科研项目信息安全管理存在的问题与对策分析

时间：2024-07-28

尹兆良，王朋

（1．国家计算机网络应急技术处理协调中心云南分中心，云南昆明 650228；2．中国科学院昆明植物研究所，云南昆明 650201）

0 引言

信息安全在科研项目中占据举足轻重的地位，是科研项目能否完成的关键因素之一，保障科研数据安全对确保科研项目的成功进行至关重要。然而，现实中科研项目的信息安全管理仍面临诸多问题，这些问题可能导致研究数据泄露、知识产权被侵犯、研究成果被盗等严重后果。因此，针对这些问题进行分析并提出解决对策，量化相关的模型指标，对于提高科研项目信息安全水平具有重要意义。

1 科研项目信息安全管理存在的问题

2.1 信息安全意识薄弱

信息安全意识薄弱是一个普遍存在的问题，许多科研人员对信息安全缺乏足够重视，简单地认为科研数据的泄露问题与自己关系不大，导致日常科研活动中忽略信息安全防护措施。如果不加以解决，可能会导致诸如数据泄露、网络攻击、甚至是有预谋的社会工程学攻击等安全问题。除了意识薄弱导致的疏忽外，对负面后果认知不足也会导致科研项目重要数据泄露。

2.2 技术防护手段不足

科研项目中涉及的信息技术和研究手段多种多样，如数据安全保护技术、计算机网络安全技术、备份和灾难恢复机制、版权保护手段等，对新技术新应用缺乏认识或盲目使用都会增加科研项目中各类科研数据信息安全隐患。同时，如果在科研项目中信息安全管理技术手段跟不上科研项目需求，也将导致信息安全风险的增加。

2.3 人员安全风险

人员安全风险不仅来自科研组织内部，还有一些来自外部的流动人员，二者对科研项目的信息资源安全都会产生不同程度的安全风险，特别是流动人员如实习生、客座研究人员的隐藏安全风险往往会被忽视。这些人员一定程度上也能够掌握组织的敏感信息和技术，部分人员可能因为操作失误导致信息泄露，而有些人员是有目的地利用这些信息和技术来从事不当的活动，从而对科研项目的安全性和保密性造成威胁。

2.4 网络攻击和信息泄露风险

网络攻击和信息泄露风险包括：网络攻击、身份盗窃、信息泄露、钓鱼攻击等等。科研项目中的数据和知识产权具有较高价值，往往成为国内外网络攻击频繁进攻的重点目标。而网络攻击往往针对互联网暴露面的系统进行攻击，一旦系统被渗透，数据往往存在系统当中，那数据安全也无法保障了。同时，部分科研人员在数据传输、存储和共享过程中未采取有效保密措施，导致关键信息泄露风险。

2.5 人工智能（AI）的潜在影响

AI 辅助科研越来越普遍，很多以AI 为基础的工具( 例如ChatGPT) 能够帮助科研人员在项目规划，信息检索，代码编写，数据和图表处理等多个过程中提升效率，他是科研团队事务性工作的好助手。但是很多AI 工具是通过深度学习、大规模预训练模型来产生输出的，往往会使用用户的上下文信息、隐私信息等等。如果科研项目中忽视了流程上的管控或者科研人员疏于防范最终导致原创性的成果、专利、数据提前暴露，可能导致比较严重的后果。

3 科研项目信息安全管理对策建议

3.1 加强信息安全培训

提高科研人员的信息安全意识，定期开展信息安全培训和教育，使科研人员充分认识到信息安全对科研项目的重要性，从而在日常科研中自觉遵守信息安全规定，积极采取防护措施。培训的内容可包含但不局限于如下：

