高等院校實驗室信息安全調查及應對

李增江， 段云燕

（西安醫學院醫學技術學院，西安 710021）

0 引 言

高校實驗室對加速成果轉化［1］，推動創新、人才培養及技術進步具有重要的現實意義。但隨著改革開放深化，科研任務增多，與國外交流不斷深入，觸及單位與國家利益相關秘密，加之新技術廣泛應用，泄密風險日趨增大。從多年高校實驗室實際看，保密安全實施說多做少，有必要充分認識高校實驗室信息安全現狀真實性，認真剖析實驗室現狀和失密原因，探索保密問題的方法和新對策。

1 高等院校實驗室保密現狀

走訪調查了6所不同高校的107個實驗室及107位實驗人員，明確知曉國家有保密法的70人，不明確知曉的23人，大概瀏覽過保密法的13人，完整學習過的1人，仔細研讀過的0人。明確有過失密的實驗室6個，懷疑曾經失密的實驗室9個，明確沒有失密的實驗室56個，完全不清楚是否失密的實驗室33個，從不關心是否失密的實驗室3個。

2 高等院校實驗室傳統失密因素

2.1 保密知識和認識淡薄

教學、科研及服務中缺乏保密知識而對本身應承擔的保密責任認識差［2］，看不見實驗室工作具有的機密或視而不見、見而不管、充耳不聞，不能認識泄密對國家利益的嚴重后果，哪些是科技機密及價值、密級、時限等問題認識不清，常在教學、學術和接訪中全面展示、有問必答，無意中將應保密信息擴散出去，給國家、單位利益造成損害。

2.2 事務繁雜接觸面廣涉及人員類別多

學校的教學、科研、服務、交流，涉及實驗室、課題組、科研機構、學校或企業、部門、其他團組、國家、個人，人員有教師、本科生、碩士生、博士生、博士后人員、各級領導、管理人員、專家學者、技術人員、外籍教師、留學生、服務人員、同事等，這些事、涉及人物互動協作，項目論證、教學交流、參觀，展現設備、計劃、措施、成果，外籍教師和留學生因教學需要難免接觸實驗設備設施及工作過程，與國外協作科研項目相對教學參與程度更深，一定意義講這些交往是人際間信息交流，難免無意中涉及機密問題，稍有不慎后果不可估量。

2.3 實驗室管理漏洞

管理制度不健全、措施不科學、技術落后、手段不能與時俱進及責任心不強、為利益有意泄密、用人失誤均是失密因素。

3 高校實驗室非傳統失密因素

3.1 網絡提速改進加速失密

5G和物聯網及云計算等加速方便信息傳遞，泄密速度也伴隨提升，竊密行為更加隱形而難以監測辨別，一旦意識到失密已不可挽回，對實驗室信息管理體系、措施、技術提出了新的挑戰。

3.2 竊密技術升級，防范措施相對落后

計算機網絡安全配置不當、操作系統和服務器漏洞、計算機病毒、黑客入侵及Web程序設計缺陷等［3］，加之翻墻、褫奪、爬蟲、鉆取、挖掘、勒索、“釣魚”、NFC（Near Field Communicatio-n）等技術應用，如防范措施未升級均會嚴重影響實驗室信息保密［4］。

4 高校實驗室保密問題應對措施

4.1 高校實驗室保密常規措施

（1）構建針對性涉密實驗室管理體系。涉及保密主管部門及實驗室、人員、電腦、載體、項目、制度管理等環節（見圖1）［5］，各保密環節在校保密主管部門統管下定期監督檢查規章制度執行和保密責任制落實情況，在對業務工作流程梳理基礎上，辨識并分析保密風險點，分析風險等級、評估保密管理體系，針對性［6］制定相應管控措施和手段，從而防范風險發生、減少損失，提高保密防范能力［7］。

圖1 涉密實驗室保密管理體系

（2）完善實驗室保密制度。更新實驗人員日常保密制度及守則，明確保密紀律和行為標準；涉密文件傳遞、歸檔、借閱、銷毀制定最新制度，有經手痕跡記錄和復核制度；留學生接觸機密要逐級審批并簽責任書及保密協議；實驗室日常保密要分塊落實到人，并確定為年度工作質量考核部分，對泄密、失密事故和行為據具體情節給予通報或扣發績效，給國家和部門造成嚴重利益損失按政紀黨紀或法紀處置。

（3）重點加強科研為主實驗室保密管理。科研為主實驗人員是參與研發、項目保密直接責任人，是保密第一道屏障，要強化他們保密法制觀念［4-8］和業務知識［9］，使他們明晰保密重要性和必要性并嚴格執行針對性規章制度，將“人防技防”相結合［6］。健全資產涉密賬目，簽署實驗室安全保密責任書，落實計算機及網絡管理系統安全性，限制系統訪問權限并定期下載補丁、建立多層病毒防衛體系；電腦用有線軟鍵盤及鼠標，定期檢查涉密設備，構建可靠“防火墻”，使用者做好交接并記錄；嚴守用戶名和操作口令，密碼用符合密碼法的復合密碼；許可后方可觸碰密件，原定密和上級部門批準方可復制，不網上傳送，必要時斷網封堵U口；配防竊密碎紙機、密碼箱、保險柜，密件雙人雙鎖保管、雙人收發及運送，使用時兩人同時在場，取用后立即放回保險柜并雙人簽字記錄；新進實驗人員先通過信息安全與保密課程教育培訓［10］、掌握基本保密安全知識和技能、通過實驗室保密安全員審核再進入工作學習；適時公布教學科研服務數據保密與解密時限；實驗室所有設施、設備、資料、制度隱含秘密，教學、陳列、交流注意適度和按級申報審批原則，對來訪者在不泄密下禮貌接待并記錄；外來實驗人員臨時性工作人員進入須經保密責任人批準并有相應管理人在場；非工作人員進入實驗室事先征得保密責任人同意并保證不碰觸涉密設備和資料，一般人無故不得長時逗留；借出設備物品須涉密評估許可，借條應有單位證明和經手人簽名、保密主管批準；要害部門按最高級別管理。儲密載體要符合國家標準按密級分級管理，同一儲密載體有不同等級涉密材料按最高密級管理。涉及國家機密對實驗室地理位置［11］和真實用途保密或不掛牌或用表象實驗掩護目的實驗，處理好地理位置和保密［12］及科研和保密［13］關系；配備信息安全監督員定期評估審核，公開發表著作和論文不涉實驗中產生的秘密并經保密主管部門審查及履行報批手續［14］，離退職者接受脫密期管理（見圖2）。

