4日，國(guó)家安全部在微信公眾號(hào)發(fā)布緊急提醒，表示包括“文件傳輸助手”等一些辦公“黑科技”可能有失泄密風(fēng)險(xiǎn)。接受《環(huán)球時(shí)報(bào)》記者采訪的網(wǎng)絡(luò)安全專(zhuān)家表示，從事敏感工作的群體，永遠(yuǎn)要堅(jiān)持上網(wǎng)不涉密、涉密不上網(wǎng)的剛性制度法規(guī)要求。

國(guó)家安全部發(fā)布的這則消息顯示，近年來(lái)因使用網(wǎng)上辦公程序而導(dǎo)致的失泄密案件屢屢發(fā)生，暴露出一系列風(fēng)險(xiǎn)隱患。被點(diǎn)名的辦公黑科技泄密案例包括云助手泄露涉密文檔、圖文識(shí)別小程序泄露密件原件、AI寫(xiě)作泄露涉密內(nèi)容、工作群組泄露涉密信息等。消息表示，近年來(lái)，AI寫(xiě)作蓬勃發(fā)展，部分涉密人員在起草涉密材料時(shí)，為節(jié)省工作時(shí)間，違規(guī)將涉密素材和涉密文件內(nèi)容輸入AI寫(xiě)作小程序生成文章，并認(rèn)為只是截取文件片段，不致造成泄密。殊不知，AI小程序會(huì)自動(dòng)收集用戶輸入的信息內(nèi)容以供自主學(xué)習(xí)，相關(guān)數(shù)據(jù)易被境外間諜情報(bào)機(jī)關(guān)竊取，造成國(guó)家秘密泄露。消息表示，嚴(yán)禁將涉密文件拍攝、摘錄后上傳互聯(lián)網(wǎng)，使用文字識(shí)別、AI寫(xiě)作等功能時(shí)應(yīng)杜絕輸入涉密文件，防止方便了工作卻泄露了秘密。

消息強(qiáng)調(diào)，大眾在享受科技給日常工作、生活帶來(lái)便利的同時(shí)，也要堅(jiān)決繃緊保密防范之弦，警惕境外間諜情報(bào)機(jī)關(guān)利用網(wǎng)絡(luò)竊取我國(guó)家秘密的陰謀詭計(jì)。

對(duì)此，安天科技集團(tuán)技術(shù)委員會(huì)副主任李柏松4日接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)表示，在日常操作中存在通道泄密風(fēng)險(xiǎn)、云端泄密風(fēng)險(xiǎn)等。

首先是通道泄密風(fēng)險(xiǎn)。互聯(lián)網(wǎng)基礎(chǔ)設(shè)施并不是一個(gè)單純的通信體系，已然是流量業(yè)務(wù)運(yùn)營(yíng)的“戰(zhàn)場(chǎng)”，一些商業(yè)機(jī)構(gòu)在網(wǎng)絡(luò)側(cè)構(gòu)建了一些流量留存分析機(jī)制，以進(jìn)行包括用戶精準(zhǔn)發(fā)現(xiàn)畫(huà)像等操作，其中也有黑灰產(chǎn)的侵入。“其中，外方情報(bào)機(jī)構(gòu)一直把入侵我運(yùn)營(yíng)商體系作為作業(yè)重點(diǎn)，例如美國(guó)NSA的量子之手系統(tǒng)，就是一套基于入侵他國(guó)運(yùn)營(yíng)商和網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)流量獲取和精準(zhǔn)打入的機(jī)制。與此同時(shí)，雖然常用聊天工具的信息是加密的，但為了降低資源占用，很多附件傳輸是不加密的，這就使一部分工具的文件在網(wǎng)絡(luò)側(cè)是明文傳輸?shù)模灰髁總?cè)被獲取還原就導(dǎo)致風(fēng)險(xiǎn)?！?/p>

其次是云端泄密風(fēng)險(xiǎn)。相關(guān)文件是依托互聯(lián)網(wǎng)服務(wù)商的服務(wù)進(jìn)行中轉(zhuǎn)的，因此相關(guān)數(shù)據(jù)對(duì)互聯(lián)網(wǎng)相關(guān)服務(wù)商在邏輯層面是可見(jiàn)的。這一方面帶來(lái)了服務(wù)商是否會(huì)利用相關(guān)數(shù)據(jù)強(qiáng)化用戶畫(huà)像能力，最終為大模型進(jìn)行訓(xùn)練等擔(dān)憂。另一方面，其也給服務(wù)商中的內(nèi)鬼窺視帶來(lái)了更多資源，同時(shí)一旦服務(wù)商被網(wǎng)絡(luò)入侵可能遭受更大損失。

此外，針對(duì)大家普遍正在使用的“文件傳輸助手”為什么會(huì)導(dǎo)致泄密發(fā)生，李柏松解釋?zhuān)伺e增加了信息的可訪問(wèn)入口，相關(guān)文件放到類(lèi)似共享機(jī)制后，就使原有部分基于用戶工作和家用主機(jī)才能訪問(wèn)的文件訪問(wèn)權(quán)限條件發(fā)生轉(zhuǎn)移，變成此前類(lèi)似用戶丟失手機(jī)，或IM登錄被破解后，帶來(lái)更大的信息泄露風(fēng)險(xiǎn)。特別是針對(duì)WEB微信用戶，由于存在單擊后響應(yīng)不及時(shí)等問(wèn)題，也會(huì)出現(xiàn)想要傳到傳輸助手的內(nèi)容，誤發(fā)給其他人，甚至微信群的情況。

對(duì)此，李柏松建議，從事敏感工作的群體，永遠(yuǎn)要堅(jiān)持上網(wǎng)不涉密、涉密不上網(wǎng)的剛性制度法規(guī)要求。對(duì)于涉及企業(yè)內(nèi)部信息、工作信息的，應(yīng)堅(jiān)持郵件通信、附件加密發(fā)送等工作安全規(guī)范。

不可忽視的一個(gè)事實(shí)是，在日常工作和交流中提升文件傳輸和共享的效率是剛性需求，移動(dòng)辦公也已經(jīng)是一個(gè)廣泛既定事實(shí)。李柏松表示，日常生活信息也有一些實(shí)用小技巧，比如把“文件傳輸助手”置頂，可以避免想要使用時(shí)通過(guò)搜索找到，結(jié)果誤傳給社工攻擊者（社會(huì)工程黑客攻擊）賬號(hào)的情況。“此前曾有一個(gè)安全從業(yè)人員做了一個(gè)惡作劇型測(cè)試，他把自己的微信名稱(chēng)改成了‘文件傳輸幫手’，圖標(biāo)也改成了一樣的圖標(biāo)，之后收到了不少微信好友發(fā)來(lái)的文件?！?/p>

“此外，有關(guān)部門(mén)應(yīng)該給出更符合實(shí)際的規(guī)范調(diào)整，便于指引產(chǎn)業(yè)針對(duì)相關(guān)需求給出合規(guī)、安全的產(chǎn)品工具和解決方案?！崩畎厮烧f(shuō)。

關(guān)注公眾號(hào)：拾黑（shiheibook）了解更多

友情鏈接：

關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/