涉密科研項(xiàng)目保密管理系統(tǒng)研究

袁俊麗

（中北大學(xué)科學(xué)技術(shù)研究院，太原 030051）

高校作為事業(yè)單位重要組成部分，一旦發(fā)生泄密情況，不僅會(huì)影響科研項(xiàng)目的信息安全，還有可能導(dǎo)致機(jī)關(guān)癱瘓。因此，在高校管理過(guò)程中，要注重強(qiáng)化保密工作。近幾年，隨著我國(guó)信息化的快速發(fā)展，憑借著其高效、便捷及方便等特點(diǎn)，逐漸在高校中獲得了廣泛的認(rèn)可和應(yīng)用，為推動(dòng)高校事業(yè)平穩(wěn)發(fā)展貢獻(xiàn)了一份力量。但是，伴隨著電子政務(wù)的發(fā)展，各種信息安全隱患也隨之產(chǎn)生，給高校保密工作帶來(lái)諸多挑戰(zhàn)。與此同時(shí)，各種網(wǎng)絡(luò)攻擊、信息竊取行為也日益猖獗，使高校保密工作面臨著巨大的壓力。因此，需要進(jìn)一步強(qiáng)化高校保密管理系統(tǒng)建設(shè)工作，推動(dòng)保密工作朝著信息化方向發(fā)展。

1 高校保密管理面臨的嚴(yán)峻形勢(shì)和挑戰(zhàn)

高校保密管理面臨諸多嚴(yán)峻形勢(shì)和挑戰(zhàn)。首先，隨著信息技術(shù)的飛速發(fā)展，高校的保密工作面臨著巨大的考驗(yàn)。互聯(lián)網(wǎng)的普及使得信息的傳播速度和范圍大大增加，而網(wǎng)絡(luò)安全問(wèn)題也日益突出，如黑客攻擊、網(wǎng)絡(luò)病毒等，這些都可能對(duì)高校保密工作造成威脅。其次，高校作為科研的重要基地，涉及大量的科研項(xiàng)目和科技成果，這些都是國(guó)家的重要資產(chǎn)，必須保障其安全。然而，由于高校學(xué)術(shù)交流、合作研究等活動(dòng)頻繁，使得這些重要資產(chǎn)存在泄密的風(fēng)險(xiǎn)。此外，高校學(xué)生人數(shù)眾多，涉密人員管理難度大。學(xué)生們對(duì)于保密知識(shí)的缺乏，以及對(duì)于新技術(shù)的追求，都可能成為保密工作的漏洞。最后，高校保密管理體制還需完善。目前，許多高校在保密工作的組織、制度、技術(shù)防范等方面還存在不足，難以滿足日益復(fù)雜的保密形勢(shì)需求。

2 當(dāng)前高校涉密科研項(xiàng)目保密管理系統(tǒng)風(fēng)險(xiǎn)因素

當(dāng)前，高校涉密科研項(xiàng)目保密管理工作主要面臨著3 個(gè)風(fēng)險(xiǎn)因素。

2.1 人為因素

隨著我國(guó)保密人才培養(yǎng)質(zhì)量和體系的持續(xù)優(yōu)化，越來(lái)越多的保密人員進(jìn)入到高校保密管理系統(tǒng)，發(fā)揮著重要的作用。但從整體角度來(lái)看，當(dāng)前的保密管理系統(tǒng)中的工作人員仍舊無(wú)法適應(yīng)當(dāng)前信息化保密工作的發(fā)展要求。與此同時(shí)，一部分保密工作人員還存在消極心理，影響了涉密科研項(xiàng)目保密管理工作的質(zhì)量，出現(xiàn)了各種信息丟失、泄露的問(wèn)題。

2.2 網(wǎng)絡(luò)因素

信息化是一把“雙刃劍”，它在推進(jìn)高校保密工作管理模式、手段、方法，提高資料管理效率，緩解保密工作人員工作壓力的同時(shí)，也給保密管理系統(tǒng)帶來(lái)了病毒入侵、信息泄露、黑客攻擊等信息安全風(fēng)險(xiǎn)。如果高校保密工作人員缺乏一定的信息安全意識(shí)，或者對(duì)日常保密工作掉以輕心，就無(wú)法發(fā)現(xiàn)信息安全隱患，必定會(huì)出現(xiàn)涉密文件被盜取、篡改、損壞等問(wèn)題，從而影響到高校涉密文件資料管理工作的效率和質(zhì)量。

