金本奎

摘 要：在信息時(shí)代，人們通過(guò)信息網(wǎng)絡(luò)能夠獲得許多便利，但同時(shí)也面臨著前所未有的危險(xiǎn)，其中最大的問(wèn)題就是信息安全的保密。想要深入地做好信息安全保密管理工作，需要全面探討信息安全保密中的泄露途徑以及防護(hù)策略，著力提升我國(guó)信息安全保障體系。

關(guān)鍵詞：信息安全保密 泄密途徑 防護(hù)策略

一、信息安全保密中的泄密途徑

（一）物理隱患

第一種是儲(chǔ)存介質(zhì)的信息剩磁。一般情況下，即便是信息工作者對(duì)儲(chǔ)存在介質(zhì)中的信息進(jìn)行全面刪除，仍然會(huì)在多次消磁的介質(zhì)上留下剩磁痕跡。這些剩磁可以通過(guò)專(zhuān)業(yè)的信息設(shè)備挖掘出來(lái)，利用先進(jìn)的信息處理分析技術(shù)，獲取存儲(chǔ)在介質(zhì)中的可讀信息。對(duì)于普通的操作系統(tǒng)而言，刪除文件僅僅是對(duì)文件名的刪除，原始文件依然保存在儲(chǔ)存介質(zhì)當(dāng)中，容易帶來(lái)信息安全泄密的隱患。

第二種是電磁泄漏。信息系統(tǒng)在運(yùn)行的過(guò)程當(dāng)中，會(huì)向外產(chǎn)生輻射波，竊密者通過(guò)輻射的磁電波，利用專(zhuān)業(yè)的信息收集設(shè)備來(lái)獲取信息系統(tǒng)當(dāng)中的重要信息。在20世紀(jì)的80年代電磁輻射波已經(jīng)作為外國(guó)國(guó)情局獲取監(jiān)聽(tīng)信息的主要形式。為了避免電池泄露信息的情況頻繁發(fā)生，專(zhuān)業(yè)技術(shù)人員應(yīng)當(dāng)在信息系統(tǒng)設(shè)備運(yùn)作的過(guò)程中，采用一定的屏蔽和干擾儀器確保發(fā)射電磁波的周邊環(huán)境安全。

第三種是系統(tǒng)芯片陷阱。我國(guó)從外國(guó)進(jìn)口的計(jì)算機(jī)硬件、軟件等網(wǎng)絡(luò)設(shè)備均是應(yīng)用國(guó)外的芯片體系，由于信息安全系統(tǒng)所使用的主要系列片和邏輯體系不是自主研發(fā)和創(chuàng)新設(shè)計(jì)的，整個(gè)系統(tǒng)就給信息的泄漏保留了可承之機(jī)，難以擺脫其控制，給網(wǎng)絡(luò)信息安全保密工作帶來(lái)前所未有的挑戰(zhàn)。

（二）軟件隱患

操作系統(tǒng)當(dāng)中的自帶軟件為用戶(hù)提供辦公便利的同時(shí)也存在著許多安全漏洞，例如常見(jiàn)的Windows系統(tǒng)。為了避免操作系統(tǒng)所存在的信息泄露問(wèn)題，信息安全保密中，應(yīng)當(dāng)盡量選取可靠性高并且安全的操作系統(tǒng)，將不常用的軟件服務(wù)取消同時(shí)調(diào)整認(rèn)證的手段。在條件允許的情況下，可以借助指紋、視網(wǎng)膜掃描等高效安全的認(rèn)證方式來(lái)取代傳統(tǒng)的口令形式，提高信息安全。同時(shí)信息安全保密的技術(shù)人員應(yīng)當(dāng)根據(jù)一定的周期來(lái)更換系統(tǒng)的內(nèi)核，及時(shí)修補(bǔ)系統(tǒng)中存在的信息泄露漏洞。此外，對(duì)所有的信息儲(chǔ)存都應(yīng)當(dāng)以加密的形式處理，防止非專(zhuān)業(yè)用戶(hù)的訪(fǎng)問(wèn)。

