记得有一回,一个客户找到我说想做一次全面的环境安全检测,我问他什么原因,他犹豫了半天跟我说,他们公司最近连续两次重要投标都被对手精准压价,肯定有人在搞鬼。我说先别急着下结论,咱们去做一次检测再说。结果一测,在财务总监办公室的天花板吊顶里发现了一个已经工作了半年的无线录音装置。那个装置带SIM卡,能自动拨号上传录音。后来才知道,是竞争对手收买了保洁人员放进去的。这件事之后我跟很多企业讲,环境安全检测不是奢侈品,是刚需。

环境安全检测到底是什么概念,简单说就是对特定场所进行全面的安全排查,看有没有窃听窃视设备、有没有安全隐患、环境条件是不是符合安全要求。它涵盖的内容比较丰富,包括无线电频率检测、物理安全检查、网络安全隐患排查、电磁环境评估、隐蔽设备探查等等。我把它比作给场所做一次全面体检,该查的项目一个都不能少。

先说说无线电频率检测。这是环境安全检测里最核心的技术环节。检测人员会使用频谱分析仪、射频探测器这些专业设备,对整个检测区域做全面扫描。检测的频率范围需要覆盖从几十千赫兹到几十吉赫兹,因为不同的窃听设备工作在不同的频段。常见的无线窃听设备工作在VHF或者UHF频段,但现在越来越多的高端设备使用了蓝牙或者WiFi甚至4G通信,这些频段都要覆盖到。检测的时候要一个房间一个房间地扫,每个房间要包括墙壁、天花板、地板、家具、电器设备。有些窃听器只有在被声音触发的时候才发射信号,平时处于休眠状态,检测的时候需要在房间里发出声音,比如正常说话或者播放音乐,来触发这些窃听器工作。

非线性节点检测是检测隐藏电子设备的利器。不管这个设备有没有通电、有没有发射信号,只要里面有半导体器件,非线性节点探测器就能发现它。这个技术在排查墙壁、天花板、地板夹层里有没有暗藏窃听器的时候非常有效。我见过最夸张的一次,检测人员在某个单位的会议室墙壁里发现了一个完全被石膏板封住的小盒子,打开一看是一个带电源的音频放大器,线路接到了隔壁的设备间,等于这个会议室的声音一直在被实时传输到隔壁房间。如果不是用非线性节点探测器,根本发现不了。

物理安全检查是环境安全检测里面最依赖人工经验的部分。检测人员要用肉眼和手感检查每一个可能有问题的角落。比如电源插座是不是真实的还是伪装的,空调出风口有没有异常的缝隙,装饰画的背后有没有不该有的凸起,地毯下面有没有被掀起来过又重新铺平的痕迹。办公设备如电话机、投影仪、烟雾报警器、消防喷淋头都要仔细查看。这些地方有没有被拆过的螺丝痕迹、有没有新钻的孔、有没有不明线缆。物理检查需要检测人员有丰富的经验和敏锐的观察力。我去做检测的时候经常带着一个细节检查清单,逐项对照,不放过任何一个可疑位置。

红外热成像检测在环境安全检测中也有它的用武之地。隐蔽的电子设备在工作的时候会产生热量,红外热像仪能够捕捉到这些微小的温度差异。在墙面、地板、天花板范围内,如果有异常的热点,可能就是藏有工作状态的电子设备。不过这个方法也有局限,如果设备没有通电或者功耗很低,热差异可能就不明显。所以红外检测一般作为辅助手段,不能单独依赖它来做结论。

电磁环境评估主要看的是场所内的电磁辐射水平、信号泄漏情况以及是否存在电磁干扰。涉密场所的电磁防护要求比较高,尤其是涉及到电磁屏蔽室或者涉密信息系统的场所。检测人员会测量场所内的电磁场强度,评估是否存在电磁泄漏风险。有些单位以为装了电磁屏蔽室就万事大吉了,但实际上屏蔽室的门缝、线缆入口、通风口这些位置如果密封不好,屏蔽效果就会大打折扣。所以电磁环境检测不只是测一测数,还要找出屏蔽失效的原因。

环境安全检测的流程大致分为几个步骤。第一步是需求沟通和方案制定。检测人员要跟客户详细了解检测范围、检测目标和重点关注区域。这个环节很重要,因为不同行业的涉密场所关注的侧重点不太一样,研发型企业可能更关注实验室和机房的检测,政务单位可能更关注会议室和档案室。第二步是现场检测实施,按照预定方案逐项检测,记录检测数据和发现的可疑点。第三步是数据分析,把检测中采集到的频谱数据、异常信号记录、物理发现进行综合研判。第四步是报告编制,把检测结果用规范的格式整理出来,包括检测概况、检测项目、检测发现、风险评级和改进建议。

检测报告不是随便写写的格式文件,它要有可操作的指导意义。每一个发现的问题都要给出具体的建议,比如检测到不明射频信号,要明确指出信号的频率、来源方向、建议的处置措施。发现物理安全隐患,要说明隐患的具体位置、风险等级和整改方案。客户拿到报告之后,可能还需要检测方提供后续的整改咨询或者升级复查服务。

环境安全检测的频率也是一个值得关注的问题。很多单位以为做过一次检测就一劳永逸了,这个想法很危险。环境是动态变化的,单位的人员、设备、布局都在变,外部威胁也在不断升级。我一般建议涉密单位至少每半年做一次全面的环境安全检测,如果遇到重大会议、重大活动、管理层变动或者发现可疑情况,要随时加做临时检测。

最后我想说,环境安全检测的本质是风险评估,不是抓坏人。检测过程中发现的问题越是严重,对单位来说反而越有价值,因为这些问题在没人发现的时候一直在产生风险。发现了、整改了、持续监控了,安全水平才能真正提升。