2.3 管理權(quán)限的問(wèn)題

相對(duì)于一般的信息材料管理，高校的涉密科研項(xiàng)目保密管理系統(tǒng)等級(jí)要求更高。然而，從目前高校涉密文件管理工作的實(shí)際情況來(lái)看，一部分高校在執(zhí)行保密管理系統(tǒng)時(shí)，并沒(méi)有明確劃分保密資料等級(jí)，也沒(méi)有配備專門的保密資料存儲(chǔ)場(chǎng)所，缺乏保密資料風(fēng)險(xiǎn)防控機(jī)制等。進(jìn)而造成許多涉密科研項(xiàng)目保密資料的管理和使用安全無(wú)法得到保障，增加了在涉密事故后問(wèn)責(zé)、追責(zé)工作的難度。

3 涉密科研項(xiàng)目保密管理系統(tǒng)開(kāi)發(fā)問(wèn)題的解決對(duì)策

3.1 構(gòu)建支持網(wǎng)絡(luò)應(yīng)用的權(quán)限管理系統(tǒng)

在當(dāng)前保密系統(tǒng)中，各種信息技術(shù)、大數(shù)據(jù)技術(shù)都賦予了保密管理系統(tǒng)一種嶄新的架構(gòu)形態(tài)，從而有助于提高對(duì)保密系統(tǒng)應(yīng)用管理權(quán)限的控制。比如，高校保密管理系統(tǒng)針對(duì)外部匿名用戶，可以采用B/S 結(jié)構(gòu)（Browser/Server）運(yùn)行管理方法，以實(shí)現(xiàn)其分布式訪問(wèn)的基本要求，降低在保密管理系統(tǒng)中，出現(xiàn)產(chǎn)生非法訪問(wèn)的概率。如果能進(jìn)一步優(yōu)化訪問(wèn)的方式和安全等級(jí)，那么，保密管理系統(tǒng)的網(wǎng)絡(luò)和程序的正確性就會(huì)大大提高。分布式網(wǎng)絡(luò)接入架構(gòu)，若能在一個(gè)更加適合其發(fā)展需要的網(wǎng)絡(luò)中運(yùn)行，勢(shì)必會(huì)降低客戶端維護(hù)工作量中發(fā)生信息外泄的可能。更重要的是可以提高科研項(xiàng)目管理保密工作的效率，減輕管理人員的工作負(fù)荷。

3.2 對(duì)涉密科研項(xiàng)目保密資料數(shù)據(jù)執(zhí)行集中管理策略

在保密管理系統(tǒng)中，如果數(shù)據(jù)出現(xiàn)分散化，就不利于統(tǒng)一管理，會(huì)影響管理系統(tǒng)的整體質(zhì)量。因此，通過(guò)對(duì)數(shù)據(jù)和資料統(tǒng)一管理，為涉密科研項(xiàng)目保密工作開(kāi)展帶來(lái)了極大的方便。同時(shí)，采用中心化的模式，提高保密工作的管理效能，能夠在組織管理、人員管理和項(xiàng)目管理3 個(gè)層次上，實(shí)現(xiàn)對(duì)涉密科研項(xiàng)目數(shù)據(jù)信息保密的統(tǒng)一管理。技術(shù)人員在對(duì)現(xiàn)有保密工作機(jī)制深入了解后，要根據(jù)機(jī)關(guān)單位辦公室的具體情況，將各種保密數(shù)據(jù)進(jìn)行詳細(xì)劃分，分成絕密/次絕密大于保密/次保密大于秘密/次秘密等級(jí)，從而可以確保現(xiàn)代化信息技術(shù)手段的科學(xué)性與合理性，為涉密科研項(xiàng)目保密管理系統(tǒng)工作效率的全面提高，提供數(shù)據(jù)信息支持與指引。

同時(shí)，保密管理系統(tǒng)需要根據(jù)不同的涉密信息管理模塊來(lái)實(shí)現(xiàn)管理功能，為系統(tǒng)模塊設(shè)計(jì)合理性提供指導(dǎo)。涉密科研項(xiàng)目保密管理系統(tǒng)的功能設(shè)計(jì)一般由用戶登錄驗(yàn)證、服務(wù)器管理、保密子頁(yè)面管理3 部分組成。而涉密科研項(xiàng)目保密管理系統(tǒng)在具體的運(yùn)行中，可以分為機(jī)構(gòu)管理、人員管理、項(xiàng)目管理、成果管理、設(shè)備管理、經(jīng)費(fèi)管理、論文管理及統(tǒng)計(jì)報(bào)表等多種形式內(nèi)容。因此，在具體涉密科研項(xiàng)目保密管理系統(tǒng)工作環(huán)境中，技術(shù)人員應(yīng)該主動(dòng)構(gòu)建健全的保密數(shù)據(jù)信息管理庫(kù)，存儲(chǔ)更多有效的保密數(shù)據(jù)信息。

