陳 進(jìn)

（江蘇國(guó)瑞信安科技有限公司，江蘇南京 ）

0 引言

每個(gè)企業(yè)都有自己的保密信息，最典型的就是商業(yè)秘密，商業(yè)秘密是指不為公眾所知悉、能為權(quán)利人帶來(lái)經(jīng)濟(jì)利益，具有實(shí)用性并經(jīng)權(quán)利人采取保密措施的技術(shù)信息和經(jīng)營(yíng)信息［1］，此外可能還包括企業(yè)自身的一些敏感數(shù)據(jù)，比如運(yùn)營(yíng)數(shù)據(jù)、用戶數(shù)據(jù)、員工信息等。盡管企業(yè)想方設(shè)法避免這些信息被公眾或者競(jìng)爭(zhēng)對(duì)手知曉，但是在利益的驅(qū)動(dòng)下，很多競(jìng)爭(zhēng)企業(yè)或者個(gè)人都對(duì)這些信息虎視眈眈，再加上企業(yè)的保密措施經(jīng)常出現(xiàn)漏洞，導(dǎo)致泄密的案例層出不窮，有些泄密事件則對(duì)企業(yè)造成了巨大損失。因此，防范私密信息不被非法泄露已經(jīng)成為了現(xiàn)代企業(yè)的重要工作之一，而在采取防范措施之前，必須明確信息可能通過(guò)哪些途徑被泄露，進(jìn)而采取針對(duì)性措施。

通過(guò)文獻(xiàn)調(diào)研發(fā)現(xiàn)，2000年以后，關(guān)于泄密途徑方面的研究和分析已經(jīng)有了不少的成果，很多學(xué)者都對(duì)各種可能的泄密途徑進(jìn)行過(guò)分析，但是研究成果相對(duì)分散，并沒(méi)有文章對(duì)相關(guān)的泄密途徑進(jìn)行總結(jié)，而本文正是關(guān)注企業(yè)秘密泄漏的所有可能途徑，對(duì)已有的研究成果進(jìn)行總結(jié)，為企業(yè)有效地防護(hù)信息泄露提供借鑒。經(jīng)過(guò)總結(jié)，企業(yè)泄密的途徑可分為計(jì)算機(jī)泄密、員工泄密、通信泄密、和其他途徑泄密。

1 企業(yè)泄密途徑研究總結(jié)

1.1 計(jì)算機(jī)泄密

在現(xiàn)代企業(yè)中，無(wú)論是IT企業(yè)還是傳統(tǒng)企業(yè)，計(jì)算機(jī)都是不可或缺的辦公自動(dòng)化設(shè)備，從工作人員的個(gè)人PC，到企業(yè)的服務(wù)器主機(jī)，企業(yè)的機(jī)密信息往往就存儲(chǔ)在計(jì)算機(jī)上。因此，計(jì)算機(jī)泄密就成為了企業(yè)秘密泄露的焦點(diǎn)。

計(jì)算機(jī)電磁波輻射泄密是較為隱蔽也是容易被人忽視的一種泄密途徑［2］，計(jì)算機(jī)發(fā)出的電磁波如果被相應(yīng)的接收設(shè)備獲取，就有可能導(dǎo)致信息的泄露。當(dāng)然，對(duì)于企業(yè)信息的竊密者而言，采用這種方式的成本和危險(xiǎn)系數(shù)較高，并且如果通過(guò)Tempest技術(shù)（低輻射技術(shù)）等技術(shù)就可以做到很好的防護(hù)。

