摘要:开展信息安全保密风险辨识、评价与控制,从失泄密案例中汲取经验教训,在日常工作中辨识风险并评估风险可能造成的损害,制定并落实富有针对性的保密安全措施,以有效遏制失泄密事件的发生,减少保密隐患及可能存在的风险,有效确保国家秘密安全。
关键词:信息安全保密;风险辨识;评价;控制
0. 引言
当前严峻的保密工作形势,信息安全保密管理方面的问题尤为突出。通过系统地进行信息化方面失泄密的案例分析,以及对信息安全保密日常工作进行风险辨识、风险评价和风险控制,可以使我们的保密管理更趋于严谨、闭环,提高效率的同时更富有针对性。借鉴风险管理的思想,即以最有效的方式消除风险可能导致的各种危害后果,借鉴系统科学的管理方法,分析辨识风险、评价风险,评估不同风险的危害性,完善制度,有针对性地实施管理控制,以求避免失泄密风险、确保国家秘密的安全。
据赛迪集团2005年末报告数据显示,目前泄密事件78.9%的损失都是由内部主动泄密导致。目前大多数企业或机构针对内部员工的泄密行为,所采取的措施包括禁止使用网络或严禁涉密计算机上网,禁止使用可移动存储器等。随着社会的发展与工作实际需要,这些传统的防止信息泄露的手段已经不能满足要求。依靠内部人员的责任心、自觉性,对失、泄密行为难以做到有效的预防和检查。传统的解决办法采用强制的管理方法,既增加成本,又不便于管理。
为了控制信息化安全方面的失泄密风险,首先要对涉及信息化方面日常各项工作中存在的风险进行归纳总结并加以识别,然后评价每种风险可能造成的损害,划分程度或等级,依据国家保密法规要求和军工保密认证标准确定不可承受的风险(颠覆性风险),在此基础上对不可承受的风险予以富有针对性的有效控制。如果我们把失泄密事件发生作为不可承受的风险(一票否决),那么对以往已经发现的失泄密事件进行分析(确定发生过的事实)是辨识风险最有效的方式。
1. 结合案例分析进行风险辨识
1.1 案例分析
通过对几年来信息安全保密方面失泄密事件梳理,总结大致有如下几类情况:
将涉密办公计算机直接或间接联接国际互联网;
在家庭或私人计算机上处理公务及涉密信息;
在联接国际互联网的计算机上使用涉密存储介质;
将非涉密甚至个人存储介质在内部涉密计算机上使用;
在国际互联网上与境外人员组织和机构联系交往,发布、传递、谈论国家秘密;
在非办公计算机或国际互联网上存储、处理、传输涉密信息;
在涉密办公计算机上随意使用未经安全验证的外来软件;
私自开启办公计算机的无线上网、联网功能;
将涉密计算机和存储介质送交非指定单位维修、脱密、销毁或私自赠送、出借、出售、遗弃,缺乏必要的脱密处理和过程控制;
使用私人手机谈论国家秘密和其它的不正当使用情况。
1.2 原因分析
通过对案例进行归总,可以得到上述分类,从使用者层面进一步通过原因分析可以发现,操作者缺乏必要的安全保密业务知识、系统性的缺乏有效的技术监管/管理干预手段、涉密人员自律不足与疏忽大意是导致当前信息化失泄密最主要三个原因。
2. 风险辨识、风险评价和风险控制研究的基本步骤
对于高失泄密风险或涉及高技术、复杂系统领域的军工企业,在进行风险辨识和风险评价时,宜采用系统风险分析及评价方法。系统风险分析及评价方法是对系统中的危险性、危害性进行分析评价的工具。目前,已开发出数十种评价方法,每种评价方法的原理、目标、应用条件、评价对象、工作量均不尽相同,各有其优、缺点,应根据我们实际工作流程和工作性质选择适当的方法。
2.1 分析信息化日常工作及作业活动:
编制每个部门、岗位日常工作中涉及信息化工作的日常工作表,包括具体的工作内容、操作流程和工作程序,尤其要注明哪些是经常从事的工作(发生频率高)和操作流程、程序复杂的工作(容易因不耐烦而导致产生懈怠的疏忽大意)。
