网络泄密

2024-07-04

网络泄密（精选12篇）

网络泄密篇1

摘要：信息化建设加快发展的同时, 网络安全也随之受到了广泛的重视。网络安全的执行程度对于政府、军队、保密机构、科研院所等涉密单位来说显得尤为重要, 如何保障保密资料不被泄露更是成为保密工作的重中之重。从软件和硬件的方面设计了涉密计算机在联网状态下, 如何保障涉密计算机中的保密数据在最大程度下减小泄密几率的一套方案, 并通过该方案的流程图详细的进行了介绍。

关键词：涉密,联网,流程图,网络安全

1 概述

随着信息化程度的日益提高, 互联网和局域网在社会各个行业中发挥了极大的作用, 使工作效率得到了大幅度的提高。但与此同时网络上的的黑客、病毒等不安全因素使网络安全受到了极大的影响, 而网络安全问题对于政府、军队、保密机构、科研院所等涉密单位来说显得更加重要。近些年来, 由于互联网的广泛普及, 很多保密部门、科研院所也开始使用互联网, 由于某些人员保密意识淡薄, 对网络安全状况认识不清, 使得一些涉密计算机中的很多保密资料被境内/境外的一些不法分子通过互联网以各种形式窃取, 给国家造成了极大的损失。为了防止计算机中的保密资料外泄, 大多数涉密单位采用断网、封锁USB接口等方式来解决此类问题, 同时提出“上网不涉密, 涉密不上网”的口号。

然而目前网络已经成为很多单位工作中不可或缺的工具, 采用断网的方式虽然能够防止保密资料通过网络外泄, 但同时也给工作的便利带来了极大的障碍。针对此类问题, 在中设计了一套确保涉密计算机中的保密数据在联网状态下最大程度下减小通过网络泄密几率的方案, 力争做到“鱼与熊掌”兼得。

2 设计思路

目前在网络中的盗窃他人计算机资料方式虽然多种多样 (例如:端口入侵、植入木马、共享目录、后台上传等) , 但无论哪一种通过网络进行盗窃的方式都有一个共同的流程。首先, 所要盗取的硬盘中的数据必须先被读入到内存之中, 然后数据通过网卡流入互联网/局域网之中, 最终通过网络将所盗取的数据流入盗窃者的电脑中。根据这一流程的特点, 如果能够从软件方面和硬件方面设计成一套完善的体系, 通过这个体系能够把流程中的各个重要环节进行把关, 则能够在联网状态下很大程度上减少保密数据通过网络泄密的几率。该套方案的大体思路是:在操作系统的“指挥”下, 通过指令接受/分配器将来自操作系统的指令进行判断然后进一步将下一级指令传送给相关的硬件, 相关的硬件则根据指令接受/分配器所发出的指令进一步判断此时所需完成的“任务”。

2.1 硬件方面的功能设计。

2.1.1硬盘:涉密计算机中需要安装2块硬盘, 其中一块硬盘为系统盘 (在文中用A盘表示) , A盘仅用于安装操作系统及一些必要的应用程序, 不进行存放任何保密性文件;另一块硬盘 (在文中用B盘表示) 则只用于存放保密文件。2.1.2指令接收/分配器:该硬件负责接收来自系统的指令, 并根据所接收的指令进行判断, 将下一级指令分配给相关其他硬件。可以将指令接收/分配器安装在A盘的数据接口处, 便于直接读取硬盘缓存中的相关指令信息。2.1.3硬盘控制器:该控制器通过接收来自指令接收/分配器所发出的指令来控制B盘中的数据是否进入内存。 (该控制器初始状态为关闭硬盘数据流通) 。2.1.4内存控制器:该硬件通过接收来自指令接收/分配器所发处于的指令决定是否清空内存中的外部数据。2.1.5网卡控制器:该控制器用于通过接收来自指令接收/分配器所发处于的指令决定开通/关闭网卡中的数据传输。

2.2 软件方面的功能设计。

软件方面的设计较硬件来说更容易实现, 主要功能是使系统能够准确判断“访问B盘、访问完B盘、没有访问B盘”三种状态。然后将相应的状态指令发送给指令接收/分配器。

3 系统工作流程图 (见图1)

该流程图从软件方面到硬件方面对该方案的工作流程进行了详细的描述, 为了避免混淆, 该流程图对于“欲访问B盘、访问完B盘、不访问B盘”三种状态分别用三种箭头进行指向。

4 可行性分析

目前的网络安全的研发、维护等方面大多集中在软件的层面, 大部分都是通过修补漏洞、端口监测跟踪、升级杀毒软件及防火墙等方式来应对网络安全问题的。然而“道高一尺、魔高一丈”, 黑客、病毒……也是逐步的推陈出新, 新的防护措施基本上都是在危险发生之后才能够产生, 总是具有一定的滞后性, 因而单从软件方面来解决网络安全问题还存在很多的不足。而硬件方面的防护也仅仅是依靠硬件防火墙、加密卡、USBKey等硬件, 而有些硬件防护产品由于价格较高, 因而不会被一些资金、技术人员不充裕的单位采用。网络安全这一概念虽然已经提出很多年, 但其相应的硬件产品的发展却极为缓慢。中所设计的以硬件为主, 软硬件相结合的防御体系从功能上可以有效的防止涉密计算机中的保密资料通过网络被窃取。此方案的流程比较简单, 既方便于硬件的实施, 又保证了该系统方案的稳定性, 由于该方案的主体运行在硬件上, 从而也加大了来自黑客等方面的破解难度。

5 结论

在网络高速发展的今天, 通过网络盗取机密文件已成为黑客及不法分子的重要手段, 对于涉密计算机而言要想单从软件层面来保护其保密数据不通过网络泄密是非常困难的。通过“软硬结合”的方式来解决此类问题是一个比较可行的思路。文中所介绍的方案无论对于保密单位的涉密计算机还是个人计算机来说都是一个相对可靠方案。

参考文献

[1]何波, 董世都, 涂飞, 程勇军.涉密网安全保密整体解决方案[J].微计算机信息, 2006 (9) .

[2]郝东白, 严芬, 黄皓.涉密计算机监控与审计系统的设计与实现[J].计算机工程, 2008 (3) .

[3]虞金龙.涉密计算机网络存在八大隐患[J].信息网络安全, 2005 (6) .

[4]王金泉.计算机网络系统的安全防护[C].信息技术在气象领域的开发应用论文集 (一) , 2005 (9) .

网络泄密篇2

根据****下发的关于加强网络失泄密防范工作的通知要求，***委领导上下高度重视，及时组织办公室、档案管理等有关部门负责人员深入学习并传达了文件精神，明确各自职责，同时对自查工作做了统一安排和部署。现将本部门防范网络失泄密工作的自查情况分为档案管理和网上操作流转两大方面向领导做以简要汇报：

一、档案管理上：严把网络失泄密源头，科学管控档案文献资料

***部门根据自身组织特点和所涉及的保密权限级别，对有关档案资料进行了全面、认真的排查，防止档案文件资料因密界不清、传达发布要求不明而违规上传网络。严格执行档案安全标准，提高管理人员的业务素质，为保密工作提供人为保障：

1、运用科学手段保管档案，保管档案实体和信息安全

为加强对档案的集中管理，***有独立档案管理库房，配备了办公桌椅及未联网计算机等设施设备，密封的档案储存柜内有温度、湿度监测表，力图在现有办公条件内最大限度地做到档案的防尘、防潮、防虫，满足档案管理办公需要。同时，定期对档案进行安全检查，确保档案的秘密安全。

2、依法做好档案保密、开放和服务工作

根据《档案法》、《保密法》以及有关部门档案管理要求的通知，为实现档案的集中统一管理，***除移交的档案资料外，已将2000年至2011年档案按保管期限整理归档完毕，确保档案的安全与利用畅通。

3、建立适合本部门的档案规章管理制度

由于部门职责所限，****日常办公很少涉及“秘密、机密、绝密”的“三密”文件，对所有上传下达文件的收发都确定专人登记管理，并结合档案工作实际，在本门内部开展了档案规范化管理和自查自纠工作，通过一系列的主动工作，在文件源头管控上不断发现问题完善管理中的不足，将档案的安全和管理细化与考核指标挂钩，从未发生过文件失密泄密事件。

二、网络办公上：严格执行防范规定、完善制度并定期网络清查

1、加强保密教育，树立安全意识。

***高度重视保密教育工作，采取多种方式，利用各种机会对工作人员进行经常性的保密教育，经常组织学习《中共中央关于加强新形势下保密工作的决定》及上级有关保密工作的会议精神。每逢节日假期，都对保密工作进行具体要求和检查，要求做到案卷归档入柜，重要部门加强安全防范措施，这些工作的开展，使本部门工作人员克服了认识不到位、安全意识淡薄的现象，为做好保密工作奠定了扎实思想基础。在保密工作上没有发生过失密、泄密情况。

2、健全管控机构，严格保密责任

为加强对保密工作的领导，***在已有基础上进一步完善了保密工作领导小组，***书记作为领导小组组长，是第一责任人；办公室主管部长为副组长，其它相关负责人为委员，从机构管理上明确了办公室具体负责保密工作。同时也明确了各部门的保密职责，按业务实行“分区”管理，使负责人在做好本职工作的同时，还要做好相关的保密工作。在工作管理中，领导小组认真履行工作职责，不定期对保密工作进行自查，把党组会、人代会、审计材料、印鉴、文印、档案等项业务中保密工作制度落到实处，做到早预防、早发现、早处理，严格保密工作责任制。

3、规范规章制度，加强网络排查

随着网络信息技术的不普及和使用，对保密工作也提出了新的要求和考验。***在保密工作制度建设过程中不断完善自身的保密工作制度。根据***工作的实际需要，不断完善本部门保密审查、失泄密报告制度、秘密文件、内部资料的传递、回收、注销规定、秘密文件、内部资料的传递等相关制度。这些制度的建立和完善，一方面是加强保密工作的需要，另一方面也使***工作进一步得到规范化，保密管理工作得到逐步完善。