（三）通信隱患

通信隱患是保密信息泄露的常見(jiàn)途徑之一。有線(xiàn)通信存在的安全隱患，主要是受到竊聽(tīng)者搭線(xiàn)竊聽(tīng)、通信當(dāng)中傳音泄露以及被竊密者架空在載波輻射等。另一種無(wú)線(xiàn)通信與有線(xiàn)通信存在著顯著性的差異，不需要依托電信號(hào)的傳輸，直接使用信息偵查設(shè)備截取接收散布在空中的電磁信號(hào)。為了進(jìn)一步避免電池信號(hào)的泄露，信息安全保密中心一般都會(huì)選擇加密處理無(wú)線(xiàn)通信信號(hào)，從而確保電磁波傳輸當(dāng)中的信息安全性與保密性。此外，在當(dāng)今網(wǎng)絡(luò)數(shù)字技術(shù)日益增強(qiáng)的今天，網(wǎng)絡(luò)通信泄密也是一種信息安全保密泄露途徑，比如在網(wǎng)絡(luò)協(xié)議中存在結(jié)構(gòu)上的缺陷、配置上的隱患以及實(shí)現(xiàn)上的漏洞等。

二、信息安全保密中的泄密防護(hù)策略研究

（一）全面構(gòu)建信息安全保密管理體系

在信息安全整體性管理的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)信息安全管理進(jìn)行細(xì)致性劃分，建設(shè)信息安全領(lǐng)導(dǎo)小組與信息安全執(zhí)行小組，明確信息安全保密職責(zé)分工，提升信息安全管理的有效性與安全性。前者是由企業(yè)領(lǐng)導(dǎo)與專(zhuān)業(yè)的研究學(xué)者組成的決策咨詢(xún)機(jī)構(gòu)，不隸屬于任何部門(mén)主要負(fù)責(zé)整體的網(wǎng)絡(luò)信息安全工作。根據(jù)自身的實(shí)際狀況，結(jié)合信息泄密威脅的方式，制定一套具有針對(duì)性的安全保障措施，為自身贏得安全和有保障的工作環(huán)境。而后者則是由專(zhuān)業(yè)技術(shù)人員構(gòu)成，制定信息安全保密預(yù)案，負(fù)責(zé)信息安全保密管理的各項(xiàng)具體事物，對(duì)組織的運(yùn)行狀況進(jìn)行動(dòng)態(tài)監(jiān)控，減少信息泄密漏洞以及暴露的弱點(diǎn)。

（二）對(duì)信息安全保密管理工作者進(jìn)行系統(tǒng)而全面的培訓(xùn)工作

第一要結(jié)合信息安全保密工作的具體規(guī)范，對(duì)專(zhuān)業(yè)技術(shù)人員實(shí)施技術(shù)培訓(xùn)工作，以著力提升其信息安全保密的專(zhuān)業(yè)能力，與應(yīng)對(duì)日常的信息泄密與防護(hù)。第二，要對(duì)涉密人員進(jìn)行上崗培訓(xùn)，提升其信息安全保密意識(shí)，使涉密工作者對(duì)信息保密相關(guān)法律規(guī)定有系統(tǒng)全面的了解。第三，要與涉密工作者簽訂保密協(xié)議承諾書(shū)，使涉密的人對(duì)所處崗位的規(guī)章制度有清晰的認(rèn)知，若違背組織的保密協(xié)議，將要承擔(dān)相應(yīng)的法律后果。

（三）建立健全完善的信息安全保密規(guī)章管理制度

應(yīng)當(dāng)建立健全完善的信息安全保密規(guī)章管理制度，切實(shí)提高信息安全工作者的保密有效性。首先，應(yīng)當(dāng)將所有的存儲(chǔ)保密信息的網(wǎng)絡(luò)與其他公共網(wǎng)絡(luò)分離，保證信息安全保密網(wǎng)絡(luò)的獨(dú)立性。并且對(duì)信息安全保密中心所在環(huán)境加強(qiáng)干擾，避免任何非授權(quán)人員受到利益驅(qū)使來(lái)竊取保密信息。其次，應(yīng)當(dāng)加強(qiáng)對(duì)信息安全保密設(shè)施的規(guī)范性管理，所有的儀器設(shè)備、硬件軟件、路由器的都應(yīng)當(dāng)符合國(guó)家的相關(guān)規(guī)定，經(jīng)過(guò)專(zhuān)業(yè)的檢測(cè)之后才能夠投入使用。最后，涉及保密信息的安全系統(tǒng)不能隨意篡改，使用過(guò)后的消磁設(shè)備，不能夠隨意處置，應(yīng)當(dāng)有專(zhuān)業(yè)的技術(shù)人員進(jìn)行消磁處理或直接銷(xiāo)毀，防止信息的不正當(dāng)復(fù)制和使用。

參考文獻(xiàn)

[1]張少華.信息安全保密中的泄密途徑及防護(hù)策略研究[J].河南科技，2014，（17）：20—21.

[2]梁曉燕，王如龍，王軍麗.信息安全保密中信息泄密途徑及其防護(hù)[J].微計(jì)算機(jī)應(yīng)用，2004，25（4）：406—410.