科研項目信息安全管理存在的問題與對策分析

尹兆良，王 朋

（1．國家計算機網絡應急技術處理協調中心云南分中心，云南 昆明 650228；2．中國科學院昆明植物研究所，云南 昆明 650201）

0 引言

信息安全在科研項目中占據舉足輕重的地位，是科研項目能否完成的關鍵因素之一，保障科研數據安全對確保科研項目的成功進行至關重要。然而，現實中科研項目的信息安全管理仍面臨諸多問題，這些問題可能導致研究數據泄露、知識產權被侵犯、研究成果被盜等嚴重后果。因此，針對這些問題進行分析并提出解決對策，量化相關的模型指標，對于提高科研項目信息安全水平具有重要意義。

1 科研項目信息安全管理存在的問題

2.1 信息安全意識薄弱

信息安全意識薄弱是一個普遍存在的問題，許多科研人員對信息安全缺乏足夠重視，簡單地認為科研數據的泄露問題與自己關系不大，導致日常科研活動中忽略信息安全防護措施。如果不加以解決，可能會導致諸如數據泄露、網絡攻擊、甚至是有預謀的社會工程學攻擊等安全問題。除了意識薄弱導致的疏忽外，對負面后果認知不足也會導致科研項目重要數據泄露。

2.2 技術防護手段不足

科研項目中涉及的信息技術和研究手段多種多樣，如數據安全保護技術、計算機網絡安全技術、備份和災難恢復機制、版權保護手段等，對新技術新應用缺乏認識或盲目使用都會增加科研項目中各類科研數據信息安全隱患。同時，如果在科研項目中信息安全管理技術手段跟不上科研項目需求，也將導致信息安全風險的增加。

2.3 人員安全風險

人員安全風險不僅來自科研組織內部，還有一些來自外部的流動人員，二者對科研項目的信息資源安全都會產生不同程度的安全風險，特別是流動人員如實習生、客座研究人員的隱藏安全風險往往會被忽視。這些人員一定程度上也能夠掌握組織的敏感信息和技術，部分人員可能因為操作失誤導致信息泄露，而有些人員是有目的地利用這些信息和技術來從事不當的活動，從而對科研項目的安全性和保密性造成威脅。

2.4 網絡攻擊和信息泄露風險

網絡攻擊和信息泄露風險包括：網絡攻擊、身份盜竊、信息泄露、釣魚攻擊等等。科研項目中的數據和知識產權具有較高價值，往往成為國內外網絡攻擊頻繁進攻的重點目標。而網絡攻擊往往針對互聯網暴露面的系統進行攻擊，一旦系統被滲透，數據往往存在系統當中，那數據安全也無法保障了。同時，部分科研人員在數據傳輸、存儲和共享過程中未采取有效保密措施，導致關鍵信息泄露風險。

2.5 人工智能（AI）的潛在影響

AI 輔助科研越來越普遍，很多以AI 為基礎的工具( 例如ChatGPT) 能夠幫助科研人員在項目規劃，信息檢索，代碼編寫，數據和圖表處理等多個過程中提升效率，他是科研團隊事務性工作的好助手。但是很多AI 工具是通過深度學習、大規模預訓練模型來產生輸出的，往往會使用用戶的上下文信息、隱私信息等等。如果科研項目中忽視了流程上的管控或者科研人員疏于防范最終導致原創性的成果、專利、數據提前暴露，可能導致比較嚴重的后果。

3 科研項目信息安全管理對策建議

3.1 加強信息安全培訓

提高科研人員的信息安全意識，定期開展信息安全培訓和教育，使科研人員充分認識到信息安全對科研項目的重要性，從而在日常科研中自覺遵守信息安全規定，積極采取防護措施。培訓的內容可包含但不局限于如下：

1）了解常見的網絡安全威脅。培訓課程應該教授有關網絡病毒、間諜軟件、釣魚和網絡詐騙等常見的網絡安全威脅。

2）建立強密碼。培訓科研人員如何創建強密碼，以及密碼管理技巧，必要是使用密碼管理器和生物指紋控制系統等工具。

3）確保設備和專用軟件的更新。培訓科研人員及時更新操作系統、應用程序和防病毒軟件等軟件，以確保設備和數據的安全。

4）保護機密信息。培訓科研人員如何識別和保護機密信息，包括個人身份信息、財務信息和機構機密信息，確保他們知道如何安全地使用機構設備和數據信息。

5）社交工程防范。培訓科研人員如何識別社交工程攻擊，如電子郵件釣魚和社交媒體欺詐，以及如何避免成為攻擊者的受害者。

6）定期培訓和測試。定期舉行培訓課程和測試，以確保科研人員了解最新的網絡安全威脅和防御措施。測試還可以幫助管理層了解科研人員的信息安全意識和培訓需求。

7）注重科研項目的信息安全管理與國家法律法規的銜接，遵循相關法規的規定，確保信息安全管理工作合規合法。同時，加強與政府、行業協會等有關部門的溝通，密切關注政策動態，為科研項目的信息安全管理提供政策指導和法律支持。

