寧白羽
摘 ? 要:竊密事件一直是保密工作者日常工作中的防范重點,在物防技防方面,依托于科技的高速發(fā)展,保密工具的防護(hù)能力有了創(chuàng)新式提升,使得竊密者需要掌握更加高級且全面的科技竊密手段達(dá)到非法獲取的目的,無形之中加大了竊密難度。由于三防中的“人防”具有主觀漏洞和不可控性的特點,利用社會工程學(xué)的相關(guān)手段,使得竊密行為可操作性增大。文章通過對社會工程學(xué)相關(guān)內(nèi)容進(jìn)行分析,進(jìn)一步探討社會工程學(xué)在保密中的應(yīng)用手段,并提出相關(guān)的防御措施。
關(guān)鍵詞:保密安全;社會工程學(xué);防御措施
1 ? ?社會工程學(xué)基本定義及特點
一般意義上的社會工程學(xué)是指通過人際交流的方式獲得信息的一種非技術(shù)滲透手段。保密工作中的社會工程學(xué),更加注重于通過利用目標(biāo)對象的心理弱點及好奇心、恐懼、貪婪等情緒,加以引導(dǎo)、控制,然后進(jìn)行有目的的竊取活動,以達(dá)到獲得利益的結(jié)果。
社會工程學(xué)的主要特點是通過融會貫通多種學(xué)科,從某一點抓住突破口,收集信息進(jìn)行協(xié)調(diào)綜合分析,得到相應(yīng)結(jié)論或需求事物。由于信息社會中分散的數(shù)據(jù)信息具備潛在的關(guān)聯(lián)性、趨同性及隱蔽性,攻擊者在不公開真實目的情況下利用收集的零散數(shù)據(jù)及痕跡片段進(jìn)行比對、推理及分析,進(jìn)而獲取甚至預(yù)判新的信息,不斷完善數(shù)據(jù)組織的總體架構(gòu),或許需要付出部分經(jīng)濟利益,但最終仍能滿足自身需求,是社會工程學(xué)主要的活動過程[1]。
2 ? ?保密工作中社會工程學(xué)的竊密分類及手段分析
保密工作中的社會工程學(xué)竊密行為廣義上大致分為以下幾種類型:
(1)根據(jù)竊密者實際需求進(jìn)行引導(dǎo)控制實施的竊密。
(2)針對竊密者愛好或弱點進(jìn)行引導(dǎo)控制實施的竊密。
(3)利用竊密者無知或?qū)δ愁I(lǐng)域不了解的特性進(jìn)行欺騙實施的竊密。
(4)由于竊密者操作不當(dāng)或職責(zé)不明,利用竊密者失誤而直接實施竊密。
根據(jù)歷年來互聯(lián)網(wǎng)公布的失泄密案例顯示,部分竊密攻擊手段呈現(xiàn)交叉態(tài)勢,利用多種社會工程學(xué)手段針對目標(biāo)進(jìn)行打擊控制。現(xiàn)結(jié)合部分案例,以廣義竊密行為為背景進(jìn)行詳細(xì)分析。
2.1 ?根據(jù)竊密者實際需求進(jìn)行引導(dǎo)控制而實施的竊密
主要利用竊密者在生活、工作等環(huán)境中涉及的物質(zhì)需求或精神需求為導(dǎo)向,通過帶有目的性的接觸,了解并收集竊密者的實際需求信息,前期多實行無償或贈予的方式對竊密者進(jìn)行需求滿足,一旦竊密者習(xí)慣于需求滿足的模式,后期間諜會根據(jù)被竊密者在工作中的實際情況,提出竊密要求。其中涉及的攻擊操作一般流程為:首先,偽裝身份或利用較為親近的身份接觸竊密者,降低懷疑、獲取信任,無償滿足或提供竊密者現(xiàn)階段需求;其次,當(dāng)竊密者滿足于慣性需求后,再斷開需求供給,采取引誘、說服或恐嚇的方式,使得竊密者主動或被動進(jìn)行竊密操作。例如某單位中一名領(lǐng)導(dǎo)X某,由于自身對金錢的需求,在與間諜組織骨干成員的接觸中建立了聯(lián)系,并在私下里有頻繁的金錢往來。由于自己的金錢需求被滿足,在“投桃報李”的思維下,X某主動將秘密文件提交給間諜組織的骨干成員進(jìn)行復(fù)制,并獲取一定的經(jīng)濟收益,最后在公安機關(guān)的偵查工作中,X某被抓獲并判刑,是一種典型的“接觸—信任—滿足—習(xí)慣—誘導(dǎo)—泄密”竊密攻擊流程。
2.2 ?針對竊密者愛好或弱點進(jìn)行引導(dǎo)控制實施的竊密