計(jì)算機(jī)網(wǎng)絡(luò)能將世界各地的計(jì)算機(jī)連通，大大方便了人們之間的溝通交流，但同時(shí)也成為了信息泄密的溫床。首先隨著局域網(wǎng)技術(shù)的發(fā)展，企業(yè)內(nèi)部都會(huì)建立起自己的局域網(wǎng)，主要可以分為有線局域網(wǎng)和無(wú)線局域網(wǎng)。對(duì)于有線局域網(wǎng)，型的泄密方式就是搭線竊?。?］。而無(wú)線局域網(wǎng)雖然使用方便，但是相應(yīng)的隱患也較多：信息易受竊聽(tīng)，信息易被篡改，非法AP，WEP加解密的同步問(wèn)題等［4-5］。對(duì)于無(wú)線局域網(wǎng)，可以采用防火墻、入侵檢測(cè)等技術(shù)來(lái)防止信息被竊取［6］。局域網(wǎng)尚有一定的隱患，那么在Internet上，泄密的風(fēng)險(xiǎn)就更大了。竊密者可以通過(guò)網(wǎng)絡(luò)竊聽(tīng)截取網(wǎng)絡(luò)中輸送的數(shù)據(jù)包［7］，并采取分析和還原的方法對(duì)沒(méi)有嚴(yán)格加密的信息進(jìn)行竊取。但這種方式成本和技術(shù)難度較高，較少發(fā)生于企業(yè)泄密中。但是另外一種方式，網(wǎng)絡(luò)竊取，則是企業(yè)泄密的重要途徑之一。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)竊取的手段也越來(lái)越多，這些手段都是企業(yè)需要嚴(yán)格加以防范的。常見(jiàn)的竊密方法比如密碼破譯，最簡(jiǎn)單的破譯方法如暴力破解。當(dāng)今企業(yè)中都會(huì)一些應(yīng)用系統(tǒng)，比如OA系統(tǒng)、ERP系統(tǒng)等，企業(yè)一般要求員工不要將系統(tǒng)密碼設(shè)置得太多簡(jiǎn)單，主要就是為了預(yù)防密碼破譯。另外一種危害性極大的竊取技術(shù)就是木馬，木馬的竊密技術(shù)大致有四個(gè)演變過(guò)程：擊鍵記錄、屏幕快照、遠(yuǎn)程控制、擺渡技術(shù)［8-9］。對(duì)于企業(yè)而言，員工如果在使用內(nèi)部計(jì)算機(jī)的過(guò)程中中了木馬，那么很可能就會(huì)造成企業(yè)信息的泄露。另外，木馬技術(shù)依然處于不斷地演進(jìn)之中，最新的木馬變得越來(lái)越難以檢測(cè)和防范，因此，企業(yè)必須規(guī)范員工對(duì)內(nèi)部計(jì)算機(jī)的使用，不斷升級(jí)內(nèi)部計(jì)算機(jī)的檢殺能力，并盡可能從源頭上切斷木馬入侵的途徑。與木馬相比，網(wǎng)絡(luò)釣魚(yú)則是一種更具欺騙性地竊密方式［10］，一般表現(xiàn)為釣魚(yú)網(wǎng)站、欺騙性的電子郵件以及利用及時(shí)通訊工具或者論壇社區(qū)發(fā)布欺詐信息等。網(wǎng)絡(luò)攻擊是另一種危害性較大的竊密方式［11］，即利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊，計(jì)算機(jī)病毒往往在網(wǎng)絡(luò)攻擊中發(fā)揮著重要作用。網(wǎng)絡(luò)收集又是一種非常隱蔽的泄密途徑，對(duì)于企業(yè)而言，某些信息的公開(kāi)是必須的，但是如果對(duì)什么信息可以公開(kāi)，什么信息應(yīng)該堅(jiān)決保密這個(gè)問(wèn)題把握不明確，或者由于員工的疏忽大意，都可能會(huì)造成秘密信息的泄露。

計(jì)算機(jī)存儲(chǔ)媒體的泄密是另一種危害較大而且容易出現(xiàn)的泄密途徑，主要包括存儲(chǔ)媒體使用時(shí)的泄密，其中移動(dòng)存儲(chǔ)介質(zhì)在信息交換過(guò)程中的泄密是最常見(jiàn)的［12-13］，這就要求企業(yè)制定嚴(yán)格的移動(dòng)存儲(chǔ)介質(zhì)使用制度，員工在使用移動(dòng)存儲(chǔ)介質(zhì)也必須提高警惕。另外媒體失竊與媒體管理不規(guī)范也會(huì)導(dǎo)致泄密。除了使用中的泄密，存儲(chǔ)媒體在報(bào)廢、出現(xiàn)故障等的處理時(shí)，如果手段或者方法不當(dāng)，同樣也會(huì)導(dǎo)致信息的泄露［14］。此外，我國(guó)的計(jì)算機(jī)產(chǎn)業(yè)起步相對(duì)較晚，因此，企業(yè)通常都需要購(gòu)買一些國(guó)外的設(shè)備和產(chǎn)品，然而一些不法集團(tuán)或者競(jìng)爭(zhēng)對(duì)手，往往會(huì)對(duì)出口的設(shè)備做一些手腳，從而方便其掌握企業(yè)的信息［15］，比如購(gòu)買軟件時(shí)的“后門”等。

