一、前言
信息化不仅促进当今世界的发展,也推动着经济社会各领域的变革。大力推进信息化,是覆盖我国现代化建设全局的战略举措,是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。科研信息化(e-Science)的概念首先由英国提出,是要对普遍意义上的科研工作进行信息化提高,其研发和应用涉及到所有学科的各个领域。发达国家经过长期发展基本完成了科研信息化的基础设施建设,如美国的cyber-infrastructure以及欧盟的e-infrastructure。由此可见,科研信息化是我国在信息化时代背景下进行科研活动的必然方向。我国科研信息化虽然起步较晚,水平较低,但是发展迅速。科研信息化高速发展的过程中,信息安全问题也日益突出。由于信息技术是科研信息化的基础,随着二者的联系愈发紧密,对信息与网络技术的安全要求也越来越高。
二、信息安全“信息安全”概念的出现与发展经历了漫长的过程
虽然世界各国早已开始实践信息安全的相关活动,然而一直到上世纪四十年代学术界才开始出现“通信保密”的概念。上世纪五十年代,“信息安全”等用词才开始进入相关的科技文献。国际信息系统安全认证组织(InternationalInformationSystemsSecurityConsor-tium)将信息安全划分为十大领域,包括物理安全、商务连续和灾害重建计划、安全结构和模式、应用和系统开发、通信和网络安全、访问控制领域、密码学领域、安全管理实践、操作安全、法律侦察和道德规划。由此可知,信息安全所包含的领域十分广泛。“通信与网络安全”的内容开始逐渐与各类物理安全的内容一样得到同等重视。21世纪以来,“信息安全”出现的频率不断增加,使用的范围和领域也不断扩大,并且进入了各个国家、地区的各类组织机构的政策法规之中,受到人们越来越多的关注与重视。本文中所涉及的信息安全主要限制于高校科研项目管理过程中的“信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导。”高校科研管理系统包括其硬件、软件、数据。保障高校科研信息安全就是保障其软硬件不受非法侵害、破坏,其数据不受非法更改、泄露,系统及其服务维持正常运行不中断。
三、高校科研项目管理的信息安全需求
高校科研项目管理信息安全问题较为突出。首先,这是由高校科研活动自身特点所决定的。高校作为我国科研力量最为集中的单位,同时也是集科研、教学为一体的单位,其公开性与保密性并存。第一,办学的公开性导致人员的流动性,交流与引进人才的同时也造成信息的流动;此外,学生也具有较大的流动性,包括学生参与不同教师的科研项目,出国交流学习、毕业、就业等,增加保密信息泄露的风险。第二,科研项目本身具有公开性,科研项目产生成果时需要进行及时的应用和转化。由此可知,科研项目从产生到应用的过程就是一个信息传递、交流与共享的过程。其次,从高校科研项目管理过程角度出发,主要分为科研项目立项管理、项目实施管理、项目验收管理三个阶段。其中科研项目立项管理又包括项目建议书、项目可行性论证、签订项目合同等内容;项目实施管理包括科研项目计划、项目跟踪管理、项目中期评估等;项目验收管理包括合同考核指标、项目组织与管理、项目绩效管理等。科研项目管理的这些环节在高校中大部分已实现系统化、信息化、网络化管理。由此可知,高校的科研管理部门在进行科研项目管理的过程中有以下三个方面的安全需求。
第一,科研项目保密性的安全需求。
由于高校人员的流动性、频繁的交流活动以及科研活动本身具有一定的公开性,对项目的保密工作提出了更高的要求。一是出于对涉及国家安全与经济安全的科研项目的保护;二是出于对知识产权的保护,因此如何加强项目保密性与保密范围的管理至关重要。
第二,管理人员的信息安全需求。
