防窃听检测
企业的电磁泄密检测评估新标准来了:让“看不见的泄密”可测、可判、可验收
在很多企业里,保密往往被理解为“资料上锁、权限管控、终端加固”。但真正让管理者睡不着觉的,常常不是“看得见的违规”,而是那些看不见、摸不着、却可能被远距离接收与推断的信息泄露通道——电磁泄密。
会议室里的一次董事会讨论、研发区的一次技术评审、机房里的一次系统维护,信息在电话机、计算机、显示器、打印机、投影/电子白板等设备工作过程中,会产生非预期的电磁辐射或沿线缆传导的“泄露发射”。一旦攻击者在可接近的位置进行接收与分析,企业核心信息就可能在不知不觉中外流。
问题在于:过去“电磁泄密检测”在市场上经常存在口径不一——有人扫一遍频谱就下结论,有人做了设备、线路、工况、边界的系统性验证;报告交付也常出现“结论漂亮、证据不足、难以复核”的情况。企业想把电磁泄密纳入采购与验收,却缺少一套可落地的技术依据。
现在,这个局面正在改变。
2026年1月16日,《企业环境电磁泄露检测评估标准 V1.0》正式发布:它把企业场景下的电磁泄密检测从“经验型服务”,推进到“工程化评估与可验收交付”。
企业环境电磁泄露检测评估标准
一、为什么说“电磁泄密”是企业最容易低估的风险?
电磁泄密的典型特点是“三难”:
难感知:不像U盘外带、拍照偷拍视频那样直观,很多泄露不触发告警、不留下痕迹。
难界定:辐射泄露、传导泄露、外场合法信号、设备自身电磁噪声混在一起,缺少体系化方法就容易误判。
难验收:没有统一的检测级别、频段覆盖、证据链要求,导致“做没做、做到什么程度、结论可信度”说不清。
企业真正需要的不是“听起来很硬核”的话术,而是能写进合同、能按表验收、能在复测中复现的技术标准。
二、V1.0标准解决的不是“会不会测”,而是“怎么才算合格”
《企业环境电磁泄露检测评估标准 V1.0》明确了三条底线与三个关键词:
1)合法合规:只做授权范围内的被动侦测
标准聚焦电磁泄露发射风险的防控与验证,强调在授权范围内开展被动检测与风险评估,不涉及未授权的内容采集、通信截获、入侵或破解。
企业环境电磁泄露检测评估标准
这对企业尤为关键:既要“测得准”,也要“做得正”,避免合规风险反噬业务。
2)结论有边界:任何结论都必须说明条件依赖
标准强调检测结论具有时点性与条件依赖性,需要结合覆盖范围、驻留时长、清场/断电/拆检条件等限制进行说明。
企业环境电磁泄露检测评估标准
这意味着服务方不能用“绝对安全”“完全排除”这种不负责任的表述糊弄甲方,结论必须工程化表达。
3)证据链可追溯:让结果可复核、可审计
标准把“记录、截图、导出、编号、签收、归档”作为交付的硬要求:让每一个可疑点位、每一个复核动作、每一个结论都有证据支撑,避免“只交一份总结PPT”。
企业环境电磁泄露检测评估标准
同时,本标准与《环境安全检测评估标准 V2.1》的分级理念与质量控制要求保持一致:把检测从“单点技能”升级为“体系化工程交付”。
环境安全检测评估标准 V2.1
三、标准把电磁泄密“拆开讲清楚”:辐射 + 传导,两条通道一起管
企业电磁泄密风险主要来自两类泄露发射:
辐射泄露发射:信息相关信号以电磁波形式从设备或线路向空间辐射;
传导泄露发射:信息相关信号沿电源线、信号线、接地线等导体传播或耦合到其他线路。
企业环境电磁泄露检测评估标准
这也是很多企业过去“检测做了但问题还在”的原因:只盯设备、不看线缆;只测室内、不看边界;只扫频点、不做工况关联验证。标准的价值就在于——把风险路径完整覆盖。
四、三档检测级别,把“投入多少、覆盖多深”讲明白
V1.0给出了可用于招标、选型与验收的分级口径,并对应最低能力边界:
基础级:面向日常办公与一般会议设备抽检,频段覆盖参考10MHz–6GHz,强调基线建立、重点设备近场扫查、异常频点驻留与定位;
强化级:面向重要会议/研发区常规检测,频段覆盖参考100kHz–12GHz,增加近场电/磁探头、线路传导复核、疑点触发双手段交叉验证;
高级:面向核心涉密活动/泄密线索场景,频段覆盖参考100kHz–26.5GHz,强调长时驻留录制、系统性线缆与屏蔽效能验证、关键结论双人复核。
企业环境电磁泄露检测评估标准
这套分级的意义是:企业终于可以把“检测深度”变成可沟通、可报价、可验收的交付指标,而不是全凭经验和口才。
五、一次专业的电磁泄密检测,应该怎么做?
