保密安全中窃密事件的社会工程学应用研究

宁白羽

摘   要：窃密事件一直是保密工作者日常工作中的防范重点，在物防技防方面，依托于科技的高速发展，保密工具的防护能力有了创新式提升，使得窃密者需要掌握更加高级且全面的科技窃密手段达到非法获取的目的，无形之中加大了窃密难度。由于三防中的“人防”具有主观漏洞和不可控性的特点，利用社会工程学的相关手段，使得窃密行为可操作性增大。文章通过对社会工程学相关内容进行分析，进一步探讨社会工程学在保密中的应用手段，并提出相关的防御措施。

关键词：保密安全;社会工程学;防御措施

1    社会工程学基本定义及特点

一般意义上的社会工程学是指通过人际交流的方式获得信息的一种非技术渗透手段。保密工作中的社会工程学，更加注重于通过利用目标对象的心理弱点及好奇心、恐惧、贪婪等情绪，加以引导、控制，然后进行有目的的窃取活动，以达到获得利益的结果。

社会工程学的主要特点是通过融会贯通多种学科，从某一点抓住突破口，收集信息进行协调综合分析，得到相应结论或需求事物。由于信息社会中分散的数据信息具备潜在的关联性、趋同性及隐蔽性，攻击者在不公开真实目的情况下利用收集的零散数据及痕迹片段进行比对、推理及分析，进而获取甚至预判新的信息，不断完善数据组织的总体架构，或许需要付出部分经济利益，但最终仍能满足自身需求，是社会工程学主要的活动过程[1]。

2    保密工作中社会工程学的窃密分类及手段分析

保密工作中的社会工程学窃密行为广义上大致分为以下几种类型：

（1）根据窃密者实际需求进行引导控制实施的窃密。

（2）针对窃密者爱好或弱点进行引导控制实施的窃密。

（3）利用窃密者无知或对某领域不了解的特性进行欺骗实施的窃密。

（4）由于窃密者操作不当或职责不明，利用窃密者失误而直接实施窃密。

根据历年来互联网公布的失泄密案例显示，部分窃密攻击手段呈现交叉态势，利用多种社会工程学手段针对目标进行打击控制。现结合部分案例，以广义窃密行为为背景进行详细分析。

2.1  根据窃密者实际需求进行引导控制而实施的窃密

主要利用窃密者在生活、工作等环境中涉及的物质需求或精神需求为导向，通过带有目的性的接触，了解并收集窃密者的实际需求信息，前期多实行无偿或赠予的方式对窃密者进行需求满足，一旦窃密者习惯于需求满足的模式，后期间谍会根据被窃密者在工作中的实际情况，提出窃密要求。其中涉及的攻击操作一般流程为：首先，伪装身份或利用较为亲近的身份接触窃密者，降低怀疑、获取信任，无偿满足或提供窃密者现阶段需求;其次，当窃密者满足于惯性需求后，再断开需求供给，采取引诱、说服或恐吓的方式，使得窃密者主动或被动进行窃密操作。例如某单位中一名领导X某，由于自身对金钱的需求，在与间谍组织骨干成员的接触中建立了联系，并在私下里有频繁的金钱往来。由于自己的金钱需求被满足，在“投桃报李”的思维下，X某主动将秘密文件提交给间谍组织的骨干成员进行复制，并获取一定的经济收益，最后在公安机关的侦查工作中，X某被抓获并判刑，是一种典型的“接触—信任—满足—习惯—诱导—泄密”窃密攻击流程。

2.2  针对窃密者爱好或弱点进行引导控制实施的窃密

主要利用窃密者的个人爱好及弱点为主要导向，通过有目的性地满足窃密者爱好或利用窃密者弱点进行“爆破”，采取贿赂或恐吓的手段，直接或间接要求窃密者进行窃密操作。例如某单位高工A某，在同学聚会中与老同学B某接触交谈，由于B某已被境外组织策反，利用A某家属在国外留学的情况，对A某家属进行绑架，恐吓、胁迫A某提供某涉密科研项目相关材料，并许诺事成之后给予A某丰厚的佣金。虽然A某及时上报保密部门并报警，成功阻断此次事件，但利用此类攻击手段进行窃密的案例并不在少数。