此外，相對(duì)集中的保密數(shù)據(jù)管理，其適用范圍也非常廣泛，從人員、項(xiàng)目、資金、涉密信息和成果等所有重要內(nèi)容，都能納入保密管理系統(tǒng)中來(lái)，對(duì)數(shù)據(jù)信息采集的品質(zhì)提高起到有力的支持作用。

3.3 提高涉密科研項(xiàng)目保密管理系統(tǒng)的拓展性和可維護(hù)性

在進(jìn)行涉密科研項(xiàng)目保密管理工作中，系統(tǒng)首先要確保數(shù)據(jù)保存和傳遞的準(zhǔn)確性與可靠性。而這也決定了保密管理工作的價(jià)值與意義。因此，技術(shù)人員在對(duì)高校辦公室保密工作可能出現(xiàn)的緊急情況深入研究后，要利用自身的技術(shù)能力，進(jìn)一步完善管理系統(tǒng)建設(shè)，提高系統(tǒng)的拓展性和可維護(hù)性。

在此過(guò)程中，技術(shù)人員需要對(duì)管理系統(tǒng)應(yīng)用進(jìn)行分析，準(zhǔn)確把握和分析不同瀏覽器中的數(shù)據(jù)。不同的用戶在進(jìn)行保密工作過(guò)程中，可能出現(xiàn)多種多樣的問(wèn)題，因此，需要在WEB 瀏覽器中設(shè)定保密工作的操作規(guī)章制度和執(zhí)行方法，制定統(tǒng)一標(biāo)準(zhǔn)，提升信息化技術(shù)的應(yīng)用價(jià)值。此外，也可以在現(xiàn)代信息技術(shù)手段的幫助下，拓展保密管理系統(tǒng)的可維護(hù)性，賦予管理系統(tǒng)遠(yuǎn)程維護(hù)、系統(tǒng)升級(jí)以及資源共享等功能，滿足日益多樣化的保密工作需求。

3.4 提高保密管理系統(tǒng)安全防護(hù)和風(fēng)險(xiǎn)監(jiān)測(cè)水平

保密管理系統(tǒng)基于工作日常需求，需要進(jìn)一步提升自身的安全防護(hù)和風(fēng)險(xiǎn)監(jiān)測(cè)水平，來(lái)實(shí)現(xiàn)和提高其信息化發(fā)展。不同涉密科研項(xiàng)目保密管理系統(tǒng)內(nèi)部機(jī)構(gòu)會(huì)產(chǎn)生較大的差別，可能導(dǎo)致功能、管理模式和質(zhì)量出現(xiàn)差距，進(jìn)而影響系統(tǒng)的安全性能。因此，這就要求技術(shù)人員要提高保密管理系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)，強(qiáng)化風(fēng)險(xiǎn)監(jiān)測(cè)水平。

在公共密鑰基礎(chǔ)架構(gòu)（Public Key Infrastructure，PKI）系統(tǒng)結(jié)構(gòu)的作用與輔助下，保密管理系統(tǒng)中的每一組數(shù)據(jù)信息，都具有很強(qiáng)的保密性能。其數(shù)據(jù)信息也能夠?qū)崿F(xiàn)實(shí)時(shí)認(rèn)證、保密與管理需求。為滿足涉密科研項(xiàng)目保密管理工作高標(biāo)準(zhǔn)的需求，技術(shù)人員可以將S 安全套接層協(xié)議（Security Socket Layer，SSL）用于涉密管理系統(tǒng)架構(gòu)設(shè)計(jì)。在具體的應(yīng)用中，用戶數(shù)據(jù)信息訪問(wèn)目標(biāo)不同，對(duì)其自己的服務(wù)器進(jìn)行全面的監(jiān)測(cè)和監(jiān)控，目的在于提高保密管理系統(tǒng)的安全防范水平。

在集中化的信息監(jiān)督與管理環(huán)境下，保密管理系統(tǒng)中的數(shù)據(jù)信息集中化更有助于預(yù)防病毒，降低非法訪問(wèn)、數(shù)據(jù)竊取、數(shù)據(jù)泄露等情況發(fā)生的概率。特別是統(tǒng)一化的客戶服務(wù)端，具有極強(qiáng)的容納和吸收能力，既能承載負(fù)荷，又能平衡系統(tǒng)整體性能。在當(dāng)前的涉密科研項(xiàng)目保密管理系統(tǒng)中，得到了廣泛的應(yīng)用。

