數字時代安全風險防范與保密科技創新*

陳 偉

（海軍航空大學，山東 煙臺 264001）

0 引 言

黨的二十大對加快實施創新驅動戰略進行了全面部署。保守國家秘密，更好維護國家安全和利益，需要發揮科技的基礎支撐和引領作用，進一步加大保密科技創新力度。當前，隨著科技的迅猛發展和經濟社會數字化轉型的加速演進，以人工智能、大數據、云計算、區塊鏈、量子計算等為代表的新技術不斷應用于社會生活各領域，給保密工作帶來了新的發展機遇，也帶來了較大挑戰。一些國家加強新技術在保密領域的應用，不斷提升保密水平和維護國家安全能力，同時加快出臺監管政策，規范新技術領域發展，并積極探索安全保密與技術發展的平衡，確保信息安全。用好新技術這把“雙刃劍”，既便利信息資源的傳播利用，又能有效防范潛在的安全風險，是新時代保密工作亟待解決的新課題。

1 新技術應用帶來的保密挑戰

以人工智能、大數據、云計算等為代表的新技術的廣泛應用，給信息安全保密帶來了較大的挑戰。如何有效統籌發展與安全，積極應對新技術帶來的挑戰，是保密科技創新需關注的現實課題。從宏觀層面來看，新技術應用帶來的保密挑戰主要體現在以下兩個方面。

1.1 通過技術手段獲取國家秘密和重要情報日益普遍

利用人工智能、大數據等技術分析開源情報獲取國家秘密和情報，成為國際通行做法，特別是大數據技術以先進算法和強大算力為支撐，能從大量不敏感信息中發現國家秘密和重要情報。吳蕙同[1]從健身軟件、出行軟件、智能網聯汽車等3 個微觀層面，揭示了新技術新應用潛藏的泄密風險。利用大數據技術對政府統計數據、各行業統計數據及社會團體、個人等分散數據進行集中挖掘和邏輯推導，并從非涉密數據中提取涉密價值信息[2]。近年來，境外勢力非法獲取國家秘密和重要情報的方式日趨多樣，其中大數據分析成為境外情報機關搜集信息不可或缺的重要渠道[3]。例如，美國國家安全局長期對全球通信系統和互聯網進行大數據采集、挖掘和分析，從中搜集他國國家秘密和重要情報信息。2013年，美國情報機構前雇員斯諾登曝光的“棱鏡計劃”表明，美國情報機關早在2007年就開始采用大數據分析方式獲取情報，通過監控用戶上網行為和社交網絡資料等數據信息，對日志數據、社交網絡數據、智能終端數據、傳感網絡數據等海量信息進行采集，用于進行大數據分析竊密。

海量信息匯聚并通過技術手段進行自動分析處理，這給信息公開保密審查帶來極大挑戰。例如，大量關注和搜集用戶位置信息、交易和瀏覽行為等實時產生且具有明顯的場景化特征的數據，與用于備份存檔、災難恢復的狀態信息進行聚合與意外關聯，隨著“冷信息”被持續激活和挖掘，通過有效疊加與精確應用，就能挖掘出隱藏的敏感信息，這在很大程度上會給國家安全造成巨大威脅[4]。例如，通過對耕地數據、氣候數據、農業技術數據、農產品價格數據、居民營養狀況數據等海量信息進行整合分析，就能對特定國家的糧食安全狀況做出準確判斷，進而制定針對性措施來影響該國糧食安全。在處理這類信息時，由于我國涉及大數據的政策法規和標準性文件仍有待豐富完善，如按照“公開為原則，不公開為例外”的方針進行處置，容易形成過寬或過緊的不穩定態勢，出現難以預測的風險結果。

1.2 新型信息技術存在的風險不容忽視

面對數字時代新技術手段竊密的嚴峻形勢，傳統保密技術和模式必須緊跟數字化浪潮，加速進行迭代升級。例如，云計算作為信息化發展方向，為大數據應用、人工智能等提供計算、網絡及存儲等各方面資源，已廣泛深入到政務、金融、交通、能源等各個行業領域。云計算面臨的保密安全威脅，既包括以病毒、木馬、惡意攻擊、網絡入侵為主的傳統安全威脅，又包括以云平臺中計算虛擬化、網絡邊界化帶來的新威脅，如資源隔離安全威脅、邊界防護安全威脅、身份管理安全威脅、數據安全威脅、終端安全威脅等[5]。因此，云計算安全直接關系到關鍵信息基礎設施的安全。由于云計算所保障的信息安全建立在對服務商的信任基礎上，分布式存儲和計算在某種程度上也加大了控制難度，因此云計算存在較大的失泄密風險。