計(jì)算機(jī)最終需要人來(lái)進(jìn)行操作和使用，而在這個(gè)過(guò)程中，往往也容易發(fā)生人為使用計(jì)算機(jī)情況下的泄密，基本可以分為三類：無(wú)知泄密、違反規(guī)章制度泄密、故意泄密［16-17］。這就要求企業(yè)不僅要加強(qiáng)對(duì)員工安全意識(shí)的培養(yǎng)，同時(shí)要加強(qiáng)對(duì)于員工使用計(jì)算機(jī)的監(jiān)察，防止泄密事故的發(fā)生。

1.2 員工泄密

企業(yè)員工是企業(yè)保密信息的產(chǎn)生源，同時(shí)也是這些信息的保護(hù)者，然而，堡壘往往容易從內(nèi)部攻破。企業(yè)員工在工作、外出或者流動(dòng)過(guò)程中，都有可能泄露企業(yè)的商業(yè)秘密［17-19］?？偟膩?lái)看，企業(yè)員工的泄密可以分為三類。首先是員工在內(nèi)部工作中的泄密，在上一部分已經(jīng)提到了已經(jīng)提到員工在計(jì)算機(jī)使用過(guò)程中的泄密，除了這些泄密方式，員工在企業(yè)內(nèi)部工作時(shí)還有其他的一些行為也會(huì)造成泄密：涉密紙質(zhì)文檔處理不當(dāng)、企業(yè)會(huì)議泄密［20］、發(fā)表學(xué)術(shù)論文泄密與參觀、考察活動(dòng)泄密等。其次是員工外出時(shí)的泄密，包括在公共場(chǎng)合談?wù)撋婷苄畔⑴c外出攜帶的涉密載體丟失等。最后是員工流動(dòng)過(guò)程中的泄密，主要有員工跳槽泄密［21-22］、離職職工泄漏商業(yè)秘密和兼職工作人員泄漏商業(yè)秘密等。對(duì)于員工泄密，企業(yè)首先需要制定明確的員工保密管理制度，加強(qiáng)對(duì)員工保密意識(shí)和能力的培養(yǎng)，規(guī)范員工的保密行為。另外，凡是能接觸到企業(yè)敏感信息的員工都應(yīng)當(dāng)簽訂相應(yīng)的保密協(xié)議，在可能的范圍內(nèi)避免員工惡意泄露企業(yè)秘密事件的發(fā)生。

1.3 通信泄密

通信隱患是指通信過(guò)程中可能導(dǎo)致信息外泄的漏洞。在21世紀(jì)，隨著固定電話、手機(jī)以及網(wǎng)絡(luò)及時(shí)通訊工具的廣泛使用，人們之間的通信變得更加快捷，但同時(shí)，在這些通訊工具中都隱藏著一定的泄密風(fēng)險(xiǎn)，特別是近年來(lái)，隨著智能手機(jī)的大肆興起，手機(jī)提供的功能也不再局限于語(yǔ)音通話，消息發(fā)送等功能，還可以提供高速上網(wǎng)瀏覽和收發(fā)郵件，更為重要的是，它可以像計(jì)算機(jī)一樣安裝各類軟件、游戲的應(yīng)用程序，大大提高了用戶對(duì)移動(dòng)辦公、移動(dòng)生活的需要。但是，隨著智能手機(jī)的使用，信息泄露的安全威脅也隨之而來(lái)［23］。

