●谢一帆
(西北工业大学 图书馆,西安 710072)
我国高等学校和科研院所是培养高层次、高素质科技人才的重要场所,硕士和博士研究生均要跟着导师一起从事前沿科研工作,许多科研项目就是高、精、尖项目,有些项目直接关系到我们国家的国计民生发展、军队装备、国防建设、能源发展等重大课题,涉密内容较多、涉密级别较高,当他们的科研成果转化成科技论文发表时,如果文章表述过于详细,透露的科技信息就会很多,加上保密编辑审核检测不严格,就有可能造成泄密事件,轻者是知识产权的流失,重者就是国家机密的泄露。
目前,高校科技泄密主要集中在科技人员发表学术论著;各种媒体的宣传报道;科技人员出国参加学术会议、留学、访问;国际合作研究与交流;接待参观考察;科技人才流动;计算机信息联网等诸多方面。[1]由于论著、报道、会议交流等大多以文献形式存放在网络数据库里,致使网络数据库成为高校科技泄密的主要渠道。
境外情报机构窃取我国的科技情报手段变化多端。有的是利用我国高校对国际交流合作中的法律保护、专利保护知识的不了解以及缺乏有效手段制裁合同执行违法行为的弱点,采取校际合作形式,窃取、套取我们的科技成果。有的是以邀请我国学者出国讲学、交流为诱饵,向其认为有价值的人员提供经费、发出邀请,千方百计窃取情报。还有的是通过吸引我国专家学者发表论文、申请项目等手段,收集我国最新的科技动态和技术秘密。如国际三大索引中的一些刊物在审稿时要求作者必须对实验的每个步骤和细节详细写明,以“具有可重复性”来鉴定科研成果,这就使我国科研成果中的思维创新点、技术路线、配方等一览无余。还有的刊物要求作者在投稿时必须写明资助单位,因此,一些国家资助项目的最新成果和进展动态也就被窃取了。[2]
(1)建章立制。建章立制是做好网络数据库安全管理的基础和前提。应根据《国家保密法》《科学技术保密规定》《对外科技交流保密提醒制度》《计算机信息系统保密管理暂行规定》等保密文件和单位实际情况制定出切实可行的安全保密管理规章制度。如:管理员操作规范、管理员培训制度,用户使用规程,设备检修制度,网络系统维护制度,信息数据库安全定期评估制度,信息采集、传输和阅览保密制度等。从内部管理上排除一切不安全隐患,使安全保密管理制度化。制定系统科学的计算机服务终端规范性操作标准,制定信息安全保密管理流程和检查标准,规范管理人员在计算机服务终端的操作行为,规范读者在网络上的操作行为;安排专人负责定期监督和巡查,实行定期安全检查与不定期的抽查,还可进行网络动态跟踪,消除一切安全隐患,避免信息泄露事故的发生。领导干部要以身作则,带头遵守。管理干部要分工明确,职责清晰。要实行领导干部安全保密问责制和管理干部安全保密工作责任制,以制度规范保密管理,以制度监督和约束管理人员行为。
(2)宣传教育。应定期开展不同主题的安全保密宣传教育活动,并做到经常化和制度化。
(3)签订协议。对于经过保密单位审核同意的读者查阅秘密级科技资料时,要签订保密协议,不得随意摘抄或复制保密资料。对管理人员应实行资质准入制,建立起网络安全管理的准入机制。同时,对重点部门设立安全保密员,明确保密工作职责。对有意窃取秘密级信息或因渎职、失职造成的秘密级信息丢失的责任人的处理,可按照我国《刑法》执行。
(4)设备检测。加强高校图书馆的计算机设备和数据库承载设备的严格管理,尤其是对包含有秘密级信息资料的软盘、硬盘、光盘、服务器和电脑主机要进行严格管理。规定不得用上网计算机处理办公、教学、科研等涉密信息,不使用没有安全保证的网上软件、数据、信息等,自觉做到“涉密计算机不上网,上网计算机不涉密”。对计算机网络进行每日检测,重点把住信息的网上“入口关”和“出口关”,减少泄密渠道。不随意从网上下载软件,谨防恶意软件和间谍软件侵入网络系统。不打开陌生的邮件,养成严格执行上网操作程序和纪律的习惯。
(5)内容分级。加强科技书籍和科技期刊的分类、分级管理,涉密信息资料杜绝上网。根据《国家保密法》第十一条规定:各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级。对是否属于国家秘密和属于何种密级不明确的事项,由国家保密工作部门,省、自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定机关进行确定。在确定密级前,产生该事项的机关、单位应当按照拟定的密级,先行采取保密措施。第二十条规定:报刊、书籍、地图、图文资料、声像制品的出版和发行以及广播节目、电视节目、电影的制作和播放,应当遵守有关保密规定,不得泄露国家秘密。