2.2 辨识危害:
分析、辨识各项业务活动中哪些可能导致失泄密事件发生,发生的频率和概率以及危害。
2.3 确定风险:
假定现有规章制度被有效履行和措施适当的情况下,对各项危害有关的风险做出主观评价,评估在此基础上仍可能发生失泄密事件的可能性。
2.4 进一步确定风险是否可承受:
评价目前制度和措施的有效性,以及一旦部分无效或部分未被完全执行所可能造成的后果。现有的规章制度与管理措施是否足以预防并控制风险——失泄密事件的发生,并符合法律、标准的要求。
2.5 制定风险控制措施计划:
编制修订、完善安全保密规章制度,针对上个评价中发现的、需要重视安全保密问题,确定新的规章制度和管理措施适当和有效。
2.6 采取针对性的措施
针对风险隐患采取适当的措施,包括修订制度以适应安全保密需要、加强人员教育、完善工作流程等。
2.7 评审措施计划的充分性:
针对已修订的安全保密规章制度和完善的管理措施,重新上一个循环,评价失泄密事件发生的可能,并检查此风险是否可承受,如果仍然存在不可承受的风险,持续改进。
2.8 评价过程中必须考虑的因素
进行风险辨识、风险评价和风险控制时应考虑诸多因素。风险辨识、风险评价和风险控制过程是否涵盖了所有的风险?根据实际,最好的方法是以系统的角度对全部的风险进行综合评价,还是逐一对单个项目进行分别评价?分别使用不同方法进行单个的评价的有效性和一致性问题等等。这些牵涉到对失泄密风险是否合理并有效控制,处理优先顺序等方面。单个的评价也可能造成不必要的重复。
3. 评价基本要求和考虑因素
为保证风险辨识、风险评价和风险控制能够有效满足实际需要,必须做到:
3.1 开展风险辨识、风险评价和风险控制时,需仔细考虑以下方面:
3.2 辨识、风险评价和风险控制的方式;
3.3 工作、作业活动分类标准及每项工作、活动所需的信息;
3.4 标识风险和风险分类的方法;
3.5 确定风险的程序;
3.6 描述评价风险水平的术语明确、统一;
3.7 确定风险是否可承受的标准;
3.8 完善制度、改进措施的完成时间表;
3.9 风险控制方法的有效性;
3.10 评审措施、计划充分性、有效性的标准。
4. 保密安全风险、危害的分类及识别
对风险、危害因素进行分类并标识,是为了便于进行风险因素辨识和分析。风险因素的分类方法有许多种,我们采用按照已经发生的失泄密事件的直接原因分类,即按导致失泄密事件的直接原因可以分为3类:
操作者缺乏必要的安全保密业务知识导致(如未经足够的培训教育,将涉密办公计算机直接或间接联接国际互联网、在家庭或私人计算机上处理公务及涉密信息、在非办公计算机或国际互联网上存储、处理、传输涉密信息、在联接国际互联网的计算机上使用涉密存储介质、在涉密办公计算机上随意使用未经安全验证的外来软件、使用私人手机谈论国家秘密和其它的不正当使用情况);
系统性的缺乏有效的技术监管/管理干预手段(将涉密办公计算机直接或间接联接国际互联网未被发现并拦阻、将涉密计算机和存储介质送交非指定单位维修、脱密、销毁或私自赠送、出借、出售、遗弃,缺乏必要的脱密处理和过程控制);
涉密人员自律不足与疏忽大意(如经过足够的培训教育,但因心存侥幸将涉密办公计算机直接或间接联接国际互联网、在家庭或私人计算机上处理公务及涉密信息、在非办公计算机或国际互联网上存储、处理、传输涉密信息、在联接国际互联网的计算机上使用涉密存储介质、在涉密办公计算机上随意使用未经安全验证的外来软件、使用私人手机谈论国家秘密和其它的不正当使用情况、在国际互联网上与境外人员组织和机构联系交往,发布、传递、谈论国家秘密等)。
