李志伟

摘 要：随着信息化应用的日益广泛，科研单位的信息系统中存储的大量有价值的信息和数据，已成为各种网络犯罪组织和恶意势力的攻击目标，网络非法行为日趋复杂，且更为频繁，各种攻击方法相互融合，攻击手段更为隐秘，破坏性更强，攻击从网络层向应用层迁移。但是，我们也应该看到，在科研单位的信息化建设过程中，还存在着科研人员安全保密意识薄弱、网络信息管理秩序混乱，缺乏统一标准、缺乏针对性的网络信息安全防范制度等问题。本文有针对性地分析研究科研单位网络信息安全管理的问题，并提出相应的对策，为科研单位信息安全管理提供了理论借鉴。

关键词：信息安全；网络；科研单位防范

1 信息安全的理论概述

信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

2 科研单位网络信息安全存在的问题分析

2.1 科研单位网络信息安全现状分析

在科研信息化基础设施建设方面，受国家“863计划”重大专项等支持建设的中国国家网格，聚合了高性能计算和事务处理能力，共集成11种应用网格，通过资源共享，服务于科学实验研究，中国科学院“十一五”统筹规划建设的超级计算中心，支持基础研究模拟仿真等高性能计算。科研信息化是我国在信息化时代科研活动的必然发展方向，也是增强我国创新力、立足世界科技发展前沿的重要途径。

2.2 科研单位网络信息安全存在的问题

2.2.1科研人员安全保密意识薄弱

我们可以看到信息安全事故发生的主要因素是认为因素，另外内部人员作案也占10%，这是一组非常惊人的数据，由于科研人员缺乏基本的信息安全保密知识，在具体工作中，违规操作、有章不循、监管不力等现象频繁发生，更没有意识到信息安全问题不仅仅是职能部门的事，更是每个人必须遵守和维护的重要工作；也不了解信息化过程中对应的安全风险，如内部口令互串。

2.2.2网络信息管理秩序混乱，缺乏统一标准

当前科研单位信息管理缺乏宏观的全面规划，存在盲目地追求设备的先进性，从而导致管理秩序混乱，缺乏统一标准。主要表现在：对移动存储介质，移动计算机设备的使用上缺乏有效的监控手段，普遍存在随意处理各类密级文件、随意使用私人存储介质、随意拷贝文件的现象；数据库标准不统一，致使网络信息数据资源无法流通、汇总，影响了信息资源的利用率等等。

2.2.3缺乏针对性的网络信息安全防范制度

科研单位的网络信息安全责任体系尚不健全，存在不同部门职责划分不清，多头指导、建设和监督未能有效分离，检查监督不到位，出现问题难以落实到人等问题。这些问题造成科研单位内部管理混乱，责任不明确，技术措施不能到位，出现问题互相推诿等现象，严重影响科研单位整体的信息安全防范能力。

2.3 科研单位网络信息安全存在问题的原因分析

2.3.1人员素质及安全意识亟待提高

科研工作性质决定了对科研人员有很高的保密要求，但是在日常工作中科研人员对信息安全问题还存在不少认知盲区，对网络信息不安全的事实认识不足，没有形成一个合理的信息安全管理系统来指导组织的信息安全管理工作，更缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章组织未必能严格实施等，科研人员的安全意识淡薄将导致了很大的安全隐患。

2.3.2信息加密技术及措施不能满足实际需要

随着科研单位网络信息化建设正在不断深化，科研单位现有信息安全产品种类逐渐增多，由于安全产品种类多样，其保密要求高，越来越多的数据信息通过网络和计算机完成处理和交换任务，社会上通用的技术手段远远不能满足其安全需求；急需与之相适应的各类专用安全保密技术措施。虽然目前科研单位已经对加密问题采取了一些措施，但加密仍是科研单位信息安全保密工作亟待解决的问题之一。

2.3.3科研单位信息安全责任体系尚不健全

科研单位信息安全管理仍处于初级阶段，由于存在很多不确定因素，导致政府在该方面的立法尚不完善，加之科研单位组织结构的调整和职能转变仍不到位，当前仍存在组织机构设置不合理，部门职能交叉、重叠严重；研究程序比较落后，缺乏严格的信息安全责任体系等问题。相关立法体系及安全责任体系的滞后与空缺在很大程度上制约着科研单位的信息安全管理建设。

3 加强科研单位网络信息安全保障的措施

3.1 提高科研人员素质，强化信息安全培训

加强科研单位网络信息安全建设，需要实现安全保密意识统一规划、规范指导、有效监管的目标。信息安全是人、管理、技术的有机结合，其中人是根本，管理是关键，技术是保证。通过普及教育、专业培训等方式，对不同类型的人员进行相关的安全教育，提高科研人员的素质，越是对授予较高权限的人员，越要增强其安全意识。

3.2 强化信息安全技术，规范信息安全管理

规范信息安全管理的重要途径是强化信息安全技术，主要有：

（1）采取指纹、智能卡、网络身份认证（PKI/CA）等多种强认证方式实现身份认证和授权管理；

（2）采用内部安全监控和审计技术，控制信息出入口，以保证信息的受控使用；

（3）使用国家密码管理局批准装备使用的密码设备；

（4）采用网络与数据库审计系统，记录用户的使用行为；

（5）采用防火墙、入侵检测、防病毒等多种技术手段，以保证基础网络系统的安全；

（6）采取标识和鉴别技术，保证工作用移动介质的授权使用，统一编码，统一管理；

3.3 完善科研单位信息安全管理规章制度

针对当前科研单位信息安全管理不完善的情况，政府应当加快相关的法律、法规的立法进程，制定具有前瞻性，能够与现有的相关国际法律、规则相兼容的法律法规，通过建章立制，严明制度，完善科研信息安全管理的信息维护、数据录入、文件归档等方面的一系列制度，做到具体工作责任量化，落实到人，为科研工作建设创造良好的法制氛围。

4 结语

信息技术已渗透到科研单位的各个领域，正在发挥着越来越重要的作用。但是，信息技术也是一把“双刃剑”，它在提高科研工作效率的同時，也引入了更多的信息安全隐患。这些问题严重阻碍科研单位的正常工作，甚至还会造成科研工作系统的瘫痪，直接危害科研单位的信息安全。因此，通过提高科研人员素质，强化信息安全培训、强化信息安全技术，规范信息安全管理、完善科研信息管理体系，加大问责力度、完善科研单位信息安全管理规章制度等方法，做到正确规避信息安全问题，为科研单位发展提供有效的解决办法。

参考文献

[1]李建华.信息安全技术发展与信息安全保密管理[J].保密科学技术，2013，（3），6-7

[2]徐玮晟，张保稳，李生红.网络安全评估方法研究进展[J].专家新论，2009（10），50-52

[3]孙宝文，王天梅.电子政务[M].高等教育出版社，2008，11-12

[4]李彦辉，王述洋，王春艳.网络信息安全技术综[J].林业劳动安全，2007，20（1），25