4 涉密科研項(xiàng)目保密管理系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)

4.1 設(shè)計(jì)需求

當(dāng)前，高校涉密科研項(xiàng)目保密管理系統(tǒng)出現(xiàn)數(shù)據(jù)泄露的方式有2 種：外界的非法侵入和內(nèi)部有意或無(wú)意的泄露。外界的非法侵入多數(shù)是蓄意的，其首要目標(biāo)是盜用信息，主要是一些黑客、病毒所導(dǎo)致的系統(tǒng)安全漏洞。而內(nèi)部丟失、泄密，多是內(nèi)部工作人員把核心數(shù)據(jù)從公司內(nèi)部帶走而導(dǎo)致的。比如，工作人員私下拷貝涉密科研項(xiàng)目信息，外出時(shí)攜帶單位筆記本電腦，手機(jī)丟失、被盜等等。

對(duì)于外界的非法訪問(wèn)，大部分的防御措施都是通過(guò)防火墻、物理網(wǎng)閘，甚至是切斷網(wǎng)絡(luò)等途徑來(lái)實(shí)現(xiàn)保密工作。而對(duì)于內(nèi)部丟失、泄密，大多采取外設(shè)控制、系統(tǒng)審計(jì)類方式。雖然能起到一定效果，但會(huì)帶來(lái)諸多的不便，而且也不能真正地保證涉密數(shù)據(jù)的安全。因此，需要借助信息化手段，完善保密管理系統(tǒng)的整體架構(gòu)，賦予系統(tǒng)更加良好的性能，從而提高保密管理系統(tǒng)應(yīng)對(duì)風(fēng)險(xiǎn)的能力。

4.2 涉密科研項(xiàng)目保密管理系統(tǒng)開(kāi)發(fā)與設(shè)計(jì)思路

針對(duì)上述需求，本文設(shè)計(jì)了一個(gè)新型的涉密科研項(xiàng)目保密管理系統(tǒng)，突破了傳統(tǒng)“本地儲(chǔ)存、事后審計(jì)”模式的限制。在系統(tǒng)中，使用了云計(jì)算技術(shù)，與虛擬化平臺(tái)相結(jié)合，并對(duì)文件進(jìn)行集中管理和保存，進(jìn)而形成了“用密、不留密”的管理架構(gòu)。在架構(gòu)中，使用虛擬化技術(shù)，在確保保密信息使用環(huán)境安全、可控的前提下，最大限度確保信息安全、分享和交互。與此同時(shí)，還可以對(duì)保密信息進(jìn)行集中儲(chǔ)存、審批和輸出等，從而縮小保密文件輸出的范圍，控制保密文件輸出的使用方式及使用權(quán)限。

在中央控制服務(wù)器上，采用虛擬化技術(shù)與云計(jì)算技術(shù)，為用戶產(chǎn)生一個(gè)加密虛擬硬盤，再由硬盤服務(wù)器把該虛擬硬盤發(fā)送給用戶端。在原來(lái)的Windows 操作系統(tǒng)上，客戶端電腦采用虛擬技術(shù)，建立了一個(gè)嶄新、安全的工作環(huán)境，它是專為對(duì)重要文件或關(guān)鍵應(yīng)用系統(tǒng)進(jìn)行存取和處理的，而關(guān)鍵文件和關(guān)鍵應(yīng)用系統(tǒng)是由使用者使用的。一個(gè)安全的工作環(huán)境將原來(lái)操作系統(tǒng)的漏洞和危險(xiǎn)隱患隔絕開(kāi)來(lái)。在安全工作環(huán)境中，用戶可利用保密管理系統(tǒng)工具軟件、網(wǎng)絡(luò)資源、可訪問(wèn)的內(nèi)部服務(wù)器資源，并受到嚴(yán)格控制。在保密管理系統(tǒng)安全作業(yè)環(huán)境下生成的數(shù)據(jù)資料，都必須被集中儲(chǔ)存于中央儲(chǔ)存服務(wù)器，使用者未經(jīng)許可，不能從保密管理系統(tǒng)中將數(shù)據(jù)盜走，并且對(duì)每一項(xiàng)檔案數(shù)據(jù)都有詳盡的記錄。如此一來(lái)，保密管理系統(tǒng)的保密屬性就能夠得到保障。本文設(shè)計(jì)的保密系統(tǒng)架構(gòu)設(shè)計(jì)如圖1 所示。

圖1 保密管理系統(tǒng)設(shè)計(jì)