圖2 實驗室保密措施體系

4.2 新型失密威脅應對措施

（1）加強政治教育，學好保密法，增強信息安全敏感性。保密工作政治、政策性很強，必須學好保密知識同時加強政治教育，從政治高度充分認識關于國家網絡安全“四個堅持”重要指示精神重大意義，在信息化發展大勢下積極應對信息安全挑戰，結合大學網絡文化活動加強信息安全宣傳教育，提升師生信息安全意識，增強實驗人員的保密認識和國家安全政治責任感和警覺性，增強對實驗室秘密的敏感性；實驗室保密是國家整體保密工作重要組分，關系國家政治、經濟、科技權益和發展安全。

（2）實驗室保密新技術（見圖3）。使用影像識別驗證及無線報警裝置［15］，加密數據庫及數據［16］；機器學習協助信息安全風險定量評估及控制［17-18］，掌握各種暗網的特點、漏洞、瀏覽器、使用及防范對機密信息攻擊的技術［19］，端到端通信界面互操口令路徑中間節點符合IMS（IP Multimedia Subsystem）標準安全設置［20］，以熵TOPSIS（Technique for O-rder Preference by Similarity to an Ideal Solutio-n）提供安全感知虛擬網絡嵌入算法［21］，提高D2D（Device-to-Device）通信物理層安全和效率［22］；采用相互認證、會話密鑰建立、用戶優先性等屬性密碼的優先感知切換認證協議［23］，及身份加密與云網外包的等式測試、PKE-ET-HS（Public Key Enc-ryption with Equality Test for Heterogeneous Systems）［24］、RSA（Rivest、Shamir、Adlema）和DSA（Digital Signature Algorithm）加密算法加密；涉及區塊鏈行屬性加密［25］，其安全體系用NDN（Named Data Networking）管理密鑰、保護緩存中毒和控制隱私訪問［26］，用篡改恢復技術行語音傳輸認證和存儲［27］，涉及物聯網要加強安全性及隱私保護［28］，物聯網感應到的特定數據由輕量級西蒙分組密碼加密通信，分布式物聯網用BacS（Blockchain-ba-sed access control Scheme）［29］或霧計算和物聯網數據策略或共享生成模式保護隱私安全［30-31］，云協助物聯網環境下用IBEAET（Identity-Based Encrypt-ion scheme with Authorized Equivalence Test）加密外包數據并搜索［32］，需要共享采用混沌映射一次性密鑰、密文策略屬性加密、動態策略更新、通信認證、解密密鑰和文件驗證、具外包資質的fog網絡、安全高效的數據方案［33］，或通過智能擴展多媒體計數的目標密鑰為多用戶認證系統處理程序訪問提供安全可靠高效的秘密共享服務［34］，用邊緣計算數據完整性審查方案［35］保證多媒體數據安全有效。分布式環境中的角色、對象和權限可使用代理進行識別和分類，通過代理學習和適應變化，從給定的數據集中識別角色、對象和權限，根據規則和策略歸類識別控制本體訪問［36］；移動設備CPU內集成符合綜合安全標準的MTPM（Mobile Trusted Platform Module）的安全處理器解決移動設備的信息安全［37］，用一個單一AP（Access Point）［38］的LaSa（Location aware Securit-y access control）將無線網絡訪問限制在一定物理區域內；移動邊緣計算中采用多媒體SPARA（Security and Performance Aware Resource Allo-cation）算法分配計算、網絡和存儲資源［39］，移動通信節點安全互信系統驗證在接入網絡前采用樸素貝葉斯的機器學習和隱馬爾可夫模型的隱藏節點異構移動網絡接入控制檢測方法［40］，對惡意軟件檢測技術進行評估和基準測試以確定最好的智能手機惡意軟件應用檢測［41］；為了防止竊聽保護主傳輸系統的傳輸機密性，采用ST（Seco-ndary Transmitter）輔助機會干擾傳輸協議、OSTS（Optimal Secondary Transmission Selection）和OCJS（Optimal Cooperative Jammer Selection）［42］；不同互聯網環境和用戶需求、應用場景下采用不同的技術、方法和系統［43］訪問控制模型和策略，尤其是云計算［44］；探索使用AI或IO（Indisti-nguishability Obfuscation）加密算法或量子通信干線終端密鑰認證（見圖3）。

圖3 實驗室保密新技術體系

5 結 語

實驗室是現代大學的心臟［45］，無論時代和科技如何變化，應嚴格以保密法和條例為指導，結合日常工作實際，總結經驗，制定科學合理的實驗室保密管理體系，強化常規保密的同時，探索信息化條件下現代化的保密管理措施和技術手段，才能在教學、科研和服務工作正常開展的同時確保信息安全。鑒于本文調研實驗室數量有限，觀點難免欠妥，有待進一步研究。