标准把检测方法明确为可落地流程,核心抓手是三件事:基线与白名单、疑点触发、交叉复核。
企业环境电磁泄露检测评估标准
1)先建立“基线”,再谈异常
在不影响业务的前提下,对目标区域进行分段扫描,记录可解释的合法业务信号与噪声底,形成白名单与排除依据;对强外场合法信号(如基站、广播、楼宇无线桥等)通过室内外对比与方向性判别避免误判。
企业环境电磁泄露检测评估标准
2)辐射泄露:近场网格化扫描 + 工况关联驻留
对涉密用途设备建立“设备编号—工况—频段—位置”的记录逻辑:开机/待机/业务运行(打字、显示变化、打印、通话、投屏等)。
用近场电/磁探头对机壳缝隙、接口、电缆束等关键部位网格化扫描,发现疑点后启动驻留观察,记录占空比、周期性与幅度波动,并与设备操作做时间关联。
企业环境电磁泄露检测评估标准
3)传导泄露:电源/信号/接地线的耦合复核不能缺位
对电源线、接地线、网线/电话线/USB/视频线等采用电流探头或耦合夹具进行频谱测量,重点关注线缆汇聚点(地插、配线架、机柜后部、弱电井入口等)。
疑点线路需分段隔离验证(更换回路、断开分支、临时改线路由)定位耦合路径。
企业环境电磁泄露检测评估标准
4)“疑点触发”不是一句话,而是动作闭环
只要出现可疑峰值、可疑相关性或可疑结构点,必须立即启动复核手段,并形成证据链:更换探头类型、改变测点、断开外设/线缆对比、必要时配合拆检与封存。
企业环境电磁泄露检测评估标准
六、怎么判定、怎么验收?标准给了“企业能用”的口径
1)可做符合性判定,也可做工程化风险分级
对涉密用途设备与涉密场所的符合性,可按现行BMB2/GGBB系列等标准的测试方法与安全判据进行判定;对屏蔽室/屏蔽柜等工程防护可按BMB3相关要求验证。由于部分限值可能属于受控范围,V1.0不复现受控限值原文,而要求在合规边界内给出“实测值-限值-判定”的对照逻辑。
企业环境电磁泄露检测评估标准
在企业工程治理场景中,标准还提供了便于管理层决策的风险分级思路(例如相对基线提升幅度、与操作相关性、是否在边界可接收点可复现等),用于明确整改优先级与复测要求。
企业环境电磁泄露检测评估标准
2)验收不是“看结论”,而是看四件事
必检项完成性(该做的都做了);
判据/分级口径清晰(结论能解释、能复核);
证据链完整(截图参数、时间戳、导出清单、签收归档);
整改闭环与复测对比(问题能落地、结果能验证)。
企业环境电磁泄露检测评估标准
七、标准化之后,企业能得到什么“确定性”?
把电磁泄密检测评估标准化,企业获得的不是一份更厚的报告,而是三种确定性:
1)项目确定性:基础/强化/高级怎么选,频段覆盖、人员配置、设备能力写得清清楚楚;
2)交付确定性:证据链、导出文件、介质签收、复测闭环可验收;
3)治理确定性:从“发现—定位—整改—复测—归档”的闭环落地,形成可持续的电磁泄密风险管理机制。
八、企密安/保密网:用标准做交付,用证据链做口碑
保密技术服务不是“秀仪器”,而是“交结果”。我们以环境安全检测评估为核心服务之一,覆盖办公/会议/研发/机房等场景,按照标准化流程实施检测、输出数据证据与整改闭环报告,帮助客户一次性识别并治理关键泄密隐患。
保密咨询服务简介
更重要的是,我们不把检测当成一次性动作,而是把它作为企业商业秘密保护体系建设的技术底座:结合制度、台账、变更管理与复测验收,把“发现”变成“长期可控”。(环境安全检测评估通用方法与质量控制要求可参考《环境安全检测评估标准 V2.1》)
环境安全检测评估标准 V2.1
获取《企业环境电磁泄露检测评估标准 V1.0》与服务方案
如需将“电磁泄密检测评估”纳入企业年度保密体检、重要会议保障或泄密线索排查,欢迎通过保密网联系我们获取标准文本与实施方案。
市场营销联系方式与网页连接
保密网: https://www.baomiwang.com
专家热线:13718605588
业务专线:010-63711822
培训专线:010-87562232
服务邮箱:baomi@baomiwang.com
