李增江， 段云燕

（西安医学院医学技术学院，西安 710021）

0 引 言

高校实验室对加速成果转化［1］，推动创新、人才培养及技术进步具有重要的现实意义。但随着改革开放深化，科研任务增多，与国外交流不断深入，触及单位与国家利益相关秘密，加之新技术广泛应用，泄密风险日趋增大。从多年高校实验室实际看，保密安全实施说多做少，有必要充分认识高校实验室信息安全现状真实性，认真剖析实验室现状和失密原因，探索保密问题的方法和新对策。

1 高等院校实验室保密现状

走访调查了6所不同高校的107个实验室及107位实验人员，明确知晓国家有保密法的70人，不明确知晓的23人，大概浏览过保密法的13人，完整学习过的1人，仔细研读过的0人。明确有过失密的实验室6个，怀疑曾经失密的实验室9个，明确没有失密的实验室56个，完全不清楚是否失密的实验室33个，从不关心是否失密的实验室3个。

2 高等院校实验室传统失密因素

2.1 保密知识和认识淡薄

教学、科研及服务中缺乏保密知识而对本身应承担的保密责任认识差［2］，看不见实验室工作具有的机密或视而不见、见而不管、充耳不闻，不能认识泄密对国家利益的严重后果，哪些是科技机密及价值、密级、时限等问题认识不清，常在教学、学术和接访中全面展示、有问必答，无意中将应保密信息扩散出去，给国家、单位利益造成损害。

2.2 事务繁杂接触面广涉及人员类别多

学校的教学、科研、服务、交流，涉及实验室、课题组、科研机构、学校或企业、部门、其他团组、国家、个人，人员有教师、本科生、硕士生、博士生、博士后人员、各级领导、管理人员、专家学者、技术人员、外籍教师、留学生、服务人员、同事等，这些事、涉及人物互动协作，项目论证、教学交流、参观，展现设备、计划、措施、成果，外籍教师和留学生因教学需要难免接触实验设备设施及工作过程，与国外协作科研项目相对教学参与程度更深，一定意义讲这些交往是人际间信息交流，难免无意中涉及机密问题，稍有不慎后果不可估量。

2.3 实验室管理漏洞

管理制度不健全、措施不科学、技术落后、手段不能与时俱进及责任心不强、为利益有意泄密、用人失误均是失密因素。

3 高校实验室非传统失密因素

3.1 网络提速改进加速失密

5G和物联网及云计算等加速方便信息传递，泄密速度也伴随提升，窃密行为更加隐形而难以监测辨别，一旦意识到失密已不可挽回，对实验室信息管理体系、措施、技术提出了新的挑战。

3.2 窃密技术升级，防范措施相对落后

计算机网络安全配置不当、操作系统和服务器漏洞、计算机病毒、黑客入侵及Web程序设计缺陷等［3］，加之翻墙、褫夺、爬虫、钻取、挖掘、勒索、“钓鱼”、NFC（Near Field Communicatio-n）等技术应用，如防范措施未升级均会严重影响实验室信息保密［4］。

4 高校实验室保密问题应对措施

4.1 高校实验室保密常规措施

（1）构建针对性涉密实验室管理体系。涉及保密主管部门及实验室、人员、电脑、载体、项目、制度管理等环节（见图1）［5］，各保密环节在校保密主管部门统管下定期监督检查规章制度执行和保密责任制落实情况，在对业务工作流程梳理基础上，辨识并分析保密风险点，分析风险等级、评估保密管理体系，针对性［6］制定相应管控措施和手段，从而防范风险发生、减少损失，提高保密防范能力［7］。

图1 涉密实验室保密管理体系

（2）完善实验室保密制度。更新实验人员日常保密制度及守则，明确保密纪律和行为标准；涉密文件传递、归档、借阅、销毁制定最新制度，有经手痕迹记录和复核制度；留学生接触机密要逐级审批并签责任书及保密协议；实验室日常保密要分块落实到人，并确定为年度工作质量考核部分，对泄密、失密事故和行为据具体情节给予通报或扣发绩效，给国家和部门造成严重利益损失按政纪党纪或法纪处置。

（3）重点加强科研为主实验室保密管理。科研为主实验人员是参与研发、项目保密直接责任人，是保密第一道屏障，要强化他们保密法制观念［4-8］和业务知识［9］，使他们明晰保密重要性和必要性并严格执行针对性规章制度，将“人防技防”相结合［6］。健全资产涉密账目，签署实验室安全保密责任书，落实计算机及网络管理系统安全性，限制系统访问权限并定期下载补丁、建立多层病毒防卫体系；电脑用有线软键盘及鼠标，定期检查涉密设备，构建可靠“防火墙”，使用者做好交接并记录；严守用户名和操作口令，密码用符合密码法的复合密码；许可后方可触碰密件，原定密和上级部门批准方可复制，不网上传送，必要时断网封堵U口；配防窃密碎纸机、密码箱、保险柜，密件双人双锁保管、双人收发及运送，使用时两人同时在场，取用后立即放回保险柜并双人签字记录；新进实验人员先通过信息安全与保密课程教育培训［10］、掌握基本保密安全知识和技能、通过实验室保密安全员审核再进入工作学习；适时公布教学科研服务数据保密与解密时限；实验室所有设施、设备、资料、制度隐含秘密，教学、陈列、交流注意适度和按级申报审批原则，对来访者在不泄密下礼貌接待并记录；外来实验人员临时性工作人员进入须经保密责任人批准并有相应管理人在场；非工作人员进入实验室事先征得保密责任人同意并保证不碰触涉密设备和资料，一般人无故不得长时逗留；借出设备物品须涉密评估许可，借条应有单位证明和经手人签名、保密主管批准；要害部门按最高级别管理。储密载体要符合国家标准按密级分级管理，同一储密载体有不同等级涉密材料按最高密级管理。涉及国家机密对实验室地理位置［11］和真实用途保密或不挂牌或用表象实验掩护目的实验，处理好地理位置和保密［12］及科研和保密［13］关系；配备信息安全监督员定期评估审核，公开发表著作和论文不涉实验中产生的秘密并经保密主管部门审查及履行报批手续［14］，离退职者接受脱密期管理（见图2）。