主要利用竊密者的個人愛好及弱點為主要導(dǎo)向,通過有目的性地滿足竊密者愛好或利用竊密者弱點進(jìn)行“爆破”,采取賄賂或恐嚇的手段,直接或間接要求竊密者進(jìn)行竊密操作。例如某單位高工A某,在同學(xué)聚會中與老同學(xué)B某接觸交談,由于B某已被境外組織策反,利用A某家屬在國外留學(xué)的情況,對A某家屬進(jìn)行綁架,恐嚇、脅迫A某提供某涉密科研項目相關(guān)材料,并許諾事成之后給予A某豐厚的傭金。雖然A某及時上報保密部門并報警,成功阻斷此次事件,但利用此類攻擊手段進(jìn)行竊密的案例并不在少數(shù)。
2.3 ?利用竊密者無知或?qū)δ愁I(lǐng)域不了解的特性進(jìn)行欺騙而實施的竊密
主要利用竊密者的無知或?qū)δ愁I(lǐng)域不了解的特性,通過欺騙洗腦或帶有利誘性質(zhì)的引導(dǎo),降低其警惕心或防備心,使竊密者覺得“竊密事件”只是一種普通操作或簡單的工作,從而主動實施竊密活動。例如,間諜組織利用低學(xué)歷的社會閑散人員或剛進(jìn)入社會開始求職的大學(xué)畢業(yè)生,通過隱瞞欺騙對竊密者進(jìn)行洗腦,使得其以為對方正在進(jìn)行“社會調(diào)研”“風(fēng)俗采集”“文稿素材編輯”等,要求竊密者對某一重點防護(hù)區(qū)域或重點關(guān)注事項進(jìn)行踩點、拍攝、窺探、記錄甚至私自闖禁,同時給竊密者高于職業(yè)應(yīng)得的經(jīng)濟利益,誘使竊密者將竊密事件作為工作或職業(yè)來發(fā)展,主動為間諜組織進(jìn)行竊密操作。此類竊密方式在近年來一直處于高發(fā)態(tài)勢,由于普通人對于保密知識了解不足,日常身份更便于在社會中進(jìn)行隱藏,只要間諜組織洗腦得當(dāng),甚至可以形成“全民竊密”的涉密環(huán)境;由于現(xiàn)階段互聯(lián)網(wǎng)社會的高速發(fā)展,傳統(tǒng)的間諜與竊密者面對面的方式在互聯(lián)網(wǎng)光速發(fā)展的情況下,已經(jīng)完全可以轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)虛擬化交流,使間諜竊密工作更加具有隱蔽性和不可控性。
2.4 ?由于竊密者操作不當(dāng)或職責(zé)不明,利用竊密者失誤而直接實施竊密
主要通過竊密者在工作中的主客操作觀失誤或?qū)I(yè)務(wù)工作存在知識盲區(qū)進(jìn)行竊密。間諜人員通過抓取竊密者的失誤,利用誘騙、恐嚇或直接竊取的方式,從竊密者手中獲取國家秘密。例如,竊密者將涉密電腦無意連入互聯(lián)網(wǎng)絡(luò),導(dǎo)致計算機終端被間諜組織遠(yuǎn)程控制涉密,竊取涉密內(nèi)容;或部分竊密者并不明晰崗位中的涉密范圍或職責(zé),間諜人員通過套近乎、拉家常、給報酬的方式,要求竊密者對國家秘密進(jìn)行記錄、復(fù)制或流出。由于竊密者覺得“并不是很重要的文件”或“看一看沒什么大不了”,導(dǎo)致國家秘密被泄露。部分涉密人員更注重于本職工作的職業(yè)素養(yǎng)及技能培養(yǎng),為了工作的效率及便利,容易淡化保密要求及減弱保密意識,此類竊密方式在工作中雖比較容易避免,但仍極易發(fā)生。
3 ? ?保密安全中社會工程學(xué)攻擊的防御措施
3.1 ?加強日常管理,注重保密培養(yǎng)
首先,要建立完善、全面的保密管理制度及崗位操作制度,對涉密人員日常工作中的要求和操作進(jìn)行制度化、流程化的管控;其次,要加強保密工作中的物防配備,對于不同密級的文件資料,需要進(jìn)行嚴(yán)格的知悉權(quán)限和傳閱范圍的劃分,尤其在保存管理上,需要嚴(yán)格按照保密要求進(jìn)行資料存放,不能有一絲懈怠或僥幸意識。
