从网上下载一个输入法，结果把病毒带进了涉密网

从网上下载一个输入法，结果把病毒带进了涉密网

石工是某单位的业务骨干，文字功底好，电脑操作也熟练。最近他在单位涉密电脑上起草一份重要的政策文件，工作量很大，加班成了家常便饭。

一天晚上加班时，石工发现涉密电脑上自带的输入法不太好用——联想词库太旧了，很多专业术语打不出来，敲字效率很低。

"这都什么年代的输入法了……"他嘟囔着，习惯性地想上网下载一个新版的。

然后他才想起来：涉密电脑不能联网。

石工想了想，有了办法。第二天上班，他在自己那台连网的办公电脑上下载了一个新版输入法的安装包，存到了一个U盘里，然后把这个U盘插进了涉密电脑。

安装包很小，几秒钟就拷完了。他双击安装，输入法顺利装上了，比原来的好用多了。

石工很满意。之后的一个月里，他又用同样的方法，陆续给涉密电脑装了PDF阅读器、解压缩软件、一个新版的办公辅助工具。每一次都是从网上下载安装包，通过U盘拷贝进涉密电脑。

他觉得这件事没什么大不了的："不就是装几个软件嘛，大不了就是正版软件自带病毒——不过那怎么可能呢？正规下载的嘛。"

他不知道的是，病毒不一定只藏在"可疑的"安装包里。

某次他在一个软件下载站下载PDF阅读器时，网站的下载链接已经被恶意篡改。他下载的不是官方原版软件，而是一个被人动了手脚的"伪造版"。这个伪造版的界面和功能与原版完全一样，唯一的区别是——它在安装时偷偷安放了一个后门程序。

当石工把这个伪造的PDF阅读器安装到涉密电脑上时，后门程序也随之进入了涉密内网。

但在这个阶段，它还不能造成实际危害——因为涉密内网没有连接互联网，后门程序无法与外界通信。

真正的危险在于，这个后门程序在接下来的一个月内，通过涉密内网上的共享文件夹，悄悄地感染了另外三台涉密电脑。它潜伏在系统深处，记录着每一台电脑上的文件变动。

这时，差的就是一次与外界"接触"的机会。而机会来了：单位有一次常规的系统升级，外包的技术人员在涉密内网的服务器上进行操作时，把他自己的笔记本电脑通过网线接入了内网交换机——说是"测试网络连通性"。他那台笔记本是全程联网的。

就是这一次短暂的连接，后门程序获得了几秒钟的联网窗口。在那几秒钟里，它把潜伏期间收集的所有文件信息打包发送了出去。

攻击者没有拿到完整的文件内容，但他们拿到了整个涉密内网的文件目录结构和文件摘要信息——这些信息对于情报分析人员来说，已经有了相当高的价值。

调查结束后，石工受到了行政记过处分。技术服务的全部合同被重新审核，外包人员的管理制度被全面修订。

常见问题解答

问：涉密计算机上能不能安装软件？
答：涉密计算机上只能安装经过安全审查和批准的软件。任何从互联网或其他公共网络下载的软件，在未经安全检测和审批的情况下，严禁安装到涉密计算机上。

问：涉密计算机上的软件怎么更新？
答：应当由单位的信息安全管理部门统一组织，使用经过安全检测和批准的软件版本，通过安全可控的途径进行更新。个人不得私自进行软件安装和更新操作。

问：杀毒软件能不能在涉密计算机上使用？
答：涉密计算机应当安装经过国家安全审查的防病毒软件，并定期更新病毒库。但病毒库的更新必须通过安全的方式，不能直接连接互联网。

问：用光盘安装是不是比用U盘安全？
答：仅仅切换介质不能解决根本问题。如果光盘里的软件同样来源于互联网且未经过安全审查，风险是一样的。关键不在于用什么介质，而在于软件的来源是否安全可靠。

事后，石工在检讨中写道："我犯错的根源有两个。一个是不懂规矩——我不知道涉密计算机的软件安装有这么严格的规定。另一个是太相信自己的'经验'——我觉得下载正规软件、杀毒软件也没有报毒，应该没问题。"

"但保密工作不是'应该没问题'就能过关的。它需要的是'确保没问题'。"

石工的同事后来总结说了一句很形象的话："涉密电脑就像一间无菌手术室，外界的软件就像从外面带进来的东西——你看它再干净，也不能保证它不带细菌。不在无菌室里拆外来的包裹，这是基本常识。"