近日，我有幸参加了2018年保密技术交流大会暨产品博览会，参观了360企业安全集团保密教育培训基地，感慨良多，有喜有忧。喜的是保密工作日益引起全社会的高度重视，众多企业广泛招贤纳士，投入大量资金，研究保密技术，打造各类高质量保密产品，为保密工作的发展提供了强有力的人力、物力、财力和技术的支撑。忧的是在飞速发展的信息化、网络化时代，随着高新技术的广泛应用，各种失泄密风险日益加剧，保密工作面临前所未有的挑战，保密工作的任务越来越艰巨。作为保密工作者，必须增强忧患意识，清醒地认识到互联网、消费类电子产品、智能家居、新兴技术的窃密泄密安全风险所在，并强化保密宣传教育，普及保密知识，提高防范技能。

一、认清互联网的窃密泄密风险

时下，互联网已成为很多人须臾不可或缺的重要虚拟空间。当我们越来越欣喜于互联网带来的便利和高效时，网络空间已悄然成为窃密与反窃密斗争的主战场、失泄密的重灾区。对此，我们要牢固树立“上网不涉密，涉密不上网”的思想，同时要关注突破物理隔离措施带来的信息泄露风险，做到严防死守，确保网络安全。

特种木马窃密风险：特种木马是黑客最常用的窃密工具，种类繁多且隐蔽性强，较难被传统木马检测工具发现。2018年5月，不法分子将特种木马伪装成电子发票，对制造、航运、能源以及部分政府部门发起定向攻击，并对受害计算机进行屏幕截图、记录键盘输入、控制摄像头、搜集主机账号密码等窃密操作，造成大量数据泄露。防范措施：一是计算机系统设置显示文件扩展名。二是网络浏览器及时升级，不要加载不必要的应用插件。三是不要打开来源不明的文件、邮件和网页。

社交平台泄密风险：社交平台已成为当下数据泄露的重灾区，不法分子利用社交平台的漏洞从中牟利，给用户带来经济损失和人身危害。2018年8月，“史上最大规模数据窃取案”被警方侦破，犯罪分子利用非法窃取的百度、腾讯等96家互联网公司的30亿条用户数据，操控用户账号进行互联网营销和推广，造成大量用户隐私泄露和公民安全巨大风险。防范措施：一是在社交平台尽量避免透露个人真实信息。二是个人密码设置不能过于简单并定期更新。三是及时注销不需要的网络账户。

电子邮件泄密风险：雅虎、谷歌等电子邮件系统在过去两年里均遭受过不同程度的网络攻击，造成大量信息泄露。2017年8月，全球7.11亿个电子邮件帐号被垃圾邮件程序窃取密码，受害规模相当严重。防范措施：一是公民应严格遵守互联网电子邮件使用管理及国家其它有关规定，不得采用第三方邮件系统收发带有敏感信息的邮件。二是计算机安装杀毒软件和防火墙，定期进行木马扫描，及时更新安全防护软件。三是电子邮箱不设置过于简单的密码并定期更新。

无线WiFi泄密风险：黑客通过钓鱼WiFi窃取个人文件、照片、资产等，造成隐私泄露和财产损失。2017年6月，南京市张先生的手机和电脑在使用公共场所的WiFi后被黑客入侵。黑客窃取其网银账户，并修改其手机信息提示功能，在两天内分69次盗走6万多元。防范措施：一是手机和计算机的无线网络不要设置为自动连接。二是不使用陌生WiFi进行金融操作。三是慎用公共场所的无线WiFi。

跨网攻击泄密风险：近年来，物理隔离网络逐渐成为重要攻击目标，出现了许多突破物理隔离的方式，例如利用计算机及其外设的射频信号、电源风扇噪音、硬盘指示灯闪烁频率等，物理隔离已经不再是铜墙铁壁。防范措施：一是强化计算机所在环境的防护，防止恶意软件植入。二是适时断开硬盘灯与计算机的连接，或遮挡硬盘灯，防止敏感数据通过光信号发送。三是在涉密计算机所在环境内禁用所有摄像装置，对窗户进行物理遮挡，防止外部光接收设备窃取信息。

二、认清消费类电子产品的泄密风险

消费类电子产品的普及为信息安全带来全新挑战，在应对消费类电子产品时，传统的信息安全防护措施存在不同程度的安全盲区。消费类电子产品带来的窃密隐患具备途径复杂、可突破物理隔离等属性，给保密防护带来更大的难度。面对此类泄密方式，需要我们具备更发散的安全理念，更缜密的安全防护思路，才能未雨绸缪、防患未然。

