一種涉密場所物理信息泄漏風險評估辦法*

張 巖，郇 峰，邊永亮，鄭 瑾，化騰飛

（中國電子科技集團公司第三十三研究所，山西 太原 030006）

0 引言

涉密場所內部數據一旦泄漏，可能嚴重危害國家安全、軍事安全、國計民生、公共利益，這些場所是敵對勢力關注的重要目標，面臨著諸多問題的挑戰。[1-3]物理信息是指涉密場所內部以聲、光、電磁、熱等形態存在的敏感信息，如果不采取合理的信息安全防護措施，這些敏感信息易被外部人員通過技術手段截獲、還原。

《信息安全體系結構》一書中描述了信息安全風險評估的方法[4]，對威脅采取分級賦值的方法予以確定。受此啟發，本文也采用威脅賦值的方法對涉密場所物理信息安全威脅進行確定。

本文借鑒安全風險量化的思維[5]，通過開展一種物理信息泄漏風險評估，形成涉密場所物理信息泄漏風險評估結論，指出涉密場所物理信息泄漏薄弱環節，幫助涉密場所制定信息泄漏防護措施，最后對防護后的涉密場所進行殘余風險的評估。

1 物理信息泄漏威脅

1.1 電磁信息泄漏威脅

電磁波是最常見的信息載體，電磁發射與信息安全有著必然的聯系。信息設備如計算機、打印機等在工作時，會輻射出攜帶信息的電磁波，通過對電磁波的接收、分析和解碼，可以還原出信息設備所處理的信息。一旦電磁波發射的成分中攜帶有敏感信息，則有可能造成敏感信息的泄漏。[6-8]

1.2 光信息泄漏威脅

光學竊密主要是直接竊視竊照或通過技術手段竊取目標區域圖像信息。激光竊聽技術是靠提取房間內談話聲音引起的玻璃、紙巾盒等輕微振動來達到竊聽的目的。這種竊聽方式作用距離長，隱蔽，不易受干擾，備受各國情報部門重視。[9-11]

1.3 聲信息泄漏威脅

常規聲音竊密是通過技術手段定向竊聽目標人員的談話信息。非常規的手段有利用光纖制作成聲傳感器來拾取目標場所的敏感聲音信息，還有通過在物理隔離計算機上植入惡意軟件，控制硬盤上驅動器機械臂的運動產生特定的音頻，建立隱蔽聲學通道向外傳遞信息。[12-14]

1.4 熱信息泄漏威脅

針對計算機等信息設備，通過熱量建立的隱蔽熱通道隱蔽性更高。信息設備處理器、內存等電子設備工作時會發出熱量輻射到周圍環境中，這些熱量可能會被周邊事先設置的熱量傳感器監測而建立一個隱蔽熱學通道，把敏感信息泄漏出去。[15]

1.5 周界入侵威脅

涉密場所的安防工作也是重中之重，敵對分子可能攀爬翻越涉密場所的建筑圍墻，實行竊密。同時，涉密場所也面臨無人機這類“低、慢、小”威脅，無人機攜帶竊密設備對涉密場所進行拍照、竊聲等，將信息傳回到固定接收機，即使無人機被擊落，敏感信息也已經泄漏。

2 風險評估方法

本文通過開展涉密場所物理信息安全風險評估，揭示涉密場所物理信息安全存在的主要問題和矛盾，并對其泄密威脅進行評價，最后通過物理信息安全防護后的殘余風險計算，對其防護措施的有效性進行評估。該方法可以系統性地反映現場情況、威脅風險、防護措施之間的關系。

2.1 評估流程

風險評估的流程包括現場調研、數據測量、風險識別、風險評估與計算，最后得出評估結論。評估流程如圖1 所示。

圖1 風險評估流程

2.2 現場調研

現場調研所采用的方法，包括現場勘查法、訪談法、測試測量等方法。

（1）現場勘查法：對涉密場所周圍的物理環境、內部涉密信息形態、信息設備、現有防護手段、周圍設施情況等進行現場勘驗。

（2）訪談法：對涉密場所內的工作人員進行訪談，了解其涉密區域劃分情況、內部涉密等級、現有防護手段情況、信息防護的新需求等情況。

（3）測試測量法：通過采用專用設備，對涉密場所內的相關情況進行量化，如表1 所示。

表1 測試測量項目示例

2.3 風險評估

本文綜合考慮竊密威脅、涉密場所周邊環境、最小警戒距離、現有防護措施等因素，量化竊密威脅，對風險值進行計算，再對比標準值，判斷該場所信息安全風險是否可控。以下內容以一個某涉密辦公大樓為例，對該風險評估方法進行介紹。