同时，***根据上级有关保密工作的规定，结合实际认真加强计算机的保密排查工作。目前***除建设有局域网外，对接入互联网的计算机一律确定有专人负责管理，严格保密责任，明确公文流转范围。为加强保密工作，对***、***以及有关部门下发的所有文件、材料，都由机要员专人负责登记、送阅、催收及保管工作，无私自销毁或出售、上传到网络行为。不让秘密文件材料录入联网计算机。***未发过任何密级文件材料。

三、今后工作的努力方向

***对于防范网络失泄密工作虽高度重视并积极落实，但也存在有诸多薄弱环节，如保密宣传教育工作抓的还不够全面，制度建设没有与保密工作的要求同步，计算机保密管理还没有足够的技术力量和措施。这些工作都需要我们在今后的工作中认真加以对待和改善。

今后，我们将继续努力，巩固和发扬过去已取得的成绩，积极探索研究新时期保密工作的新情况、新问题，加强保密管理，努力做好新形势下的保密工作。

*********部委

试析网络信息情报战防泄密问题篇3

网络信息；情报战；泄密问题

【作者简介】张福财（1956—）男，黑龙江鸡东人，解放军总参某部工作，中国人民大学研究生院历史文化学院世界近代国际关系史学博士，主要从事美国（对外关系）史研究。

随着网络的迅速发展和在社会各领域的广泛应用，使国家政治、经济、国防等各方面的发展对网络的依赖越来越大，网络在国家安全中所占的地位也就越来越重要。在现代信息化社会中，网络信息情报已成为国家、经济、国防、军事等几乎所有的社会系统存在和发展的重要基础。在一定意义上说，网络泄密与安全已成为信息时代国家安全的关键环节。与此同时，网络战这一新的作战样式的出现，使计算机网络面临更加严重的威胁。在现代及未来战争中，连接国家、政治、经济、国防军事和整个社会的计算机网络系统将可以成为敌方攻击的首要目标，利用各种手段、多渠道、多形式的对敌对双方有关计算机网络进行快速、隐蔽和毁灭性的打击和破坏，将成为“不战而屈人之兵”的重要手段。而一旦网络泄密被破坏或摧毁，不仅国家军事机器将陷于瘫痪，国家的能源、电力、通信、运输等系统也将受到极大破坏并陷入混乱，使国家安全面临巨大威胁。

1.网络信息情报安全工作的艰巨性分析

信息社会对信息网络系统的高度依赖性，信息技术和产品的扩散性及军民通用性，使得从网络中获取信息情报成为非常有效的途径。如利用电磁传感器等接收设备，或利用网络测试工具等先进的网络设备进行侦收，可侦收到中央处理机、外围设备、终端设备、通信设备或网络上的信息；通过对整个网络的通信情况进行监测，并对通信的频度、信息流向、通信总量的变化等通信参数进行统计分析，可以发现信息的性质及通信枢纽和网络的特点，在此基础上可打入网络，其中包括假冒合法用户进入网络，通过某种手段越权访问等。为减少投入、共享信息、增加迂回路由，军网和民网常常相互连接起来。因此，以利用信息传输系统中的民用电信设施实施计算机网络渗透，获取各方面的信息情报的防范难度增大，泄密事件机率增多。

A.情报侦察领域的广泛性

信息时代的战争较之传统战争有着更广泛的领域，信息战无论是手段还是目标均已超出纯军事情报的范围，各种各样的信息战行动常常以政治、外交、经济、科技、安全等领域里的信息系统为目标。国防军事的信息情报，无论是战略层次的还是战术层次的与上述诸领域的情况都有十分密切的关系。比方说军事行动中，传统作战通常是沿正面向纵深逐次展开，侦察敌情也是由前向后依次进行。信息化战争中使用的远程兵器数量多，部队地面、空中机动能力强，双方兵力配置的纵深由过去的十几公里增至上百公里，阻碍作战发展的敌军力量已不仅是第一线部队，而且包括敌方纵深内的部队。在这种情况下，要想充分发挥各种高技术武器的优势，掌握战场主动权，就必须把获得信息——即军事信息情报的空间扩大，既要掌握当面敌军情况，又要弄清敌军纵深内的空军、空降兵、远程导弹、机动兵团和防空系统等情况。在空间上信息化环境中的情报涉及的是陆、海、空、天、电磁五维空间的情况，侦察阵地和平台已扩及太空领域、水下区域和网络空间。美军提出了“扩大的战场”概念，将各级部队的战场区分为“关心地域”和作战地域。关心地域是从作战地域向周围延伸的地域，这一地域内敌方活动可能对己方行动产生影响，因此要求各级部队使用多种手段在更广阔的范围内进行严密的监视和侦察，以其政治、外交、经济、科技、安全等领域里相关的信息系统情况为目标。

B.情报侦察主体的多样性

计算机网络已经是目前世界上最为丰富、迅捷的信息库了。通过网络信息，各领域的信息情报人员可以获得大量的信息情报素材，甚至最新、最前沿的资讯和事件动向。比如，美国在发动对伊拉克的战争后，采取了强有力的网络宣传，在网上及时更新美军的最新战况。这就使收集信息情报的人员可以及时对形势发展做出判断，并对美军战略、战术及武器装备情况有较为系统的了解，及时做出分析。网络信息尽管庞大繁杂，但仍有可能对其进行监控和拦截，而且利用网络漏洞和软件缺陷，有可能神不知鬼不觉地进入对方的计算机系统，直接获取核心机密或进行干涉破坏。

利用计算机网络为情报工作服务的方式还有很多，但这些方式几乎都要以计算机领域的高新技术为支撑。而目前，尽管中国制造了占世界一半以上的计算机配件，拥有世界上数一数二的网民数量，在计算机领域拥有自主知识产权的核心技术却是凤毛麟角，目前在世界范围内基本上都是由微软一家独揽操作系统的开发。WINDOWS应用平台有两个外部接入密钥，一个由微软公司自己掌握，一个则由美国国家安全局掌握。

这些后门的存在使用户几乎无密可保。它会根据计算机硬件配置的情况生成一连串与用户名、地址相关的全球唯一识别码，并能经由WINDOW电子注册程序神不知鬼不觉地传送至微软网站。目前在中国市场占有量最大的美国英特尔公司，也在最新推出的奔腾ⅢCPU中，设置了序外码功能，这就意味着，使用奔腾Ⅲ的用户是没有安全性可言的，因为英特尔公司的防护形同虚设，不需太多计算机知识就可破解。据有关人士称，美国向中国出口的密匙芯片上均被秘密留下一个可供随时启动进行监控和窃听的程序。美国政府甚至迫令电脑软件公司减弱外销产品的密码系统，以便使美国军方和情报部门可以顺利截取对方的电子信息。这就意味着中国在进口先进计算机技术的同时，也进口安全隐患，美国可仅凭鼠标与键盘，在千里之外便轻而易举地获得我方重要的信息和情报。

C.“黑客”入侵的任意性

随着军用计算机网络的发展，特别是军用计算机网络和社会计算机网络的联通，这为“黑客”入侵“军事禁区”也打开了方便之门。计算机网络在经济领域大显身手的同时，通过计算机网络的经济犯罪也在增加，计算机网络无疑“放大”了犯罪分子的能量，高技术的犯罪分子仅仅用一台计算机，就可以使成千上万的资金流失，人们享受网络发展带来的便利的同时，也付出了资金安全风险的代价。

在金融领域，“黑客”可谓是第二只“金融大鳄”。金融领域是直接与货币打交道的，黑客能从中直接获得利益，故在金融领域活动，是黑客犯罪的首选目标。黑客利用计算机技术在金融领域兴风作浪，扮演继索罗斯之后第二只“金融大鳄”的角色，以至于金融界业内人士“谈黑色变”。计算机黑客们的经济犯罪有多种多样的方式，涉及经济的各个领域，凡是应用计算机网络进行资金管理的地方，就有犯罪的可能，信用卡的广泛使用，电子货币的普及，使得信用卡领域成为黑客们的最爱（在美国，信用卡普及率非常高，据统计，平均每个美国人拥有1.7张信用卡，信用卡涉及的资金流通占整个美国资金流通量的13％，所以，美国也就成为信用卡事故的“高发区”）。

在国防军事领域，“黑客”们运用可破译敌方计算机通信密码的计算机应用系统，打入敌方通信计算机网络进行侦察和破坏。他利用网络侦察和攻击手段获得大量情报信息资料，也可在瞬间将敌方陷于瘫痪，达到兵不血刃，出奇制胜之效。目前，信息情报安全所面对的黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击，就是说网络安全的防护力漏洞，导致黑客在网上任意畅行，防不胜防。

2.网络安全防泄密的对策

网络技术的发展，使情报机构获得信息的空间扩大，代价减少，把握增大，同时也对情报机构倚重秘密手段获取情报的传统思维方式和动作模式产生了强大的冲击，使其已存在的机构庞大、技术陈旧、人力不足和分析辨别力欠缺等问题更加突出，从而促使世界各国包括我国在内的情报机构加速自身调整以适应网络时代情报工作的需要。军事网络作为国防建设的一个特殊组成部分，其安全关系到国家生存和民族存亡，随着我军装备的现代化进程的加快以及计算机在军队的广泛应用，国防信息安全保密问题日益突出，应该引起我们足够的重视，即要突出网络安全与防泄密对策问题。

A.重视军事网络安全

第一、要做到物理隔离与专机专用，这是迄今为止最简单、也是最有效的措施，我们应把可能涉及到国家机密的计算机系统与国际互联网实施物理隔离，如果处理的涉密信息较多，就应该建立单独机房，专机专用。

