高等院校實(shí)驗(yàn)室信息安全調(diào)查及應(yīng)對(duì)

李增江， 段云燕

（西安醫(yī)學(xué)院醫(yī)學(xué)技術(shù)學(xué)院，西安 710021）

0 引 言

高校實(shí)驗(yàn)室對(duì)加速成果轉(zhuǎn)化［1］，推動(dòng)創(chuàng)新、人才培養(yǎng)及技術(shù)進(jìn)步具有重要的現(xiàn)實(shí)意義。但隨著改革開放深化，科研任務(wù)增多，與國(guó)外交流不斷深入，觸及單位與國(guó)家利益相關(guān)秘密，加之新技術(shù)廣泛應(yīng)用，泄密風(fēng)險(xiǎn)日趨增大。從多年高校實(shí)驗(yàn)室實(shí)際看，保密安全實(shí)施說多做少，有必要充分認(rèn)識(shí)高校實(shí)驗(yàn)室信息安全現(xiàn)狀真實(shí)性，認(rèn)真剖析實(shí)驗(yàn)室現(xiàn)狀和失密原因，探索保密問題的方法和新對(duì)策。

1 高等院校實(shí)驗(yàn)室保密現(xiàn)狀

走訪調(diào)查了6所不同高校的107個(gè)實(shí)驗(yàn)室及107位實(shí)驗(yàn)人員，明確知曉國(guó)家有保密法的70人，不明確知曉的23人，大概瀏覽過保密法的13人，完整學(xué)習(xí)過的1人，仔細(xì)研讀過的0人。明確有過失密的實(shí)驗(yàn)室6個(gè)，懷疑曾經(jīng)失密的實(shí)驗(yàn)室9個(gè)，明確沒有失密的實(shí)驗(yàn)室56個(gè)，完全不清楚是否失密的實(shí)驗(yàn)室33個(gè)，從不關(guān)心是否失密的實(shí)驗(yàn)室3個(gè)。

2 高等院校實(shí)驗(yàn)室傳統(tǒng)失密因素

2.1 保密知識(shí)和認(rèn)識(shí)淡薄

教學(xué)、科研及服務(wù)中缺乏保密知識(shí)而對(duì)本身應(yīng)承擔(dān)的保密責(zé)任認(rèn)識(shí)差［2］，看不見實(shí)驗(yàn)室工作具有的機(jī)密或視而不見、見而不管、充耳不聞，不能認(rèn)識(shí)泄密對(duì)國(guó)家利益的嚴(yán)重后果，哪些是科技機(jī)密及價(jià)值、密級(jí)、時(shí)限等問題認(rèn)識(shí)不清，常在教學(xué)、學(xué)術(shù)和接訪中全面展示、有問必答，無意中將應(yīng)保密信息擴(kuò)散出去，給國(guó)家、單位利益造成損害。

2.2 事務(wù)繁雜接觸面廣涉及人員類別多

學(xué)校的教學(xué)、科研、服務(wù)、交流，涉及實(shí)驗(yàn)室、課題組、科研機(jī)構(gòu)、學(xué)校或企業(yè)、部門、其他團(tuán)組、國(guó)家、個(gè)人，人員有教師、本科生、碩士生、博士生、博士后人員、各級(jí)領(lǐng)導(dǎo)、管理人員、專家學(xué)者、技術(shù)人員、外籍教師、留學(xué)生、服務(wù)人員、同事等，這些事、涉及人物互動(dòng)協(xié)作，項(xiàng)目論證、教學(xué)交流、參觀，展現(xiàn)設(shè)備、計(jì)劃、措施、成果，外籍教師和留學(xué)生因教學(xué)需要難免接觸實(shí)驗(yàn)設(shè)備設(shè)施及工作過程，與國(guó)外協(xié)作科研項(xiàng)目相對(duì)教學(xué)參與程度更深，一定意義講這些交往是人際間信息交流，難免無意中涉及機(jī)密問題，稍有不慎后果不可估量。

2.3 實(shí)驗(yàn)室管理漏洞

管理制度不健全、措施不科學(xué)、技術(shù)落后、手段不能與時(shí)俱進(jìn)及責(zé)任心不強(qiáng)、為利益有意泄密、用人失誤均是失密因素。

3 高校實(shí)驗(yàn)室非傳統(tǒng)失密因素

3.1 網(wǎng)絡(luò)提速改進(jìn)加速失密

5G和物聯(lián)網(wǎng)及云計(jì)算等加速方便信息傳遞，泄密速度也伴隨提升，竊密行為更加隱形而難以監(jiān)測(cè)辨別，一旦意識(shí)到失密已不可挽回，對(duì)實(shí)驗(yàn)室信息管理體系、措施、技術(shù)提出了新的挑戰(zhàn)。