另外,需要形成一套完整的保密培訓(xùn)計劃和保密宣傳流程。將保密培訓(xùn)和宣傳日?;?、深入化、系統(tǒng)化、習(xí)慣化,使保密人員在工作中涉及保密問題或保密操作時,潛意識中嚴(yán)格按照保密要求進(jìn)行處理;日常中不可聽不聽,不可說不說;甚至在觸及國家秘密的邊緣時,能主動警惕、小心防御,及時報告單位或其他相關(guān)保密部門,切斷失泄密途徑,保護(hù)國家秘密。
3.2 ?加強監(jiān)督指導(dǎo),提升技防等級
一方面,可以設(shè)立保密辦或保密安全部門,監(jiān)督、管理及指導(dǎo)職能或業(yè)務(wù)部門進(jìn)行保密工作。同時,定期對涉密人員進(jìn)行保密審查及保密提醒,一旦發(fā)現(xiàn)涉密人員有不當(dāng)行為,需要立即將情況反饋至保密部門第一時間進(jìn)行阻斷處理,并控制相關(guān)人員,溯源追蹤事件源頭,從根本上查清失泄密事件并嚴(yán)肅處理。
另一方面,首先,要提升工作環(huán)境內(nèi)保密技術(shù)防范的等級,對于直接接觸涉密內(nèi)容的操作人員及審計管理人員,進(jìn)行清晰的責(zé)任劃分和權(quán)限設(shè)置,避免“運動員”和“裁判員”是同一人的情況;其次,還需將技術(shù)防范落實全面。類似于身份認(rèn)證、主機審計、指紋識別、雙因子認(rèn)證、密碼管理等,都需要有嚴(yán)格的規(guī)定和固定的策略,提升技術(shù)防護(hù)對于保密的安全效果。
4 ? ?結(jié)語
傳統(tǒng)的保密防御方式已經(jīng)無法有效阻斷主客觀意識上的失泄密操作。通過社會工程學(xué)在保密工作中的應(yīng)用,對各類失泄密事件進(jìn)行全面細(xì)致的分析、學(xué)習(xí),并從人、物、技三層角度對保密防御進(jìn)行加固,能更加有效地保護(hù)國家秘密安全。
[參考文獻(xiàn)]
[1]周磊.淺談社會工程學(xué)攻擊與防范[J].計算機光盤軟件與應(yīng)用,2013(15):153,155.
Abstract:The theft of secrets has always been the key point of security workers in their daily work. In the field of physical defense, with the rapid development of science and technology, the protection ability of secret-keeping tools has been improved in an innovative way, which makes the secret-stealer need to master more advanced and comprehensive technology secret-stealing means to achieve the goal of illegal acquisition, that makes it harder to steal secrets. However, due to the subjective loophole and uncontrollability of the human defense in the three defense systems, the use of social engineering means makes the operability of stealing secrets increase. Through the analysis of the related content of Social Engineering, this paper further discusses the application of social engineering in secrecy, and puts forward the relevant defensive measures.
Key words:security; social engineering; defensive measures