對(duì)于有線通信如固定電話，人們都會(huì)認(rèn)為這種通信有著是安全的，但實(shí)際上，通過(guò)電話串音、架空明線、載波輻射感應(yīng)線圈等方式都可以使得通訊信息被泄露［24］。不過(guò)在企業(yè)層面上看，這種泄密方式的發(fā)生也是較少的。除了固定電話，當(dāng)今社會(huì)中，使用最多的通訊工具無(wú)疑就是手機(jī)了，因此，手機(jī)泄密也是企業(yè)必須要重點(diǎn)防范的。手機(jī)在待機(jī)、通信甚至關(guān)機(jī)的狀態(tài)下都有可能被竊密者竊取相關(guān)信息［25］，而手機(jī)丟失則可能會(huì)帶來(lái)更嚴(yán)重的信息泄露。而智能手機(jī)最近幾年成為主流，其本身具有的高速上網(wǎng)、智能平臺(tái)、告訴數(shù)據(jù)傳輸?shù)忍攸c(diǎn)使得信息保密工作變得更加嚴(yán)峻［26-27］。與傳統(tǒng)手機(jī)相比，智能手機(jī)可能的泄密途徑可能還包括被植入間諜軟件，非法拍照、錄音，手機(jī)開(kāi)啟定位功能等［28］。因此，對(duì)于企業(yè)而言，必須規(guī)范涉密手機(jī)的使用，在可能的情況下盡量避免涉密信息通過(guò)手機(jī)傳輸或者存儲(chǔ)。

隨著互聯(lián)網(wǎng)的日益發(fā)展，另外一種更加靈活的通信方式—及時(shí)通訊工具越來(lái)越受到歡迎，很多企業(yè)內(nèi)部為了方便溝通交流，都會(huì)使用及時(shí)通訊工具，最常見(jiàn)的如QQ、Skype、微信等。但是網(wǎng)絡(luò)及時(shí)通訊工具的聊天內(nèi)容非常容易被黑客獲取，如果企業(yè)員工在這些工具上討論企業(yè)業(yè)務(wù)，或者交換企業(yè)信息，那么就這部分信息就很有可能會(huì)被泄漏。對(duì)此企業(yè)同樣需要規(guī)范及時(shí)通訊軟件的使用，對(duì)于敏感信息或者數(shù)據(jù)嚴(yán)禁在這些工具上進(jìn)行討論或者傳輸，在條件允許的情況，擁有一套內(nèi)部專門的通訊工具也是很有必要的。

1.4 其他泄密途徑

除了上述的三個(gè)泄密途徑之外，還有其他一些途徑也可能導(dǎo)致企業(yè)商業(yè)秘密泄漏，企業(yè)也必須加以重視。首先傳播媒體在泄密，傳播媒體在當(dāng)今的世界中起著重要的作用，然而傳播媒體卻也是泄密途徑的一種典型，不僅新聞會(huì)泄密［29-30］，同時(shí)大眾媒體也會(huì)有泄密的風(fēng)險(xiǎn)［31］。另外，企業(yè)在參加外部活動(dòng)展覽時(shí)，把自己最新的產(chǎn)品推向市場(chǎng)，并盡可能讓參會(huì)人員了解自己產(chǎn)品的優(yōu)良性或者獨(dú)特性。然而，對(duì)手企業(yè)的商業(yè)間諜可能正在趁機(jī)了解產(chǎn)品的機(jī)密。一旦保密意識(shí)不強(qiáng)，就有可能被對(duì)手得手［32］。還有就是企業(yè)在參加國(guó)際科技合作時(shí)，一些單位并未嚴(yán)格執(zhí)行提供國(guó)家秘密的有關(guān)規(guī)定,保密管理不嚴(yán)，就有可能造成企業(yè)內(nèi)部信息的泄露［33］。除了企業(yè)本身原因?qū)е碌男姑芤酝?，?jìng)爭(zhēng)對(duì)手或者商業(yè)間諜的竊密也是一種重要的泄密途徑，商業(yè)間諜有著高超的竊密能力，往往能捕捉到一些隱蔽的信息。此外，競(jìng)爭(zhēng)對(duì)手通常還會(huì)在企業(yè)員工身上下手，引誘員工泄漏信息。同時(shí)，競(jìng)爭(zhēng)情報(bào)也是當(dāng)前獲取競(jìng)爭(zhēng)對(duì)手信息的一種重要途徑，對(duì)于這一點(diǎn)，企業(yè)必須制定完善的企業(yè)網(wǎng)站信息的發(fā)布策略、專利申請(qǐng)策略，強(qiáng)化辦公自動(dòng)化保密技術(shù)的防范措施等方法來(lái)避免被競(jìng)爭(zhēng)對(duì)手以一種完全合法的途徑來(lái)獲取自身的保密信息［34］。