3.2 竊密技術(shù)升級(jí)，防范措施相對(duì)落后

計(jì)算機(jī)網(wǎng)絡(luò)安全配置不當(dāng)、操作系統(tǒng)和服務(wù)器漏洞、計(jì)算機(jī)病毒、黑客入侵及Web程序設(shè)計(jì)缺陷等［3］，加之翻墻、褫奪、爬蟲、鉆取、挖掘、勒索、“釣魚”、NFC（Near Field Communicatio-n）等技術(shù)應(yīng)用，如防范措施未升級(jí)均會(huì)嚴(yán)重影響實(shí)驗(yàn)室信息保密［4］。

4 高校實(shí)驗(yàn)室保密問題應(yīng)對(duì)措施

4.1 高校實(shí)驗(yàn)室保密常規(guī)措施

（1）構(gòu)建針對(duì)性涉密實(shí)驗(yàn)室管理體系。涉及保密主管部門及實(shí)驗(yàn)室、人員、電腦、載體、項(xiàng)目、制度管理等環(huán)節(jié)（見圖1）［5］，各保密環(huán)節(jié)在校保密主管部門統(tǒng)管下定期監(jiān)督檢查規(guī)章制度執(zhí)行和保密責(zé)任制落實(shí)情況，在對(duì)業(yè)務(wù)工作流程梳理基礎(chǔ)上，辨識(shí)并分析保密風(fēng)險(xiǎn)點(diǎn)，分析風(fēng)險(xiǎn)等級(jí)、評(píng)估保密管理體系，針對(duì)性［6］制定相應(yīng)管控措施和手段，從而防范風(fēng)險(xiǎn)發(fā)生、減少損失，提高保密防范能力［7］。

圖1 涉密實(shí)驗(yàn)室保密管理體系

（2）完善實(shí)驗(yàn)室保密制度。更新實(shí)驗(yàn)人員日常保密制度及守則，明確保密紀(jì)律和行為標(biāo)準(zhǔn)；涉密文件傳遞、歸檔、借閱、銷毀制定最新制度，有經(jīng)手痕跡記錄和復(fù)核制度；留學(xué)生接觸機(jī)密要逐級(jí)審批并簽責(zé)任書及保密協(xié)議；實(shí)驗(yàn)室日常保密要分塊落實(shí)到人，并確定為年度工作質(zhì)量考核部分，對(duì)泄密、失密事故和行為據(jù)具體情節(jié)給予通報(bào)或扣發(fā)績(jī)效，給國(guó)家和部門造成嚴(yán)重利益損失按政紀(jì)黨紀(jì)或法紀(jì)處置。

（3）重點(diǎn)加強(qiáng)科研為主實(shí)驗(yàn)室保密管理?？蒲袨橹鲗?shí)驗(yàn)人員是參與研發(fā)、項(xiàng)目保密直接責(zé)任人，是保密第一道屏障，要強(qiáng)化他們保密法制觀念［4-8］和業(yè)務(wù)知識(shí)［9］，使他們明晰保密重要性和必要性并嚴(yán)格執(zhí)行針對(duì)性規(guī)章制度，將“人防技防”相結(jié)合［6］。健全資產(chǎn)涉密賬目，簽署實(shí)驗(yàn)室安全保密責(zé)任書，落實(shí)計(jì)算機(jī)及網(wǎng)絡(luò)管理系統(tǒng)安全性，限制系統(tǒng)訪問權(quán)限并定期下載補(bǔ)丁、建立多層病毒防衛(wèi)體系；電腦用有線軟鍵盤及鼠標(biāo)，定期檢查涉密設(shè)備，構(gòu)建可靠“防火墻”，使用者做好交接并記錄；嚴(yán)守用戶名和操作口令，密碼用符合密碼法的復(fù)合密碼；許可后方可觸碰密件，原定密和上級(jí)部門批準(zhǔn)方可復(fù)制，不網(wǎng)上傳送，必要時(shí)斷網(wǎng)封堵U口；配防竊密碎紙機(jī)、密碼箱、保險(xiǎn)柜，密件雙人雙鎖保管、雙人收發(fā)及運(yùn)送，使用時(shí)兩人同時(shí)在場(chǎng)，取用后立即放回保險(xiǎn)柜并雙人簽字記錄；新進(jìn)實(shí)驗(yàn)人員先通過信息安全與保密課程教育培訓(xùn)［10］、掌握基本保密安全知識(shí)和技能、通過實(shí)驗(yàn)室保密安全員審核再進(jìn)入工作學(xué)習(xí)；適時(shí)公布教學(xué)科研服務(wù)數(shù)據(jù)保密與解密時(shí)限；實(shí)驗(yàn)室所有設(shè)施、設(shè)備、資料、制度隱含秘密，教學(xué)、陳列、交流注意適度和按級(jí)申報(bào)審批原則，對(duì)來訪者在不泄密下禮貌接待并記錄；外來實(shí)驗(yàn)人員臨時(shí)性工作人員進(jìn)入須經(jīng)保密責(zé)任人批準(zhǔn)并有相應(yīng)管理人在場(chǎng)；非工作人員進(jìn)入實(shí)驗(yàn)室事先征得保密責(zé)任人同意并保證不碰觸涉密設(shè)備和資料，一般人無故不得長(zhǎng)時(shí)逗留；借出設(shè)備物品須涉密評(píng)估許可，借條應(yīng)有單位證明和經(jīng)手人簽名、保密主管批準(zhǔn)；要害部門按最高級(jí)別管理。儲(chǔ)密載體要符合國(guó)家標(biāo)準(zhǔn)按密級(jí)分級(jí)管理，同一儲(chǔ)密載體有不同等級(jí)涉密材料按最高密級(jí)管理。涉及國(guó)家機(jī)密對(duì)實(shí)驗(yàn)室地理位置［11］和真實(shí)用途保密或不掛牌或用表象實(shí)驗(yàn)掩護(hù)目的實(shí)驗(yàn)，處理好地理位置和保密［12］及科研和保密［13］關(guān)系；配備信息安全監(jiān)督員定期評(píng)估審核，公開發(fā)表著作和論文不涉實(shí)驗(yàn)中產(chǎn)生的秘密并經(jīng)保密主管部門審查及履行報(bào)批手續(xù)［14］，離退職者接受脫密期管理（見圖2）。

