尽管“逆全球化”思潮和保护主义倾向不断抬头,但经济全球化仍是不可逆转的时代潮流。随着我国综合国力不断增强,企业经济、技术实力快速增长,越来越多的国内企业走出国门,迈进海外市场,参与相关国家的经济发展建设活动。根据世贸组织发布的《2018年世界贸易统计报告》,我国已成为全球第一的商品贸易国。中国社会科学院发布的《中国海外投资国家风险评级报告(2019)》显示,截至2017年底中国对外直接投资存量达到18090.4亿美元,位居全球第二,仅次于美国。
在这些企业大幅拓展境外投资和业务范围的同时,由于“中国威胁论”等不实舆论和一些地区国家安全局势的动荡,以及商业对手的恶意竞争行为,导致企业海外机构信息安全保密风险越发显现,而且正在逐渐成为制约中国企业在海外发展的突出因素。也正因此,为了维护企业信息安全、经济利益甚至国家安全,企业海外机构必须打起“十二分精神”,与“各路敌人”“短兵相接”。
具有政府背景的工业间谍活动“层出不穷”
去年4月英国国家网络安全中心(NCSC)、美国联邦调查局(FBI)及国土安全部(DHS)联合发出声明,警告由俄罗斯政府暗中支持的黑客已骑劫全球范围内逾百万个路由器,可以在必要时对各国政府部门、商业机构及有关基础设施发动网络攻击,致使知识产权、商业信息及客户资料被“掏空”。
近一段时期以来,美国一些政府官员以及媒体不断发声,披露所谓的中资企业涉嫌“窃取知识产权”、“从事商业间谍活动”。其实对中国政府和中资企业类似的“杂音”多年来从未间断,而实际情况,中国企业是国际间谍活动的受害者。
为了获取政治、经济方面的优势地位,确保自己的国际地位,美国被爆料出来的手段层出不穷,花招百出。美国国家安全局(NSA)前雇员爱德华·斯诺登在2013年提供的有关文件中就披露了“TAO”(Tailored Access Operations)小组。该小组旨在入侵由海外企业及政府运营的非美国计算机网络,实现目标渗透,开展网络情报行动。在这方面,华为公司似乎是受害已久。2014年3月22日《纽约时报》《明镜周刊》分别发表文章,报道NSA从2007年起对华为展开了一项“shotgaint”的行动,获取了任正非和孙亚芳邮件记录在内的大量信息,还写道“NSA入侵了中国的两个最大型的移动通信网络”。
企业海外机构正走在信息安全保密的“悬崖”上
正如上文所述,企业信息安全保密面临巨大风险,而海外机构作为保护信息安全、争夺经济利益甚至是维护国家安全的“前沿阵地”,更是举步维艰、岌岌可危。主要的不可控因素包括:
1.环境不可控:企业办公场所内通常会存放大量商业秘密,有的甚至涉及国家秘密。这些办公室、会议室一直以来都是信息窃取的重点。但企业海外机构办公场所大多租用,难以对周边环境进行深入调查,有些偏远的项目部还要“因陋就简”。边界安防困难,极有可能“隔墙有耳”。如果召开敏感会议时被激光监听,那会议的内容完全“无密可保”。如果移动存储介质被盗取,大量敏感信息必然失控。
2.设备不可控:企业海外机构为了降低成本,设备产品或者系统工具可能会从当地采购。这些设备在制造、装箱、运输环节中,极易被植入病毒或恶意代码,也可能被安装窃密装置。维基解密2017年公布美国中央情报局(CIA)和英国军情五处(MI5)联合开发的应用程序可以使三星智能电视内置的麦克风传送环境内的声音来实现监听。同年瑞典网络安全公司Modzero发现惠普公司在音频驱动文件中隐藏了漏洞,监控用户输入的按键记录,并将其存储在可读取的文件中,恶意病毒和木马可以利用这种漏洞来窃取信息。
