就可以取得審批權代為審批，可能將隱藏在非密信息中的涉密信息放出涉密網。即使采用基于生物識別的新技術管控信息的導出，犯險者也可能利用紙質圖像、二維靜態電子圖像、二維動態圖像、三維面具、三維模具以及控制真人等手段，通過偽造或合成數據實施攻擊，也能夠獲得相應審批權限，將涉密信息導出來。

4 降低信息導出風險的對策

在涉密網信息導出過程中，有技術發展形成的風險，也有管理不到位埋下的風險。降低風險應對癥下藥，以新技術彌補技術漏洞，以管理解決管理問題，有效地降低失泄密隱患。

4.1 輔助查驗彌補技術漏洞

前文提到，信息導出中的違規行為主要利用了現有技術手段驗證不足的漏洞才得以實現，傳統查驗工具只能檢查正常文字中的關鍵字，僅可以對簡單的誤操作起到預警作用，但對惡意夾帶等行為無能為力。技術上的問題主要依靠技術解決，隨著軟件技術的進步，目前，使用基于底層技術重新構建專門針對文檔夾帶、信息隱藏的深度查驗引擎已有相關成果面世，能夠在解析文件格式的基礎上，更多地融入啟發式方法，綜合評估文件格式信息、內容識別信息、信息熵等多維度的內容，從而達到全面檢查電子文件夾帶和信息隱藏的目的，常見電子文件類型包括Office、WPS、壓縮類、圖片類、PDF類等。當然，該項技術如全部部署于涉密網的每個終端，運行時需要人工比對結果排除誤報信息，將付出較高的時間成本，因此，在某些關鍵環節或集中導出點部署該技術作為輔助查驗、彌補漏洞是比較可行的管控策略。

4.2 加強監管，形成管理“紅爐”

要降低信息導出的風險，除技術措施外，提高責任人的保密意識和保密常識可以有效降低誤操作，最有效的做法就是事前加強培訓，以此來提高信息導出各節點工作人員的技能，事中加強監督，保證導出信息的唯一可核查性，事后加強審計，讓“漏網之魚”無處藏身。如仍有違規，應按單位規定予以追究責任，進行處罰，“問責千遍，不如處罰一次”，這個在紀律監督上的做法用在規范信息導出上同樣有效，能夠形成管理的“紅爐”，通過看得見的規則和處罰，使員工不敢觸碰失泄密的紅線。

5 結 語

提升技術手段和加強監督管理能夠降低信息導出的風險，文中的分析既適用于涉密信息的導出管理，也適用于敏感信息的導出管控。但安全是相對的，過于嚴格的管控會影響單位辦事效率，所以，在降低信息導出風險的過程中應做智慧判斷，目標是保證在不失泄密的底線上，將風險控制在可接受范圍而不是杜絕。