冲击与挑战
在国家保密局的组织领导下,发布了一系列国家保密标准,即保密标准BMB系列。这些标准规范了涉密单位技术防护和保密管理的方方面面。其中又以对涉密网的保护即分级保护系列标准和对场所和设备的保护即电磁泄漏发射防护系列标准为基石。这些标准,很好地规范了信息化环境下涉密单位的安全保密工作。但是,这个保密标准体系主要是以有线网络为防护对象构建的。
随着移动互联网的出现,涉密单位的安全防护再次面临巨大挑战。移动互联网的特点一个是无线联网,一个是智能终端。无线联网使任何地点时时在线成为现实,也使得场所、门禁、区域控制这些传统安全保密措施形同虚设。而终端的智能性,则使得手机几乎可以做任何事情。各种各样的网络应用,只有想不到,没有做不到。作为一款时时在线的信息采集和分享终端,手机对安全保密造成巨大冲击。
移动互联网对保密工作的挑战有三个方面。
一是移动互联网这种新技术本身造成的用户隐私大量泄露。用户通过智能终端,连接移动互联网,使用各种APP程序。在这个过程中,留下了大量个人信息。手机厂商、电信运营商、应用开发商、安全厂商以及谷歌、苹果这类操作系统提供商,几乎所有的移动互联网全产业链的参与者,都在出于商业目的,大肆收集用户信息,非法使用用户隐私。这些数据是商业精准营销和大数据分析的基础。涉密人员的这些信息一旦泄露,将对保密工作带来巨大威胁。
二是移动互联网自身的安全问题。由于移动互联网的开放性,各种木马病毒泛滥,曾经在有线网络中肆虐的安全问题,正在移动互联网上重演。目前,智能终端的主流操作系统有三种:Android、iOS和Windows Phone。其中封闭的系统如iOS和Windows Phone都存在着漏洞和后门,使系统可能遭受攻击。而占市场份额最大的安卓智能终端平台,由于其源代码公开、安全机制简单,更成为恶意代码的传播和侵袭的温床。恶意软件可以把手机变成窃听器、窃照器和监视器。如果涉密人员每天带着这样的智能手机工作,将严重威胁涉密场所、涉密活动和涉密信息的安全。
三是移动互联网是美国收集信息的主战场。“棱镜计划”暴露出美国国家安全局“碟火”项目每天收集大约2亿条短信信息、50亿条手机定位记录。该计划还披露,苹果、谷歌、微软都是国家安全局的合作伙伴,他们为政府部门提供数据和访问便利,为美国的情报部门服务。这三家公司,几乎垄断了当前我国涉密人员使用的智能终端的操作系统。借助这样的便利,苹果、谷歌和微软可以轻而易举地收集用户信息,帮助国家安全局锁定涉密人员,进而开展一系列情报收集工作。
应对措施
目前,针对移动互联网,保密部门没有明确的应对措施。相关的防护规定和要求,都是围绕手机展开的。
在管理方面,2005年,中央办公厅发布了《关于手机使用保密管理规定(试行)》,规定了涉密人员使用手机的相关要求。2009年,国家保密局、公安部、国家安全部和工信部联合印发了《关于加强3G移动终端使用保密管理的通知》。2010年,中央保密委员会下发了《关于进一步做好防范手机窃密、泄密工作的通知》,对涉密人员和国家公务人员日常使用移动终端做了进一步要求。但是这些规定和要求,在移动互联网络迅猛发展的今天,要么显得过严,要么在实施中缺乏技术支撑,无法得到有效的执行。
在技术方面,目前的措施也是针对通用手机终端的。防护无外乎屏蔽、干扰等技术手段。相关的国家保密标准有BMB系列中关于手机干扰器标准、手机屏蔽柜(袋)标准、保密会议室标准,以及酝酿中的保密要害部门部位保密标准等。这些标准虽然都对手机和无线网络规定了相关防护条款,但是这些技术防护措施和要求,已经明显不适应移动互联网的飞速发展。
安全政策
移动互联网的发展异常迅猛,保密部门相关的管理规定和技术措施必须尽快跟上。相关的安全政策可以从近、远两方面考虑,以求“近解燃眉之急,远除心腹之患”之效。
近期,从管理角度,要加强涉密场所、涉密会议和涉密人员的手机管控,严格限制智能终端和无线网络的应用范围。从技术角度,要采取门禁、屏蔽、干扰、手机探测和无线网络管控等措施,把智能手机和无线网络屏蔽于危险场所之外。对重点涉密人员,可以配备功能裁减的手机用于工作通信,即采用非智能机,手机功能仅限于通话和发短信,并采用加密措施,保障通信安全。
远期,则必须从技术和管理角度彻底解决移动互联网络安全问题。无线和互联是技术发展趋势。如果保密工作作茧自缚,一味采取“堵”的方式,逆技术潮流而动,则新技术条件下的保密工作只会越来越被动。国家必须加大科研投入,研发出面向移动互联网安全的自主可控的防护技术和产品。移动互联网的安全问题,爆发点在智能终端,但是单纯从手机角度,无法解决整个系统的安全问题。必须以一种全局的、整体的视角,系统地解决移动互联网的安全问题。所谓系统的解决方案,从技术角度来讲,就是要建立整体安全的机制,并且能够整合各个因素和环节,通过统一协作来实现该安全机制。即涉及手机硬件平台、操作系统、APP程序以及运营商网络和安全应用与防护平台等多个因素相互之间的协同,在统一的安全策略和安全标准下,做到智能终端侧、基础网络侧和平台及服务侧相互协作,最大限度发挥各个环节的作用,最终形成一个系统,整体地解决智能终端的安全问题。如果能够以自主知识产权的芯片、操作系统和移动通信网络技术为基础,构建起涵盖软件、硬件平台、服务运营机制、安全基础设施在内的面向移动互联网安全服务的自主可控的完备防护体系,就能够彻底解决移动互联网的安全保密问题。
移动互联网已经渗透到我们日常工作和生活的方方面面,给安全保密工作带来的巨大挑战尤甚于传统网络。保密工作部门必须正面应对,顺应技术发展潮流,加大科研投入,从标准、产品和系统防护角度,给出面向移动互联网的安全保密解决方案。
(转自《保密工作》 2014年第七期)