3.线路不可控:信息系统数据传输可以采用无线、蜂窝移动通信网、因特网等多种方式,但这些传输方式本身就存在不少漏洞和安全隐患。另外,限于海外的经营规模或项目实施环境,以及中资卫星收费较高,许多企业海外机构选择依托当地运营商接入互联网来进行信息传递。因此,网络系统所传数据极易被监听,关键传输线路可能随时被切断。与此同时,办公场所内的WIFI热点也为攻击者提供便利。一部接入WIFI热点的智能手机既可以在网络系统内传播病毒、恶意代码,也可以进行非授权的信息接收、数据抓包、传输分析。
4.人员不可控:国内派驻员工方面,由于对安全形势认识不清,培训不充分,可能会出现缺乏信息安全保密意识和技能的情况;另外由于他们对企业情况熟悉,拥有较多合法权限,因此一旦被收买或者利用,会对企业造成十分严重的危害。外籍员工方面,由于难以进行详细全面的背景调查,也较易出现竞争对手、敌对势力伪装打入企业内部的情况。
5.政策不可控:企业海外机构驻所地的政治变动,政策法律更新,都有可能使信息安全处于极大的风险之下,进而使商业利益甚至国家安全蒙受巨大损失。实际上,各国海关等执法机构很早就在执法过程中对过境设备、存储介质进行查封、扣押,对存储的信息进行检查。这对敏感信息产生了不小的威胁。去年,多个国家以国家安全为名,提出了新的安全审查机制,目标直指中国企业。早在2017年,美国贸易代表办公室(USTR)就宣布对中国开展301调查。据悉调查期间美国情报机构及相关承包商均有参与电子数据取证工作。去年的“中兴事件”目前以“特别合规员”的进驻暂告平息。根据美国方面与中兴达成的协议,“特别合规员”任期十年,在任期间监视中兴一切经营活动,随意调阅任何文件。这些行为都对企业敏感信息乃至国家秘密信息造成极大隐患。
一些可能的解决办法
企业海外机构信息安全保密隐患多,风险大。鉴于可能存在的种种危害,企业应当加强防范意识,主动作为,防范信息安全保密事件的发生。针对上述风险,提出一些有效的风险管控措施和手段:
1.对办公用计算机设置一定强度、不易被猜测的密码或者使用USB key等硬件设备,实现登陆身份验证。安装杀毒软件,及时更新病毒库。安装控制软件,对计算机及打印机、复印机、传真机的使用行为进行监控,避免出现违规的网络联接、非法文档打印刻录等操作。
2.在办公局域网部署防火墙、入侵检测、设备接入管控等系统进行边界防护,并通过加密传输、VPN的方式避免传输信息被监听拦截。使用无线局域网时,通过密码、设备绑定等措施,避免未知的不可靠的手机、计算机等设备接入网络。
3.对办公用移动存储介质进行注册、授权和管理,介质上存储的数据进行加密保护。要求访问介质数据时进行身份认证。禁止非法介质接入网络。避免介质上长期存储重要、敏感信息,对存储过的信息采用高强度的信息消除工具进行清理。
4.使用专业的网络系统检查工具,定期对系统和设备的使用情况进行检查,对可疑事件进行告警,及时高效地进行事前干预、事中监督和事后分析。
5.使用基于RFID技术的文件及重要物品管控系统,对文件和设备进行非授权携带的报警,以及位置确定,防止文件及重要物品失控。
6.使用移动通信干扰器,在关键会议召开时切断手机通信信号,杜绝手机引起的声音信息泄漏。
7.布置电磁环境长时监测系统,对重要场所电磁泄漏信号进行长时监测,及时发现异常信号,做出处置,防止信息泄漏。
8.安装管道消声器和声掩蔽装置,降低窃听者对声音的灵敏度,掩蔽机密谈话的声音,增加通过窃听进行语音还原的难度。
写在最后的话:我国企业的境外机构作为我国海外利益的重要体现方面,必须“常存风险意识,凡事留有后手”,做到充分了解风险源,提前发现风险点,及时编织防控网,有效管控影响面,最大限度减少或避免损失。
参考文献:
https://en.wikipedia.org/wiki/Edward_Snowden
作者:耿伟
声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。