網絡環境下科技信息資源共享的內容安全問題研究

[摘 要]網絡環境下，科技信息資源的共事變得更加方便快捷，但同時也面臨著諸如“信息泄露”、“知識產權保護”等新問題。本文分析了當前科技信息資源共享呈現出的新特點和面臨的內容安全威脅，從技術和管理兩個角度提出了科技信息資源共事的內客安全保護方法和措施。

[關鍵詞]科技信息資源；內客安全；知識產權保護

[中圖分類號]G203 [文獻標識碼]A [文章編號]1008-0821(2010)01-0166-04

科技信息直接記述和反映了各種科研活動和科研成果，是儲備科技成果和科技知識的主要載體。近年來，各種科技文獻、科學數據等科技信息資源被大量地數字化并存儲于網絡之上，通過互聯網絡實現資源的共享，一方面滿足了信息社會對科技資源共享的迫切需求，促進了科技信息資源的共享利用，另一方面，科技信息在網絡傳播過程中，又容易發生技術泄密、侵犯知識產權等內容安全問題。在網絡環境下，如何在做好科研成果的推廣應用，促進科技信息資源的共享的同時，做好技術保密和知識產權保護工作，控制和防范資源共享的內容安全，成為當前科技資源管理中的一個重要研究課題。

1 網絡環境下科技信息資源共享的特點

信息社會和網絡時代的到來，對科技信息資源的共享利用產生了深刻的影響。從最初的圖書館間的館際互借到如今的數字圖書館，甚至包括信息咨詢、信息租賃等有償共享都是不同形式的信息資源共享形式。可以說，計算機技術和通信技術相結合建立起來的信息基礎設施，不僅改變著我們的經濟和社會，而且變革了人們的思想觀念和生活方式，使網絡環境下的科技信息資源共享表現出一系列新的特點。

1.1 網絡時代催生科技信息資源共享新的需求

相比傳統的生產生活方式，信息時代的最大不同莫過于工作、生活的方式和手段的巨大變革。信息處理的數字化、自動化替代了手寫和人工計算，工作范圍的擴展與延伸，使傳統的辦公室或車間的工作環境變成為一種開放性的、全天候、全方位的工作空間。在這樣一種趨勢下，傳統的各種紙質科技文獻和科學數據不能滿足這樣一種工作模式對信息的檢索、交換和共享的要求，將這些科技信息資源進行數字化，構建科技信息資源網絡數據庫，實現科技信息資源的加工、存儲、檢索、共享應用的網絡化成為必然選擇。同時，人們逐漸習慣計算機和網絡的辦公理念和無紙化辦公、網絡辦公等工作方式，這對信息資源的共享和協作開發利用提出更高的要求。

另一方面，網絡迅猛發展帶來的“信息爆炸”，使得信息量以指數級增長，信息極大膨脹，許多原本有價值的科技信息資源很可能被淹沒于信息的汪洋大海之中，產生“信息腐爛”問題。同時，網絡推動下的科技加速發展與創新，縮短了新技術、新成果的研發周期，科技信息資源的老化速度加快。這些因素使得科技信息資源日益呈現出“過期作廢”的特點。只有實現科技信息資源的及時共享和利用，才能較好地發揮其價值，促進科技和經濟發展。由此可見，網絡時代的到來，對科技信息資源的共享利用起到了很大的促進作用，催生了新的、更為迫切的信息共享需求。

1.2 網絡環境促進了科技信息資源共享的發展

計算機信息處理技術的進步，賦予了計算機信息系統的海量信息處理能力，網格計算、云計算等新型網絡計算模式的應用，讓計算能力無所不在，使科技信息資源的數字化采集、存儲及處理的效率得到極大的提升；計算機信息檢索、知識分類、自動聚類等知識處理技術的發展，促進了科技信息資源的合理有序組織和信息處理過程的自動化、智能化；同時，數字圖書館以及其他網絡信息平臺的興起，為科技信息資源的信息服務提供了技術平臺和便捷的資源獲取手段。目前，網絡已經成為科技信息資源共享和服務的重要平臺。在有償服務當中，資源用戶還可以通過網上銀行實現服務費用的網絡支付。網絡化的信息服務環境，推動了科技倌息資源共享和信息服務手段的創新發展，同時也拓寬了信息服務范圍。

