科研單位網(wǎng)絡(luò)信息安全管理

李志偉

摘 要：隨著信息化應(yīng)用的日益廣泛，科研單位的信息系統(tǒng)中存儲(chǔ)的大量有價(jià)值的信息和數(shù)據(jù)，已成為各種網(wǎng)絡(luò)犯罪組織和惡意勢(shì)力的攻擊目標(biāo)，網(wǎng)絡(luò)非法行為日趨復(fù)雜，且更為頻繁，各種攻擊方法相互融合，攻擊手段更為隱秘，破壞性更強(qiáng)，攻擊從網(wǎng)絡(luò)層向應(yīng)用層遷移。但是，我們也應(yīng)該看到，在科研單位的信息化建設(shè)過程中，還存在著科研人員安全保密意識(shí)薄弱、網(wǎng)絡(luò)信息管理秩序混亂，缺乏統(tǒng)一標(biāo)準(zhǔn)、缺乏針對(duì)性的網(wǎng)絡(luò)信息安全防范制度等問題。本文有針對(duì)性地分析研究科研單位網(wǎng)絡(luò)信息安全管理的問題，并提出相應(yīng)的對(duì)策，為科研單位信息安全管理提供了理論借鑒。

關(guān)鍵詞：信息安全；網(wǎng)絡(luò)；科研單位防范

1 信息安全的理論概述

信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。

信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。

2 科研單位網(wǎng)絡(luò)信息安全存在的問題分析

2.1 科研單位網(wǎng)絡(luò)信息安全現(xiàn)狀分析

在科研信息化基礎(chǔ)設(shè)施建設(shè)方面，受國(guó)家“863計(jì)劃”重大專項(xiàng)等支持建設(shè)的中國(guó)國(guó)家網(wǎng)格，聚合了高性能計(jì)算和事務(wù)處理能力，共集成11種應(yīng)用網(wǎng)格，通過資源共享，服務(wù)于科學(xué)實(shí)驗(yàn)研究，中國(guó)科學(xué)院“十一五”統(tǒng)籌規(guī)劃建設(shè)的超級(jí)計(jì)算中心，支持基礎(chǔ)研究模擬仿真等高性能計(jì)算?？蒲行畔⒒俏覈?guó)在信息化時(shí)代科研活動(dòng)的必然發(fā)展方向，也是增強(qiáng)我國(guó)創(chuàng)新力、立足世界科技發(fā)展前沿的重要途徑。

2.2 科研單位網(wǎng)絡(luò)信息安全存在的問題

2.2.1科研人員安全保密意識(shí)薄弱

我們可以看到信息安全事故發(fā)生的主要因素是認(rèn)為因素，另外內(nèi)部人員作案也占10%，這是一組非常驚人的數(shù)據(jù)，由于科研人員缺乏基本的信息安全保密知識(shí)，在具體工作中，違規(guī)操作、有章不循、監(jiān)管不力等現(xiàn)象頻繁發(fā)生，更沒有意識(shí)到信息安全問題不僅僅是職能部門的事，更是每個(gè)人必須遵守和維護(hù)的重要工作；也不了解信息化過程中對(duì)應(yīng)的安全風(fēng)險(xiǎn)，如內(nèi)部口令互串。

2.2.2網(wǎng)絡(luò)信息管理秩序混亂，缺乏統(tǒng)一標(biāo)準(zhǔn)

當(dāng)前科研單位信息管理缺乏宏觀的全面規(guī)劃，存在盲目地追求設(shè)備的先進(jìn)性，從而導(dǎo)致管理秩序混亂，缺乏統(tǒng)一標(biāo)準(zhǔn)。主要表現(xiàn)在：對(duì)移動(dòng)存儲(chǔ)介質(zhì)，移動(dòng)計(jì)算機(jī)設(shè)備的使用上缺乏有效的監(jiān)控手段，普遍存在隨意處理各類密級(jí)文件、隨意使用私人存儲(chǔ)介質(zhì)、隨意拷貝文件的現(xiàn)象；數(shù)據(jù)庫(kù)標(biāo)準(zhǔn)不統(tǒng)一，致使網(wǎng)絡(luò)信息數(shù)據(jù)資源無法流通、匯總，影響了信息資源的利用率等等。

2.2.3缺乏針對(duì)性的網(wǎng)絡(luò)信息安全防范制度

科研單位的網(wǎng)絡(luò)信息安全責(zé)任體系尚不健全，存在不同部門職責(zé)劃分不清，多頭指導(dǎo)、建設(shè)和監(jiān)督未能有效分離，檢查監(jiān)督不到位，出現(xiàn)問題難以落實(shí)到人等問題。這些問題造成科研單位內(nèi)部管理混亂，責(zé)任不明確，技術(shù)措施不能到位，出現(xiàn)問題互相推諉等現(xiàn)象，嚴(yán)重影響科研單位整體的信息安全防范能力。

2.3 科研單位網(wǎng)絡(luò)信息安全存在問題的原因分析

2.3.1人員素質(zhì)及安全意識(shí)亟待提高

科研工作性質(zhì)決定了對(duì)科研人員有很高的保密要求，但是在日常工作中科研人員對(duì)信息安全問題還存在不少認(rèn)知盲區(qū)，對(duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足，沒有形成一個(gè)合理的信息安全管理系統(tǒng)來指導(dǎo)組織的信息安全管理工作，更缺乏對(duì)員工進(jìn)行必要的安全法律法規(guī)和防范安全風(fēng)險(xiǎn)的教育與培訓(xùn)，現(xiàn)有的安全規(guī)章組織未必能嚴(yán)格實(shí)施等，科研人員的安全意識(shí)淡薄將導(dǎo)致了很大的安全隱患。