圖2 實(shí)驗(yàn)室保密措施體系

4.2 新型失密威脅應(yīng)對(duì)措施

（1）加強(qiáng)政治教育，學(xué)好保密法，增強(qiáng)信息安全敏感性。保密工作政治、政策性很強(qiáng)，必須學(xué)好保密知識(shí)同時(shí)加強(qiáng)政治教育，從政治高度充分認(rèn)識(shí)關(guān)于國(guó)家網(wǎng)絡(luò)安全“四個(gè)堅(jiān)持”重要指示精神重大意義，在信息化發(fā)展大勢(shì)下積極應(yīng)對(duì)信息安全挑戰(zhàn)，結(jié)合大學(xué)網(wǎng)絡(luò)文化活動(dòng)加強(qiáng)信息安全宣傳教育，提升師生信息安全意識(shí)，增強(qiáng)實(shí)驗(yàn)人員的保密認(rèn)識(shí)和國(guó)家安全政治責(zé)任感和警覺性，增強(qiáng)對(duì)實(shí)驗(yàn)室秘密的敏感性；實(shí)驗(yàn)室保密是國(guó)家整體保密工作重要組分，關(guān)系國(guó)家政治、經(jīng)濟(jì)、科技權(quán)益和發(fā)展安全。

（2）實(shí)驗(yàn)室保密新技術(shù)（見圖3）。使用影像識(shí)別驗(yàn)證及無線報(bào)警裝置［15］，加密數(shù)據(jù)庫(kù)及數(shù)據(jù)［16］；機(jī)器學(xué)習(xí)協(xié)助信息安全風(fēng)險(xiǎn)定量評(píng)估及控制［17-18］，掌握各種暗網(wǎng)的特點(diǎn)、漏洞、瀏覽器、使用及防范對(duì)機(jī)密信息攻擊的技術(shù)［19］，端到端通信界面互操口令路徑中間節(jié)點(diǎn)符合IMS（IP Multimedia Subsystem）標(biāo)準(zhǔn)安全設(shè)置［20］，以熵TOPSIS（Technique for O-rder Preference by Similarity to an Ideal Solutio-n）提供安全感知虛擬網(wǎng)絡(luò)嵌入算法［21］，提高D2D（Device-to-Device）通信物理層安全和效率［22］；采用相互認(rèn)證、會(huì)話密鑰建立、用戶優(yōu)先性等屬性密碼的優(yōu)先感知切換認(rèn)證協(xié)議［23］，及身份加密與云網(wǎng)外包的等式測(cè)試、PKE-ET-HS（Public Key Enc-ryption with Equality Test for Heterogeneous Systems）［24］、RSA（Rivest、Shamir、Adlema）和DSA（Digital Signature Algorithm）加密算法加密；涉及區(qū)塊鏈行屬性加密［25］，其安全體系用NDN（Named Data Networking）管理密鑰、保護(hù)緩存中毒和控制隱私訪問［26］，用篡改恢復(fù)技術(shù)行語音傳輸認(rèn)證和存儲(chǔ)［27］，涉及物聯(lián)網(wǎng)要加強(qiáng)安全性及隱私保護(hù)［28］，物聯(lián)網(wǎng)感應(yīng)到的特定數(shù)據(jù)由輕量級(jí)西蒙分組密碼加密通信，分布式物聯(lián)網(wǎng)用BacS（Blockchain-ba-sed access control Scheme）［29］或霧計(jì)算和物聯(lián)網(wǎng)數(shù)據(jù)策略或共享生成模式保護(hù)隱私安全［30-31］，云協(xié)助物聯(lián)網(wǎng)環(huán)境下用IBEAET（Identity-Based Encrypt-ion scheme with Authorized Equivalence Test）加密外包數(shù)據(jù)并搜索［32］，需要共享采用混沌映射一次性密鑰、密文策略屬性加密、動(dòng)態(tài)策略更新、通信認(rèn)證、解密密鑰和文件驗(yàn)證、具外包資質(zhì)的fog網(wǎng)絡(luò)、安全高效的數(shù)據(jù)方案［33］，或通過智能擴(kuò)展多媒體計(jì)數(shù)的目標(biāo)密鑰為多用戶認(rèn)證系統(tǒng)處理程序訪問提供安全可靠高效的秘密共享服務(wù)［34］，用邊緣計(jì)算數(shù)據(jù)完整性審查方案［35］保證多媒體數(shù)據(jù)安全有效。