2.3.1 周邊環境系數

通過現場調研，對涉密場所所處物理環境的情況進行了解，設定涉密場所信息泄漏威脅周邊環境系數c，周邊環境系數為0～1 的數值，周圍環境越復雜，周邊環境系數越大，示例見表2。

表2 周邊環境系數c 示例

2.3.2 信息敏感系數

根據涉密場所內部運行信息的敏感程度確定信息敏感系數s，信息敏感系數為0～1 的數值，信息越敏感，信息敏感系數越大，示例見表3。

表3 信息敏感系數s 示例

2.3.3 竊密威脅初值

通過現場調研，對涉密場所具體情況進行詳細了解。針對現場情況、前期測量數據、最小警戒距離、竊密手段和威脅程度進行對比分析，整理歸類研究，綜合竊密手段與有效竊密距離的關系，得出威脅初值T，威脅初值為1～10的數值，數值越大，威脅越高。威脅初值示例見表4。

表4 威脅初值T 示例

2.3.4 措施防護系數

針對現有防護措施，按防護程度和防護效果，確定每一個威脅項對應的防護措施的影響系數p。防護系數根據威脅情況、前期測量數據、防護措施程度、專家測評結果等進行確定，數值范圍為0～1，防護措施對威脅的效果越好，數值越大。若針對的威脅項有多種防護措施，則此項威脅總的防護系數為各措施防護系數之和。現有防護措施防護系數p的示例如表5 所示。

表5 現有防護措施防護系數p 示例

2.3.5 風險值計算

根據上述系數及威脅初值對其風險值進行計算，對涉密場所信息泄漏風險進行評價，判斷其是否存在安全風險。通過計算，涉密場所面臨的每一項威脅計算后的威脅值為Th。計算方法為：

Th計算值如表6 所示。

表6 威脅值Th 計算值示例

計算出每項威脅的威脅值后，最后計算涉密場所面臨的總的威脅風險值R。計算方法為：

該示例風險值R的計算結果為11.407。

2.3.6 評估結論

本文所述風險評估方法風險值判斷標準值為3，若風險值大于3，表示該涉密場所信息泄漏風險較高，應采取相應防護措施；若風險值小于3，則信息泄漏風險較低。以上示例涉密場所風險值為11.407，信息泄漏風險較高，應采取相應防護措施。

2.4 殘余風險評估

殘余風險評估是對涉密場所最終提出的改進防護措施進行風險評估，根據殘余風險值計算，對改進防護建議的有效性進行評價，為后續信息安全防護設計提供支撐。

防護措施殘余風險評估計算時，竊密威脅初值、周邊環境系數、信息敏感系數的確定與上述風險評估方法相同，下文就新采取的改進防護措施來確定新的防護系數，最后計算采取有效防護措施以后的殘余風險值，判斷改進措施是否達到要求。

2.4.1 改進措施防護系數

根據涉密場所現狀以及擬采用的改進防護措施，確定每一個威脅項對應的改進防護措施影響系數r。改進防護系數r根據現場情況、測量結果、防護措施程度、專家測評等進行設定，數值范圍為0～1，改進防護措施對威脅的效果越好，數值越大。若針對的威脅項有多種防護措施，則此項威脅總的改進防護系數為各措施改進防護系數之和。

2.4.2 改進措施防護系數

根據上述系數及殘余威脅值對其殘余風險值進行計算，對涉密場所信息泄漏防護措施及殘余風險進行評價，判斷其是否滿足要求。通過計算，每項威脅計算后的殘余威脅值為Tr，計算方法為：

Tr計算值如表8 所示

表8 殘余威脅值Tr 計算值示例

采取相應的改進防護措施后，通過計算，涉密場所面臨信息泄漏殘余風險值為Rr。計算方法為：

該示例殘余風險值Rr計算結果為2.433。

2.4.3 評估結論

本文所述風險評估方法風險值判斷標準值為3，若殘余風險值大于3，表示該涉密場所信息泄漏防護措施不足，泄密風險較高，應改進防護方案；若風險值小于3，則防護措施合理，信息泄漏風險較低。以上示例涉密場所殘余風險值為2.433，改進的防護措施合理，信息泄漏風險較低。

3 結語

涉密場所物理信息安全越來越受到重視，其信息安全風險日益嚴峻，防護需求迫切。本文指出了涉密場所面臨的泄密威脅，并通過一個示例介紹了一種針對涉密場所物理信息安全風險評估的辦法。該方法通過科學分析計算量化各方面所面臨的威脅和風險，可以幫助相關部門及人員在物理信息泄漏安全風險的預防、控制方面做出決策，使后續防護設計能夠合理關聯現場實際情況和面臨的威脅風險，指導涉密場所信息安全防護工作的開展。