军工单位涉密网中信息导出的安全风险分析*

陈 刚

（中电科技集团重庆声光电有限公司，重庆 401332）

0 引 言

2016年，国家保密局会同国家国防科技工业局、中央军委装备发展部联合印发修订了《武器装备科研生产单位保密资格认定办法》以及《武器装备科研生产单位保密资格标准》和《武器装备科研生产单位保密资格评分标准》，对军工单位的涉密信息系统明确要求“应当采取管理或者技术措施，防止信息设备、存储设备的非授权接入以及信息的非授权输入输出”“涉密信息系统和涉密信息设备确定的信息导出点，应当采取符合国家保密要求的技术管控措施，对信息导出进行监控审计，防止涉密信息的非授权导出”[1]。2017年7月，在新一轮军工保密现场审查认定中，将此类要求作为保密审查的重要内容进行检查，各军工单位纷纷加强信息输出技术防护，守好涉密网中信息流出的最后一道关口，但近年通报的保密案情显示，突破这道防线流向社会的涉密/敏感信息仍然很多。本文旨在对信息导出这个行为进行梳理，分析主要风险隐患，提出应对策略，供同行参考。

1 信息形式变化及分类利用

信息是社会运转的空气，信息形式的变化催生管理方式的变化，作为社会的组成单元，军工单位需合理分类信息并善加利用方能通联世界。

1.1 网信发展引发信息存在形式变化

随着网信技术的发展，工作和生活的信息大量从印刷品形式转换为电子形式存在，电子信息具体又以电子文档方式存在，主要包括电子文书、电子信件、电子报表、电子图纸等，基本依赖计算机系统存取并可在通信网络上传输。信息的电子化极大地提高了效率，但由于存在容易复制、传输、删除等特点，使计算机信息泄密行为也呈上升趋势。为保证信息受控，军工单位一般都建有独立的涉密信息系统，大多数单位还组建了涉密网络，用以处理涉及国家秘密的信息，通过与外界网络物理隔离的方式将单位的信息“封存”于满足安全保密要求的网络内。

1.2 信息分类是信息导出管理的基础

涉密网上的信息并不是全都涉密，既有涉密也有非密，需要进行区分。军工单位涉及国家秘密事项的信息主要为武器装备发展战略、规划、计划；武器装备科研生产能力、结构、布局和统计数据；武器装备的技术指标与性能、目标特性；武器装备对外合作和军工贸易敏感事项；武器装备科研生产保障性方案和措施；武器装备科研生产许可信息；武器装备科研生产安全保卫保密防范方案；武器装备科研生产的运输计划、方案以及上级机关用户单位传入的涉密文件资料等，需要做好防护进行严格保密管控。除此之外，还有内部信息以及大量的非密信息，工作秘密、商业秘密属于内部信息，不能按照国家秘密的形式进行保护，但如果公开，却有可能造成某种损害或潜在损害，因此，需要限制公开或控制其传播的范围，属于受控非密信息，也可以叫敏感信息；此外，还有大量一般性的业务资料、宣传报道、规章要求等属于非密信息，可面向社会公开，没有保密要求。

1.3 导出信息是与外界通联的必然选择

信息的价值在于利用，军工单位信息资源的利用，既有保密利用的一面，又有公开利用的一面，二者都是实现信息资源利用价值最大化的必要条件[2]。正确处理保密与公开的关系，关键是要明确哪些信息需要保密利用，哪些信息需要公开利用，定密工作是解决这一问题的钥匙，为各单位制定了本单位的秘密事项细目，为各单位的信息利用规定了范围和路径，在物理隔离的涉密网中，使信息输出到外界使用成为可能，从而避免军工单位成为信息孤岛，可以有条件地与整个社会进行融合，提高单位的效率和效益。