3.2 升級信息安全技術手段

針對科研項目的特殊需求，研發和引進先進的信息安全技術和產品，是提升科研項目信息安全管理的必要保障。在科研項目中，需要加強的技術防護手段，包括加強數據安全保護、建立完善的計算機和網絡安全機制、建立備份和災難恢復機制、加強版權和知識產權保護等。這些措施能夠保障科研項目的安全和可持續發展。在已經有技術產品的前提下，需要定期對信息安全技術和設備進行檢查和維護，確保其正常運行。

1）重視數據加密。科研項目中會產生大量的數據，其中有些數據是比較敏感的，需要進行加密保護。加密技術可以有效地防止數據泄露和竊取，從而保護項目的信息安全。在常規的防火墻技術中，重點配置數據梁柳監控。

2）防火墻是網絡安全的重要組成部分，它可以監控進出網絡的數據流量，識別和阻止不安全的數據傳輸。科研項目管理中，使用防火墻可以有效地防止黑客攻擊、病毒感染等網絡安全風險。

3）注意各種權限管理。科研項目中不同的工作人員需要訪問不同的數據和文件，為了保護信息安全，需要進行權限管理。通過設置不同的權限級別，可以確保每個人只能訪問到自己需要的數據，從而減少信息泄露的風險。可引入人臉識別等生物指紋識別技術：對于一些涉及敏感信息的地方，例如實驗室、數據中心等場所，可以使用人臉識別技術進行身份驗證和門禁控制，確保只有授權人員可以進入，從而保護信息安全。

4）加入數據備份和恢復技術手段。科研項目中的數據非常重要，數據的丟失或損壞會對項目的進展和結果產生很大的影響。因此，科研項目管理中需要定期進行數據備份，并且設置好數據恢復的機制，以確保在數據丟失或損壞的情況下，能夠快速恢復數據并保證項目順利進行。

3.3 建立嚴格的管理制度

首先，要加強對科研項目固定人員和流動人員的背景審查和安全教育，從源頭上確保人員具備較高的信息安全素養。其次，要制定完善的內部管理制度，明確信息安全管理職責，完善信息存儲、傳輸的過程管理，建立責任追究制度。再次，制定信息安全管理制度時需要充分考慮和遵守國家相關的法律法規，如《中華人民共和國網絡安全法》《中華人民共和國保守國家秘密法》等。 此外，還應做好信息資產評估，確定信息資產的價值和敏感程度。這有助于科研單位確定其信息安全管理制度的重點和方向。最后，還應做好風險評估，確定哪些風險是需要應對的。綜合考慮以上因素的情況下，建立完善的內部管理體系。同時還需綜合考慮與外部合作單位的信息安全風險，制定相應的合作安全措施，并在信息安全管理制度中體現。

3.4 注重網絡安全防護

從信息技術層面上，一般認為科研機構的網絡安全防護由機構的IT 部門或者專門的網絡安全管理部門負責，實踐證明多層級的網絡安全防護能力是有必要。考慮到一般研究都是以相對獨立的項目組承擔研究項目，以小組為單位的網絡安全防護依然是有必要的，主要是通過建立網絡安全防護終端保護體系，主要采取兩類防護措施：一是定期檢查和更新安全措施。小組內應該定期檢查并更新其安全措施，以確保它們能夠應對新的安全威脅和技術漏洞。二是建立緊急響應計劃。一個研究小組應該建立緊急響應計劃，以應對突發的安全事件。嚴謹而詳細的計劃應該明確責任分工。指定最直接的應急聯系人和規劃相對詳細的網絡安全應急處置流程等等。從政策上，對接信息安全管理部門，可以了解最新的網絡安全管理要求。同時，管理部門一般都有全程全網的聚合網絡安全漏洞發布平臺和統一的網絡安全應急協調聯動系統，可以結合科研使用的相關系統，比對是否包含網絡將安全漏洞，及時修補最新漏洞，同時可以使用應急協調聯動系統和管理機構保持溝通協調，對網絡安全風險做出應急響應。

同時，IT 部門要關注最新軟件和系統補丁，以確保它們沒有漏洞。主要是常用軟件的漏洞風險以及最新的漏洞，這些漏洞往往在國家互聯網應急中心的國家漏洞庫（CNVD）中及時發布，還可以使用訂閱及時發現，從源頭上提高科研項目對外部網絡攻擊的抵御能力。原則上，定期對網絡安全狀況進行檢查，發現潛在風險及時進行修復往往比事后處理更加有效，尤其是對重要數據進行加密處理，確保數據在傳輸、存儲和共享過程中的安全性往往比數據由于網絡安全原因丟失后在處理更加有效。