无人机泄密风险：在我国一些军事基地，经常发生无人机“误闯”现象，造成泄密隐患。2017年5月2日，黄某在广州市白云区登山期间，因对某部营区好奇，遂利用其携带的无人机对营区内的军事设施进行航拍，后被白云警方抓获，收缴其携带的无人机及违规拍摄的影像资料，并依法行政拘留7日。防范措施：一是使用无人机要遵守国家公安机关有关规定，熟悉相关禁飞区域。二是严禁在机场、重要军事设施、政府机构、重点部位及人流密集场所等地区及其周边进行拍摄。

网联汽车泄密风险：网联汽车可收集车主的手机号、车辆行驶轨迹、登录凭证等基本信息，甚至可以通过后台发送控制汽车的指令，消费者面临个人隐私泄露风险，甚至人身安全和国家安全也会遭到严重威胁。例如，2015年7月，克莱斯勒公司生产的140万辆联网汽车存在安全漏洞，可被黑客远程控制并进行攻击。防范措施：一是慎用汽车联网功能。二是禁止具备联网功能的汽车驶入涉密场所。三是禁止在具备联网功能的汽车内谈论涉及国家秘密的内容。

智能手机泄密风险：随着移动办公的推广，越来越多的人员通过智能手机处理公务，而智能手机容易遭受攻击、感染病毒从而造成泄密，给个人隐私及商业秘密带来巨大安全风险。据统计，2018年3月，我国华为、小米、OPPO、VIVO等多款主流安卓手机感染恶意病毒RottenSys，2018年上半年病毒感染用户数达6106.84万，机主饱受恶意广告的骚扰。防范措施：一是设置手机屏保密码。二是选择正规渠道下载手机APP，避免山寨软件。三是不可随意扫二维码。四是不要随便点击不明短信链接。五是在不使用手机蓝牙的情况下，应关闭蓝牙功能。

通用耳机泄密风险：黑客通过控制耳机音频芯片，改变信号的输入输出方式，从而使耳机变成“窃听器”，即便主机未接入标准麦克风或者禁用了麦克风，黑客都能将扬声器和耳机变身为麦克风使用。防范措施：一是涉密场所不使用无线麦克风。二是定期对计算机音频设备进行安全检查。

USB接口设备泄密风险：USB攻击技术种类多样、威胁巨大，最新黑客技术可以通过USB设备的电磁泄露信号进行窃密。2017年8月，外国研究人员演示了通过USB接口来监控插入的USB设备的数据流动，从而获取USB接口设备的涉密信息。防范措施：一是选择具备安全认证的USB接口设备，规避底层硬件攻击风险。二是安装查杀病毒软件和防火墙，并及时更新。三是不要随意接入具有USB接口的设备。

三、认清智能家居的安全风险

智能家居给人们工作、生活带来便利的同时，也带来了前所未有的安全风险。近年来频频出现智能家居的安全事件，给传统网络安全防护带来新的挑战，并给业界敲响了警钟。

智能摄像头安全风险：目前，越来越多的家庭使用智能摄像头，以便随时查看家中情况，但通过网络监控的摄像头易遭到黑客的攻击和入侵，私密的居家生活被不法分子偷窥、记录。2017年8月，某县公安局成功打掉一个网上传播家庭摄像头破解入侵软件的犯罪团伙。该团伙专门通过入侵家用摄像头，拍摄户主的隐私视频，用以网络贩卖传播或欺诈等行为，严重侵犯和危害了用户的隐私和安全。防范措施：一是智能摄像头使用前应修改默认密码，密码设置不能过于简单，并尽量定期更新。二是及时更新产品的补丁固件。三是定期查杀病毒。

智能电视安全风险：目前，智能电视所带来的安全隐患还不被人们重视，其安全防御水平远远落后，从而成为黑客新的攻击目标。2017年出现一款针对三星智能电视进行攻击的“哭泣天使”病毒。智能电视一旦感染该病毒会出现假关机模式，让用户误认电视已经关闭，但电视智能芯片仍在运行，智能电视变成窃听窃视装备，让个人隐私生活变成在线直播。防范措施：一是智能电视的摄像头、语音接收设备在不用的时候采用物理方式进行遮档。二是智能电视要定期升级新的操作系统版本，修复安全漏洞。三是不看电视的时候关闭电视机电源。

家用路由器安全风险：黑客通过家用路由器攻击联网的个人电脑、智能手机，甚至寄存非法程序以攻击其它互联网上的电脑，给个人信息和企业信息带来了不小的威胁。很多用户仅设置WiFi密码，却忽略设置路由器管理密码，没有更换路由器默认帐号密码的比例高达98.6%，这个漏洞导致家用路由器时常被黑客利用，成为攻击其它设备的跳板。防范措施：一是修改路由器的初始密码，并尽量复杂。二是及时更新固件，确保漏洞在第一时间被封堵。三是不要打开路由器的无关功能，避免引入安全风险。