基于量子疊加、量子糾纏和量子不確定性等概念研制的量子計算機以超高速度進行計算，在密碼分析方面可能會帶來潛在的安全威脅。已有研究表明，一些新出現的算法能夠讓足夠規模的量子計算機完全破解現有的公鑰密碼算法[6]。對稱密碼學的安全性被量子計算機大大降低，非對稱密碼學也將隨著量子計算資源的發展而變得過時。以傳統密碼技術來確保國家秘密安全的模式面臨量子計算的極大挑戰。美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）此前已禁止使用MD5 算法進行加密，2022年12月，NIST 又宣布，不再采用SHA-1 算法進行加密，并建議相關機構盡快采用SHA-2 和SHA-3 算法進行替代[7]。由此可見，量子計算給傳統保密技術手段帶來的風險不容忽視。

2 加強保密科技創新的必要性

積極防范是我國保密工作的方針之一，也是開展保密工作的立足點和著力點。發展保密技術，不斷提高技術防范能力和與敵對勢力高科技竊密技術手段相抗衡的能力，實現保密工作技術手段現代化，是積極防范方針的應有之義，也是提高保密工作效率，有效應對當前嚴峻保密形勢的有效手段。

2.1 提高定密準確性

定密和密級確定一向是保密工作的難點問題。對相關工作人員而言，要準確判斷某一領域的信息是否關系到國家安全和利益、構成什么級別的國家秘密，具有較大的挑戰性。他們一方面需要對保密管理規定具有完整深刻的認識和理解，另一方面還要具備在相關領域的長期實踐經驗。在很大程度上，我們所面臨的問題正好是機器學習技術的擅長領域。在確保系統安全的前提下，在限定的專業范圍內，把已有的涉密資料作為訓練數據對人工智能系統進行訓練，并不斷地對模型進行反饋和校正，最終完善定型后的系統可以成為該領域的定密專家，可以對給出的材料是否構成國家秘密、屬于何種級別的國家秘密進行判斷。使用人工智能處理秘密定級問題，既可以節省大量時間精力，又能避免確定密級的隨意性，提高定密準確性。

2.2 及時變更密級或解密

我國《保守國家秘密法》規定，國家秘密的密級、保密期限和知悉范圍，應當根據情況變化及時變更。同時還規定，國家秘密的保密期限已滿的，自行解密，并要求機關、單位應當定期審核所確定的國家秘密。但是，這些工作都需要大量的人力及物力投入。由于涉密信息量大、人手不足等原因，一些機關、單位及其責任人存在“重定密、輕解密”的傾向，變更解密也不及時主動，使得上述規定難以得到有效落實。而經過大量涉密數據訓練的人工智能系統，能在極短的時間內就完成海量信息的分析判斷，及時給出變更密級、保留或解除密級的建議，大大提高保密管理效率。

2.3 對失泄密事故案件進行自動高效的預警和初步處理

當前，敵對勢力不斷開發新的技術手段對我國進行竊密，特別是網絡失泄密形勢嚴峻。涉密載體，尤其是計算機、網絡系統等涉密信息系統管理難度大。因失泄密隱患發現不及時、失泄密事故案件發生后處理不及時，對國家安全和利益造成的影響和損失巨大。我國《保守國家秘密法》要求，國家工作人員或者其他公民對泄露國家秘密事件有及時采取補救措施和報告的義務。在網絡空間形成以人工智能技術為核心的信息系統，可以通過模式訓練和學習，掌握竊密行為的關鍵特征，對異常網絡用戶、數據和行為進行全天候不間斷地鑒別，達到對涉密信息、涉密用戶在網絡空間進行有效監管與防護的效果[8]。同時，在人工處理介入之前，利用人工智能技術，自動監測發現涉密信息，阻斷傳播途徑、控制流轉范圍，并及時上報查處，進行善后補救，消除潛在隱患，盡量將失泄密帶來的危害降到最低限度。

當前發生的過失泄密案件中，留下的操作記錄有限，難以及時對當事人進行追責。運用區塊鏈技術中的數字簽名技術，可以使工作人員在進行數據處理時產生相應的數字簽名，相應工作的責任主體十分清晰。再加上區塊鏈的不可篡改性，一旦有失泄密情況發生，可以降低此類案件的追責難度。

3 保密科技創新中加強風險防范的建議

新技術是一把雙刃劍，在為保密科技創新帶來便利的同時，也可能隱藏著安全隱患和風險，甚至給保密工作本身帶來危害。因此，必須加強新技術應用的安全管理，堅持合理應用與科學管理并舉，嚴守底線思維，防患于未然。

3.1 堅持信息保密與數據安全并重

數據是信息的載體，既蘊含我們當前需要的信息，也包含我們尚未發現的信息，具有潛在的重要價值。因此，判斷數據的價值不僅要考慮其當前的用途，還要考慮到未來它可能被使用的各種潛在場景。特別是大數據時代，我們不能把眼光僅僅局限在涉密信息的安全上，還要充分考慮元數據的安全。隨著大數據時代的來臨，收集和分析數據技術的不斷進步和普及，元數據能推導出的信息越來越多。另外需要注意的是，大數據時代非結構化數據的數量要遠遠高于結構化數據或半結構化數據的數量。不論何種類型的數據，都具有顯性或者隱性的網絡化存在，各類數據之間存在著無所不在的復雜關聯關系，如果不高度重視數據安全并采取適當安全保護措施，就有可能導致關系國家安全和利益的重要信息泄露。在大數據時代，各類數據中都可能存在涉及國家安全和利益的信息，要始終堅持信息保密與數據安全并重，積極利用技術手段對關系國家安全和利益的數據進行準確的判斷和篩選，確保國家秘密安全。