第二、防止网络连接涉密，由于网络是建立在公开、共享的基础上的，只要计算机连接到网上，就有可能造成泄密，因而我们应做到避免共享文件、磁盘和计算机，此外要警惕“木马”程序，不要轻易打开来历不明的程序和邮件。

第三、要注意防辐射泄密，电磁幅射无处不在，计算机、电缆、电话线都可以产生很强的电磁幅射，它可以在无意间造成失密，对此应采取建立专用铜网机房，安装干扰发射天线，装备液晶显示器和慎用无线通讯设施等措施。

B.重视军事网络保密

第一、克服麻痹思想，高度重视网络安全，我军要对从事涉密工作的官兵进行经常性的网络安全教育，使他们随时保持高度警惕，对军事网络安全问题高度重视。

第二、利用高技术手段建立网络安全屏障，军事信息网络是国家网络安全防泄密的重中之重，我们应加大自主开发力度，致力于研究我军自己的安全保密技术，采用我军特有的网络安全保密系统，使敌方攻击工具和攻击手段失效，確保我军网络安全防泄密。

第三、加强立法，严格管理，网络安全保密工作是综合管理行為，众多因素都可以造成泄密，只有健全法规并严格执行，严格管理，安全保密工作才能有章可循，有法可依，行之有效，尽快建设出具有我军特色，适应信息化建设和未来高技术战争需要的统一，建设出完整的国防军事、经济、信息网络安全体系。

[1]费爱国等.网络中心战与信息化战争.军事科学出版社.2006

网络泄密篇4

加强网络信息安全既要防范外部人员非法介入或窃取信息, 更要防范内部人员的主动泄密。根据美国联邦调查局 (FBI) 和计算机安全机构 (CSI) 的调查结果显示, 80%以上的安全威胁来自内部[1];中国国家信息安全测评认证中心调查结果也表明, 信息安全问题主要来自泄密和内部人员犯罪[2]。

为了实现涉密文件的安全主动防护, 在此提出基于网络的系统密钥加密机制, 利用系统密钥加密文件数据, 使文件只能被特定网络环境下的合法用户所存取。在此将在密码技术研究和eKey开发应用基础上, 设计一种密钥安全获取通信协议, 研制一种严密的密钥安全管理措施, 实现基于网络的主动防泄密文件加密。

1 加密与eKey模块应用设计

1.1 加密算法选择

对称密码技术也被称为单密钥加密, 它是指在加密与解密时使用同一密钥。对称密码技术的优点在于效率高, 算法简单, 系统开销小, 适合加密大量数据。

非对称密码技术也被称作公钥密码技术, 在加解密时分别使用两个不同密钥:一个可对外界公开, 称为“公钥”;一个只有所有者知道, 称为“私钥”。公钥与私钥之间紧密联系, 用公钥加密的信息只能用相应的私钥解密, 反之亦然。非对称密码技术可提供安全认证服务, 其主要缺点是加/解密速度慢、耗用资源大。因此, 采取综合运用对称密码技术与非对称密码技术的加解密方案。

鉴于AES对称密码算法具有高强度安全性能, 故选用AES算法实现涉密文件数据的加密。由于用户认证信息与密钥信息数据相对较小, 选用非对称密码RSA算法实现系统对用户的合法认证, 以及系统密钥的安全获取。

1.2 eKey的应用开发

eKey又名电子密码钥匙, 是一种结合了智能卡技术与USB接口技术的数据安全产品。这里选用明华公司的eKey, 其内置SmartCOS-XC智能卡操作系统, 在文件系统、密码算法和安全控制三方面都进行了精心设计, 具有高效完备的安全访问机制[3]。

本文使用eKey来存储用户密钥、系统公钥、系统密钥惟一的ID号及其他重要数据。为了实现对数据的加密与认证操作, 基于明华提供的接口函数库开发了eKey应用函数库 (eKey.dll) 。该函数库可实现与eKey有关的系统操作, 包括密钥生成、加密签名等。表1列出了eKey.dll 函数库封装的主要方法, 本文对其编程实现不再赘述。

2 密钥安全获取通信协议

为保证只有通过合法身份认证的用户才能得到系统密钥SK (System Key) , 在此设计了一种密钥安全获取通信协议。该协议首先通过检测用户eKey的序列号, 并与用户注册的eKey序列号相比较来实现用户合法性判断, 然后通过系统密钥SK的ID号, 来正确获取每个涉密文件对应的系统密钥SK。用户在服务器端注册时将其eKey惟一的序列号与用户身份绑定, 并使用此序列号作为初始值生成密钥EK, 再使用EK加密SK, 得到EK{SK}, 并将其保存于系统密钥数据库中。在客户端, 用户只有插入合法的eKey, 读出相应的序列号, 才能解密EK{SK}, 从而得到SK。协议的流程图如图1所示, 其实现过程为:

(1) 用户C首先调用函数GetEKeyID () 获得其eKey的序列号Ei;再调用函数EncryptWithKey () 通过自己的私钥SKc加密用户名和Ei;得到SKc{Username, Ei};然后用S的公钥PKs加密SKc{Username, Ei}得到PKs{SKc{Username, Ei}}, 并将其发送给服务器;

(2) 服务器S接收到PKs{SKc{Username, Ei}}后, 用其私钥SKs和C的公钥PKc依次进行解密, 得到用户名Username和eKey序列号Ei。通过对比服务器端数据库中存储的用户信息和从用户端接收到的用户信息, 判断用户的合法性。S产生一个表示是否通过认证的ACK信号, 并生成一个随机数Rc, 分别用S的私钥SKs和C的公钥PKc双重加密ACK和Rc得到PKc{SKs{ACK, Rc}}, 并发送给C;

(3) C解密双重加密的密文分组PKc{SKs{ACK, Rc}}, 得到ACK信号和随机数Rc, 若ACK信号表示通过认证, 以Rc为密钥加密系统密钥SK惟一的ID号, 再用S的公钥PKs加密Rc{ID}得到PKs{Rc{ID}}, 并发送给服务器;

(4) S用其私钥SKs和随机数Rc依次解密PKs{Rc{ID}}得到系统密钥SK惟一的ID, 并通过查找数据库密钥信息获得系统密钥SK的密文EK{SK}, 再用C的公钥PKc加密此密钥数据得到PKc{EK{SK}}, 并发送到C。

协议通过每一步中基于公钥算法的加密与解密保证了用户合法性判断;基于eKey惟一序列号的身份认证, 保证非法用户无法通过其他eKey得到系统密钥SK;基于EK的加密存储保证了系统密钥的存储安全, 协议从整体上保证了系统密钥获取的安全性。

3 密钥安全管理

采用密码技术保护信息时, 对密钥的保护非常重要。密码体制可以公开, 然而一旦密钥丢失或出错, 对系统安全造成极大威胁[4,5]。因此, 基于网络的涉密文件加密存储必须加强服务器公私钥、用户公私钥, 特别是系统密钥SK的安全管理。

3.1 系统公私钥的安全管理

系统初始化安装时服务器通过应用程序生成自己的公钥对, 并将公钥以公开的方式分发给所有用户。用户将得到的服务器公钥复制到自己的eKey或密钥文件夹中, 再利用服务器公钥完成与服务器之间传送保密信息的操作。为了保证系统安全性, 系统应定期更新服务器公钥对, 并加密存储服务器私钥。

3.2 eKey公私钥的安全管理

用户通过eKey并调用GenKey () 函数接口产生用户的公钥对, 并向服务器传送用户公钥。发送信息时用服务器的公钥加密, 接收信息时用自己的私钥解密。用户私钥存储在eKey中且不可读, 保证了用户密钥的安全性。

3.3 系统密钥SK的安全管理

实现主动防泄密既要保证密钥数据的安全存储, 还要保证合法用户能通过身份认证获得解密密钥 (系统密钥SK) 。每一个涉密文件对应一个加密密钥, 加密密钥是由服务器端密钥中心通过硬件随机产生的256位AES密钥, 通过ID编号处理后, 使用EK加密得到EK{SK}, 最后存储到密钥数据库。合法用户获取系统密钥SK是基于上一节提出的“密钥安全获取通信协议”实现的。

4 基于网络的涉密文件加解密

4.1 基于网络加解密流程

文件加密时首先以系统密钥SK为加密密钥, 通过AES算法加密原文件, 得到文件加密数据, 再将系统密钥SK的ID号写入文件头, 与文件加密数据组成加密后的涉密文件。

文件解密时, 首先读出文件头, 获得系统密钥SK的ID号, 并通过ID号在密钥数据库中查找对应的EK{SK}。然后检测用户eKey的序列号, 并与用户注册信息相比较, 若相同则通过认证, 服务器将{EK{SK}}发送到用户端。用户端以其eKey的序列号为初始值生成EK, 使用EK解密EK{SK}, 获得系统密钥SK (文件解密密钥) , 最后使用系统密钥SK通过AES算法解密涉密文件。涉密文件基于网络的加密与解密流程如图2所示。

4.2 涉密文件加解密的实现

基于网络的涉密文件加解密, 涉及服务器端数据库信息管理、数据通信以及各种算法的加解密操作。系统分别定义了CUserSet类、CFileSet类和CKeySet类来实现对用户信息、文件信息和密钥信息的操作;系统基于TCP/IP协议, 采用Windows sockets API建立Windows环境与网络之间的编程接口, 实现服务器端与用户端的数据通信。文件加密操作的相关函数主要有:

AES加密算法是分组算法, 加密时以16 B为单位进行分块加密[6], 本文在实现中使用CBC分组链接模式对16 B的数据块进行处理, 对其算法原理和实现代码不再赘述。

5 安全性分析

在选用高强度AES加密算法加密涉密文件数据;充分利用eKey的安全特性和密码服务;设计严密的系统密钥安全获取协议;实现了密钥的安全管理;设计了缜密的加解密流程, 使得文件只能被特定网络环境下合法的用户所存取, 从整体上达到了高安全性的主动防泄密目的。

参考文献

[1]Lawrence A Gordon.2005 CSI/FBI Computer Crime and Se-curity Survey[R].Computer Security Institute, 2005.