4.3 涉密科研項(xiàng)目保密管理系統(tǒng)硬件配置

本文構(gòu)建了保密管理系統(tǒng)的基本硬件平臺(tái)，以平臺(tái)為依據(jù)，可以對(duì)涉密科研項(xiàng)目核心技術(shù)及相關(guān)保密業(yè)務(wù)提供技術(shù)支撐，并能對(duì)涉密科研項(xiàng)目全生命周期中的一切有關(guān)信息進(jìn)行完整、精確的保密。涉密科研項(xiàng)目保密管理系統(tǒng)硬件配置如下：①服務(wù)器配置。將應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行連接，連接磁盤陣列存儲(chǔ)數(shù)據(jù)；②在與LAN 相連處設(shè)置防火墻，對(duì)內(nèi)網(wǎng)用戶身份進(jìn)行驗(yàn)證，詳情如圖2 所示。

圖2 保密管理系統(tǒng)硬件配置

4.4 涉密科研項(xiàng)目保密管理模塊設(shè)計(jì)

要想加強(qiáng)高校的保密管理工作，提升保密工作的效率，在進(jìn)行高校保密工作時(shí)，就必須緊緊地跟隨著信息技術(shù)發(fā)展的步伐，對(duì)保密管理系統(tǒng)軟件進(jìn)行持續(xù)更新，從而保證對(duì)保密管理系統(tǒng)的構(gòu)建完成。一般保密管理系統(tǒng)模塊設(shè)計(jì)如圖3 所示。

圖3 保密管理系統(tǒng)模塊設(shè)計(jì)

本文設(shè)計(jì)的保密管理系統(tǒng)包括3 個(gè)主要模塊：服務(wù)端程序、客戶端程序和外聯(lián)監(jiān)控平臺(tái)。服務(wù)器端程序包括4 個(gè)部分，分別是中央管控服務(wù)器、磁盤服務(wù)器、備份服務(wù)器和安全網(wǎng)關(guān)。

①中央控制服務(wù)器對(duì)整個(gè)系統(tǒng)的策略進(jìn)行存儲(chǔ)和控制，并在中央控制服務(wù)子網(wǎng)絡(luò)的環(huán)境下對(duì)最終用戶進(jìn)行身份驗(yàn)證、文件加密存儲(chǔ)、文件訪問(wèn)權(quán)限控制；②磁盤服務(wù)器為最終使用者的資料中心化儲(chǔ)存區(qū)。中央儲(chǔ)存設(shè)定工具會(huì)預(yù)先在磁碟服務(wù)器上劃出一小片儲(chǔ)存區(qū)，以供最終使用者使用；③備份服務(wù)器是為中央控制服務(wù)器系統(tǒng)及磁盤服務(wù)器系統(tǒng)2 個(gè)服務(wù)器的資料作備份，以確保其資料的安全性；④安全網(wǎng)關(guān)為第三方應(yīng)用程序的服務(wù)端和工作端的安全工作，提供了密碼和登錄信息的相互轉(zhuǎn)化。安全網(wǎng)關(guān)在安全工作環(huán)境中對(duì)應(yīng)用服務(wù)器進(jìn)行保護(hù)，因此，用戶只能通過(guò)登錄安全保密管理系統(tǒng)客戶端，才能對(duì)這些應(yīng)用服務(wù)器上的數(shù)據(jù)進(jìn)行存取，從而極大地增強(qiáng)第三方應(yīng)用系統(tǒng)的安全性。安全網(wǎng)關(guān)主要定義系統(tǒng)架構(gòu)樹(shù)，定義文件加密保存目錄，定義系統(tǒng)應(yīng)用策略清單，定義全局應(yīng)用白名單，定義系統(tǒng)全局應(yīng)用的黑名單以及其他設(shè)定。并利用該管理工具，實(shí)現(xiàn)對(duì)系統(tǒng)運(yùn)行記錄的查詢。其中，用戶端主要完成對(duì)用戶的工作環(huán)境的建立和管理等操作。

5 結(jié)束語(yǔ)

綜上所述，為保證涉密科研項(xiàng)目保密質(zhì)量，避免信息被竊取、泄露，對(duì)高校發(fā)展造成不利的影響，高校必須采取行之有效的方法，來(lái)持續(xù)地加強(qiáng)保密管理系統(tǒng)建設(shè)。一方面，高校要強(qiáng)化信息化建設(shè)，強(qiáng)化基礎(chǔ)設(shè)備建設(shè)，構(gòu)建一個(gè)可靠的保密環(huán)境。另一方面，要積極強(qiáng)化保密人員培訓(xùn)，提高職業(yè)素養(yǎng)，并加強(qiáng)對(duì)保密工作人員的監(jiān)督和管理，確保保密工作取得成效。