保密安全中竊密事件的社會工程學應用研究

寧白羽

摘 ? 要：竊密事件一直是保密工作者日常工作中的防范重點，在物防技防方面，依托于科技的高速發展，保密工具的防護能力有了創新式提升，使得竊密者需要掌握更加高級且全面的科技竊密手段達到非法獲取的目的，無形之中加大了竊密難度。由于三防中的“人防”具有主觀漏洞和不可控性的特點，利用社會工程學的相關手段，使得竊密行為可操作性增大。文章通過對社會工程學相關內容進行分析，進一步探討社會工程學在保密中的應用手段，并提出相關的防御措施。

關鍵詞：保密安全;社會工程學;防御措施

1 ? ?社會工程學基本定義及特點

一般意義上的社會工程學是指通過人際交流的方式獲得信息的一種非技術滲透手段。保密工作中的社會工程學，更加注重于通過利用目標對象的心理弱點及好奇心、恐懼、貪婪等情緒，加以引導、控制，然后進行有目的的竊取活動，以達到獲得利益的結果。

社會工程學的主要特點是通過融會貫通多種學科，從某一點抓住突破口，收集信息進行協調綜合分析，得到相應結論或需求事物。由于信息社會中分散的數據信息具備潛在的關聯性、趨同性及隱蔽性，攻擊者在不公開真實目的情況下利用收集的零散數據及痕跡片段進行比對、推理及分析，進而獲取甚至預判新的信息，不斷完善數據組織的總體架構，或許需要付出部分經濟利益，但最終仍能滿足自身需求，是社會工程學主要的活動過程[1]。

2 ? ?保密工作中社會工程學的竊密分類及手段分析

保密工作中的社會工程學竊密行為廣義上大致分為以下幾種類型：

（1）根據竊密者實際需求進行引導控制實施的竊密。

（2）針對竊密者愛好或弱點進行引導控制實施的竊密。

（3）利用竊密者無知或對某領域不了解的特性進行欺騙實施的竊密。

（4）由于竊密者操作不當或職責不明，利用竊密者失誤而直接實施竊密。

根據歷年來互聯網公布的失泄密案例顯示，部分竊密攻擊手段呈現交叉態勢，利用多種社會工程學手段針對目標進行打擊控制。現結合部分案例，以廣義竊密行為為背景進行詳細分析。

2.1 ?根據竊密者實際需求進行引導控制而實施的竊密

主要利用竊密者在生活、工作等環境中涉及的物質需求或精神需求為導向，通過帶有目的性的接觸，了解并收集竊密者的實際需求信息，前期多實行無償或贈予的方式對竊密者進行需求滿足，一旦竊密者習慣于需求滿足的模式，后期間諜會根據被竊密者在工作中的實際情況，提出竊密要求。其中涉及的攻擊操作一般流程為：首先，偽裝身份或利用較為親近的身份接觸竊密者，降低懷疑、獲取信任，無償滿足或提供竊密者現階段需求;其次，當竊密者滿足于慣性需求后，再斷開需求供給，采取引誘、說服或恐嚇的方式，使得竊密者主動或被動進行竊密操作。例如某單位中一名領導X某，由于自身對金錢的需求，在與間諜組織骨干成員的接觸中建立了聯系，并在私下里有頻繁的金錢往來。由于自己的金錢需求被滿足，在“投桃報李”的思維下，X某主動將秘密文件提交給間諜組織的骨干成員進行復制，并獲取一定的經濟收益，最后在公安機關的偵查工作中，X某被抓獲并判刑，是一種典型的“接觸—信任—滿足—習慣—誘導—泄密”竊密攻擊流程。

2.2 ?針對竊密者愛好或弱點進行引導控制實施的竊密

主要利用竊密者的個人愛好及弱點為主要導向，通過有目的性地滿足竊密者愛好或利用竊密者弱點進行“爆破”，采取賄賂或恐嚇的手段，直接或間接要求竊密者進行竊密操作。例如某單位高工A某，在同學聚會中與老同學B某接觸交談，由于B某已被境外組織策反，利用A某家屬在國外留學的情況，對A某家屬進行綁架，恐嚇、脅迫A某提供某涉密科研項目相關材料，并許諾事成之后給予A某豐厚的傭金。雖然A某及時上報保密部門并報警，成功阻斷此次事件，但利用此類攻擊手段進行竊密的案例并不在少數。