[2]韩君.基于USB Key的Windows身份认证与访问控制研究[D].武汉:武汉大学, 2004.

[3]eKey用户手册[EB/OL].http://www.mwcard.com, 2008.

[4]刘亚坤.网络文件加密系统的设计与实现[D].秦皇岛:燕山大学, 2003.

[5]尚玉莲.基于信息安全的密钥分配与密钥存储研究[D].济南:山东大学, 2005.

网络泄密篇5

摘要：随着信息化快速的发展，保密与窃密的斗争日趋尖锐、激烈，对网络安全提出严峻的课题。针对新的网络泄密和企业计算机网络泄密的特点，提出防范措施，保护企业安全和利益。

关键词：网络；信息；安全；防范

随着改革开放的不断深入和市场经济的逐步发展完善，伴随信息产业的发展，企业还存在着对网络安全认识不到位、警惕性不高、法律意识谈薄等现象，要使企业在参与市场竞争中不因失泄密而蒙受损失，就必须做好企业新形势下网络泄密的有效防范。

一、网络泄密的特点

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从网络信息系统的安全指标的角度来说，就是对信息的可用性、完整性和保密性的保护，更确切地说，是对网络资源的保密性（Confidentiality）、完整性（Integrity）和可用性（Availabifity）的保护（简称CIA三要素）。

基于网络泄密事件的危害性和高发性，规范计算机网络的保密管理，防范网络泄密行为，已成为世界各国保密管理的重点。我国修订后的保密法从事前、事中、事后三个阶段制定了对涉密信息系统全过程的保密管理制度，这是对我国保密工作实践经验的总结。在这里主要针对网络信息的互联性、海量性、聚合性，以及与现实的关联性来分析如何防范网络泄密。

二、新时期网络泄密的防范措施

（一）涉密计算机信息系统的物理隔离

随着国际国内形势发生重大而深刻的变化，保密工作面临着许多新情况、新问题。中国石油集团公司对于使用中油邮箱及网盘等网络方式传递涉密信息情况，通过采用技术手段进行常态化监测，发现炼化企业多家通过中油油箱及网盘传递敏感信息，内容有企业生产技术开发、企业工程初步设计、生产技术月报、生产销售库存月报、公司综合作业计划、主要财务指标月报表、装置可行性研究报告等，还存在定密错误，有的标成秘密、机密等。涉密人员的保密素质则是国家秘密安全的最重要的保障，大到国家秘密安全，小到企业商业秘密安全。

保密工作存在诸多风险，以中油集团的抚顺石化公司为例，剖析其网络风险不难看出，企业互联网基础资源受制于人，加之秘密载体日益数字化、网络化，在信息化快速推进的情况下，网络泄密风险空前加大；保密重点单位商业秘密业务多，一旦泄漏将对企业利益造成不可挽回的重大损失；员工文化程度高，网络知识面广，思想又十分活跃，人人都是计算机高手，他们喜欢网上跟帖，发表言论等，存在泄密的风险。

此外，还??该认识到，物理隔离也不是将涉密系统绝对封闭。信息必须使用才能有价值，必须共享才能价值最大化，国家秘密也不例外。只不过基于国家秘密知悉范围有限的特性，国家秘密的使用必须限制在一定的范围内，并且只能采用限定的方法。因此，必须保证涉密人员的可靠忠诚、遵纪守法，进一步完善与落实涉密人员资格审查和管理制度，同时必须确保网络信息使用方法的安全性，加强对信息传输技术设备的权威认证。

（二）对涉密人员个人网络行为进行管控

网络为人们提供了太多的信息处理平台和工具，Facebook、MSN、QQ、Blog、Twitter（微博）等，社交网络正在以惊人的速度逐步形成，它已经成为人们丰富生活、展示自我、互联沟通、甚至参政问政的重要渠道。为了防止涉密人员在从事个人网络行为时有意或无意的泄密，应该对于涉密人员在涉密期尤其是对涉密工作时间段内的个人网络等行为进行严格的管控。

企业的个人网络管控可采用的措施很多，主要是禁止涉密人员在互联网计算机及与之相连的软盘、u盘、光盘、移动硬盘等移动存储介质上存储、处理国家秘密和内部敏感信息；禁止涉密人员在互联网网盘和云盘中存储国家秘密和内部敏感信息；禁止涉密人员使用互联网电子邮箱收发国家秘密和内部敏感信息；禁止涉密人员在及时通信、微信、微博、论坛等互联网应用中发布国家秘密和内部敏感信息；涉密人员发现受到不明邮件攻击等异常现象，可重新安装操作系统，并迅速向保密部门报告。此外，在平常工作中也要明确区分工作用和个人用的u盘和计算机，坚决杜绝混用，若工作中接触涉密电子文件，要及时清理，该归档的要及时归档，该销毁的要急时销毁。

（三）对涉密资料和涉密载体的过程监控

近年来，随着保密科技防护能力的不断增强，计算机及网络失泄密趋势得到了有效遏制。与之相悖，由于保密管理不到位导致涉密载体丢失被盗的情况却多有发生，值得深思。很多案例进行梳理后发现，主要是少数涉密人员保密意识淡薄、思想麻痹，造成了泄密恶果。

涉密载体丢失被盗案件情节看似简单，造成的危害却不容小觑。个人认为，最关键的是要从“人”这个根本入手，更要在走“心”上下功夫。即所谓“心不防，防不胜防，心在防，防上加防”，就是这个道理。

提高警惕，让案例宣传入脑。涉密人员警惕性不高是其疏忽大意，导致涉密载体丢失被盗的重要原因。例如：2015年2月，汇丰银行大量秘密银行账户文件被曝光，涉及约3万个账户，这些账户总计持有约1200亿美元资产，堪称史上最大规模银行泄密。8月，英国电信运营商CarphoneWarehouse在黑客入侵事件中，包含加密信用卡数据的约240万在线用户的个人信息遭到黑客入侵。这240万用户的个人数据包括姓名、地址、出生日期和银行卡细节……都有可能遭到黑客访问，其中多达9万名客户的加密信用卡数据可能也遭到黑客入侵。因此，要广泛深入地进行宣教，通过大量案例的展示让涉密人员了解在工作生活中容易发生涉密载体丢失被盗的各种情形以及危害后果，强化保密意识，平常绷紧弦，关键时刻咬住劲。

普及法规，让保密制度入心。造成涉密载体丢失被盗的另一个重要原因就是涉密人员不学法、不懂法，不掌握有关涉密载体保存管理的规定，或对这些规定一知半解，理解上有所偏差。不出问题时谁也不去学、不去想，等到文件丢失后才想起制度，被盗了才大呼后悔。因此，涉密人员必须认真学习保密法规，用制度规范程序、行为、责任，做到自警、自重、自律，切实提高保密管理工作的水平和能力。

保密要害部门、部位和涉密岗位是保密管理的重点，涉密资料和涉密载体是保密管理的主要对象，要强化工作责任，制定具体措施，抓细节，堵漏洞，重防范。涉密资料要按照“谁主管、谁负责”的要求，确定涉密资料的密级和负责人，建立严格审批程序；技术管理书籍、图表、会议资料等要充分利用事业部内现有设备进行编印，原则上不准外印，必须送外编印的，由“单位主管领导一保密委员会办公室一事业部主管领导”三级审批程序，并签订技术服务保密协议，加强监控和痕迹化管理。要加强涉密载体管理，重点抓好涉密笔记本电脑、移动存储介质，办公自动化设备和手机使用的保密管理。要继续加强对涉密载体和涉密资料的销毁管理，销毁要建立台账，完善制度，确保涉密载体和涉密资料在销毁环节中不出问题。重要部位的员工上岗前要在政治上、思想上、作风上进行严格的审查，确保可靠、可信、可用。并对上岗、在岗、离岗各环节都要实行严格的监督，发现不适合继续在涉密岗位工作的，要坚决调离。离岗时要移交所有涉密载体，进行脱密处理。

弹壳泄密等篇6

只见在一个房门前站着一个年轻妇女，她在不停地哭喊。我从开着的门看到房间里有一个男子倒在椅子上，我立刻对男子进行检查，发现这名男子已经死亡，而且是刚刚死去。他是被枪杀的——一发子弹射穿了他的心脏!

当地的警察也派人来了。那个年轻妇女哭着说道：“几分钟前，我听到有人敲门，于是便去开门，门外的一个戴面具的人朝我丈夫开了枪，还把枪扔在房间里，逃跑了!”

这时，方脑壳我才看到房间的地毯上有一支装着消音器的手枪，手枪左侧的两个弹壳相距不远。在死者身后的墙上有一个弹洞。我立刻让警察把这个年轻妇女带回警局进行调查。

你知道我为什么会怀疑这个年轻妇女吗?

答案：如果真像她所讲的那样，歹徒是在门外朝她丈夫开枪，弹壳就不会落在房间里，也不会落在手枪的左侧，因为从手枪里飞出的弹壳，应该落在射手的右后方几英尺处。

子弹在哪儿?

这么热的天，方脑壳特想到一直想去的小岛上度假。恰好有个机会，方脑壳我便去了那个岛。

我在沙滩上散步的时候，突然发现海滩边躺着一个身穿红色游泳衣的金发女郎，她躺在地上一动不动，难道是在晒日光浴吗?

走近一看，那女郎居然已经死了!她的腹部中了两枪，鲜血染红了她的整个腹部。

在仔细检查现场后，我发现除了这具女尸外，没有任何异常的事情发生。如此看来，只有从她体内的两发子弹着手调查了!

方脑壳赶快通知了当地的警察局，把尸体送到医院解剖。不料，解剖的结果是，体内根本没有子弹!