3.5 合理規劃信息系統架構

一般情況下，科研機構都有很多系統，規劃時考慮同時滿足最小化成本，最大化系統性能和滿足安全要求。安全性要求又有很多子分類影響因素，例如訪問控制、數據加密等。可以使用線性規劃解決多因素影響下的最值問題。線性規劃是數學優化方法，用于在一組線性約束條件下最大化或最小化一個線性目標函數。 這里假設多個信息系統的數量為： 一個個影響因素，同時，我們有個約束條件，例如成本約束、性能約束、安全約束等，可以轉換為一個必須滿足某個目標值（與實際工作中的觀測值有關）的線性規劃問題求解。

優化信息系統架構，同時要考慮分級劃分數據存儲區域，確保關鍵數據和知識產權得到更嚴密的保護。同時，建立數據備份和恢復機制，防止因意外損失導致的信息安全事故。

3.6 合理使用人工智能技術手段

盡管人工智能使許多人的工作變得非常容易，但不能忽視的是他也讓人們面臨最復雜的安全和隱私泄露的問題。在科研項目中應合理使用人工智能等技術手段，如限制敏感查詢，敏感的程序和數據不要直接放入人工智能模型使用。特別注意的是，不要將數據和創新研究的方案提交到人工智能模型工具中。在利用此類工具的時候，還應該避免人工智能對結果的準確性評估，更不能直接講結果引入科研項目中。而應當先進行基線模型評價，并且經過小組、專家評估討論后再使用人工智能輔助生成的內容。適當地增加人工智能輔助管理機制，人工智能必將能為科研項目開辟解鎖生產力和效率的可能性。

4 信息安全風險量化模型

從整個科研機構的信息安全管理角度來說，量化模型主要是合規性評估，理論上來說最常見的有3 種：第一種是《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2008）。該標準規定了網絡安全等級保護的基本要求和測評方法，分為5 個等級，從一級到五級逐漸提高安全防護等級。第二種是《信息安全等級保護評估技術規范》（GB/T 25070-2019）：該標準規定了信息安全等級保護評估的技術規范，包括評估對象、評估要求、評估方法、評估結果等。如果需要做等級保護，還需要參考：第三種是《信息系統安全等級保護標準》（GB/T 22239-2019）。該標準規定了信息系統安全等級保護的基本要求，包括等級劃分、安全要求、安全技術措施、安全保障等內容。

從科研項目組的角度來說，不同角色承擔的職責不同，不同階段造成的影響結果也不同，為更好地評估和管理信息安全風險，可以引入相對輕量化的量化模型。輕量化模型可以幫助我們對信息安全風險進行定量分析，以便采取相應的措施降低過程風險。以下將介紹一種常用的信息安全風險量化模型：風險評估矩陣（Risk Assessment Matrix，RAM）。

4.1 風險評估矩陣（RAM）

風險評估矩陣是一種將風險事件的可能性和影響進行量化的方法。通過對科研項目中的各種信息安全風險進行評估，確定需要重點防范的風險點，為信息安全管理提供決策支持。

風險評估矩陣包含2 個維度：風險可能性（概率）和風險影響（損失）。風險可能性表示某個風險事件發生的概率，通常分為5 個等級，從1（非常低）到5（非常高）。風險影響表示某個風險事件對科研項目造成的損失程度，同樣分為5 個等級，從1（非常低）到5（非常高）。根據這2 個維度，可以構建一個5X5 的風險評估矩陣，以對不同風險事件進行分類和排序。

4.2 運用風險評估矩陣（RAM）進行評估

科研項目中，可以將風險評估矩陣應用于信息安全風險評估。以下是一個示例：

1）確定評估的風險事件。例如內部人員泄露信息、技術設備故障、網絡攻擊等；

2）評估風險可能性和影響。對于每個風險事件，評估其發生的可能性和對科研項目造成的影響程度，分別賦予1-5 的等級；

3）將風險事件映射到風險評估矩陣。根據風險可能性和影響等級，將風險事件放置在相應的矩陣格子中；

4）對風險事件進行排序。根據風險事件在矩陣中的位置，對風險事件進行排序，確定需要優先關注的風險點。

通過風險評估矩陣，科研項目管理者可以更好地了解項目中的信息安全風險，從而有針對性地采取相應的風險防范措施。

5 結束語

科研項目信息安全管理是確保科研項目順利進行的關鍵環節。通過加強信息安全意識培訓、升級技術手段、完善內部管理制度等方面的改進，有望提高科研項目的信息安全水平。