识别的方法通常有:询问和交流、现场观察、查阅有关记录、获取外部信息以及保密安全现场检查等。
5. 确定风险及制定风险控制措施
通常用失泄密事件发生可能性和后果严重度来表示风险的大小。按评价结果类型可将风险评价分为定性评价和定量评价两种。需要注意的是,危险等级的划分是凭经验判断,难免带有局限性,不能认为是普遍适用的,应根据单位实际情况予以修正。
5.1 定性方法
定性评价方法主要是以保密安全检查/自查表方式进行的定性评价方法。定性评价方法的优点是简单、直观、容易掌握,并且可以清楚地表达当前的状态。在进行定性评价时,可风险后果的严重程度定性分为若干级,称为严重度等级;事件发生的可能性,可根据风险时间出现的频繁程度,相对地分为若干级,称为频率的严重性等级。
例如,风险评价指数矩阵法将风险严重度分为4级,将失泄密事件的可能性等级分为5级,以发生的失泄密事件后果的严重性制成二维表格,在行列的交叉点上给出定性的加权指数,所有加权指数构成一个矩阵,该矩阵称为风险指数矩阵。矩阵中指数的大小按可以接受的程度划分类别,也可称为风险接受准则。辨识、评价和控制的结果应按优先顺序进行排列,根据风险的大小决定哪些要继续维持,哪些需要采取改善的控制措施,并列出风险控制措施计划清单。
5.2 在选择控制措施时应考虑以下因素
若可能完全消除的安全隐患则消除,如内外网的物理隔离;
若不可能消除,则努力降低风险,强化保障措施,比如涉密介质的外出携带;
尽可能使工作岗位适合于人,尤其是需要耐心细致的工作;
技术手段能够解决的问题尽可能使用技术手段解决;
将技术手段和工作程序结合起来效果会更好;
应对各样的保密安全风险制订应急预案和计划;
邀请本系统兄弟单位第三方对本单位保密安全工作进行检查。
5.3 控制策略与措施
5.3.1 网络化造成的失泄密及对策
通常网络化造成失泄密途径有:内部人员通过SMTP、POP3、WebMail、FTP、PSTN等方式使用网络,有意或者无意将企业内部敏感信息或涉密信息传送到外部造成失泄密;内部人员使用互联网传送秘密信息时被窃取;在互联网上,利用特洛伊木马技术,对网络进行控制,如BO、BO2000;
对网络失泄密进行防护,应该从网络层、传输层及应用层三个层面上进行控制。IP访问控制,TCP访问控制,UDP访问控制,对应用层的控制管理,应该对信息流出的方式进行考虑防护。针对这一失泄密方式,实现了从粗粒度到细粒度的控制,控制范围从网络层到应用层。控制策略有完全禁止、条件防护(黑名单、白名单)、自由访问。
5.3.2 外部接口失泄密及对策
为了使用的便利,现代的计算机提供了大量的、各式各样的外设接口。而这些外设接口都可能是造成信息泄漏的途径。这些外设接口有:USB接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、DVD/CD-ROM驱动器等等。对计算机外部接口要采取管理措施,采取了有效的防护。开关量的控制足以防护通过计算机外部接口造成的失泄密事件的发生。
5.3.3 移动介质失泄密及对策
越来越多的敏感信息、秘密数据和档案资料被存贮在计算机里,大量的秘密文件和资料变为磁性介质、光学介质,存贮在无保护的介质里。例如:非法拷贝秘密信息到移动介质中,存贮在媒体中的秘密信息通过互联网被泄露或被窃取,存贮在媒体中的秘密信息在进行人工交换时泄密,存有秘密信息的磁盘等媒体被盗等,有些秘密外泄的危害程度是难以估量的。各种存贮设备存贮量大,丢失后造成后果非常严重。
移动存储介质的防护不仅仅要实现开关量的控制,更要对拷贝到存储介质的文件进行管理,采取文件内容备份或是拷贝内容进行加密处理。在对移动存储介质进行防护时,在强调安全性的同时不可忽视易用性。控制策略有“禁止使用移动存储设备”、“自由使用移动存储设备”等等。