2.3 ?利用竊密者無知或對某領域不了解的特性進行欺騙而實施的竊密

主要利用竊密者的無知或對某領域不了解的特性，通過欺騙洗腦或帶有利誘性質的引導，降低其警惕心或防備心，使竊密者覺得“竊密事件”只是一種普通操作或簡單的工作，從而主動實施竊密活動。例如，間諜組織利用低學歷的社會閑散人員或剛進入社會開始求職的大學畢業生，通過隱瞞欺騙對竊密者進行洗腦，使得其以為對方正在進行“社會調研”“風俗采集”“文稿素材編輯”等，要求竊密者對某一重點防護區域或重點關注事項進行踩點、拍攝、窺探、記錄甚至私自闖禁，同時給竊密者高于職業應得的經濟利益，誘使竊密者將竊密事件作為工作或職業來發展，主動為間諜組織進行竊密操作。此類竊密方式在近年來一直處于高發態勢，由于普通人對于保密知識了解不足，日常身份更便于在社會中進行隱藏，只要間諜組織洗腦得當，甚至可以形成“全民竊密”的涉密環境;由于現階段互聯網社會的高速發展，傳統的間諜與竊密者面對面的方式在互聯網光速發展的情況下，已經完全可以轉變為網絡虛擬化交流，使間諜竊密工作更加具有隱蔽性和不可控性。

2.4 ?由于竊密者操作不當或職責不明，利用竊密者失誤而直接實施竊密

主要通過竊密者在工作中的主客操作觀失誤或對業務工作存在知識盲區進行竊密。間諜人員通過抓取竊密者的失誤，利用誘騙、恐嚇或直接竊取的方式，從竊密者手中獲取國家秘密。例如，竊密者將涉密電腦無意連入互聯網絡，導致計算機終端被間諜組織遠程控制涉密，竊取涉密內容;或部分竊密者并不明晰崗位中的涉密范圍或職責，間諜人員通過套近乎、拉家常、給報酬的方式，要求竊密者對國家秘密進行記錄、復制或流出。由于竊密者覺得“并不是很重要的文件”或“看一看沒什么大不了”，導致國家秘密被泄露。部分涉密人員更注重于本職工作的職業素養及技能培養，為了工作的效率及便利，容易淡化保密要求及減弱保密意識，此類竊密方式在工作中雖比較容易避免，但仍極易發生。

3 ? ?保密安全中社會工程學攻擊的防御措施

3.1 ?加強日常管理，注重保密培養

首先，要建立完善、全面的保密管理制度及崗位操作制度，對涉密人員日常工作中的要求和操作進行制度化、流程化的管控;其次，要加強保密工作中的物防配備，對于不同密級的文件資料，需要進行嚴格的知悉權限和傳閱范圍的劃分，尤其在保存管理上，需要嚴格按照保密要求進行資料存放，不能有一絲懈怠或僥幸意識。

另外，需要形成一套完整的保密培訓計劃和保密宣傳流程。將保密培訓和宣傳日常化、深入化、系統化、習慣化，使保密人員在工作中涉及保密問題或保密操作時，潛意識中嚴格按照保密要求進行處理;日常中不可聽不聽，不可說不說;甚至在觸及國家秘密的邊緣時，能主動警惕、小心防御，及時報告單位或其他相關保密部門，切斷失泄密途徑，保護國家秘密。

3.2 ?加強監督指導，提升技防等級

一方面，可以設立保密辦或保密安全部門，監督、管理及指導職能或業務部門進行保密工作。同時，定期對涉密人員進行保密審查及保密提醒，一旦發現涉密人員有不當行為，需要立即將情況反饋至保密部門第一時間進行阻斷處理，并控制相關人員，溯源追蹤事件源頭，從根本上查清失泄密事件并嚴肅處理。

另一方面，首先，要提升工作環境內保密技術防范的等級，對于直接接觸涉密內容的操作人員及審計管理人員，進行清晰的責任劃分和權限設置，避免“運動員”和“裁判員”是同一人的情況;其次，還需將技術防范落實全面。類似于身份認證、主機審計、指紋識別、雙因子認證、密碼管理等，都需要有嚴格的規定和固定的策略，提升技術防護對于保密的安全效果。

4 ? ?結語

傳統的保密防御方式已經無法有效阻斷主客觀意識上的失泄密操作。通過社會工程學在保密工作中的應用，對各類失泄密事件進行全面細致的分析、學習，并從人、物、技三層角度對保密防御進行加固，能更加有效地保護國家秘密安全。

[參考文獻]

[1]周磊.淺談社會工程學攻擊與防范[J].計算機光盤軟件與應用，2013（15）：153，155.

Abstract：The theft of secrets has always been the key point of security workers in their daily work. In the field of physical defense， with the rapid development of science and technology， the protection ability of secret-keeping tools has been improved in an innovative way， which makes the secret-stealer need to master more advanced and comprehensive technology secret-stealing means to achieve the goal of illegal acquisition， that makes it harder to steal secrets. However， due to the subjective loophole and uncontrollability of the human defense in the three defense systems， the use of social engineering means makes the operability of stealing secrets increase. Through the analysis of the related content of Social Engineering， this paper further discusses the application of social engineering in secrecy， and puts forward the relevant defensive measures.

Key words：security; social engineering; defensive measures