图书馆可聘请学校保密委员会成员、科技专家和保密单位的专业人员进行具体指导,对馆藏中的科研期刊、科技书籍、学术资料、学位论文等进行密级分类。对于那些不能公开的信息、重要涉密科技期刊和书籍一律严禁数字化进入图书馆的信息数据库中公开。
(6)完善细则。实行读者会员制度,审核并留存读者详细信息资料。应对会员进行分级阅读管理并制定相应规则。建立完善的保密资料阅读审查制度。设立保密书刊查阅室,对经安全保密机构审核同意的特殊读者,实行实名制查阅登记制度,规范其查阅行为,并订立保密协定。切实遵守“涉密不上网,上网不涉密”的保密规定。
(7)经验借鉴。德国是双审制的主要代表国家,始终坚持围绕国家秘密载体的管理和涉密人员的安全审查这两个方面制定信息保密法律法规。德国联邦政府内政部1994年制定的《密件的物质保护与组织保护的普遍管理规定》具体规定了国家秘密载体的管理办法,德国议会1994年公布的《安全审查法》规定了如何对涉密人员进行安全审查以及涉密人员如何接触秘密信息的有关制度。美国是“控人”为主的信息保密制度的代表。美国的信息保密制度工作的内容包括3个方面,即定密、秘密信息的保护以及追究泄密人员的法律责任。围绕这3项工作,美国政府采取了一系列的措施,形成了富有特色的信息保密制度。如定密官制度,将定密视为一种权力,通过法律或行政授权的方式获得,并由专人负责定密;在保密措施方面,管人与管物并重,但以管人为主,即将管理的重点放在加强涉密人员的管理环节,确保接触国家秘密的人员忠诚可靠,意志坚强,能有效地保护国家秘密的安全;惩罚制度,即对违反保密义务的行为人予以各种制裁。[3]
管理人员要及时了解当前计算机科技发展的前沿动态,了解窃密者或是黑客攻击的主要手段,熟悉当前杀毒和防毒的最新方法,做好系统的安全防护。
(1)建立用户登陆网络身份识别系统。加强对外来非受控的和未授权的计算机拟联网登陆进行强制阻断,避免外来计算机的恶意攻击。建立周密和完善的用户登陆账号和密码安全保障系统,通过身份认证来识别有效用户,对不同类型用户给予不同的使用权限,不随意开放目录和文件的共享,不开放写权限,防止未授权用户刻意修改系统中的注册表、授权密令和技术参数等;防止在无线局域网中未经授权的非法用户随意接入高校图书馆的网络中,获取信息资源库中的信息,并插入有害数据或病毒。
(2)建立技术型防护系统。利用有效软件建立技术型防护系统,有针对性地选择适合于图书馆的网络所用防火墙、杀毒软件、操作系统和工具软件等,并由专人负责管理和及时升级与更新,彻底阻止各种木马和黑客程序利用系统漏洞进行攻击。对网络依赖性高的重要设备如服务器、交换机、路由器等也要实行专人负责职守和管理。建立起客户登陆平台安全系统模块、服务器管理安全系统模块、终端总控监督报警系统模块。对情报数据库中密级较高的重要资源实行物理隔离技术,即实行内部网和公共网的物理隔离,确保内部网不会受到外部公共网络的非法攻击。
(3)增强无线局域网中的安全防御系统。通过技术手段增强无线局域网中的安全防御系统。例如,使用端口访问控制技术(802.1x) 增强无线局域网安全性。再如,使用扩频、跳频无线传输技术,使未授权者难以捕捉到有用的数据。通过设置严密的用户口令及认证措施以防止非法用户入侵。
总之,加强数据库网络维护,尤其是强化数据库安全保密管理是高校图书馆数据库管理的头等大事,高校图书馆管理人员应充分认识到做好信息安全保密工作的重要性和紧迫性,采取切实有效措施,不断提高管理与技术防御能力,确保网络畅通和信息安全稳定,真正做到人防、物防和技防的有效结合,坚决将企图非法获取科技信息并破坏网络的不法分子拒之门外。
[1]姜从盛.高校科技保密与国家安全利益[J].理工高教研究,2002(4):58.
[2]郭宁,祝文燕.试论加入WTO后高校的保密工作 [J].北京教育·高教版,2002(9):32-33.
[3]相丽玲,史尚元.中外信息保密的立法精神比较及其思考 [J].情报理论与实践,2005(4):369-372.