5.3.4 打印机失泄密及对策
通过打印机打印文件所造成的信息失泄密也不能忽视。将打印的文件通过纸质形式带出,也会造成一些机密、秘密文件的外传泄漏。
对打印机的管理措施应该有开关量的控制,最好能实现对打印的文件内容进行备份,以便事后审计。
5.3.5 外出携带的介质对策
出差、外出携带涉密存储介质丢失导致的失泄密风险,可以通过可信介质系统实现,通过强大的安全文件交互系统、文件加密系统,在系统管理域内进行文件交流时,可以选择个人、组内、全域、跨域个人的加密共享方式。相应的加密后的文件只有相关人员才可以浏览,查看、编辑这些文件时系统自动加解密。经过上述几种方式加密的文件,分别只能在个人、组内、全域内安装客户端机器上才能查看、编辑,离开了相应的环境,都不能正常浏览,试图暴力破解超过一定次数自动粉碎文件等。
5.3.6 手机使用的失泄密防范
5.3.6.1 重要场所、场合的物理隔离措施
在涉密场所、部门禁止使用手机。严禁将移动电话带入机要部门、通信枢纽、涉密会场、军用飞机和舰船、重要试验场所、重要仓库、导弹发射阵地等场所;在设有有线通信工具的场所工作时,不得使用移动电话办理公务。严禁使用移动电话、寻呼机谈论、传送涉密信息。这是一种最彻底有效的方法,即使是关闭的手机也不允许带入,统一放置在保密部门在门卫处安置的手机屏蔽柜中。
5.3.6.2 不在手机中存入机密信息
手机上所有信息均会被存储于手机的存储芯片当中,而这些存储芯片与电脑所使用的存储芯片原理基本相同。尤其是一些支持存储卡的智能手机和PDA的构造和电脑越来越相似。这使得可以利用网上随处可见的数据恢复软件轻松恢复卡中的数据与信息。
因此,要防范通过软件恢复已删除的信息,就要增加存储设备的复写次数。手机用户可以反复拷贝无关数据到手机中,这样会大大减少机密信息被恢复的几率。当然最直接的方法就是尽量不要在手机中存入涉及国家和个人的机密信息,这也是一个解决手机泄密的上上之策。而要避免手机被他人监控则应妥善保管自己的手机,预防手机维修、外借时被人安装监控、窃听该软件。如果一旦发现手机被“粘”上监控软件,及时到正规手机维修点消除。能窃取蓝牙传输数据的软件名为RedFang,只要在蓝牙传输的有效距离内,使用该软件窃取别人传输的数据简直可以说是轻而易举。免被“蓝劫”的最好方法就是在不必要的时候关闭手机上的蓝牙功能。
5.3.6.3 防止窃听
重要部门的领导干部不可使用未经检测的赠机, 避免遭到窃听。如果手机使用过程中发现耗电加大要注意,因为当前有一种窃听手机通话的方法是在手机中置入窃听芯片。芯片分为两部分,一部分装入被窃听人的手机的听筒里,一部分装入窃听者的手机内部。无论被窃听者拨打或接听电话,窃听者的手机都会有相应的提示音,如果窃听者愿意窃听就可以听到谈话内容,有录音功能的手机还可将谈话内容录下。这种芯片只有SIM卡一样大小,可直接安装在手机听筒里,不用改变电路。
芯片式窃听器的预防,首先要从买手机开始防范,尽量不从小商小贩手中购买二手手机,修理手机也应当到正规维修点,以防被别人动了手脚。那些手机刚刚修过,或刚刚借给别人使用过的手机用户,一旦发现手机的耗电量突然加大,而自己并没有过多地使用手机时,一定要到正规的维修部门进行排查。因为芯片向外界传输信号的距离越远所耗的电量也就越大,手机受到的监听时间越长,电池也就越容易没电。
6. 结束语
通过信息安全保密方面的风险辨识、评价,进而实现富有针对性的风险控制、消除手段措施,以求更加有效的保守国家秘密安全。
(责任编辑:)