3.2 合理確定數據的保密、共享與公開

數據已成為國家的基礎性、戰略性資源，各國也陸續將大數據上升到國家戰略層面。我國“十三五”規劃建議正式提出實施國家大數據戰略。“十四五”國家信息化規劃進一步明確要實施大數據應用提升工程。黨的二十大報告提出，加快建設數字中國。在確保安全的前提下對大數據進行最大范圍和限度的共享共用，是實現數字經濟長遠發展的關鍵所在。如何有效平衡大數據可能造成的危害和充分地利用大數據共享所帶來的成效，是一個繞不過去也回避不了的問題。在國家大數據戰略背景下，需要認真研究大數據互聯共享可能造成的潛在危害，并根據當前實際和未來發展趨勢，制定相應政策法規，采取有效應對措施，將潛在危害控制在最小范圍內。在堅持大數據共享原則的基礎上，把關系國家安全和利益的數據作為例外情形，將涉及國家秘密的數據控制在最小知悉范圍內，并采取合理技術手段，利用保密技術對可能危害國家安全和利益的數據進行共享限制。

3.3 人防技防緊密結合

保密科技創新應用是信息安全保密的重要保障，但科技創新及運用的主體都是人，只有將人防和技防有機結合，才能防范潛在風險，發揮出技術的最大功效。國家秘密的范圍廣泛，在限定范圍內，國家秘密與非國家秘密之間的區別在于該事項泄露后是否會使國家的安全和利益遭受損害，但相關判斷標準在實踐中不好把握，完全交給保密技術系統來判斷更是無法完成的任務。同時，我國對國家秘密實行分級保護，密級劃分的實質是秘密在沒有泄露時預先進行泄密后果損害程度評估。但是由于我國定密主體多元，不同部門的保密范圍并不一致，人工智能等新技術應用給出的密級定性需要進行相應人工審核，并按照定密權限，經定密責任人確認，以確保定密的準確性。因此，要始終堅持人防技防結合，既要充分利用人工智能等技術，又不能完全依靠技術，要始終確保人“在決策回路中”（in the loop）[9]。

數據的可靠性和準確性是大數據分析實現價值的關鍵因素。如果對基礎數據不仔細甄別，數據也會誤導分析者的判斷。針對大數據竊密，還可以采取技術攻防結合來進行應對。為保護關系國家安全和利益的大數據，可以開發相關技術，通過人為制造“噪聲”，誘導分析者獲取不實的信息，引導其得到錯誤的結論，使其無法或者難以從真假混雜的大數據中提取出有效的數據。

3.4 完善新技術安全使用的法規制度

針對人工智能、區塊鏈等新技術使用帶來的安全風險，可以借鑒歐美國家建立相應監督法律機制，通過建立起相應安全法規制度，確保保密技術創新的安全。例如，歐盟致力于出臺全球第一部全面規范人工智能的綜合性法律《人工智能法》[10]。為確保人工智能安全，該法引入了以風險為導向，針對人工智能系統的分類分級監管制度和算法安全評估制度，避免人工智能對國家安全產生危害。我國繼國家新一代人工智能治理專業委員會2021年發布《新一代人工智能倫理規范》之后，于2023年10月18 日發布《全球人工智能治理倡議》，重申加強信息交流和技術合作、共同做好人工智能風險防范的重要性，并提出推動建立風險等級測試評估體系，打造可審核、可監督、可追溯、可信賴的人工智能技術的意見[11]。此外，我國《密碼法》的頒布實施為規范和保障運用區塊鏈實施保密提供了根本遵循[12]。區塊鏈等技術的安全發展和有效監管，也都應嚴格依照法律法規的規定進行。在將這些新技術應用于保密技術創新時，應建立、完善日志和審計等日常監管、威脅評估、技術評估和安全審查報告、緊急響應和應急管理等制度，用完善的制度來進一步確保技術的安全使用。保密科技的研發和應用，需要完善的政策法規支持，形成系統規范的法規制度體系，確保新技術在應用于國家秘密保護的各階段都有銜接緊密的標準和規范。

4 結 語

隨著人工智能、大數據、云計算、區塊鏈等技術的發展和應用的普及，現代社會信息化、網絡化、數字化特征日益凸顯。這些新技術為國家經濟社會發展提供了巨大的動力，同時也與國家安全和利益密切相關，特別是人、物、事件、環境等廣泛以各種“數據”形式存在并通過網絡進行傳輸、匯聚，存在涉及國家安全和利益的敏感信息，暗藏著較大的失泄密風險。做好新時代保密工作，應加強保密科技創新，既要防范新技術帶來的失泄密風險，又要積極利用新技術加強保密工作。