1.3 網絡環境科技信息資源獲取的自由性

傳統的科技信息資源共享主要通過手工獲取資源副本離線完成，而在網絡環境下，主要是通過互聯網絡在線完成的，即通過專有的共享系統平臺或者以網絡信息發布的方式實現科技信息資源的共享。在前一種資源共享方式下，資源共享的操作通過系統完成，資源所有者可能并不知道資源用戶是誰，后一種方式面向互聯網絡發布信息資源，信息用戶存在更多的不可控制因素。另一方面，信息資源存儲于網絡之上，對資源的訪問和獲取不拘泥于單一的手段和方法，理論上講，只要滿足特定的授權，無論是以合法手段還是非法手段，用戶隨時隨地都有可能訪問到相應的信息資源。因此，在網絡的虛擬世界里，科技信息資源的獲取具有更多的方法和途徑，也有更大的自由性。這在給科技信息資源共享帶來便利的同時，也帶來了內容安全風險。

2 科技信息資源共享的內容安全風險

網絡環境下科技信息資源共享面臨著許多安全風險。如操作系統漏洞、資源共享系統平臺缺陷導致資源被非法竊取或篡改，計算機病毒導致資源遭到破壞甚至丟失，軟件系統或網絡系統故障導致資源無法獲取，等等。本文不打算對這些類型的安全威脅作進一步的探討，而是著眼于資源的內容安全，即用戶合法獲得資源后，在使用資源內容的過程中可能產生的安全威脅，科技信息資源共享的內容安全威脅主要有兩類情形，一是對資源的無償或侵權使用，二是敏感信息的泄露風險。

2.1 資源的侵權使用

從使用的成本和約束的角度看，通過網絡獲取的科技信息資源大致可分為自由使用和有限使用兩類，自由使用是指資源可公開下載、供用戶免費使用；有限使用則是指使用資源應支付一定費用，或者資源只供學習科研之用，不得用于商業目的等等，而一旦超出了規定的傳播范圍之外，就造成了侵權。有的用戶在自己的科研活動中參考了其他人或其他科研機構的科技信息資源而不加以引用注明，用戶非法復制、傳播和發布其購買的倌息資源拷貝，或者商業公司未經授權采用網上的科技資源從事生產和銷售活動等等，這些行為均屬于對科技信息資源的侵權使用。由于網絡的虛擬性，資源用戶的這些行為難以得到有效控制，科技信息資源的無償使用和侵權使用現象屢有發生，這給網絡科技信息資源的共享利用造成了很大的內容安全威脅。

此外，網絡資源的非結構化特征，使得許多科技信息資源的來源和版權信息并未明確標注在資源之中，使用這些資源時又可能出現侵犯知識產權的現象。

2.2 敏感信息的泄露風險

科技信息資源，特別是關系國家安全戰略和經濟安全的國防科技信息等科技資源。通常是面向特定主題領域的受控信息。具有高度機密性。這些資源包含大量的敏感信息，一旦超出知密范圍，將對國家安全和利益造成巨大損失。正因為如此，涉密級別較高的科技信息資源通常采用專門的技術手段實現信息資源的共享，如國防科技信息服務系統、自然科技資源共享平臺等專門的軟件系統服務平臺等等，但是，即使是采用專門的信息資源共享服務，敏感信息泄露的風險仍然存在，這主要包括兩種情形：

2.2.1 過失泄密

密級較高的科技信息資源的服務對象主要是國防工業部門和各領域的科研院所，以及企業的核心研發部門等等。服務對象包括各級科研管理人員和不同層次的研究人員。在這些機構和人員當中，其知密等級和權限各不相同，保密觀念和保密意識也有差異，容易導致過失泄密的問題，例如將涉密內容透露紿不應知密人員，未經批準傳播、共享機密數據。等等。由于網絡的存在，人與人之間的交流和聯系更加方便，用戶在獲取涉密的信息資源后，很可能在無意之中將這些資源以語音通話、圖片、論壇留言、博客等“變體”形式泄露出去，從而對科技信息資源的內容安全帶來很大的風險，敏感信息的不可控因素大大增加。

