机关、单位速查！Word、PDF可能泄密……

附：机关单位文档安全防护日常检查清单

出品丨自主可控新鲜事

本文内容来源于保密观等

正文共2153，建议阅读时间4分钟

在日常机关与单位办公中，接收发送邮件、查阅下载文档已成为基础得不能再基础的工作流程。很少会多想，这些看似平常的DOC、PDF文档的背后，可能正隐藏着窃取机密的恶意代码。

2026年1月22日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布风险提示，指出攻击者正将恶意代码精心藏匿于普通的DOC文档与PDF文件中，把最常见的办公格式变成窃密的“特洛伊木马”。其目标直指政府、军事、电信、能源等重要机构，意在盗取系统凭证、内部文件等核心敏感数据。

而近日，中央保密委员会办公室（国家保密局）主管主办的金城出版社官微“保密观”发布的一篇文章进一步揭开了“”的操作面纱......

Word、PDF如何成为“窃密工具”？

拆分来看，其攻击手法并不复杂，却极具迷惑性。对于Word文档，攻击者常利用宏代码功能。攻击者通常将恶意宏代码嵌入Word文档，模仿官方口吻伪装成会议通知、合同、补丁说明等常用文件。用户打开文档后，会弹出“启用宏才能正常显示”的提示，一旦点击“启用内容”，内嵌的宏代码便会悄然执行，植入后门，实现开机自启、远程控机，全程静默无提示。而对于PDF，陷阱可能更为隐蔽。除了文档内可能嵌入恶意脚本外，攻击者甚至会使用“pdf.exe”这类双后缀文件名进行伪装，利用Windows系统默认隐藏已知后缀的特性，让用户误以为是普通PDF，一旦误点，就瞬间触发了隐藏命令，下载窃密程序，导致系统中招。

如何防患于未然？

网络窃密无孔不入，面对这种贴近日常的威胁，被动补救远不如主动设防。首先，必须立即调整办公软件的安全设置：在Office中禁用默认宏执行，仅允许受信任、已签名的宏运行。其次，严守文件打开纪律：对陌生邮件附件中的文档，务必先核实发件人身份，确认安全后也应关闭宏功能再浏览，坚决不点击任何可疑的“启用内容”按钮。处理PDF时，养成先查看文件真实后缀的习惯，始终通过正规阅读器打开，并对陌生来源、尤其压缩包内的PDF附件保持高度警惕。

此外，单位层面的安全防护需要同步升级。应及时组织终端排查，清查并删除如“SystemProc.exe”之类的已知恶意程序；通过监控注册表启动项，及时发现并清除后门配置；同时，考虑部署动态沙箱等高级防护工具，对接收的文档进行深度隔离与行为分析，将威胁扼杀在触发之前。

网络安全无小事，泄密风险往往隐藏于最寻常的细节之中。当文档成为载体，习惯性的“打开”动作便可能成为漏洞的起点。唯有将安全警示转化为日常操作中的每一分谨慎，才能在这片没有硝烟的战场上，牢牢守住机密的安全防线。

附：机关单位文档安全防护日常检查清单
一、个人操作安全检查清单
1. 办公软件安全设置检查
Office系列（Word/Excel/PPT）：

• 确认已禁用默认宏执行（路径：文件→选项→信任中心→信任中心设置→宏设置→禁用所有宏并发出通知）；

• 仅允许经数字签名的受信任宏运行（通过“信任位置”添加本单位认证文档目录）；

• 关闭“编辑时允许运行宏”等高危选项，避免被动触发。

PDF阅读器：

• 使用正规PDF工具（建议使用国产流版签），禁用“自动执行JavaScript”功能（设置→JavaScript→取消勾选“启用Acrobat JavaScript”）；
  

• 拒绝使用来源不明的“轻量版”“破解版”阅读器，可能内置后门。

  系统基础设置：

• 开启“显示文件扩展名”（文件夹选项→查看→取消“隐藏已知文件类型的扩展名”），识别“合同.pdf.exe”等双后缀伪装文件；

• 定期更新Office、PDF阅读器及操作系统补丁（尤其关注CVE编号的文档解析漏洞，如CVE-2025-1234 PDF引擎漏洞）。

• 对非预期邮件附件（如“紧急通知.doc”“数据报表.pdf”），必须通过电话/内部通讯工具向发件人二次核实（境外组织常仿冒上级单位邮箱）；
• 压缩包内文档（如“2026年预算.zip”）：先扫描压缩包（用单位杀毒软件），再解压至隔离文件夹检查。

宏与脚本警惕：

• 打开Word文档时，绝不点击“启用内容”，优先用“只读模式”浏览；
  

• 发现文档内异常提示（如“需启用宏查看完整内容”），立即标记为可疑并上报保密部门。

• 定期备份重要文档至涉密专用存储设备（物理隔离U盘/光盘），避免单一终端感染导致数据丢失；
• 关注官方账号发布的新型攻击案例，每月学习1次警示案例；
• 发现终端异常（如CPU占用突增、莫名弹窗、文件被加密），立即断网并联系IT部门。

1. 终端与资产安全排查

恶意程序清理：每周用EDR工具扫描终端，重点清查“SystemProc.exe”“UpdateHelper.dll” 等已知恶意文件；监控注册表启动项（HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run），清除异常自启动项（如指向境外IP的后门）。

高级防护部署：部署动态沙箱（如奇安信网神沙箱、深信服沙箱），对接收的文档进行“隔离打开+行为分析”；启用邮件网关过滤，拦截含“.docm”“.pdf.exe”等高危后缀的附件。

2. 人员培训与制度落地

常态化培训：每季度组织文档安全攻防演练，检验员工警惕性；对新入职员工开展“文档安全必修课”，考核通过后方可接触涉密文档。

制度流程完善：制定《外来文档接收审批表》，要求非本单位生成的文档必须经保密办核验；落实“最小权限原则”：非必要岗位禁用宏功能，限制普通用户访问涉密目录权限。

3. 日志审计与责任追溯

开启文档操作日志审计，保留至少6个月记录；对异常文档行为（如批量下载、访问加密目录）建立“红黄蓝”三级预警，24小时内核查处置。

免责声明：本文系网络转载，版权归原作者所有。但因转载众多，或无法确认真正原始作者，故仅标明转载来源，如涉及作品版权问题，请与我们联系，我们将在第一时间协商版权问题或删除内容！内容为作者个人观点，并不代表本公众号赞同其观点和对其真实性负责。

点击下方标题，洞悉信创产业发展