基于情報保密博弈的高校圖書館數(shù)據(jù)庫安全管理

●謝一帆

（西北工業(yè)大學 圖書館，西安 710072）

1 高校：情報保密博弈重地

我國高等學校和科研院所是培養(yǎng)高層次、高素質科技人才的重要場所，碩士和博士研究生均要跟著導師一起從事前沿科研工作，許多科研項目就是高、精、尖項目，有些項目直接關系到我們國家的國計民生發(fā)展、軍隊裝備、國防建設、能源發(fā)展等重大課題，涉密內(nèi)容較多、涉密級別較高，當他們的科研成果轉化成科技論文發(fā)表時，如果文章表述過于詳細，透露的科技信息就會很多，加上保密編輯審核檢測不嚴格，就有可能造成泄密事件，輕者是知識產(chǎn)權的流失，重者就是國家機密的泄露。

目前，高校科技泄密主要集中在科技人員發(fā)表學術論著；各種媒體的宣傳報道；科技人員出國參加學術會議、留學、訪問；國際合作研究與交流；接待參觀考察；科技人才流動；計算機信息聯(lián)網(wǎng)等諸多方面。［1］由于論著、報道、會議交流等大多以文獻形式存放在網(wǎng)絡數(shù)據(jù)庫里，致使網(wǎng)絡數(shù)據(jù)庫成為高?？萍夹姑艿闹饕馈?/p>

2 情報竊取手段多端

境外情報機構竊取我國的科技情報手段變化多端。有的是利用我國高校對國際交流合作中的法律保護、專利保護知識的不了解以及缺乏有效手段制裁合同執(zhí)行違法行為的弱點，采取校際合作形式，竊取、套取我們的科技成果。有的是以邀請我國學者出國講學、交流為誘餌，向其認為有價值的人員提供經(jīng)費、發(fā)出邀請，千方百計竊取情報。還有的是通過吸引我國專家學者發(fā)表論文、申請項目等手段，收集我國最新的科技動態(tài)和技術秘密。如國際三大索引中的一些刊物在審稿時要求作者必須對實驗的每個步驟和細節(jié)詳細寫明，以“具有可重復性”來鑒定科研成果，這就使我國科研成果中的思維創(chuàng)新點、技術路線、配方等一覽無余。還有的刊物要求作者在投稿時必須寫明資助單位，因此，一些國家資助項目的最新成果和進展動態(tài)也就被竊取了。［2］

3 加強高校情報保密的措施

3.1 不斷強化內(nèi)部管理

（1）建章立制。建章立制是做好網(wǎng)絡數(shù)據(jù)庫安全管理的基礎和前提。應根據(jù)《國家保密法》《科學技術保密規(guī)定》《對外科技交流保密提醒制度》《計算機信息系統(tǒng)保密管理暫行規(guī)定》等保密文件和單位實際情況制定出切實可行的安全保密管理規(guī)章制度。如：管理員操作規(guī)范、管理員培訓制度，用戶使用規(guī)程，設備檢修制度，網(wǎng)絡系統(tǒng)維護制度，信息數(shù)據(jù)庫安全定期評估制度，信息采集、傳輸和閱覽保密制度等。從內(nèi)部管理上排除一切不安全隱患，使安全保密管理制度化。制定系統(tǒng)科學的計算機服務終端規(guī)范性操作標準，制定信息安全保密管理流程和檢查標準，規(guī)范管理人員在計算機服務終端的操作行為，規(guī)范讀者在網(wǎng)絡上的操作行為；安排專人負責定期監(jiān)督和巡查，實行定期安全檢查與不定期的抽查，還可進行網(wǎng)絡動態(tài)跟蹤，消除一切安全隱患，避免信息泄露事故的發(fā)生。領導干部要以身作則，帶頭遵守。管理干部要分工明確，職責清晰。要實行領導干部安全保密問責制和管理干部安全保密工作責任制，以制度規(guī)范保密管理，以制度監(jiān)督和約束管理人員行為。

（2）宣傳教育。應定期開展不同主題的安全保密宣傳教育活動，并做到經(jīng)?；椭贫然?。

（3）簽訂協(xié)議。對于經(jīng)過保密單位審核同意的讀者查閱秘密級科技資料時，要簽訂保密協(xié)議，不得隨意摘抄或復制保密資料。對管理人員應實行資質準入制，建立起網(wǎng)絡安全管理的準入機制。同時，對重點部門設立安全保密員，明確保密工作職責。對有意竊取秘密級信息或因瀆職、失職造成的秘密級信息丟失的責任人的處理，可按照我國《刑法》執(zhí)行。