2 總結(jié)

進(jìn)入21世紀(jì)以來(lái)，隨著信息技術(shù)的發(fā)展，企業(yè)面臨的泄密風(fēng)險(xiǎn)也越來(lái)越多。在可能的泄密途徑中，計(jì)算機(jī)泄密的種類較多，發(fā)生的幾率最大，尤其是計(jì)算機(jī)網(wǎng)絡(luò)泄密，一旦發(fā)生，往往能對(duì)企業(yè)造成深遠(yuǎn)的影響。對(duì)于這類風(fēng)險(xiǎn)，企業(yè)應(yīng)當(dāng)做到強(qiáng)化保密觀念，加強(qiáng)企業(yè)系統(tǒng)安全配置，強(qiáng)化存儲(chǔ)媒體和員工上網(wǎng)行為的管理等措施。員工泄密由于涉及到員工行為，相對(duì)而言這種途徑的不可控性就更加明顯，這要求企業(yè)應(yīng)當(dāng)制定嚴(yán)格的保密制度，完善內(nèi)部的保密體系，特別是對(duì)于涉及敏感數(shù)據(jù)、機(jī)密數(shù)據(jù)較多的企業(yè)而言更是如此。通信涉密目前最容易發(fā)生在手機(jī)端，因此企業(yè)應(yīng)當(dāng)盡量避免保密信息利用手機(jī)進(jìn)行傳輸和交流，否則泄密的風(fēng)險(xiǎn)非常大，當(dāng)然，也可以通過(guò)加強(qiáng)保密教育，加強(qiáng)保密技術(shù)等手段來(lái)減少手機(jī)泄密發(fā)生的可能?？偠灾?，企業(yè)應(yīng)當(dāng)根據(jù)自身的經(jīng)營(yíng)特點(diǎn)，重點(diǎn)關(guān)注那些最可能泄密的途徑，并采取針對(duì)性措施。同時(shí)應(yīng)當(dāng)加強(qiáng)保密制度建設(shè)和保密教育,使得保密意識(shí)深入人心，才能更好地守護(hù)好企業(yè)的保密信息。

［1］江曉波.商業(yè)秘密與競(jìng)爭(zhēng)情報(bào)的關(guān)系與法律保護(hù)［J］.現(xiàn)代情報(bào)，2004（8）：209.

［2］呂立波.一種被容易忽視的計(jì)算機(jī)信息泄密途徑與防范［J］.安防科技，2006（11）：34.

［3］甘性偉.局域網(wǎng)及計(jì)算機(jī)終端防泄密研究［J］.計(jì)算機(jī)光盤軟件與應(yīng)用，2011（18）：122.

［4］魏光杏，戴月.無(wú)線局域網(wǎng)安全隱患分析及對(duì)策［J］.西安文理學(xué)院學(xué)報(bào)：自然科學(xué)版，2012（15）：80.

［5］楊柳.淺析無(wú)線局域網(wǎng)安全隱患之七大“罩門”［J］.教育教學(xué)論壇，2010（18）：161-162.

［6］高崢，劉興瑞.無(wú)線局域網(wǎng)安全問(wèn)題研究［J］.無(wú)線導(dǎo)報(bào)，2011（1）：287.

［7］胡文.計(jì)算機(jī)網(wǎng)絡(luò)泄密的分析與對(duì)策［J］.計(jì)算機(jī)安全，2009（1）：109.

［8］夏志楠，王睿.淺析計(jì)算機(jī)網(wǎng)絡(luò)失泄密問(wèn)題及防范措施［J］.科教文匯，2010（7）：87.

［9］豐雷.試論計(jì)算機(jī)網(wǎng)絡(luò)泄密的分析與對(duì)策［J］.電腦知識(shí)與技術(shù)，2011（17）：4066.

［10］劉偉，潘軍.計(jì)算機(jī)網(wǎng)絡(luò)泄密的分析研究［J］.煤炭技術(shù)，2013（2）：173.