2.3  利用窃密者无知或对某领域不了解的特性进行欺骗而实施的窃密

主要利用窃密者的无知或对某领域不了解的特性，通过欺骗洗脑或带有利诱性质的引导，降低其警惕心或防备心，使窃密者觉得“窃密事件”只是一种普通操作或简单的工作，从而主动实施窃密活动。例如，间谍组织利用低学历的社会闲散人员或刚进入社会开始求职的大学毕业生，通过隐瞒欺骗对窃密者进行洗脑，使得其以为对方正在进行“社会调研”“风俗采集”“文稿素材编辑”等，要求窃密者对某一重点防护区域或重点关注事项进行踩点、拍摄、窥探、记录甚至私自闯禁，同时给窃密者高于职业应得的经济利益，诱使窃密者将窃密事件作为工作或職业来发展，主动为间谍组织进行窃密操作。此类窃密方式在近年来一直处于高发态势，由于普通人对于保密知识了解不足，日常身份更便于在社会中进行隐藏，只要间谍组织洗脑得当，甚至可以形成“全民窃密”的涉密环境;由于现阶段互联网社会的高速发展，传统的间谍与窃密者面对面的方式在互联网光速发展的情况下，已经完全可以转变为网络虚拟化交流，使间谍窃密工作更加具有隐蔽性和不可控性。

2.4  由于窃密者操作不当或职责不明，利用窃密者失误而直接实施窃密

主要通过窃密者在工作中的主客操作观失误或对业务工作存在知识盲区进行窃密。间谍人员通过抓取窃密者的失误，利用诱骗、恐吓或直接窃取的方式，从窃密者手中获取国家秘密。例如，窃密者将涉密电脑无意连入互联网络，导致计算机终端被间谍组织远程控制涉密，窃取涉密内容;或部分窃密者并不明晰岗位中的涉密范围或职责，间谍人员通过套近乎、拉家常、给报酬的方式，要求窃密者对国家秘密进行记录、复制或流出。由于窃密者觉得“并不是很重要的文件”或“看一看没什么大不了”，导致国家秘密被泄露。部分涉密人员更注重于本职工作的职业素养及技能培养，为了工作的效率及便利，容易淡化保密要求及减弱保密意识，此类窃密方式在工作中虽比较容易避免，但仍极易发生。

3    保密安全中社會工程学攻击的防御措施

3.1  加强日常管理，注重保密培养

首先，要建立完善、全面的保密管理制度及岗位操作制度，对涉密人员日常工作中的要求和操作进行制度化、流程化的管控;其次，要加强保密工作中的物防配备，对于不同密级的文件资料，需要进行严格的知悉权限和传阅范围的划分，尤其在保存管理上，需要严格按照保密要求进行资料存放，不能有一丝懈怠或侥幸意识。

另外，需要形成一套完整的保密培训计划和保密宣传流程。将保密培训和宣传日常化、深入化、系统化、习惯化，使保密人员在工作中涉及保密问题或保密操作时，潜意识中严格按照保密要求进行处理;日常中不可听不听，不可说不说;甚至在触及国家秘密的边缘时，能主动警惕、小心防御，及时报告单位或其他相关保密部门，切断失泄密途径，保护国家秘密。

3.2  加强监督指导，提升技防等级

一方面，可以设立保密办或保密安全部门，监督、管理及指导职能或业务部门进行保密工作。同时，定期对涉密人员进行保密审查及保密提醒，一旦发现涉密人员有不当行为，需要立即将情况反馈至保密部门第一时间进行阻断处理，并控制相关人员，溯源追踪事件源头，从根本上查清失泄密事件并严肃处理。

另一方面，首先，要提升工作环境内保密技术防范的等级，对于直接接触涉密内容的操作人员及审计管理人员，进行清晰的责任划分和权限设置，避免“运动员”和“裁判员”是同一人的情况;其次，还需将技术防范落实全面。类似于身份认证、主机审计、指纹识别、双因子认证、密码管理等，都需要有严格的规定和固定的策略，提升技术防护对于保密的安全效果。

4    结语

传统的保密防御方式已经无法有效阻断主客观意识上的失泄密操作。通过社会工程学在保密工作中的应用，对各类失泄密事件进行全面细致的分析、学习，并从人、物、技三层角度对保密防御进行加固，能更加有效地保护国家秘密安全。

[参考文献]

[1]周磊.浅谈社会工程学攻击与防范[J].计算机光盘软件与应用，2013（15）：153，155.

Abstract：The theft of secrets has always been the key point of security workers in their daily work. In the field of physical defense， with the rapid development of science and technology， the protection ability of secret-keeping tools has been improved in an innovative way， which makes the secret-stealer need to master more advanced and comprehensive technology secret-stealing means to achieve the goal of illegal acquisition， that makes it harder to steal secrets. However， due to the subjective loophole and uncontrollability of the human defense in the three defense systems， the use of social engineering means makes the operability of stealing secrets increase. Through the analysis of the related content of Social Engineering， this paper further discusses the application of social engineering in secrecy， and puts forward the relevant defensive measures.

Key words：security; social engineering; defensive measures