图2 实验室保密措施体系

4.2 新型失密威胁应对措施

（1）加强政治教育，学好保密法，增强信息安全敏感性。保密工作政治、政策性很强，必须学好保密知识同时加强政治教育，从政治高度充分认识关于国家网络安全“四个坚持”重要指示精神重大意义，在信息化发展大势下积极应对信息安全挑战，结合大学网络文化活动加强信息安全宣传教育，提升师生信息安全意识，增强实验人员的保密认识和国家安全政治责任感和警觉性，增强对实验室秘密的敏感性；实验室保密是国家整体保密工作重要组分，关系国家政治、经济、科技权益和发展安全。

（2）实验室保密新技术（见图3）。使用影像识别验证及无线报警装置［15］，加密数据库及数据［16］；机器学习协助信息安全风险定量评估及控制［17-18］，掌握各种暗网的特点、漏洞、浏览器、使用及防范对机密信息攻击的技术［19］，端到端通信界面互操口令路径中间节点符合IMS（IP Multimedia Subsystem）标准安全设置［20］，以熵TOPSIS（Technique for O-rder Preference by Similarity to an Ideal Solutio-n）提供安全感知虚拟网络嵌入算法［21］，提高D2D（Device-to-Device）通信物理层安全和效率［22］；采用相互认证、会话密钥建立、用户优先性等属性密码的优先感知切换认证协议［23］，及身份加密与云网外包的等式测试、PKE-ET-HS（Public Key Enc-ryption with Equality Test for Heterogeneous Systems）［24］、RSA（Rivest、Shamir、Adlema）和DSA（Digital Signature Algorithm）加密算法加密；涉及区块链行属性加密［25］，其安全体系用NDN（Named Data Networking）管理密钥、保护缓存中毒和控制隐私访问［26］，用篡改恢复技术行语音传输认证和存储［27］，涉及物联网要加强安全性及隐私保护［28］，物联网感应到的特定数据由轻量级西蒙分组密码加密通信，分布式物联网用BacS（Blockchain-ba-sed access control Scheme）［29］或雾计算和物联网数据策略或共享生成模式保护隐私安全［30-31］，云协助物联网环境下用IBEAET（Identity-Based Encrypt-ion scheme with Authorized Equivalence Test）加密外包数据并搜索［32］，需要共享采用混沌映射一次性密钥、密文策略属性加密、动态策略更新、通信认证、解密密钥和文件验证、具外包资质的fog网络、安全高效的数据方案［33］，或通过智能扩展多媒体计数的目标密钥为多用户认证系统处理程序访问提供安全可靠高效的秘密共享服务［34］，用边缘计算数据完整性审查方案［35］保证多媒体数据安全有效。分布式环境中的角色、对象和权限可使用代理进行识别和分类，通过代理学习和适应变化，从给定的数据集中识别角色、对象和权限，根据规则和策略归类识别控制本体访问［36］；移动设备CPU内集成符合综合安全标准的MTPM（Mobile Trusted Platform Module）的安全处理器解决移动设备的信息安全［37］，用一个单一AP（Access Point）［38］的LaSa（Location aware Securit-y access control）将无线网络访问限制在一定物理区域内；移动边缘计算中采用多媒体SPARA（Security and Performance Aware Resource Allo-cation）算法分配计算、网络和存储资源［39］，移动通信节点安全互信系统验证在接入网络前采用朴素贝叶斯的机器学习和隐马尔可夫模型的隐藏节点异构移动网络接入控制检测方法［40］，对恶意软件检测技术进行评估和基准测试以确定最好的智能手机恶意软件应用检测［41］；为了防止窃听保护主传输系统的传输机密性，采用ST（Seco-ndary Transmitter）辅助机会干扰传输协议、OSTS（Optimal Secondary Transmission Selection）和OCJS（Optimal Cooperative Jammer Selection）［42］；不同互联网环境和用户需求、应用场景下采用不同的技术、方法和系统［43］访问控制模型和策略，尤其是云计算［44］；探索使用AI或IO（Indisti-nguishability Obfuscation）加密算法或量子通信干线终端密钥认证（见图3）。

图3 实验室保密新技术体系

5 结 语

实验室是现代大学的心脏［45］，无论时代和科技如何变化，应严格以保密法和条例为指导，结合日常工作实际，总结经验，制定科学合理的实验室保密管理体系，强化常规保密的同时，探索信息化条件下现代化的保密管理措施和技术手段，才能在教学、科研和服务工作正常开展的同时确保信息安全。鉴于本文调研实验室数量有限，观点难免欠妥，有待进一步研究。