载体管控的隐患风险

载体是信息传播中携带信息的媒介,是信息赖以附载的物质基础,即用于记录、传输、积累和保存信息的实体。信息载体包括以能源和介质为特征,运用声波、光波、电波传递信息的无形载体和以实物形态记录为特征,运用纸张、胶卷、胶片、磁带、磁盘传递和贮存信息的有形载体。

如今社会信息交流的速度日益剧增,传递消息的方式也不断更新,从口耳相传到驿站快马,从邮局寄信到实时通信。人们在享受现代社会快捷方便的信息交流同时,却也不断地暴露出安全意识的不足,这使我们不得不对载体管控的隐患风险多加注意,而载体的安全风险是多方面的,覆盖信息转移的整个周期,下面我们一些发生的完整实例中,看看信息的泄密如何发生。

曼宁维基解密泄密案

载体管控的隐患风险

曼宁曾在社交媒体上对军队设备做出这样的评价“服务器薄弱,物理安全保障弱,反间谍能力弱,疏忽的信号分析…完美的搞事机会”

2010年,布拉德利·曼宁(Bradley Manning)向维基解密提供了250个美国大使馆和领事馆的251,287条数据,被称为史上最大的泄密事件,而他利用的工具,是一张Lady Gaga的唱片光盘。

为防止泄密,自2008年11月以来,五角大楼和武装部队部署的电脑已经禁用了外部硬盘接口(包括U盘,移动硬盘等)。然而,国防部人员仍然可以使用计算机内置的CD播放器,所以曼宁使用了一张能够保存数据文件的CD光盘,假装哼着歌,就完成了数据窃取。

斯诺登棱镜门

载体管控的隐患风险

“他并不需要使用任何复杂的设备、软件或者绕过任何电脑防火墙。”多位情报界专家说,“他所需要的只是一些闪存盘(USB drive),就可以利用旧版安全系统中的漏洞,通过NSA的服务器随意翻找,并且不需要留下痕迹就可以获取20,000个文档。”

2013年6月,爱德华·斯诺登(Edward Snowden)将美国国家安全局关于PRISM监听项目的秘密文档披露给了《卫报》和《华盛顿邮报》,这就是著名的棱镜门事件。那么为什么他能获取这些秘密文档并将它们公之于众呢?首先,国家安全局设备过时,斯诺登通过瘦客户端(Thin Client)电脑,可以访问几千公里外NSA总部的服务器。第二,斯诺登拥有极高的、不受监管的权限。斯诺登自己是国家安全局雇佣人员,拥有“最高机密(Top Secret)”的安全许可,可以访问大多数机密的信息。第三,监管不及时。他的办公室距离马里兰州的总部有5000英里,跨着6个时区。所以他访问服务器窃密时,总部的工作人员都已经下班了,无人监管。

希拉里邮件门

载体管控的隐患风险

FBI发现希拉里在处理机密信息时“非常粗心”

2015年3月,希拉里·克林顿曝出“邮件门”,除了违规使用个人电子邮件账户来处理政府事务以外,还有一个细节值得重视:她的助手将邮件转移到了笔记本电脑和U盘中,这两样载体下落不明。希拉里的行为,令美国国家档案和记录管理局的现任、前任官员以及政府监督机构大为吃惊,称这种行为“严重违规”。

患者信息泄露

载体管控的隐患风险

2016年11月24日,美国马萨诸塞州数以百计的病人的信息被人发现存储在供应商优盘上。来自马萨诸塞州皮茨菲尔德市的伯克郡医疗中心的官员在11月23日报告说,在这些记录被发现后,有1745名心脏病患者的个人信息可能被暴露出来。这些记录是由一位外部服务供应商Ambucor Health Solutions的前雇员发现的。包括病人的姓名、出生日期、家庭住址、电话号码、药物、种族、测试数据和患者识别号码。他们似乎也包含了医疗设备信息,如制造商、诊断、厂家注册号和登记日期、厂家技术人员姓名、医师姓名等。

从2010年至今,经由存储介质泄露信息的事件层出不穷,那么美国在存储介质上都有什么政策呢?

美国国防部的可移动设备政策

1、授权与贴标

在DoD使用的便携式设备,如通用串行总线或USB,闪存驱动器需要在“7×24小时”的监管。如安全技术实施指南(STIG) “跨网络共享外设”所述,所有包含非易失性存储器的设备都将被视为可移动媒体。根据DoDD 5200.1-R,这些设备将根据其所含数据密级的不同,相应地进行贴标、运输、存储和数据清除。在使用任何类型的USB设备之前,必须首先获得信息保障官(IAO)的批准。

2、保护信息的措施

新购买的设备,包括可移动设备,不可开箱即用。在使用设备之前,需要执行若干内部控制措施。为了帮助系统人员正确配置系统,国防情报系统机构(DISA)提供安全技术实施指南(STIG)、安全检查表和内部级扫描软件,以显示符合安全配置标准。系统人员还定期查看信息保障漏洞警报,信息安全漏洞公告和技术咨询,让入侵者无可乘之机。

3、具有音视频处理存储功能的外设使用要求

为了保证信息和工作环境安全,电脑、手机具有相机的其他设备,包括拍照和视频功能,都不允许在机密文档或存储、传输或处理的区域中使用。

4、便携式设备监管

使用便携式设备(如USB)处理涉密信息时,首先必须对此设备做全面的风险评估,只有低风险设备可以接触涉密信息,高中风险设备必须经过处理,成为低风险设备时才能被使用。其次对此次便携式设备的使用目的和使用时间做细致的说明。使用完毕后,根据其处理信息的密级执行不同的操作。

综上,信息经由载体泄露已经成为美国官方、军方严重关切的问题。尽管美国已经制订了多项要求,但曼宁和斯诺登还是在合法授权下做了让世界震惊的窃密大案,希拉里长期无视安全管理要求,屡次违规无人知,待到信息泄露并被披露后政府监督部门才恍然大悟……载体不可轻忽,是物理空间与网络空间、涉密网与互联网之间信息流转的重要通道,精细化的载体管控势在必行。

*来源:中国保密协会科学技术分会,MottoIN整理发布

原创文章,作者:中国保密协会科学技术分会,如若转载,请注明出处:http://www.mottoin.com/sole/view/103098.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code