1）了解常见的网络安全威胁。培训课程应该教授有关网络病毒、间谍软件、钓鱼和网络诈骗等常见的网络安全威胁。

2）建立强密码。培训科研人员如何创建强密码，以及密码管理技巧，必要是使用密码管理器和生物指纹控制系统等工具。

3）确保设备和专用软件的更新。培训科研人员及时更新操作系统、应用程序和防病毒软件等软件，以确保设备和数据的安全。

4）保护机密信息。培训科研人员如何识别和保护机密信息，包括个人身份信息、财务信息和机构机密信息，确保他们知道如何安全地使用机构设备和数据信息。

5）社交工程防范。培训科研人员如何识别社交工程攻击，如电子邮件钓鱼和社交媒体欺诈，以及如何避免成为攻击者的受害者。

6）定期培训和测试。定期举行培训课程和测试，以确保科研人员了解最新的网络安全威胁和防御措施。测试还可以帮助管理层了解科研人员的信息安全意识和培训需求。

7）注重科研项目的信息安全管理与国家法律法规的衔接，遵循相关法规的规定，确保信息安全管理工作合规合法。同时，加强与政府、行业协会等有关部门的沟通，密切关注政策动态，为科研项目的信息安全管理提供政策指导和法律支持。

3.2 升级信息安全技术手段

针对科研项目的特殊需求，研发和引进先进的信息安全技术和产品，是提升科研项目信息安全管理的必要保障。在科研项目中，需要加强的技术防护手段，包括加强数据安全保护、建立完善的计算机和网络安全机制、建立备份和灾难恢复机制、加强版权和知识产权保护等。这些措施能够保障科研项目的安全和可持续发展。在已经有技术产品的前提下，需要定期对信息安全技术和设备进行检查和维护，确保其正常运行。

1）重视数据加密。科研项目中会产生大量的数据，其中有些数据是比较敏感的，需要进行加密保护。加密技术可以有效地防止数据泄露和窃取，从而保护项目的信息安全。在常规的防火墙技术中，重点配置数据梁柳监控。

2）防火墙是网络安全的重要组成部分，它可以监控进出网络的数据流量，识别和阻止不安全的数据传输。科研项目管理中，使用防火墙可以有效地防止黑客攻击、病毒感染等网络安全风险。

3）注意各种权限管理。科研项目中不同的工作人员需要访问不同的数据和文件，为了保护信息安全，需要进行权限管理。通过设置不同的权限级别，可以确保每个人只能访问到自己需要的数据，从而减少信息泄露的风险。可引入人脸识别等生物指纹识别技术：对于一些涉及敏感信息的地方，例如实验室、数据中心等场所，可以使用人脸识别技术进行身份验证和门禁控制，确保只有授权人员可以进入，从而保护信息安全。

4）加入数据备份和恢复技术手段。科研项目中的数据非常重要，数据的丢失或损坏会对项目的进展和结果产生很大的影响。因此，科研项目管理中需要定期进行数据备份，并且设置好数据恢复的机制，以确保在数据丢失或损坏的情况下，能够快速恢复数据并保证项目顺利进行。

3.3 建立严格的管理制度

首先，要加强对科研项目固定人员和流动人员的背景审查和安全教育，从源头上确保人员具备较高的信息安全素养。其次，要制定完善的内部管理制度，明确信息安全管理职责，完善信息存储、传输的过程管理，建立责任追究制度。再次，制定信息安全管理制度时需要充分考虑和遵守国家相关的法律法规，如《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》等。此外，还应做好信息资产评估，确定信息资产的价值和敏感程度。这有助于科研单位确定其信息安全管理制度的重点和方向。最后，还应做好风险评估，确定哪些风险是需要应对的。综合考虑以上因素的情况下，建立完善的内部管理体系。同时还需综合考虑与外部合作单位的信息安全风险，制定相应的合作安全措施，并在信息安全管理制度中体现。

3.4 注重网络安全防护

从信息技术层面上，一般认为科研机构的网络安全防护由机构的IT 部门或者专门的网络安全管理部门负责，实践证明多层级的网络安全防护能力是有必要。考虑到一般研究都是以相对独立的项目组承担研究项目，以小组为单位的网络安全防护依然是有必要的，主要是通过建立网络安全防护终端保护体系，主要采取两类防护措施：一是定期检查和更新安全措施。小组内应该定期检查并更新其安全措施，以确保它们能够应对新的安全威胁和技术漏洞。二是建立紧急响应计划。一个研究小组应该建立紧急响应计划，以应对突发的安全事件。严谨而详细的计划应该明确责任分工。指定最直接的应急联系人和规划相对详细的网络安全应急处置流程等等。从政策上，对接信息安全管理部门，可以了解最新的网络安全管理要求。同时，管理部门一般都有全程全网的聚合网络安全漏洞发布平台和统一的网络安全应急协调联动系统，可以结合科研使用的相关系统，比对是否包含网络将安全漏洞，及时修补最新漏洞，同时可以使用应急协调联动系统和管理机构保持沟通协调，对网络安全风险做出应急响应。