这可真让人头疼!我问法医：“尸体的背后有没有子弹穿过的伤口?”法医说：“没有。”

我认真思忖，便已经确定，子弹肯定在体内，只是它发生了一些变化!

试论计算机网络泄密的分析与对策篇7

关键词：计算机,网络泄密,原因,对策

在当前, 计算机网络不仅仅应用企业当中, 更是飞入寻常百姓家, 与人们的日常生活结合得更加紧密, 但是层出不穷的网络泄密事件严重影响着计算机网络的健康发展。

1 常见的网络泄密原因

1.1 安全漏洞泄密

世界上没有完美无缺的系统, 任何系统都存在着某些漏洞。系统漏洞具体表现为:1) 入侵用户的操作系统, 植入木马非法获取信息。以特洛依木马术为例, 它能够隐藏在正常软件背后, 软件在执行预定任务的过程中, 木马也会在后台执行非法任务, 但是用户却浑然不知。2) 恶意破坏用户的操作系统, 阻碍系统的正常运行, 病毒便是非常典型的例子, 作为一种恶意程序, 可以通过复制自身或者再生等感染整个系统, 破坏系统数据或者占用系统资源, 最终瘫痪系统。3) 阻碍系统预定任务的执行, 典型的例子便是逻辑炸弹等。4) 黑客攻击, 能够认为修改甚至破坏系统的各项功能, 使其不能正常工作甚至瘫痪。

系统漏洞就会成为泄密的重要诱因。第一, 未经授权的非法用户能够利用长期试探、冒名顶替以及其他途径来窃取口令, 并窃取重要的信息。第二, 网络规模越的扩大必然导致线路通道分支的增加, 输送信息的区域也会随之扩大, 这也在无形中为截取信息信号提供了便利。控制网络中信息流路的难度增加, 信息泄露就更加容易, 例如, 窃密者只需在某条网络分支信道、某个网络节点或者网络终端实施信息截取, 能够比较容易地获取整个网络输送的全部信息。

1.2 木马原因泄密

木马大多数诞生于黑客 (多为计算机高手) 之手。它有着非常高的隐蔽性、长期的潜伏性、存在的多样性、较大的破坏性以及较快的传染性等诸多特点, 真是因为这个原因, 木马已经成为目前网络上最为流行的信息窃取手段, 导致网络上的木马泛滥成灾。木马窃取的信息的主要方式有:

1) 远程控制。由种植在用户计算机中的木马服务端主动连接黑客掌控的木马客户端, 及时告知木马上线信息, 而此时黑客即可对用户电脑实施远程控制操作, 进行远程文件浏览、复制、粘帖、删除、下载等操作, 查找和获取文件资料。

2) 屏幕截屏。目前, 绝大部分网上银行、网络游戏和即时聊天工具为保障用户密码的安全性, 都提供了专门的“软键盘”, 以此避开木马的键盘记录。对此, 多数木马又提供了屏幕截屏功能, 通过定时截屏将用户在登录界面的操作行为保存下来。黑客进而通过对照图片中鼠标的点击位置, 就有可能破译出用户的账号和密码, 从而突破软键盘输入的保护技术。

3) 键盘记录。该木马程序当中有一个“钩子”程序, 它可以记录或者能监听用户所有敲击键盘的动作, 并将该记录偷偷发送到指定邮箱;黑客提取记录之后, 可以从分离处用户多登陆网站的网址、账户、密码等信息。

4) 摆渡木马。具有摆渡功能的木马主要用来窃取处于断网 (未联网) 状态的电脑中的相关信息。假如用户的移动存储介质 (如内存卡、U盘或者移动硬盘等) 感染了该木马, 则使用该移动存储介质插入到涉密办公电脑的时候, 木马能够自动收集该电脑硬盘上的相关文档资料或者敏感信息, 利用打包的方式偷偷存储于该移动存储介质上面。等待用户下次上网时, 一旦再次使用该移动存储介质时, 木马便会将保存于该移动存储介质上的资料悄悄转移到上网电脑上, 并发送到黑客的制定邮箱中。

2 相关对策

2.1 终端安全防护措施

1) 内部安全监控和失泄密保护。接入内网的终端要按规定设置BIOS、操作系统和屏幕保护口令, 并且一律安装计算机及涉密载体保密管理系统, 对包括外设、接口、网络等的访问进行严格控制, 外设主要包括打印机、光驱、移动硬盘、数码相机、红外、蓝牙、鼠标、键盘、以太网卡、无线网卡、MODEM等, 接口主要包括USB接口、串口、并口等, 防止滥用外设、内外网混用存储介质等, 以避免由此带来的失泄密及病毒、木马感染等隐患。

2) 安装并及时升级杀毒软件。信息安全技术手段是保证信息安全的重要手段, 安全杀毒软件以及防火墙软件并对病毒库进行及时升级非常必要, 如果保密要求交稿, 建议同时安装防间谍软件。单纯地地安全某一种安全软件, 同样具有很好的安全效果, 例如只安装杀毒软件而未安装防火墙软件, 或者反之, 这是一个普遍存在的安全误区。杀毒软件和防火墙软件在安全工程方面各有千秋, 各有侧重。杀毒软件依据病毒库当中病毒样本的代码特征来识别病毒并查杀病毒, 但是目前每天会有成千上万的病毒产生, 并且更新速度快并且变种多, 如果病毒库当中没有收录它们的代码特征则就无法实现查毒和杀毒的功能。同时, 黑客的非法访问是没有任何特征码的, 因此杀毒软件对黑客行为通常也无能为力。反观防火墙软件, 它能够有效监控连接网络的数据包, 并进行预防性的处理, 就像严格履行责任的门卫, 监控与管理着系统的各个端口, 并核实进出端口的人的身份, 只有得到Administrator (管理员) , 即用户, 的许可才能够出入, 所以可以在一定程度上维护系统的网络安全。总而言之, 将两者结合起来, 才能起到更加理想的安全保障作用。

2.2 物理安全策略

1) 与互联网实施物理隔离。坚决禁止涉密计算机连接到互联网;处理机密文件必须断网, 联网机器不能处理机密文件。

2) 专机专用。加入需要处理涉密文件数量非常大, 则要设计断网的专门用来处理机密文件的机器, 并构建单独机房, 且由专人进行操作。

3) 防辐射泄密。 (1) 信号屏蔽。用金属屏蔽笼把计算机及其相关辅助设备封闭处理, 同时, 把金属网罩与深埋地线进行连接; (2) 信号干扰。利用干扰仪器干扰对计算机的辐射信号, 此举能够显著提升接收辐射信号并将其还原进行解读的难度, 有效保证了计算机辐射的秘密信息的安全; (3) 采用低辐射计算机设备。低辐射计算机设备能够在最大程度上降低计算机辐射的泄密, 例如, 优先选用液晶显示器, 其辐射泄漏显著小于传统的CRT显示器。

2.3 技术措施

1) 访问控制技术。访问控制是计算机网络安全防范和保护的主要策略, 它的主要任务是保证网络资源不被非法使用和非法访问。

2) 安全的信息传输。采用密码技术对信息加密, 是最常用和有效的安全保护手段。目前广泛应用的加密技术主要分为两类:对称算法加密和非对称算法加密的公开钥密码体制。

参考文献

[1]王越, 杨平利, 李卫军.涉密计算机信息安全管理体系的设计与实现[J].计算机工程与设计, 2010 (18) :1102-1105.

[2]于晴, 王海洋.BIOS级的涉密计算机硬件安全防护[J].信息网络安全, 2008 (12) :203-205.

[3]潘伟.网络信息系统安全保密一体化解决方案[J].网络安全技术与应用, 2009 (9) :233-235.

[4]陈尚义.防泄密安全产品自身的安全性问题[J].网络安全技术与应用, 2009 (11) :369-371.

[5]张淮.网络安全系统在涉密单位的应用设计[J].网络安全技术与应用, 2010 (1) :152-153.

网络泄密篇8

1 计算机网络职工存在的安全隐患

1.1 违规操作与使用

国内重要机构均自己建立网络, 内容涉及众多重要机密, 相对安全保密。然而工作人员在操作中操作方法不当或违规使用计算机网络信息系统导致机构重要机密泄露。

导致机构内计算机违规操作的原因主要有以下几点:

1) 涉密系统多是由机构自行建立, 未能经技术测试, 因此存在一些漏洞等。

2) 机构内部无完善保密论证, 导致违规操作较多。

3) 不良分子恶意泄露操作, 为谋个人私利切取机密。

1.2 计算机网络定位较差

国内相关法律条文明确规定相关单位及机关内网严禁传输、储存、处理国家秘密信息, 然而可对工作秘密进行处理。在实际工作中, 具体环境下, 多数单位及机关均不能对网络进行准确定位, 导致网络性质被忽略, 而内网的安全系数极低, 这就导致不法份子窃取重要机密时基本无阻碍, 可轻易获取。

1.3 交叉使用可移动设备

出于工作方便需要, 移动设备在人们工作中广泛使用, 生活与工作均获得较大方便, 然而由于对移动设备的管理不善, 移动设备的使用导致的安全泄密亦占据较大部分, 严重威胁机构安全。国内移动设备主要有两种, 一种是经过加密的专门用来保存秘密的, 另外一种则为无加密的个人移动设备, 一般来说为了机密安全, 第二种移动设备是严禁在电脑上使用的, 然而部分机关单位并未完全意识导致这点, 未能有效科学管理计算机, 导致机密文件随着移动设备泄露;而部分移动设备甚至可导致计算机感染病毒, 从而导致机密文件的泄密与丢失。为方便工作, 部分机构允许员工将涉密笔记本带出办公室使用, 从而导致计算机机密的泄露。