2.2.2 惡意攻擊泄密

在科技信息資源的用戶當中，很可能存在一個“惡意用戶”群體。這些用戶不以直接獲取原始的信息資源為目的，而是通過對這些可正常獲取的信息資源進行分析、對比、推理，并有可能結合這些資源之外的其他知識，發現和獲取資源所有者不愿意或未授權提供的額外信息資源，而這些資源通常非常敏感。這種類型的風險也稱為“隱私泄露(P—vacy disclosure)”。盡管資源所有者可以對提供的信息資源作一定的內容脫密和去隱私化處理，攻擊者仍然可以利用關系數據庫的一些特性，結合已獲得的其他知識。進行“鏈接攻擊”，發現敏感內容。舉個例子，現有如下公開的兩份信息：某重要國防軍工項目交由某研究所負責研制；對項目組長人選的要求是必須具有重大國防裝備項目研制管理經驗，男性，45歲以下，高級工程師職稱。假設“項目組長”是敏感信息項，攻擊者在獲得這兩份信息之后，結合已掌握的其他信息，如通過訪問研究所網站主頁上“專家風采”之類的專欄節目所獲得的科研人員簡歷信息，加以比較和分析，發現該研究所中滿足項目組長要求的科研人員只有李某一個人，于是推斷該項目組長很可能是由李某擔任。

此外。攻擊者在通過對一段時期以來科研項目的時間、類型、數量分布等要素的匯總和對比分析，可能得到國防軍工的科研戰略、重要科研方向、地域分布以及科研規劃等重要信息，造成敏感科技信息資源的泄露。

3 科技信息資源共享的內容安全保護

網絡環境下的科技信息資源共享，首先要保證計算機系統和網絡的軟硬件設備安全，采取防火墻、防病毒軟件等常用網絡安全管理手段。除此之外。還應根據信息資源共享內容安全問題的特點，采取信息安全領域專業技術手段實現內容安全保護。從管理層面看，還需要制定和完善科技資源共享的相關法律規章，使科技信息資源的共享做到有法可依，有章可循。

3.1 充分運用信息安全保護的新技術

科學技術是一把“雙刃劍”。網絡時代在造福人類的同時，也使人們置身于一個自由、開放的“透明”社會中，大量的關于個人隱私數據及政府、企業的敏感數據被放置于網絡中。時刻面臨著敏感信息泄露的嚴峻挑戰。為解決信息資源共享利用與信息安全保密之間的矛盾，許多新的信息安全保護技術被提出來，如信息隱私保護技術、信息隱藏技術和數據庫安全管理技術等。

3.1.1 信息隱私保護技術

隱私保護(privacy preserving)的研究目標是如何在實現信息共享的同時保持個體的隱私信息，如信用信息、網絡行為、醫療病史等信息。最初的隱私保護研究主要集中于數據挖掘領域，醫院、銀行等機構向數據挖掘和分析研究機構提供病歷信息或客戶信息時，希望在保留數據的研究價值的同時，保護個體的一些隱私信息，如患者所患的疾病或者個人薪金等等。網絡環境下，隱私保護問題也越來越嚴峻。網絡隱私的泄露一般是通過黑客軟件、木馬病毒竊取Cookies文件、IP，地址跟蹤等方式造成的。針對這些問題，防火墻、防殺毒軟件、Cookies管理器、匿名郵件重發器、洋蔥路由器等各種技術與相關產品應運而生。在網絡隱私保護研究方面，基于P2P和語義Web的隱私保護技術已開始成為新的研究方向。而面向數據分析的隱私保護技術就是用于處理共享前的數據，一方面是保護數據發布與共享過程中的細節數據，另一方面也要防止通過推理、統計分析與數據挖掘對敏感數據進行訪問。目前隱私保護技術主要有基于啟發式的隱私保護技術、基于密碼學的隱私保護技術和基于重構的隱私保護技術三大類。

在科技信息資源共享的過程中，我們主要通過運用數據概化、數據抑制、數據擾動以及基于視圖的信息發布等信息隱私保護技術對敏感信息項進行隱匿處理，使攻擊者即使獲得共享的資源也無法推斷出新的敏感信息。此外，還可根據科技信息資源的涉密等級對資源進行分類，對不同涉密等級的資源規定不同的共享級別和共享對象。達到個性化的共享效果。