2 信息导出管理梳理

将涉密网内的信息导出到外界，是军工单位的日常工作，随时都在发生，如何管控和防护是影响该项工作效率和安全的主要参量。

2.1 涉密网信息导出的典型形态

信息从涉密信息系统输出到外界，是信息发挥价值必不可少的一步，也是风险防控的最后一步，跨过这一步，就将面对互联网的汪洋大海，再难受控。在内容上，信息导出有涉密与非涉密之分；在形式上，由于各单位管理方式不一，软硬件条件各异，存在分散与集中两种形态。对于按单机管理的涉密信息系统如笔记本电脑，导出信息只能以分散方式导出，对建有涉密网的军工单位，有各个终端分散导出信息的情况，也有在一个点或几个点集中导出信息的情况，这与策略设置和授权有关。分散与集中各有优劣，与使用场景密切相关（如表1所示）。对使用者而言，如果能直接在自己的计算机上完成信息导出，将十分便捷，所以分散导出较受欢迎；对管理者而言，要考虑安全保密需求，更倾向于集中导出。

表1 分散导出与集中导出比较

2.2 不同管控方法对信息导出影响各异

根据军工保密标准对导出涉密信息系统中的信息进行管控的要求，军工单位都制定了相应的管理制度，在制度落实上，有些靠人工，有些靠技术，更多的是以人工和技术相结合的方式开展管理（如表2所示）。在信息化管理手段不足的单位，信息导出审批依靠手工填单，人工逐条登记导出信息，在此过程中，可以同步完成对导出内容的审验，但花费的时间较长，审批的内容和导出的内容存在脱节的可能。在保密管理信息化程度较高的单位，可以通过电子流程绑定措施来保证导出信息在审批和导出过程中的完整性和唯一性，同时生成导出信息记录，这种不必与申请者见面就能进行的审批，极大地提高了工作效率，不过因工作量大，难以对信息内容精准把关，因此，许多单位采用人工与技术相结合的方式对信息导出进行管控，在流程的关键节点加上人工核验或抽检，如一些单位在信息集中导出点指定专人对涉密导出建立台账和领取载体登记记录，对非密导出的信息内容进行非涉密审查，确认无涉密信息后，方同意领用以及对外传递和发布等。

表2 信息导出管控方式比较

2.3 基于生物识别的防替代防护

在信息化程度较高的大型军工单位中，基本上都是靠技术进行管控，人与人之间不熟悉，审批或查验信息导出靠输入密码或刷卡具有相关权限，存在被非授权人替代的可能，为弥补该类漏洞，基于生物识别的新技术如指纹识别、掌纹识别、人脸识别技术等纷纷被尝试用于信息交换的控制中。生物识别技术虽具有便捷性，但考虑到现阶段其技术的成熟度和可靠性，在大规模应用下，应避免其与开放的线上应用场景相结合，在没有专网和硬件可信设备的支持下，生物识别技术无法应对来自网络窃取复制信息的众多风险[3]，仍然有被非授权人替代的可能。

3 信息导出主要安全风险分析

在信息导出行为中，对涉密信息具有较严格的管控，员工的保密意识较强，在导出过程中不会产生较大差错，能做好涉密信息的标识、传输、领用、销毁等全周期的记录并形成闭环，可以保证导出信息在审批和导出过程中的完整性和唯一性，失泄密风险很低，本文不予赘述。军工单位涉密网信息导出的风险主要集聚在非密信息的输出上，非密信息导出后会脱离单位管理，管控的重点是防止涉密信息以非密方式导出，这是涉密网信息导出的最大风险隐患点。

3.1 违规/误操作形成的风险

军工保密标准对信息导出有详尽的技术防护要求，各单位均能按要求做好，不构成当前主要风险，本文不予讨论。在工作中，更多是因管理不到位造成的风险，从结果来看，违规/误操作是受到保密处罚最多的行为。这些行为，责任人员没有主观故意，但可能因工作不仔细，查验不尽心，技术能力不匹配等因素，导致涉密信息以非密方式导出（如表3所示）。这些信息，如果在导出后尚未流向互联网就快速阻断，风险仍能够控制，如已经流出，比如发到私人邮箱，在微信群、QQ群、各种公众号上披露等，将带来不可估量的损失或安全隐患。近几年，在国家保密局通报的失泄密案件中，因信息导出失误造成的违纪违法问题占据多数，但主管部门并不会因误操作而减轻对当事人的责任追究。