2 计算机网络应用中泄密隐患的防范技术

2.1 入侵防范技术

在计算机的传统防范中, 多是外界入侵后导致网络瘫痪、中病毒后进行研究, 而网管在对网络进行修复时, 忽视了攻击网络的源头, 导致防范处于被动状态下;配置入侵产品多与防火墙联动, 一旦入侵检测出现失误, 则可导致防火墙出现错误动作, 严重影响网络运转, 鉴于此, 在网络安全管理中, 要引入入侵预防技术, 积极检测可能入侵的危险因素, 对应用区进行渗透, 识别并拦截缓冲区溢出、后门、木马、XSS等多种病毒。同时入侵预防安全架构能够主动积极的保证服务器及桌面系统的安全, 避免网络外界攻击破坏。

2.2 病毒防范技术

繁殖能力强、攻击隐藏性强、潜伏时间长、传染途径广、针对性较强且破坏能力较大, 同时病毒侵入方式较多, 如“固化”式方式、无线电方式、数据控制链攻击、后门攻击方式等, 因此探讨有效的病毒防范技术有着重要作用, 常见防范病毒方式有以下几点:控制邮件传播、管理病毒客户端、过滤来自磁介质的有害信息, 建立多层次多级别企业级的防病毒系统, 全面防护病毒, 同时为了保证电脑健康, 可常对服务器及电脑的病毒库进行升级, 定期查杀病毒。

2.3 防火墙技术

防火墙技术是目前防范网络泄密隐患的最为有效手段之一, 可用来对内网及外网进行逻辑隔离。防火墙能够对网络间访问进行控制, 保护内部网络信息, 拒绝外界非法授权用户的访问。防火墙能够对流经它的网络通信数据进行扫描, 对外界的攻击自动过滤, 同时将不使用的端口关闭, 禁止特定端口的流出通信, 避免了木马攻击, 有效对非法闯入者的入侵进行拦截, 而防火墙的使用能够对网络使用的情况进行记录及统计。然而防火墙的使用一般对外不对内, 因此对于网络内部的病毒及木马侵犯作用较小。

2.4 数据加密防范

数据加密技术对于网络使用者的网络安全提供了有效保证, 其信息提供得到安全保障, 通过对其传输部分较为敏感信息进行加密后传送, 有效降低了数据被非法人员、黑客盗取或篡改, 网络出现破坏的可能性明显降低。目前常用加密技术主要有公开钥算法及对称算法两种, 前者除了解密秘钥、加密秘钥不同外, 解密秘钥亦无法从加密秘钥内推算出, 然而加密算法较为复杂, 同时速度较慢。后者可由解密秘钥内推算出加密秘钥, 速度较快, 然而对秘钥的管理提出了较高的要求。在保障计算机网络安全的时候, 需要科学合理运用网络构建加密技术, 主动防御, 从而提高网络安全。

2.5 漏洞扫描

漏洞扫描主要是对系统中的文件、数据进行有效扫描, 常采用端口扫描法及模拟黑客攻击两种方法实现检测, 从而保证网络安全。

3 结束语

计算机发展为人们带来巨大便利的同时, 如何保证人们隐私安全成为网络工作者面临的巨大挑战, 不断提高网络泄密隐患的防范技术有着重要的作用。随着网络安全防范技术的提高, 各种技术互相作用, 必能构建安全的网络环境。

参考文献

[1]李晓明, 付丹丹.计算机网络攻击分析及防范技术[J].电脑学习, 2010.

[2]李传金.浅谈计算机网络安全的管理及其技术措施[J].黑龙江科技信息, 2011.

[3]申磊.计算机网络安全防范技术探讨[J].科技向导, 2013.

电子文档防泄密系统研究篇9

关键词：数字版权管理,电子文档保护,文件过滤驱动

当前, 操作系统漏洞、病毒、木马、黑客等不安全因素使得信息安全日益严重, 而且, 内部用户越权查看机密文件, 向外泄露机密信息, 给企业造成巨大损失。但对于内部人员的泄密问题却一直没有好的防范方法。当前的防范措施一般采用整盘加密、封锁计算机端口、使用认证的可移动存储器等方式防止内部人员泄密, 但这些方法不仅不方便用户使用电脑, 而且还存在操作繁琐、防护漏洞、效率较低等问题。本文针对内部人员的泄密问题, 通过对数字版权管理 (DRM) 的研究, 针对现有防护手段的不足, 设计一种基于多层控制DRM体系结构的电子文档防泄密系统, 以实现对内部人员泄密行为的防护。

1、数字版权管理

数字版权管理 (Digital Rights Management, DRM) 是指采用包括信息安全技术手段在内的系统解决方案, 在保证合法的、具有权限的用户对数字媒体内容 (如数字图像、音频、视频等) 正常使用的同时, 保证数字媒体创作者和拥有者的版权, 并根据版权信息获得合法收益, 而且在版权受到侵害时能够鉴别数字信息的版权归属及版权信息的真伪。

DRM系统的基本功能就是管理使用者对数字作品的使用, 保护数字作品创作者和拥有者的权益。由此基本功能派生出许多的相关功能, 其中主要的有:数字作品保护、使用控制、监控追踪和管理相应的隐私权和安全问题。

DRM的自定义特性和灵活应用特性很强, 能够根据用户的需求提供各种不同复杂程度的数字内容保护。本文从DRM系统的一般架构出发, 对其中的交易支付模块和用户使用控制模块进行改进和重新设计, 提出电子文档防泄密系统模型, 限制内部人员泄密行为, 保护机密文件安全。

2、电子文档防泄密系统

2.1 功能需求

机密信息对于企业或部门非常重要, 防护存储重要信息的电子文档, 防泄密软件必须做到以下基本两点:重要电子文档只在规定范围内流动, 只被规定的人员在规定的地点浏览;内部人员不能通过拷贝、打印、另存为和截屏等方式将重要电子文档泄露到企业外部。

另一方面, 防泄密软件在保护机密文档的同时应该充分考虑用户使用的便利性:当用户在执行合法操作时, 他们不会感到防泄密软件的存在;当非法操作发生时, 防泄密软件能够立即阻止;软件应当考虑到用户间的协同工作, 能够使电子文档方便的在合法用户间共享。

2.2 电子文档防泄密系统关键技术

本文通过对DRM模型的研究, 将DRM对数字作品的保护技术应用到电子文档的防泄密中, 防止内部人员通过复制、打印、截屏等操作将机密信息泄露到企业外部。

许可证机制。将DRM模型中许可证机制应用于电子文档的保护。每个涉密文档都和一个许可文件绑定, 许可文件详细记录用户对于该文档的操作权限。当用户试图打开涉密文档时, 系统阅读工具首先读取绑定到该文档的许可文件, 根据许可文件的描述检查文档打开的环境和监控用户对该文档的操作。

环境绑定机制。重要电子文档采用高强度的对称加密, 保证文档的安全。加密密钥来源于主机的硬件指纹、企业的内网环境、用户口令和USB Key等信息。文档的解密也必须在这些信息符合时才能成功。

驱动级消息拦截机制。机密信息的泄露可以通过复制、打印、另存为和截屏等操作实现, 通过编写系统驱动可以对这些操作的消息从底层进行拦截, 防止信息泄露。

2.3 电子文档防泄密系统模型

针对企业对机密文档的防护要求, 本文设计了一个电子文档防泄密系统。该系统基于多层控制DRM体系结构, 用户不仅可以从服务器获取绑定许可文件的机密电子文档, 也可以从其他用户处获得。多层控制DRM体系结构可以方便的实现用户间的共享, 用户可以离线的生成许可文件。这种机制避免了因服务器的损坏而导致全企业工作的瘫痪。

2.3.1 系统工作流程

(1) 用户向服务器请求下载某文档File;

(2) 服务器审核用户的身份, 如果该用户可以得到File, 则转到步骤 (3) , 否则不响应该请求;

(3) 服务器加密File得到C_File, 根据用户的权限生成相适应的许可文件L_File, 将C_File与L_File合并为U_File, 并发送给用户;

(4) 用户获得U_File后, 从中得到L_File, 并由DRM控制器根据L_File的内容监控用户对该文件的操作, 从U_File中得到C_File, 并交由数字阅读工具进行解密, 供用户使用文档File;

(5) 用户操作完毕后, 由DRM控制器将编辑后的文档File’加密得到C_File’, 并修改L_File为L_File’, 将C_File’与L_File’合并为新文档U_File’, 并将原文档U_File删除。

当客户端A向客户端B请求某文档File时, 客户端B就扮演了服务器的角色, 完成File由客户端B交由客户端A使用。

2.3.2 DRM控制器

DRM控制器是系统中的核心组件, 它负责对用户操作进行监控, 是防止用户主动泄密的关键部分。DRM控制器通过API HOOK和过滤驱动的方式对用户的操作进行监控。

2.3.3 数字内容阅读器

阅读器的设计通常有两种思路:一种思路是设计自己的阅读器, 这种方式便于对用户进行控制, 但开发难度大, 周期长, 而且扩展性差;另一种思路是利用阅读器厂商提供的开发接口, 开发出相应插件供自己的阅读器使用。第二种方式比较便捷, 而且扩展性较强, 但它必须依托于阅读器厂商提供的开发接口。

3、结语

纸质文档泄密追踪系统设计篇10

关键词：文本水印,打印扫描,泄密追踪

0 引言

目前, 越来越多的政府机构都采用电子化办公, 但也有部分单位还是采用纸质公文进行流传, 特别是很多政府军队等保密单位, 然而这些秘密文件在传输、转发的过程中很容易被泄露, 泄密源头还很难被追踪到。基于此, 本文给出一种纸质文档泄密源头追踪系统, 一旦资料外泄后, 可依据打印文档中的秘密信息去追溯打印者留下的标识信息。

1 文本数字水印相关知识

1.1 文本数字水印的概念

本文数字水印技术是按照特定的方法对文本内容和结构进行修改达到嵌入水印的目的, 通常情况下嵌入的水印不易察觉, 我们可以通过标识的水印信息对文本数据进行非法传播的来源追踪。

