20世纪60年代,我国发生了最著名的“照片泄密案”,《中国画报》刊出了一张照片——“铁人”王进喜头戴狗皮帽,身穿大棉袄,顶着鹅毛大雪,握着钻机手柄眺望远方。
国外情报专家据此探寻出大庆油田的秘密,结合针对王进喜的系列报道,推断出其所在纬度、油井直径和大致产量等信息,从而向我国高价推销炼油设施。所幸的是,这些分析出的情报只是为了推销设备,并不是用于军事战略意图,否则后果不堪设想。
(大庆油田)
如今,半个多世纪过去了,人们对公开发布照片已形成一定警觉和约束,重要设施、敏感区域禁止拍照也成为越来越多民众的共识,但殊不知,在通过审核并予以发布的照片和视频背后,还隐藏着一类鲜为人知的信息——元数据,同样也可能泄露大量信息。
元数据是什么?
元数据与主数据对应。主数据是指文件的主体信息,如文字、表格、图片内容等,元数据则是描述主数据的信息,如文件的属性信息、摘要信息等,且元数据一般附加在电子文件中,不易直接查看。
对于照片和视频而言,其主数据是可见的图像像素信息,而元数据是拍摄、录制有关的信息,通常包括拍摄时间、拍摄参数、位置信息、曝光模式、颜色模式、拍摄器材、图像处理信息等,多达上千项。
相机、摄像机、手机、无人机、摄像头、车载记录仪等设备在拍摄照片或录制视频的同时,就已将元数据嵌入其中。
在照片、视频文件的后期处理阶段,编辑者也可以将关键词等信息加入文件中,记录地点、人物、事件、标题,以及摄影师姓名、版权信息等,便于文件的归档、整理和检索。
元数据究竟藏在哪里?又是怎样被窃取的呢?
其实并不难,有三种途径可以查看:
1、在计算机上查看文件属性获得基本信息
2、使用手机第三方应用程序查看照片信息。
3、通过看图软件、图片和视频编辑软件等,查询更为详细的元数据。
如今,市场上已经有专业的元数据编辑软件了。这种软件可以批量收集照片属性和拍摄数据等信息,不仅能将照片的位置信息等统一导出形成电子表格,供分析使用,还能读取、识别不同数码厂商的注释信息,批量删除和修改照片、视频元数据,或一键清除原始元数据后自动插入大量新的元数据信息,功能异常强大。
当我们拍摄一张照片、一段视频,将其上传至微信、抖音等互联网平台时,就意味着照片、视频背后的元数据也一并公之于众了。然而由于元数据的特殊性和隐蔽性,发布者可能并不了解这些图像背后的信息,审核时也忽略了这一环节。
但对于潜藏在网端的信息收集者来说,他们不仅能够从中得知拍摄时间、所用器材、拍摄位置,还能分析出拍摄者常去的城市、居住地、工作地点等信息。
更有甚者,黑客通过关注和挖掘微博、QQ、短视频等社交平台即时上传的照片、视频,就可判断发布者当前所处的地理位置,为实时跟踪提供线索和依据。
普通民众的个人信息数据若被他人知悉,可引发隐私泄露、电信网络诈骗等,而对于公务人员尤其是军人、重要行业企业涉密人员,以及特定身份背景的公众人物,如果他们的信息数据被不法分子获悉,很可能会触及国家秘密泄露的情形。
例如,针对军事、国防科技工业等热点问题的会议、活动相关照片、视频等素材,能够通过素材背后的元数据分析出军事行动的时间、具体位置、拍摄器材型号及其特征序列号等。
如果这些信息是内部信息或敏感信息,则发布视频、照片的人就可能涉嫌违规。此外需要注意的是,内部人员发布涉密场所、军事管理区内拍摄的风景、静物等照片,虽然画面不涉及敏感内容,但其背后的元数据仍然存在泄露工作秘密甚至国家秘密的风险。
那如何给元数据加上“防护网”呢?
保密意识
增强对元数据的安全保密意识。及时深入了解新技术背后的安全保密隐患,并在相应行业领域展开培训教育和知识普及,扫除认知盲区。
管理规定
严格执行安全保密管理规定。将元数据纳入保密审查范围,严格对照国家秘密定密细目与工作秘密事项清单,剔除相关安全保密隐患。
追踪管控
实现元数据无死角追踪管控。熟练掌握照片、视频元数据查看工具,遇必要情况时可清空或主动清除带有敏感信息的元数据,彻底堵上有关安全保密漏洞。
转载自《安全保密》公众号