蓝牙设备安全风险：黑客利用蓝牙漏洞进行攻击，可以绕过传统的安全网络，方便地传播恶意软件，危及工业系统、政府机构和其它基础设施的安全。2017年9月，某安全研究公司在蓝牙协议中发现8个零日漏洞，这些漏洞影响全球超过53亿个的设备，一旦被黑客利用，会像勒索软件一样迅速蔓延，达成任何恶意目的。防范措施：一是仅在必要时启用蓝牙功能。二是当蓝牙链接处于活动状态时，尽量减小蓝牙链接设备之间的距离。三是及时更新主机系统补丁，修补漏洞。

智能门锁安全风险：智能门锁一旦接入互联网，开启远程控制开锁应用，风险就会大幅度提升。在2017年举办的国际安全极客大赛上，安全研究员在无需物理接触、无需拆解门锁的情况下秒破智能门锁，获得所有的开锁权限，而被破解的产品正是已广泛应用于短租商家的某款智能门锁。防范措施：一是不要轻易使用智能门锁中的远程开锁功能。二是经常更改智能门锁密码。

四、认清新兴技术的安全风险

随着互联网的迅猛发展，云计算、大数据以及区块链等新型互联网技术正以前所未有的速度、广度和深度，融入经济社会各个方面，其安全风险管理的重要性和紧迫性日益凸显。对此，我们必须与时俱进，从组织管理、规范标准、技术手段等多角度着手进行风险防范，并形成安全的闭环管理链条，实现新型互联网技术的安全应用。

云计算安全风险：云计算正在不断改变企业数据存储和业务工作方式，也引发了一系列新的安全威胁和挑战。2018年8月，某公有云厂商因云硬盘I/O故障导致一家互联网创业公司的线上生产数据完全丢失，给该公司的业务造成毁灭性打击。防范措施：一是选择有安全信誉的云计算服务商。二是尽量不在公有云中保存个人隐私数据。三是使用加密手段保护关键数据。四是及时备份数据到本地。

大数据安全风险：2017年，Facebook有5000万人的隐私信息遭到泄露。2018年7月，山东破获一起特大侵犯公民个人信息案，共打掉涉案公司11家，查获公民信息数据4000GB、数百亿条。同时，有调查表明多家主流电商平台、生活服务平台和分期消费平台均存在收集、使用用户信息，违反合法、正当和必要性原则的霸王条款。防范措施：匿名是大数据隐私保护的核心，要注意个人身份、属性、社交关系、活动位置等信息的匿名保护。

区块链安全风险：区块链作为一项构建于传统密码体系之上的新型互联网技术，在算法、协议、使用、时限和系统等多个方面都面临安全挑战。2018年6月，韩国最大的基于区块链技术的数字货币交易所再次被黑客攻击，约350亿韩元的数字货币失窃。防范措施：一是不要暴露个人私钥，要采用多因子认证提高安全性。二是谨慎使用未经许可的数字货币平台，防止被骗。三是不要暴露个人加密货币财富。

物联网安全风险：物联网产业近年来呈爆炸式增长，然而物联网安全现状令人堪忧，变种新病毒层出不穷，可预见的解决方案却迟迟不见，事发之后再弥补成为物联网安全的常态。2016年10月21日，美国遭遇历史上最大规模DDOS攻击，大半个美国网络集体瘫痪，攻击源头是感染恶意代码的物联网设备。防范措施：一是物联网的安全从根本上需要产业上下游通力合作，建立安全生态来应对各种恶意攻击。二是对来路不明的链接、具有诱惑力的内容等应提高警惕。

人工智能安全风险：世界各国在竞相发展人工智能的同时，都高度重视其安全风险，对人工智能安全问题的担忧要比过去历次科技革命的利害权衡都更为深入、广泛和尖锐。2017年，Facebook人工智能研究小组研发的聊天机器人Bob和Alice不仅自主地开始互相聊天，还创造了只有它们互相明白的“语言”，Facebook也暂时关闭了研发项目。人们不禁担忧，这是不是一个预兆，昭示着人类最终会如科幻片里一样，毁灭在“人工智能”手中？防范措施：在发展人工智能技术的同时，还要考虑安全管控和风险治理，趋利避害，让技术在应用中改进，在改进中完善和提高，形成良好的产业生态。 

古人云：“生于忧患，死于安乐”。习近平总书记在学习贯彻党的十九大精神研讨班开班式上发表重要讲话时提出“三个一以贯之”，其中一个就是增强忧患意识、防范风险挑战。随着科学技术的发展,新材料、新工艺和新技术不断出现,必然对保密安全工作提出新的挑战。对此，我们必须居安思危，未雨绸缪，不断增强忧患意识，科学预判风险，制定有效防范措施，合理管控化解风险，做到“兵来将挡、水来土掩”，确保国家秘密安全，为经济社会又好又快发展提供坚强有力的服务和保障。

（南沙区国家保密局 朱儒轩）