文本数字水印通常可以分成两类:格式化和非格式文本。格式化文本是指一些高级文档, 如Word、WPS、PDF等。它不但包含文本信息, 还有如回车、换行等类似版权布局信息的文字信息。非格式化文本指计算机源代码或ASCⅡ码文本文档。这类文档的特点是没有格式信息, 编辑起来简单, 但没办法插入可辨认的标记空间, 嵌入水印信息难度很大。本文讨论的是格式化文本水印。

1.2 典型文本数字水印算法

数字水印算法主要是利用载体冗余数据来实现水印信息的嵌入, 文本图像与多媒体图像不同, 一般以二值图像出现, 有大量的空白区域在图像中存在, 所以不能像普通灰度图像或彩色图像一样有充足的冗余来嵌入水印。因此, 普通图像或视频水印图像的水印算法对文本水印并不适用。现有的文本水印算法主要有三大类:基于文本结构、基于字符像素翻转和基于自然语言处理技术的水印算法。

1.2.1 基于文本结构的水印算法

对于文档图像 (WORD、PDF、MPS、RTF、WPS) 和文档格式文件, 要实现水印信息的嵌入主要是将其版面结构进行变化, 如行间距或字符间距。Brassil等人提出了3种著名的文本水印编码技术, 利用调整段落间距或者文档单词间距实现编码, 典型的主要有:行间距编码、字间距编码以及特征编码三种。

(1) 行间距编码:垂直移动文本的某一整行来嵌入水印。通常情况下, 将一行上移或下移时, 保持其相邻的两行或其中一行不动, 不动的行在解码时作为参考位置。如果上移, 将其编码为“1”, 反之下移, 则编码为“0”。当其移动范围在1/300英寸以内时人眼是察觉不出来的, 这时通过分析行间距就可以判断文本中存在水印与否。该过程不需要原始文本的参与, 可以适用于文本位图文件和格式化文本文件。

行间距编码鲁棒性较强, 经过多次拷贝后也能检测出嵌入水印。但其嵌入能力较弱, 只能应用在固定文档格式中。

(2) 字间距编码:通过水平移动文本中某一行的部分单词来嵌入水印。与行移相似, 它的参考位置是选择保持相邻不动的单词。由于初始文档的单词是不均匀的, 所以检测时需要参考原始文档。Din等通过调整单词间距使不同行的平均间距体现出正弦曲线的规律, 将水印嵌入正弦曲线中, 而后Kim等对此方法进行了改进, 利用正弦曲线的正交特性提高水印容量。

(3) 特征编码:这种编码利用文档中某个字母的特殊特性来嵌入标记。在这种编码中, 可见噪声的水印信息被叠加到文本图像的字母比划边缘或图像边界上, 对噪声图案进行二值编码达到嵌入水印的目的。比较常用的方法是设计两种字体, 通过更改字母位图边界上像素的位置, 使其从视觉上效果上几乎看不出区别, 但同时可以检测出不同。在实际信息隐藏过程中, 通常会将三种方法进行结合。

除了上述三种方法外, 还可以利用字体和中英文标点符号的不同进行信息隐藏。一般情况下, 英文句子中有停顿时, 往往加入逗号后, 在逗号后另外插入一个空格。看似增加了间距, 但是同样的中文标点相当于两个英文字符的宽度。但仔细观察, 还是能看出其差别, 英文文本一般有单词、行和段落等有规律组合, 但发生些许改动影响不了整个文本的整体效果。无论英文或中文文档, 所有标点符号中, 逗号被使用的是最多的, 所以用逗号进行信息隐藏其隐藏量是很大的。

1.2.2 基于自然语言处理技术的水印算法

Atallah等人为代表提出通过对文本句子的语义结构或语法结构进行转换来进行水印嵌入, 这就是自然语言文本水印技术。

语法水印是通过改变文本句子的语法结构进行水印嵌入的。一般语法水印技术每个句子可以嵌入2bit信息。语法水印技术比较简单, 它通常将每个句子首先生成相应的语法结构树, 然后处理成二进制串, 最后重新排列句子, 并选取标识句, 转换句子语法结构进行水印信息嵌入。改变句子结构主要有四种方法:主动式变被动式、移动附加语的位置、加入形式主语以及在句中插入过渡性词语。

语义水印则通过改变句子的语义结构进行水印嵌入。一般语义水印每个句子可以嵌入1bit信息和3bit控制信息。语义水印则需对句子的语义进行分析处理, 目前常用机器翻译系统中的语义词典、本体以及文本含义表达 (TMR) 等来实现。其主要是把文本作为一个语义整体, 借助定义好的一些语义转换来进行水印嵌入。句子的意思可能被潜在的修改了, 但并不改变其基本意思。利用TMR树的转换方式对句子语义的数据库中的等级信息互指概念嫁接、信息替换及前剪切。为了提高水印嵌入容量, 常将语法水印和语义水印有效结合, 但提高的比率不理想。

1.2.3 传统图像水印算法

字符图像通常采用二值图像或者灰度图像的方式进行描述, 通过对传统图像水印算法进行改进以实现文本图像的水印嵌入, 如利用加性和乘性、位平面、统计特征、替换、量化、关系等空间域水印算法。其中, 对像素变异法研究是比较多的, 该算法通过增加分块后图像的像素、像素翻转、像素移动等方式进行水印信息嵌入。LSB (最低有效位算法) 作为空间域具有代表性方法, 修改文本数字图像像素颜色的较低位平面, 即通过修改图像感知不重要的像素位来编码水印信息, 实现水印信息的嵌入。一些学者将变换域的离散余弦变换 (DCT) 、离散傅立叶变换 (DFT) 和离散小波变换 (DWT) 等方法应用到文本图像中嵌入水印, 并取得了良好的效果。

2 打印扫描对数字图像的影响

本系统实现打印文档的来源追踪主要是借助于抗打印扫描技术, 因此我们非常有必要研究打印扫描对图像的影响。图像在打印扫描过程中会涉及图像的D/A及A/D转换, 这两个过程包含了多次不均匀量化和采样, 虽然打印扫描后的图像与原图看起来比较相似, 但实际上图像已经出现严重失真。失真主要分为两种:几何失真与像素失真。像素失真主要包括:gamma校正对比度、照明强弱、色彩模型变化, 以及相邻像素的模糊。几何失真主要由旋转、缩放和裁剪引起。

2.1 打印过程对图像造成的影响

2.1.1 半色调过程

大部分激光打印机都是点阵式的, 一般是通过点阵来模拟各种颜色, 因此必须先要对图像进行半色调处理, 得到半色调图像。人眼具有空间低通特性, 用相同个数的一组打印点代表一组像素来模拟出这些像素的整体灰度效果。

因此, 通过该方法输出的图像在视觉上与原图较为一致, 但实际上在局部细节上已经出现失真, 通常是高频抖动的纹理。另外, 由于半色调激光束的扩散、半色调复合点的形状、纸张的光滑度和吸水性等都会导致半色调复合点的变换, 最终导致输出图像模糊不清。

2.1.2 打印机分辨率

打印机分辨率的单位通常用“点/英寸”来表示, 表示打印输出横向和纵向每英寸能打印像素点的最大值。在打印过程中, 打印分辨率是非常重要的指标参数。打印分辨率越高, 显示的像素个数就越多, 图像也越清晰, 水印信息也越容易被提取。因此, 我们应该尽量避免由于打印分辨率导致的图像受损的问题, 分辨率提高到一定程度后, 水印提取的正确率实际上也不受影响了。

2.1.3 打印机硬件条件

打印机类型、元器件老化状况、使用寿命等硬件条件对打印图像的质量有着很重要的影响, 打印机内部一系列的机械器件、光学器件、电子元器件的工作情况也会给打印图像的质量带来影响。

2.2 扫描过程对图像造成的影响

2.2.1 模式转换

扫描仪首先对原稿进行光学扫描, 后光电转换器将光信号转换为电信号, 再转成数字信号传送到计算机。扫描后得到的图像是连续色调图像, 不是二值图像, 与半色调逆过程相似, 对信息造成严重损害。

2.2.2 图像摆放位置

在扫描过程中, 图像很难真正做到严格意义上的水平摆放, 得到的都是倾斜的图像, 有较严重的几何失真, 扫描后的图像像素点和原图像无法一一对应, 这给最终水印的提取带来了很大的困难。

2.2.3 扫描仪分辨率设置

扫描仪分辨率是扫描仪上每英寸长度上的采样点数, 是一台扫描仪图像质量重要的衡量指标。扫描仪分辨率越高, 得到的图像也越清晰。

2.2.4 扫描仪硬件条件

扫描仪的步进电机会带来CCD传感器的光灵敏度、高斯随机噪声, 扫描仪的使用年限等问题会对扫描仪信息的采集产生影响, 得到图像的质量也会受到影响。

2.2.5 图像重采样

图像经过打印扫描过程后, 得到的数字图像的尺寸通常会比原始图像大。要得到与原始图像大小一致的图像, 需要通过插值运算进行重采样, 就会导致图像的像素失真。

另外, 打印机和扫描仪的色彩管理也会带来失真。打印机、显示器以及扫描仪有不同的色彩空间, 当进行色彩空间转换后, 彩色图像的质量会受到影响, 有一大半颜色在转换中丢失。

3 基于纸质文档泄密追踪系统设计

本文是基于抗打印扫描攻击数字水印技术的基础之上设计的纸质文档泄密追踪系统。系统通过虚拟打印技术, 在待打印输出的文档图像中进行水印信息的嵌入, 水印信息中包含了文档打印者的身份信息。由于水印信息的强鲁棒性, 文本文档打印输出为纸质文档再进行扫描后仍可以检测到水印信息。所以, 可以根据该水印检测功能得到泄密者的相关身份信息, 从而有效追踪到文件泄密的源头。