分布式環(huán)境中的角色、對(duì)象和權(quán)限可使用代理進(jìn)行識(shí)別和分類，通過代理學(xué)習(xí)和適應(yīng)變化，從給定的數(shù)據(jù)集中識(shí)別角色、對(duì)象和權(quán)限，根據(jù)規(guī)則和策略歸類識(shí)別控制本體訪問［36］；移動(dòng)設(shè)備CPU內(nèi)集成符合綜合安全標(biāo)準(zhǔn)的MTPM（Mobile Trusted Platform Module）的安全處理器解決移動(dòng)設(shè)備的信息安全［37］，用一個(gè)單一AP（Access Point）［38］的LaSa（Location aware Securit-y access control）將無線網(wǎng)絡(luò)訪問限制在一定物理區(qū)域內(nèi)；移動(dòng)邊緣計(jì)算中采用多媒體SPARA（Security and Performance Aware Resource Allo-cation）算法分配計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源［39］，移動(dòng)通信節(jié)點(diǎn)安全互信系統(tǒng)驗(yàn)證在接入網(wǎng)絡(luò)前采用樸素貝葉斯的機(jī)器學(xué)習(xí)和隱馬爾可夫模型的隱藏節(jié)點(diǎn)異構(gòu)移動(dòng)網(wǎng)絡(luò)接入控制檢測(cè)方法［40］，對(duì)惡意軟件檢測(cè)技術(shù)進(jìn)行評(píng)估和基準(zhǔn)測(cè)試以確定最好的智能手機(jī)惡意軟件應(yīng)用檢測(cè)［41］；為了防止竊聽保護(hù)主傳輸系統(tǒng)的傳輸機(jī)密性，采用ST（Seco-ndary Transmitter）輔助機(jī)會(huì)干擾傳輸協(xié)議、OSTS（Optimal Secondary Transmission Selection）和OCJS（Optimal Cooperative Jammer Selection）［42］；不同互聯(lián)網(wǎng)環(huán)境和用戶需求、應(yīng)用場(chǎng)景下采用不同的技術(shù)、方法和系統(tǒng)［43］訪問控制模型和策略，尤其是云計(jì)算［44］；探索使用AI或IO（Indisti-nguishability Obfuscation）加密算法或量子通信干線終端密鑰認(rèn)證（見圖3）。

圖3 實(shí)驗(yàn)室保密新技術(shù)體系

5 結(jié) 語

實(shí)驗(yàn)室是現(xiàn)代大學(xué)的心臟［45］，無論時(shí)代和科技如何變化，應(yīng)嚴(yán)格以保密法和條例為指導(dǎo)，結(jié)合日常工作實(shí)際，總結(jié)經(jīng)驗(yàn)，制定科學(xué)合理的實(shí)驗(yàn)室保密管理體系，強(qiáng)化常規(guī)保密的同時(shí)，探索信息化條件下現(xiàn)代化的保密管理措施和技術(shù)手段，才能在教學(xué)、科研和服務(wù)工作正常開展的同時(shí)確保信息安全。鑒于本文調(diào)研實(shí)驗(yàn)室數(shù)量有限，觀點(diǎn)難免欠妥，有待進(jìn)一步研究。