据统计,在所有计算机安全事件中,人为因素造成的约占52%,而组织内部人员作案占10%,由外部不法人员的攻击造成的安全事件仅有3%左右。可见,项目管理人员自身的安全意识淡薄,安全素质较低,有可能导致科研项目管理过程出现安全事故,例如保密信息外泄,访问不受控制,系统崩溃后无法修复,甚至导致科研活动停滞。
第三,新技术的发展对信息安全提出了更高要求。
目前信息技术发展突飞猛进,已进入云计算、大数据、移动互联等广泛应用的新阶段。滞后的信息技术,脆弱的信息网络注定无法在利用信息技术破坏基础网络,攻击网络节点等不法行为日益猖獗的今天得以生存。然而,在及时应用如超级计算机及其网格技术、云服务等新技术的同时,科研项目管理同样会面临一系列新的问题,例如使用第三方云服务商所提供的产品,进行海量数据获取、分析、处理的过程中所存在的安全隐患等。
四、高校科研项目管理信息安全实施策略
通过分析高校科研项目管理的特点及其对信息安全方面的需求可知,高校科研项目信息安全管理是一项复杂的系统工程。本文从管理、人员、技术、审计四个角度为保障高校科研项目管理的信息安全提供策略。
1.管理。
基于信息安全的科研项目管理工作,也是高校信息化建设的一部分。为打破“信息孤岛”的局面,应将科研项目信息安全管理纳入到高校信息化的整体规划中去。从体制机制的角度出发,应重点关注信息安全管理制度的建立和健全以及信息安全管理组织或人员的设立。高校科研项目的信息安全管理制度应通过相应规章制度的制定,实现项目过程管理、人员管理、组织管理、风险管理等。同时,高校科研管理部门还应设立专门的信息安全管理组织或人员,负责对信息进行及时、全面、准确的甄别、筛选、收集、掌握、保管、分析、运用。
2.人员。
科研项目信心安全管理活动中存在着一般行政管理人员以及专业信息技术人员。提升这两类人员的信息安全素养的方式方法既有相同点,也有不同点。相同点在于都需要对其进行充分的信息安全知识教育与培训,可采用多种形式的舆论宣传,岗前培训与在职培训、商业培训与公益培训相结合的方式。同时,可将员工的信息安全教育培训纳入到个人绩效考核体系中去。不同点在于对一般行政管理人员应加强其信息技术基本知识、实践技能方面的教育与培训,对专业信息技术人员应加强法律法规,规章制度方面的知识普及。
3.技术。
如何掌握和运用较为先进和成熟的计算机信息技术,是保障科研项目管理过程中信息安全的重要支撑和基础保障条件。目前在较为广泛使用的项目管理信息技术包括科研管理系统(MIS)、决策支持系统(DSS)、办公自动化(OAS/OA);信息安全管理技术包括防火墙技术、VPN技术、入侵检测系统(IDS)、入侵防御系统(IPS)、安全服务器等。选择适合于高校科研管理部门的信息安全技术,需要综合评估成本与安全风险,同时需要保证优先和重点,优化信息安全资源配置。此外,还应对已有的信息安全软、硬件不断进行优化、升级,引进和应用国际先进技术,拥有和掌握自己的核心技术。
4.审计。
信息安全审计是对高校科研项目管理过程中的风险进行评估以及提出应对措施的系统过程。在选择了合适的信息安全技术,建立了信息安全保障体系之后,这并不意味着信息安全管理工作已经结束。它是一个需要不断完善的长期过程。信息安全审计包括对人员身份与访问审计、网络访问控制审计、入侵防御审计、漏洞管理审计。首先,应对访问信息系统的人员身份进行核准,并依据信息保密层级对准入人员进行分级;其次,应使用可以对访问者以及系统安全性进行检查的网络访问控制审计;最后,应对网络入侵及系统防御情况进行审计监控,以便于发现系统、管理的漏洞,并对风险进行分析和处理。
五、结语
综上所述,为确保高校科研项目管理过程中的信息安全,科研管理部门应积极防御、综合防范,通过组织管理、过程管理、人员管理、技术支撑、审计手段等方面的协同运作,才能建立较为完善的高校科研项目信息安全保障体系。
作者:齐静宇 单位:浙江大学海洋学院