3.1.2 信息隱藏技術

信息隱藏(Infonnadon Hiding)是上世紀90年代以來逐漸興起的信息安全新技術，它不同于傳統的密碼學技術。密碼技術主要是研究如何將機密信息進行特殊的編碼，以形成不可識別的密碼形式(密文)進行傳遞；而信息隱藏則主要研究如何將某一機密信息秘密隱藏于另一公開的信息中，然后通過公開信息的傳輸來傳遞機密信息。對加密通信而言，可能的監測者或非法攔截者可通過截取密文，并對其進行破譯，或將密文進行破壞后再發送，從而影響機密信息的安全；但對信息隱藏而言，可能的監測者或非法攔截者則難以從公開信息中判斷機密信息是否存在，難以截獲機密信息，從而能保證機密信息的安全。

信息隱藏技術包括隱寫技術、數字水印技術、匿名技術等多個分支，其中數字水印技術是通過在原始數據中嵌入秘密信息——水印(watermark)來證實該數據的所有權。這種被嵌入的水印可以是一段文字、標識、序列號等。水印通常是不可見或不可察的，它與原始數據(如圖像、音頻、視頻數據)緊密結合并隱藏其中，成為源數據不可分離的一部分。并可以經歷一些不破壞源數據使用價值或商用價值的操作而保存下來。運用數字水印技術，信息資源所有者可以將版權信息做成數字水印并隱藏在資源之中，當發現資源被非法傳播和侵權使用時，可通過提取資源中的版權信息追究當事者的責任，從而解決科技信息資源的非法侵權使用問題，保護資源所有者的知識產權。

3.1.3 數據庫安全管理技術

數據庫是存放信息資源的系統，其安全性能的好壞直接關系到資源的安全。在網絡環境下，大量的科技信息資源以數字格式存儲于數據庫之中，許多數據庫安全管理技術被提出用來保護信息資源的安全，如數據庫加密、用戶認證與鑒別、訪問控制及推理控制等等。其中尤以數據庫加密技術最為有效，因為雖然數據庫管理系統(DBMS)在操作系統的基礎上增加了不少安全措施，例如各種基于規則、角色的訪問控制等。但對數據庫文件本身仍然缺乏有效的保護措施，黑客會直接通過侵入操作系統竊取或篡改數據庫文件的內容。而常用的數據庫加密技術能夠在操作系統、DBMS內核、DBMS外層這3個層次進行加密，能夠有效地保證數據的安全，即使黑客竊取丁關鍵數據，他仍然難以得到所需的信息，因為所有的數據都經過了加密。同時，數據庫加密可以由用戶用密鑰加密自己的敏感信息，而不需要了解數據內容的數據庫管理員是無法進行解密的，從而可以實現個性化的用戶隱私保護。在科技信息資源的網絡化共享過程中，應及時采用或更新數據庫安全管理技術，多種數據庫安全管理技術并用，以實現共享過程中的內容安全保護。

3.2 制定和完善相關法律規章，加強知識產權保護

我國目前已經有(計算機信息網絡國際聯網安全保護管理辦法)、(中華人民共和國計算機信息系統安全保護條例)等規范網絡安全的政策法規，以及<中華人民共和國著作權法)等相關的知識作品產權保護的法規。這些政策、法規均比較宏觀。僅適宜于針對網絡或網站的普遍性問題，缺乏針對科技信息資源的安全以及信息資源共享的安全保障規定，特別是對科技信息資源知識產權保護的相關法規。對于科技信息資源網絡共享中無償使用和侵權使用的安全風險，單單依靠資源用戶的自覺性是遠遠不夠的，還必須在信息資源共享、交易等方面加強立法，出臺具體的、可操作性強的法律規章，切實保護科研工作者的勞動成果和利益，為網絡環境下科技信息資源的共享利用提供有章可循的法規依據。

4 結 語

我國是一個科技大國，有著包括科技倌息資源在內的各種豐富的科技資源，蘊藏著巨大的科技價值和經濟價值。在信息資源共享和利用需求日益旺盛的今天，如何處理好共享資源、推廣成果與安全保密和知識產權保護之間的矛盾。充分發揮科技信息資源的價值和效益，還需要從政策、技術、管理等多個層面人手，不斷探索和創新。最終發現和建立一套法律規章健全、資源充分利用、多方合作共贏的科技信息資源共享機制，從而更好地促進科技進步和國民經濟發展。