本次设计的纸质文档泄密追踪系统的总体架构如图一所示, 其主要由水印嵌入系统和水印检测系统两部分组成。

3.1 水印嵌入系统

水印嵌入系统由虚拟打印机模块、水印嵌入模块、真实打印模块和访问控制模块四个模块组成, 下面对各模块功能作简单介绍。

3.1.1 虚拟打印模块

虚拟打印模块是水印嵌入模块中较为重要的模块之一。它的关键在于将打印任务转换为图像文件格式并保存到指定的磁盘目录中, 这个模块是水印嵌入的必要条件。模块构造的虚拟打印系统, 从操作系统看它与真实打印机区别不大, 但它并不是真正意义上实现纸质文档的输出, 而是在磁盘上生成文档图像文件。当使用应用程序时选择“打印”命令, 在对话框里选择这个虚拟打印机, 这时虚拟打印机便会提醒用户设置好打印参数, 把文件打印成文档图片, 输出到指定目录中。

3.1.2 水印嵌入模块

当用户在编辑软件选择虚拟打印机打印整份文档后, 虚拟打印模块将打印输出文档图像, 水印嵌入服务进程会通过访问控制模块, 输入合法动态口令进行登录, 水印嵌入模块会调用水印嵌入算法中的水印信息生成接口, 生成带有用户身份信息等的水印信息, 进而生成带有源头追踪的水印信息图片文件。

3.1.3 真实打印模块

真实打印模块负责根据用户输入的打印参数把嵌入水印后的文档图像打印输出。真实打印过程主要利用Windows操作系统调用API函数对打印进行支持。根据用户的参数配置相应的系统API函数参数, 调用该函数将图像文件顺序打印出来。用户可以通过水印嵌入界面选择真实打印机, 经过一系列处理后, 打印输出成为含有水印信息的纸质文档。

3.1.4 访问控制模块

访问控制模块通过访问水印打印软件对用户进行身份认证, 防止非授权用户访问并打印嵌入水印文档。当用户点击“打印”命令后, 系统会要求用户进行身份认证。只有输入正确的口令时, 才可以正常访问水印打印软件。

3.2 水印提取模块

主要负责当截获到非法传播的纸质文档后, 将纸质文档扫描成电子图片, 并判断该纸质文档是否有嵌入追踪信息, 根据判断结果, 提取其水印信息。由于在泄密追踪系统中, 只有在截获到非法传播纸质文档时提取系统才会被使用, 因而我们将扫描提取模块单独划分成为专门的检测提取工具。

本模块通过使用Twain协议提供的统一接口, 使得提取人员可以直接在提取水印系统中控制配置扫描仪, 并对扫描仪做远程操作。同时, 提取模块检测到已扫描完毕一个文本图像后, 会自动调用水印算法的水印提取接口, 提取出水印信息。

4 结束语

文本图像的结构单一、纹理简单, 使得文本数字水印较图像水印难度大。本文针对文本数字水印算法和应用进行了深入的研究, 设计了纸质文档泄密追踪系统。该系统可通过在打印文档中嵌入用来标识用户身份信息的数字水印而有效的完成泄密源头的追踪。

参考文献

[1]亓文法, 李晓龙, 杨斌, 等.用于信息追踪的文本水印算法[J].通信学报, 2008, 29 (10) :183-190.

[2]宾西川.字移编码文本数字水印研究[D].北京:北京交通大学, 2009.

[3]郭承青, 徐国爱, 钮心忻, 等.抗打印扫描攻击的大容量文本水印[J].应用科学学报, 2011, 29 (02) :140-146.

孤独的泄密者篇11

虽然他天赋过人，却没有完成高中和社区大学的学业。他很少去看他母亲，甚至直接打断邻居的问候，并表示自己不想要邻里关系。在博思艾伦咨询公司和美国中情局工作期间，他也一直和同事们保持距离。

虽然斯诺登心思缜密，信仰坚定，但他仍然是我们这个时代令人悲哀的产物：社会逐渐原子化，组织松散。二十多岁青年男子人口比例显著增长，他们依赖科技，而且正处在从无忧无虑的童年向背负了家庭责任的成年过渡的阶段。

如果一个人在成长过程中没有经过任何社会单元的引导，那他的世界观可能会有这样的特点：生活中并没有家、社区、宗教团体、州、国家、世界这样一系列渐进的体系，而仅仅是渺小的个体面对庞大的国家。

在这个破碎的时代中，拥有这种世界观的人更可能拥护正在风靡的极端自由主义思潮。极端自由主义者极度质疑权威，他们深信社会分级制度和组织结构是不可信的，狂热地推崇社会透明，并且理所当然地认为个人选择不可侵犯。

鉴于这样的成长背景和个人心态，斯诺登的泄密行为就完全符合逻辑。尽管他没有指出任何具体滥用数据的行为，但美国军事和情报活动的普遍机密性就足以让他感到恐惧。当然，他所公开的数据挖掘程序将来确实可能会被滥用。

但老大哥并不是唯一的威胁。不信任情绪的累积、愤世嫉俗心态的腐蚀性蔓延、社会组织的破损、个人主义群体的增长构成了另外一种威胁。这些个人主义者不知道如何与他人团结起来，共同维护公共利益。

斯诺登没有解决这种威胁，他把事情变得更糟了。

社会的正常运转需要最基本的信任與合作、对社会制度的尊重和对共同程序的遵从。从斯诺登决定单方面泄露美国国家安全局秘密文件的那时起，他就背弃了所有的这一切。

首先，他背弃了自身的诚实和正直。在进行保密性工作之前，他曾以正式和非正式的方式发誓不外泄工作中涉及的保密信息，但他背叛了自己的誓言。

其次，他背叛了朋友。所有和他共事的人都要受到怀疑。处在保密岗位的年轻人再也不会被委以重任，因为人们担心他们日后也会和斯诺登一样泄密。

第三，他背叛了工作单位。博思艾伦咨询公司和美国中情局不计较斯诺登高中辍学的经历，高薪雇佣了他，而他却恩将仇报，给旧东家抹黑。

第四，他背弃了公开政府。每次发生泄密事件后，政府只会缩小知情圈，限制公众对涉密事件的讨论。

第五，他侵犯了我们所有人的隐私。如果联邦安全机构无法进行大规模的数据扫描，他们肯定会退回到使用更原始、侵入性更强的窃听手法。

最后，他还背弃了宪法。美国的建国先辈们肯定不会允许某个孤僻的29岁年轻人单方面决定应该向公众曝光什么信息。斯诺登这种肆无忌惮的行为让问责制度发生了短路，将个人喜好凌驾于其他一切事物之上。

斯诺登面临着道德困境。一方面，他认为这个项目极为可怕，并掌握着该项目的信息。另一方面，作为公务人员、社会组织的一份子和美国公民，他又曾经承诺要保守秘密。有时候，一些泄密者不得不这么做，因为他们所掌握的情报过于重要。

但在泄密之前，我们希望他们能够扪心自问：这真的值得背叛自己的誓言，绕过既定的决策程序，揭露那些无法挽回的秘密吗？

到目前为止，从媒体报道来看，斯诺登仍然执着地认为数据挖掘十分危险，而对于他所背叛的东西，对于他的行为给社会秩序和社会纽带所造成的伤害，他却浑然不觉。

网络泄密篇12

互联网安全保护领域首屈一指的Check Point软件技术有限公司近日在上海宣布, 推出全新基于网络的“数据防泄密”解决方案 (DLP) 。它能预防机密及专有敏感信息的无意泄密, 协助企业对数据泄密由检测转为预防。

新方案提供清晰的安全策略定义, 它与企业现有的数据流程相整合, 在执行流程时引导用户如何防范数据泄密。DLP的多数据关联引擎可以准确地鉴别数据泄漏行为, 同时Check Point DLP也具备与人工互动的功能, 允许用户实时处理潜在的数据泄密威胁。Check Point创始人、董事长兼首席执行官Gil Shwed表示:“数据防泄密是一个全球共同面对的商业挑战, 不知何时, 我们会把敏感数据通过电子邮件发送给错误的接收者。现在Check Point开创业界之先河, 着手解决数据泄漏的挑战。通过结合我们的创新技术与UserCheck补救解决方案, Check Point DLP能够有力执行企业的安全策略并教育用户, 预防有意或无意的数据泄漏行为。”通过Check Point DLP, 企业可以选择激活UserCheckTM技术, 即当数据有丢失危险时, 通过弹出窗口或者电子邮件的方式提醒员工, 以便在发生数据泄漏之前, 迅速做出相应措施。Check Point独有的用户弥补功能可以教导用户独立处理事故和遵守企业数据安全策略, 同时把敏感数据暴露的风险降至最低。Check Point的全新MultiSpect技术能够处理被发送或上传到网络的文件, 这个多数据分类引擎能监控所有运行中的数据传输, 提供关联用户、数据类型和流程的精确信息。Check Point DLP解决方案能协助企业进行实时的防护, 而不需要昂贵的专业服务, 它能提供超过250种预先定义的最佳安全策略范例, 防止暴露个人身份信息以及企业相关数据。

独立安全顾问公司MIS CDS的专业服务总监表示:“我们过去曾评估各种DLP方案, 发现市场上很多解决方案都非常复杂并且难以实施。Check Point DLP消除了与数据丢失防护相关的安全复杂性, 我们可根据业务要求, 方便地应用定制和预先定义的策略, 整个部署时间不超过3个小时。”Town of Castle Rock公司首席技术官表示:“我十分喜欢Check Point DLP解决方案, 它的用户界面简单易用, 哪些数据正处于危险中一目了然, 这个方案令我们能全盘掌握数据的全面安全状况。”

【网络泄密】推荐阅读：

信息泄密06-24

泄密案例07-09

失泄密案例06-06