表3 信息导出过程中几种典型违规/误操作行为

3.2 隐藏涉密信息恶意导出的方法分析

信息导出时，可以将信息剪裁编辑，恶意利用当前技术查验漏洞将涉密信息隐藏于非密信息导出。这种行为能够造成失泄密的后果且不被发觉，会形成极大的安全威胁。如表4所示，当前可用的主要方式有文档嵌入、文件拼接、扩展名篡改等方式，如果单位内部有间谍、不满意单位人员等主观犯险者，存心利用这些手段，将“击穿”军工单位涉密网的技术防护墙，将里面的涉密信息“夹带”卷出，虽然出现的概率不大，但风险极大。3

表4 恶意导出信息的几种技术路径

.3 审批中的风险分析

涉密网内的信息导出，都会按要求进行审批。常见的审批风险：一是各级审批受责任心、时效性影响较大，在保密检查中，经常发现一张几百兆的光盘刻录申请几秒钟就批完了，这种“秒批”是不负责任的，也许是“事急从权”而快速办理，但刻录出去的信息不再受控，暗藏的隐患无从知晓，风险显而易见；二是缺少对电子文档格式的技术查验能力，对于隐藏涉密信息的电子文档（如修改文件扩展名等）无能为力，对多层压缩文件也没有耐心，做不到深入各层级把关；三是审批替代问题，虽然有用户/鉴权管理，审批者要使用USB-KEY、密码（电子签章）等进行身份验证，但只要有USB-KEY、掌握相应密码就可以取得审批权代为审批，可能将隐藏在非密信息中的涉密信息放出涉密网。即使采用基于生物识别的新技术管控信息的导出，犯险者也可能利用纸质图像、二维静态电子图像、二维动态图像、三维面具、三维模具以及控制真人等手段，通过伪造或合成数据实施攻击，也能够获得相应审批权限，将涉密信息导出来。

4 降低信息导出风险的对策

在涉密网信息导出过程中，有技术发展形成的风险，也有管理不到位埋下的风险。降低风险应对症下药，以新技术弥补技术漏洞，以管理解决管理问题，有效地降低失泄密隐患。

4.1 辅助查验弥补技术漏洞

前文提到，信息导出中的违规行为主要利用了现有技术手段验证不足的漏洞才得以实现，传统查验工具只能检查正常文字中的关键字，仅可以对简单的误操作起到预警作用，但对恶意夹带等行为无能为力。技术上的问题主要依靠技术解决，随着软件技术的进步，目前，使用基于底层技术重新构建专门针对文档夹带、信息隐藏的深度查验引擎已有相关成果面世，能够在解析文件格式的基础上，更多地融入启发式方法，综合评估文件格式信息、内容识别信息、信息熵等多维度的内容，从而达到全面检查电子文件夹带和信息隐藏的目的，常见电子文件类型包括Office、WPS、压缩类、图片类、PDF类等。当然，该项技术如全部部署于涉密网的每个终端，运行时需要人工比对结果排除误报信息，将付出较高的时间成本，因此，在某些关键环节或集中导出点部署该技术作为辅助查验、弥补漏洞是比较可行的管控策略。

4.2 加强监管，形成管理“红炉”

要降低信息导出的风险，除技术措施外，提高责任人的保密意识和保密常识可以有效降低误操作，最有效的做法就是事前加强培训，以此来提高信息导出各节点工作人员的技能，事中加强监督，保证导出信息的唯一可核查性，事后加强审计，让“漏网之鱼”无处藏身。如仍有违规，应按单位规定予以追究责任，进行处罚，“问责千遍，不如处罚一次”，这个在纪律监督上的做法用在规范信息导出上同样有效，能够形成管理的“红炉”，通过看得见的规则和处罚，使员工不敢触碰失泄密的红线。

5 结 语

提升技术手段和加强监督管理能够降低信息导出的风险，文中的分析既适用于涉密信息的导出管理，也适用于敏感信息的导出管控。但安全是相对的，过于严格的管控会影响单位办事效率，所以，在降低信息导出风险的过程中应做智慧判断，目标是保证在不失泄密的底线上，将风险控制在可接受范围而不是杜绝。