一个U盘，在涉密和非涉密电脑之间插了三次——然后黑客就进来了

一个U盘，在涉密和非涉密电脑之间插了三次——然后黑客就进来了

阿东是某军工单位的技术员，手头有一个紧急任务：要在两天内完成一份技术报告的修改，给领导汇报用。报告原始文件在涉密计算机上，但他习惯用自己那台连接互联网的办公电脑来编辑排版——屏幕大、软件新、用着顺手。

他拿起桌上的U盘，插进涉密电脑，把报告文件拷了出来。

然后，把U盘拔出来，插进了办公电脑。

他开始专心地修改报告。在编辑的过程中，他完全没有注意到一件事：当他插入U盘的那一刻，办公电脑里的一个木马程序被激活了。

这个木马是怎么来的？阿东自己也不知道。可能是前几天他在网上找资料时，点了一个看起来正常的下载链接；也可能是某个免费软件的安装包里夹带了"私货"。这个木马潜伏在系统深处，平时不声不响，只干一件事——监视USB接口。一旦有新的U盘插入，它就自动扫描U盘里的所有文件，把看起来有价值的文档复制到电脑上的一个隐藏文件夹里。

阿东用了一个下午把报告改好了。

他拔下U盘，又一次插进了涉密电脑，把修改后的报告拷回了涉密机的文件夹里。

至此，阿东觉得工作完成了。他把U盘放到一边，开始做别的事情。

两天后，他又用这个U盘，插进了办公电脑，拷贝了几个培训资料。

就在这一刻，泄密发生了。

木马程序在阿东第三次插入U盘到联网电脑时，把之前悄悄收集好的文件——包括那份涉密报告——全部打包上传到了境外的一个服务器上。

一个星期后，国家安全部门通知了阿东所在的单位：你们的涉密文件出现在了境外情报机构的数据平台上。经过技术溯源，确认源头就是阿东的办公电脑。

三次插拔，一场灾难

这个案例在保密培训中被反复提及，因为它把一种典型的攻击方式展现得淋漓尽致。

这种攻击方式被称为"摆渡攻击"：U盘就像一艘小船，在涉密内网和互联网之间来回"摆渡"。而木马程序就像是潜伏在岸边的一个小偷——它在互联网这边等着，U盘一靠岸，它就悄悄爬上船，偷走货物，然后等着U盘下次回来的时候把偷来的东西运走。

整个过程，阿东毫无察觉。木马程序没有破坏他的文件，没有弹出警告窗口，没有让电脑变卡。它安静得像不存在一样，直到任务完成。

而阿东的三次插拔动作，恰好完成了攻击者需要的全部步骤：第一次，涉密文件上了U盘；第二次，木马通过办公电脑感染了U盘或其他文件；第三次，木马收集的资料通过联网电脑发送了出去。

常见问题解答

问：不是有杀毒软件吗？为什么没发现？
答：这种专门针对特定目标的木马程序，往往经过定制和免杀处理，常规的杀毒软件难以检测。有组织的攻击者会针对特定单位的防护体系专门设计攻击工具。

问：U盘格式化一下再用，能不能避免问题？
答：格式化不能解决所有问题。如果办公电脑本身已经感染了病毒，当你把U盘插入办公电脑时，U盘可能再次被感染。关键是在根源上解决问题：涉密和非涉密介质严格分开。

问：如果工作中确实需要在涉密和非涉密电脑之间传输文件，怎么办？
答：必须走正规的流程。一般单位会设有专门的数据交换区或单向导入设备。个人私自使用U盘交叉拷贝，是严厉禁止的行为。

问：不允许交叉使用U盘，会不会影响工作效率？
答：短期内确实可能增加一些操作步骤。但和泄密造成的国家安全损失相比，这点"不方便"是完全值得付出的代价。安全和工作效率之间，安全永远排在前边。

教训总结

阿东受到的处分是行政记大过，调离涉密岗位。他后来在单位的安全教育培训会上做过一次深刻的检讨。他说：

"我就犯了三次错误。第一次，我觉得涉密电脑上编辑不方便，拷出来也没什么。第二次，我在办公电脑上改了报告，觉得反正还要拷回去，没关系。第三次，我拿同一个U盘拷别的文件，根本没往泄密的方向想。"

"三次，每一次看起来都没什么大不了的。但三次加起来，就让一份涉密文件流入了境外机构的手中。我到现在都不知道这份文件被他们怎么用了，造成了什么损害。这个责任，我一辈子都担不起。"

阿东的经历提醒着每一个处理涉密信息的人：安全不是某一个环节做好了就万事大吉，它是链条上每一个环节都不能断。U盘交叉使用，断掉的就是隔离这条最重要的防线。

小小的一个U盘，在涉密电脑和互联网之间来回了三次。代价是一个人的职业生涯，和一个单位沉重的事故教训。