同时，IT 部门要关注最新软件和系统补丁，以确保它们没有漏洞。主要是常用软件的漏洞风险以及最新的漏洞，这些漏洞往往在国家互联网应急中心的国家漏洞库（CNVD）中及时发布，还可以使用订阅及时发现，从源头上提高科研项目对外部网络攻击的抵御能力。原则上，定期对网络安全状况进行检查，发现潜在风险及时进行修复往往比事后处理更加有效，尤其是对重要数据进行加密处理，确保数据在传输、存储和共享过程中的安全性往往比数据由于网络安全原因丢失后在处理更加有效。

3.5 合理规划信息系统架构

一般情况下，科研机构都有很多系统，规划时考虑同时满足最小化成本，最大化系统性能和满足安全要求。安全性要求又有很多子分类影响因素，例如访问控制、数据加密等。可以使用线性规划解决多因素影响下的最值问题。线性规划是数学优化方法，用于在一组线性约束条件下最大化或最小化一个线性目标函数。这里假设多个信息系统的数量为：一个个影响因素，同时，我们有个约束条件，例如成本约束、性能约束、安全约束等，可以转换为一个必须满足某个目标值（与实际工作中的观测值有关）的线性规划问题求解。

优化信息系统架构，同时要考虑分级划分数据存储区域，确保关键数据和知识产权得到更严密的保护。同时，建立数据备份和恢复机制，防止因意外损失导致的信息安全事故。

3.6 合理使用人工智能技术手段

尽管人工智能使许多人的工作变得非常容易，但不能忽视的是他也让人们面临最复杂的安全和隐私泄露的问题。在科研项目中应合理使用人工智能等技术手段，如限制敏感查询，敏感的程序和数据不要直接放入人工智能模型使用。特别注意的是，不要将数据和创新研究的方案提交到人工智能模型工具中。在利用此类工具的时候，还应该避免人工智能对结果的准确性评估，更不能直接讲结果引入科研项目中。而应当先进行基线模型评价，并且经过小组、专家评估讨论后再使用人工智能辅助生成的内容。适当地增加人工智能辅助管理机制，人工智能必将能为科研项目开辟解锁生产力和效率的可能性。

4 信息安全风险量化模型

从整个科研机构的信息安全管理角度来说，量化模型主要是合规性评估，理论上来说最常见的有3 种：第一种是《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2008）。该标准规定了网络安全等级保护的基本要求和测评方法，分为5 个等级，从一级到五级逐渐提高安全防护等级。第二种是《信息安全等级保护评估技术规范》（GB/T 25070-2019）：该标准规定了信息安全等级保护评估的技术规范，包括评估对象、评估要求、评估方法、评估结果等。如果需要做等级保护，还需要参考：第三种是《信息系统安全等级保护标准》（GB/T 22239-2019）。该标准规定了信息系统安全等级保护的基本要求，包括等级划分、安全要求、安全技术措施、安全保障等内容。

从科研项目组的角度来说，不同角色承担的职责不同，不同阶段造成的影响结果也不同，为更好地评估和管理信息安全风险，可以引入相对轻量化的量化模型。轻量化模型可以帮助我们对信息安全风险进行定量分析，以便采取相应的措施降低过程风险。以下将介绍一种常用的信息安全风险量化模型：风险评估矩阵（Risk Assessment Matrix，RAM）。

4.1 风险评估矩阵（RAM）

风险评估矩阵是一种将风险事件的可能性和影响进行量化的方法。通过对科研项目中的各种信息安全风险进行评估，确定需要重点防范的风险点，为信息安全管理提供决策支持。

风险评估矩阵包含2 个维度：风险可能性（概率）和风险影响（损失）。风险可能性表示某个风险事件发生的概率，通常分为5 个等级，从1（非常低）到5（非常高）。风险影响表示某个风险事件对科研项目造成的损失程度，同样分为5 个等级，从1（非常低）到5（非常高）。根据这2 个维度，可以构建一个5X5 的风险评估矩阵，以对不同风险事件进行分类和排序。