［11］楊笑.當(dāng)前計(jì)算機(jī)泄密的主要途徑及預(yù)防措施研究［J］.電腦知識(shí)與技術(shù)，2007（4）：116.

［12］游建煒.如何防范重要信息通過(guò)移動(dòng)存儲(chǔ)介質(zhì)泄密［J］.華南金融電腦，2009（6）：86.

［13］任祖春.電子政務(wù)網(wǎng)絡(luò)中移動(dòng)存儲(chǔ)介質(zhì)泄密途徑及防范措施［J］.東北水利水電，2008（12）：69.

［14］陳尚義.磁盤數(shù)據(jù)泄密威脅分析和銷毀方法［J］.信息安全與通信保密，2010（9）：71.

［15］陳偉良.計(jì)算機(jī)信息系統(tǒng)泄密途徑分析及如何進(jìn)行防范［J］.網(wǎng)絡(luò)通訊與安全，2007（5）：1222.

［16］丁暉.計(jì)算機(jī)泄密的主要途徑及預(yù)防措施［J］.華南金融電腦，2004（4）：32.

［17］張孝東.淺析計(jì)算機(jī)網(wǎng)絡(luò)泄密問(wèn)題及防范措施［J］.福建電腦，2013（10）：88.

［18］張?zhí)m.信息化背景下商業(yè)秘密泄密的原因及保護(hù)措施［J］.財(cái)經(jīng)界，2010（12）：51.

［19］梁曉燕，王如龍，王軍麗，等.信息安全保密中信息泄密途徑及其防護(hù)［J］.微計(jì)算機(jī)應(yīng)用，2004（4）：409.

［20］劉欽武，劉照文.企業(yè)會(huì)議泄密的對(duì)策初探［J］.新疆有色金屬，1993（4）：55.

［21］胡曉荷.跳槽，IT 企業(yè)保密的軟肋?［J］.信息安全與通信保密，2008（8）：19-20.

［22］杜躍東.跳槽—泄漏商業(yè)秘密的問(wèn)題不可忽視［J］.商場(chǎng)現(xiàn)代化，2005（17）：68.

［23］郝文江，武捷，王路路.智能手機(jī)防泄密策略研究［J］.信息網(wǎng)絡(luò)安全，2011（5）：28.

［24］張景榮.針對(duì)通信泄密的途徑強(qiáng)化實(shí)現(xiàn)保密通信的措施［J］.軍事通信技術(shù)，1997（3）：28.

［25］張玉水，樊中山，金風(fēng).手機(jī)泄密防范與對(duì)策［J］.電子設(shè)計(jì)工程，2013（6）：65.

［26］魏鶴君，呂笑倩.3G手機(jī)失泄密隱患與防范對(duì)策［J］.科技創(chuàng)新導(dǎo)報(bào)，2013（16）：51.

［27］高明.3G手機(jī)失泄密隱患及安全防范對(duì)策［J］.通信技術(shù)，2010（8）：167.

［28］王宇.智能手機(jī)泄密風(fēng)險(xiǎn)分析及安全保密技術(shù)解決方案［J］.保密科學(xué)技術(shù)，2013（6）：42.

［29］笪衍.淺談新聞泄密與保密［J］.江蘇科技信息，2010（6）：51.

［30］周華清.試論信息公開(kāi)與新聞泄密［J］.內(nèi)江科技，2007（2）：73.

［31］吳珍.陽(yáng)光之下隱“秘密”——淺談大眾媒體的“隱性”泄密［J］.信息安全與通信保密，2009（4）：16.

［32］吳春英，樂(lè)小春.論企業(yè)商業(yè)秘密的泄密方式及其防范［J］.企業(yè)家天地，2005（8）：95.

［33］朱禮龍.國(guó)際科技合作中企業(yè)科技情報(bào)泄密源探究［J］.現(xiàn)代情報(bào)，2014（1）：115.

［34］程娟.網(wǎng)絡(luò)環(huán)境下企業(yè)信息泄密與反競(jìng)爭(zhēng)情報(bào)整合［J］.情報(bào)理論與實(shí)踐，2008（3）：400.