2.3.2信息加密技術(shù)及措施不能滿足實(shí)際需要

隨著科研單位網(wǎng)絡(luò)信息化建設(shè)正在不斷深化，科研單位現(xiàn)有信息安全產(chǎn)品種類逐漸增多，由于安全產(chǎn)品種類多樣，其保密要求高，越來越多的數(shù)據(jù)信息通過網(wǎng)絡(luò)和計(jì)算機(jī)完成處理和交換任務(wù)，社會(huì)上通用的技術(shù)手段遠(yuǎn)遠(yuǎn)不能滿足其安全需求；急需與之相適應(yīng)的各類專用安全保密技術(shù)措施。雖然目前科研單位已經(jīng)對(duì)加密問題采取了一些措施，但加密仍是科研單位信息安全保密工作亟待解決的問題之一。

2.3.3科研單位信息安全責(zé)任體系尚不健全

科研單位信息安全管理仍處于初級(jí)階段，由于存在很多不確定因素，導(dǎo)致政府在該方面的立法尚不完善，加之科研單位組織結(jié)構(gòu)的調(diào)整和職能轉(zhuǎn)變?nèi)圆坏轿唬?dāng)前仍存在組織機(jī)構(gòu)設(shè)置不合理，部門職能交叉、重疊嚴(yán)重；研究程序比較落后，缺乏嚴(yán)格的信息安全責(zé)任體系等問題。相關(guān)立法體系及安全責(zé)任體系的滯后與空缺在很大程度上制約著科研單位的信息安全管理建設(shè)。

3 加強(qiáng)科研單位網(wǎng)絡(luò)信息安全保障的措施

3.1 提高科研人員素質(zhì)，強(qiáng)化信息安全培訓(xùn)

加強(qiáng)科研單位網(wǎng)絡(luò)信息安全建設(shè)，需要實(shí)現(xiàn)安全保密意識(shí)統(tǒng)一規(guī)劃、規(guī)范指導(dǎo)、有效監(jiān)管的目標(biāo)。信息安全是人、管理、技術(shù)的有機(jī)結(jié)合，其中人是根本，管理是關(guān)鍵，技術(shù)是保證。通過普及教育、專業(yè)培訓(xùn)等方式，對(duì)不同類型的人員進(jìn)行相關(guān)的安全教育，提高科研人員的素質(zhì)，越是對(duì)授予較高權(quán)限的人員，越要增強(qiáng)其安全意識(shí)。

3.2 強(qiáng)化信息安全技術(shù)，規(guī)范信息安全管理

規(guī)范信息安全管理的重要途徑是強(qiáng)化信息安全技術(shù)，主要有：

（1）采取指紋、智能卡、網(wǎng)絡(luò)身份認(rèn)證（PKI/CA）等多種強(qiáng)認(rèn)證方式實(shí)現(xiàn)身份認(rèn)證和授權(quán)管理；

（2）采用內(nèi)部安全監(jiān)控和審計(jì)技術(shù)，控制信息出入口，以保證信息的受控使用；

（3）使用國(guó)家密碼管理局批準(zhǔn)裝備使用的密碼設(shè)備；

（4）采用網(wǎng)絡(luò)與數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，記錄用戶的使用行為；

（5）采用防火墻、入侵檢測(cè)、防病毒等多種技術(shù)手段，以保證基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的安全；

（6）采取標(biāo)識(shí)和鑒別技術(shù)，保證工作用移動(dòng)介質(zhì)的授權(quán)使用，統(tǒng)一編碼，統(tǒng)一管理；

3.3 完善科研單位信息安全管理規(guī)章制度

針對(duì)當(dāng)前科研單位信息安全管理不完善的情況，政府應(yīng)當(dāng)加快相關(guān)的法律、法規(guī)的立法進(jìn)程，制定具有前瞻性，能夠與現(xiàn)有的相關(guān)國(guó)際法律、規(guī)則相兼容的法律法規(guī)，通過建章立制，嚴(yán)明制度，完善科研信息安全管理的信息維護(hù)、數(shù)據(jù)錄入、文件歸檔等方面的一系列制度，做到具體工作責(zé)任量化，落實(shí)到人，為科研工作建設(shè)創(chuàng)造良好的法制氛圍。

4 結(jié)語(yǔ)

信息技術(shù)已滲透到科研單位的各個(gè)領(lǐng)域，正在發(fā)揮著越來越重要的作用。但是，信息技術(shù)也是一把“雙刃劍”，它在提高科研工作效率的同時(shí)，也引入了更多的信息安全隱患。這些問題嚴(yán)重阻礙科研單位的正常工作，甚至還會(huì)造成科研工作系統(tǒng)的癱瘓，直接危害科研單位的信息安全。因此，通過提高科研人員素質(zhì)，強(qiáng)化信息安全培訓(xùn)、強(qiáng)化信息安全技術(shù)，規(guī)范信息安全管理、完善科研信息管理體系，加大問責(zé)力度、完善科研單位信息安全管理規(guī)章制度等方法，做到正確規(guī)避信息安全問題，為科研單位發(fā)展提供有效的解決辦法。

參考文獻(xiàn)

[1]李建華.信息安全技術(shù)發(fā)展與信息安全保密管理[J].保密科學(xué)技術(shù)，2013，（3），6-7

[2]徐瑋晟，張保穩(wěn)，李生紅.網(wǎng)絡(luò)安全評(píng)估方法研究進(jìn)展[J].專家新論，2009（10），50-52

[3]孫寶文，王天梅.電子政務(wù)[M].高等教育出版社，2008，11-12

[4]李彥輝，王述洋，王春艷.網(wǎng)絡(luò)信息安全技術(shù)綜[J].林業(yè)勞動(dòng)安全，2007，20（1），25