科研單位網絡信息安全管理

李志偉

摘 要：隨著信息化應用的日益廣泛，科研單位的信息系統中存儲的大量有價值的信息和數據，已成為各種網絡犯罪組織和惡意勢力的攻擊目標，網絡非法行為日趨復雜，且更為頻繁，各種攻擊方法相互融合，攻擊手段更為隱秘，破壞性更強，攻擊從網絡層向應用層遷移。但是，我們也應該看到，在科研單位的信息化建設過程中，還存在著科研人員安全保密意識薄弱、網絡信息管理秩序混亂，缺乏統一標準、缺乏針對性的網絡信息安全防范制度等問題。本文有針對性地分析研究科研單位網絡信息安全管理的問題，并提出相應的對策，為科研單位信息安全管理提供了理論借鑒。

關鍵詞：信息安全；網絡；科研單位防范

1 信息安全的理論概述

信息安全是指信息系統（包括硬件、軟件、數據、人、物理環境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。

信息安全主要包括以下五方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。

2 科研單位網絡信息安全存在的問題分析

2.1 科研單位網絡信息安全現狀分析

在科研信息化基礎設施建設方面，受國家“863計劃”重大專項等支持建設的中國國家網格，聚合了高性能計算和事務處理能力，共集成11種應用網格，通過資源共享，服務于科學實驗研究，中國科學院“十一五”統籌規劃建設的超級計算中心，支持基礎研究模擬仿真等高性能計算。科研信息化是我國在信息化時代科研活動的必然發展方向，也是增強我國創新力、立足世界科技發展前沿的重要途徑。

2.2 科研單位網絡信息安全存在的問題

2.2.1科研人員安全保密意識薄弱

我們可以看到信息安全事故發生的主要因素是認為因素，另外內部人員作案也占10%，這是一組非常驚人的數據，由于科研人員缺乏基本的信息安全保密知識，在具體工作中，違規操作、有章不循、監管不力等現象頻繁發生，更沒有意識到信息安全問題不僅僅是職能部門的事，更是每個人必須遵守和維護的重要工作；也不了解信息化過程中對應的安全風險，如內部口令互串。

2.2.2網絡信息管理秩序混亂，缺乏統一標準

當前科研單位信息管理缺乏宏觀的全面規劃，存在盲目地追求設備的先進性，從而導致管理秩序混亂，缺乏統一標準。主要表現在：對移動存儲介質，移動計算機設備的使用上缺乏有效的監控手段，普遍存在隨意處理各類密級文件、隨意使用私人存儲介質、隨意拷貝文件的現象；數據庫標準不統一，致使網絡信息數據資源無法流通、匯總，影響了信息資源的利用率等等。

2.2.3缺乏針對性的網絡信息安全防范制度

科研單位的網絡信息安全責任體系尚不健全，存在不同部門職責劃分不清，多頭指導、建設和監督未能有效分離，檢查監督不到位，出現問題難以落實到人等問題。這些問題造成科研單位內部管理混亂，責任不明確，技術措施不能到位，出現問題互相推諉等現象，嚴重影響科研單位整體的信息安全防范能力。

2.3 科研單位網絡信息安全存在問題的原因分析

2.3.1人員素質及安全意識亟待提高

科研工作性質決定了對科研人員有很高的保密要求，但是在日常工作中科研人員對信息安全問題還存在不少認知盲區，對網絡信息不安全的事實認識不足，沒有形成一個合理的信息安全管理系統來指導組織的信息安全管理工作，更缺乏對員工進行必要的安全法律法規和防范安全風險的教育與培訓，現有的安全規章組織未必能嚴格實施等，科研人員的安全意識淡薄將導致了很大的安全隱患。

2.3.2信息加密技術及措施不能滿足實際需要

隨著科研單位網絡信息化建設正在不斷深化，科研單位現有信息安全產品種類逐漸增多，由于安全產品種類多樣，其保密要求高，越來越多的數據信息通過網絡和計算機完成處理和交換任務，社會上通用的技術手段遠遠不能滿足其安全需求；急需與之相適應的各類專用安全保密技術措施。雖然目前科研單位已經對加密問題采取了一些措施，但加密仍是科研單位信息安全保密工作亟待解決的問題之一。

2.3.3科研單位信息安全責任體系尚不健全

科研單位信息安全管理仍處于初級階段，由于存在很多不確定因素，導致政府在該方面的立法尚不完善，加之科研單位組織結構的調整和職能轉變仍不到位，當前仍存在組織機構設置不合理，部門職能交叉、重疊嚴重；研究程序比較落后，缺乏嚴格的信息安全責任體系等問題。相關立法體系及安全責任體系的滯后與空缺在很大程度上制約著科研單位的信息安全管理建設。

3 加強科研單位網絡信息安全保障的措施

3.1 提高科研人員素質，強化信息安全培訓

加強科研單位網絡信息安全建設，需要實現安全保密意識統一規劃、規范指導、有效監管的目標。信息安全是人、管理、技術的有機結合，其中人是根本，管理是關鍵，技術是保證。通過普及教育、專業培訓等方式，對不同類型的人員進行相關的安全教育，提高科研人員的素質，越是對授予較高權限的人員，越要增強其安全意識。

3.2 強化信息安全技術，規范信息安全管理

規范信息安全管理的重要途徑是強化信息安全技術，主要有：

（1）采取指紋、智能卡、網絡身份認證（PKI/CA）等多種強認證方式實現身份認證和授權管理；

（2）采用內部安全監控和審計技術，控制信息出入口，以保證信息的受控使用；

（3）使用國家密碼管理局批準裝備使用的密碼設備；

（4）采用網絡與數據庫審計系統，記錄用戶的使用行為；

（5）采用防火墻、入侵檢測、防病毒等多種技術手段，以保證基礎網絡系統的安全；

（6）采取標識和鑒別技術，保證工作用移動介質的授權使用，統一編碼，統一管理；

3.3 完善科研單位信息安全管理規章制度

針對當前科研單位信息安全管理不完善的情況，政府應當加快相關的法律、法規的立法進程，制定具有前瞻性，能夠與現有的相關國際法律、規則相兼容的法律法規，通過建章立制，嚴明制度，完善科研信息安全管理的信息維護、數據錄入、文件歸檔等方面的一系列制度，做到具體工作責任量化，落實到人，為科研工作建設創造良好的法制氛圍。

4 結語

信息技術已滲透到科研單位的各個領域，正在發揮著越來越重要的作用。但是，信息技術也是一把“雙刃劍”，它在提高科研工作效率的同時，也引入了更多的信息安全隱患。這些問題嚴重阻礙科研單位的正常工作，甚至還會造成科研工作系統的癱瘓，直接危害科研單位的信息安全。因此，通過提高科研人員素質，強化信息安全培訓、強化信息安全技術，規范信息安全管理、完善科研信息管理體系，加大問責力度、完善科研單位信息安全管理規章制度等方法，做到正確規避信息安全問題，為科研單位發展提供有效的解決辦法。

參考文獻

[1]李建華.信息安全技術發展與信息安全保密管理[J].保密科學技術，2013，（3），6-7

[2]徐瑋晟，張保穩，李生紅.網絡安全評估方法研究進展[J].專家新論，2009（10），50-52

[3]孫寶文，王天梅.電子政務[M].高等教育出版社，2008，11-12

[4]李彥輝，王述洋，王春艷.網絡信息安全技術綜[J].林業勞動安全，2007，20（1），25