非法获取计算机信息系统数据罪-计算机信息系统泄密的安全隐患

来源：长昊商业秘密律师（非法获取计算机信息系统数据罪、非法获取计算机信息系统数据）

1、计算机信息系统泄密隐患

1.1信息辐射泄密
计算机信息系统的硬件设备在工作过程中会产生一定的电磁信号和谐波辐射，通过专业的设备接收、提取这些辐射信号，极可能破译原始信息，导致信息泄密。通过电磁辐射的方式传输信息，与其它方式相比，具有更高的传输效率和准确性，而且具有较高的隐蔽性。计算机信息系统泄密主要分为两种形式：（1）信息通过计算机内部产生的电磁波向周围辐射；（2）通过电源线、信号线及其它与计算机相连的导线进行辐射。在计算机电磁辐射中，带阴极射线管的视频显示器辐射信号最强，屏幕所显示的信息通过电磁辐射能够阔射到周围很远的地方，而在较远距离的地方，通过专业设备可以轻易接收到这些信息。根据国际上的研究数据来看，高灵敏度的专用接受设备可以在1km范围外准确接收到这类辐射信号的原始信息。

1.2计算机网络泄密
计算机系统中的大量数据都通过网络进行共享，主机与用户、用户与用户之间通过网络进行数据交互，而数据在网络传输的过程中，由于系统本身的缺陷、网络缺陷等，存在多种泄密可能。可靠的防护技术对于保护计算机数据安全具有重要作用。如果缺乏先进的保密技术，计算机信息系统保密工作就难以有效开展，缺少安全保护的计算机系统，其信息会直接暴露在非法攻击者面前，导致信息泄密。

1.3存储介质的信息泄露
计算机信息系统通过硬件对数据信息进行存储，其中还包括了大量的保密信息，这些保密信息可以当作一种重要的资产。而在计算机信息系统应用过程中，需要在存储介质中频繁地读写、传递数据，其中存在的漏洞就为非法攻击者提供了机会。非法攻击者面对这种机会，就可能对计算机存储介质中保存的信息进行攻击，盗取或者破坏其中的信息，导致信息泄密。

1.4管理不善导致的信息泄露或丢失
人为管理漏洞导致的信息泄露主要体现在以下几个方面：
（1）由于计算机信息系统管理人员对相关专业知识的了解不足，对电磁波辐射泄密不了解，甚至不知道，因此在计算机系统工作过程中，未采取任何防护措施，导致电磁波向周围辐射，为犯罪分子提供了窃取数据的机会；同时，在系统进行网络数据传输的过程中，还可能会为黑客提供入侵系统的机会。
（2）系统管理人员不按相关制度对系统进行操作，导致信息泄密。如果硬件故障送修，而未提前进行保护，并且未安排专人对维修过程进行监督，就为维修人员提供了窃取数据的机会。
（3）外国情报机关通过收买、引诱和策反计算机信息系统管理人员和程序员，就可能从其口中获取计算机系统的保密方式，从而破解或者直接得到密钥入侵系统，窃取系统各种的重要数据，导致信息泄密。

2、计算机信息系统保密技术和防范管理

根据前面的分析可以看出，当前，计算机信息系统泄密问题较为严重，而且形式多样，如何进行综合性的防范是今后工作的重点，下面提出了一些防范和处理技术措施。

2.1公共计算机信息网络的管理
在公共计算机网络环境中，对于重要信息的处理，需要将侧重点集中在内部网络控制管理这一方面，针对其中的信息进行公开处理，保证各个网络之间的正确互联，保证对公共信息进行科学的处理，并对其中重要的信息和私密信息进行全面监控和管理。在这个过程中，保密工作人员应该重点关注私密信息的本地管理，避免信息向互联网中传播。对于已经在网络中公开的信息，需要进行科学、合理地监督和审核，保证计算机信息系统的数据安全。

2.2涉密计算机信息网络的控制
涉密计算机网络为处理、加工、采集、存储、传输和管理国家秘密信息数据中所有环节所采用的计算机信息网络。涉密计算机网络相对于公共信息网来说，要求更高的安全防护等级，其应该完全独立于公共信息网之外，从物理结构上独立出来。具体保密措施的制订应该结合涉密信息网本身进行制订，针对其中的信息采集、物理结构设计、媒体环境等进行全方位的统一防护，具体的保密技术需要严格按照计算机信息系统保密技术要求规范进行选择。涉密信息网的安全管理工作应该遵循“同步建设、严格审批、注重防范、规范管理”的原则进行。首先，要求涉密信息网在建设的过程中同步进行保密措施的建设工作；其次，需要对项目进行严格的审核，并加大技术和资金投入，避免出现“豆腐渣”工程；最后，需要建立严格的管理制度，通过技术支持管理，而又依靠管理保障技术。

2.3保密防范技术
对于计算机信息系统来说，保密技术防范主要包括身份认证系统、访问权限控制系统、信息加密传输系统、审计跟踪系统、电磁信号泄露保护系统等。当前，可以采取多种技术综合保密的方式进行计算机保密防范工作，包括加密技术、访问控制技术、入侵检测技术、防火墙技术等。

2.4计算机保密技术管理
当前，计算机网络根据信息是否涉及国家机密可以分为公共信息网和涉密信息网两个部分，需要根据不同网络的保密等级，采取不同的保密技术。公共信息网的管理应该遵循“控制源头、强化检查、落实责任”的原则进行。各个单位对上网信息进行保密审查，对于不能上网的信息，坚决避免上网；对于已经上网的信息，需要进行定期或者不定期的审查，对于涉及泄密的信息，需要落实到具体的责任人。涉密网络在结构设计上应该在物理层面与公共信息网完全隔离。