（4）設備檢測。加強高校圖書館的計算機設備和數(shù)據(jù)庫承載設備的嚴格管理，尤其是對包含有秘密級信息資料的軟盤、硬盤、光盤、服務器和電腦主機要進行嚴格管理。規(guī)定不得用上網(wǎng)計算機處理辦公、教學、科研等涉密信息，不使用沒有安全保證的網(wǎng)上軟件、數(shù)據(jù)、信息等，自覺做到“涉密計算機不上網(wǎng)，上網(wǎng)計算機不涉密”。對計算機網(wǎng)絡進行每日檢測，重點把住信息的網(wǎng)上“入口關”和“出口關”，減少泄密渠道。不隨意從網(wǎng)上下載軟件，謹防惡意軟件和間諜軟件侵入網(wǎng)絡系統(tǒng)。不打開陌生的郵件，養(yǎng)成嚴格執(zhí)行上網(wǎng)操作程序和紀律的習慣。

（5）內(nèi)容分級。加強科技書籍和科技期刊的分類、分級管理，涉密信息資料杜絕上網(wǎng)。根據(jù)《國家保密法》第十一條規(guī)定：各級國家機關、單位對所產(chǎn)生的國家秘密事項，應當按照國家秘密及其密級具體范圍的規(guī)定確定密級。對是否屬于國家秘密和屬于何種密級不明確的事項，由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門，省、自治區(qū)政府所在地的市和經(jīng)國務院批準的較大的市的保密工作部門或者國家保密工作部門審定機關進行確定。在確定密級前，產(chǎn)生該事項的機關、單位應當按照擬定的密級，先行采取保密措施。第二十條規(guī)定：報刊、書籍、地圖、圖文資料、聲像制品的出版和發(fā)行以及廣播節(jié)目、電視節(jié)目、電影的制作和播放，應當遵守有關保密規(guī)定，不得泄露國家秘密。

圖書館可聘請學校保密委員會成員、科技專家和保密單位的專業(yè)人員進行具體指導，對館藏中的科研期刊、科技書籍、學術資料、學位論文等進行密級分類。對于那些不能公開的信息、重要涉密科技期刊和書籍一律嚴禁數(shù)字化進入圖書館的信息數(shù)據(jù)庫中公開。

（6）完善細則。實行讀者會員制度，審核并留存讀者詳細信息資料。應對會員進行分級閱讀管理并制定相應規(guī)則。建立完善的保密資料閱讀審查制度。設立保密書刊查閱室，對經(jīng)安全保密機構審核同意的特殊讀者，實行實名制查閱登記制度，規(guī)范其查閱行為，并訂立保密協(xié)定。切實遵守“涉密不上網(wǎng)，上網(wǎng)不涉密”的保密規(guī)定。

（7）經(jīng)驗借鑒。德國是雙審制的主要代表國家，始終堅持圍繞國家秘密載體的管理和涉密人員的安全審查這兩個方面制定信息保密法律法規(guī)。德國聯(lián)邦政府內(nèi)政部1994年制定的《密件的物質保護與組織保護的普遍管理規(guī)定》具體規(guī)定了國家秘密載體的管理辦法，德國議會1994年公布的《安全審查法》規(guī)定了如何對涉密人員進行安全審查以及涉密人員如何接觸秘密信息的有關制度。美國是“控人”為主的信息保密制度的代表。美國的信息保密制度工作的內(nèi)容包括3個方面，即定密、秘密信息的保護以及追究泄密人員的法律責任。圍繞這3項工作，美國政府采取了一系列的措施，形成了富有特色的信息保密制度。如定密官制度，將定密視為一種權力，通過法律或行政授權的方式獲得，并由專人負責定密；在保密措施方面，管人與管物并重，但以管人為主，即將管理的重點放在加強涉密人員的管理環(huán)節(jié)，確保接觸國家秘密的人員忠誠可靠，意志堅強，能有效地保護國家秘密的安全；懲罰制度，即對違反保密義務的行為人予以各種制裁。［3］

3.2 更加重視系統(tǒng)防護

管理人員要及時了解當前計算機科技發(fā)展的前沿動態(tài)，了解竊密者或是黑客攻擊的主要手段，熟悉當前殺毒和防毒的最新方法，做好系統(tǒng)的安全防護。

（1）建立用戶登陸網(wǎng)絡身份識別系統(tǒng)。加強對外來非受控的和未授權的計算機擬聯(lián)網(wǎng)登陸進行強制阻斷，避免外來計算機的惡意攻擊。建立周密和完善的用戶登陸賬號和密碼安全保障系統(tǒng)，通過身份認證來識別有效用戶，對不同類型用戶給予不同的使用權限，不隨意開放目錄和文件的共享，不開放寫權限，防止未授權用戶刻意修改系統(tǒng)中的注冊表、授權密令和技術參數(shù)等；防止在無線局域網(wǎng)中未經(jīng)授權的非法用戶隨意接入高校圖書館的網(wǎng)絡中，獲取信息資源庫中的信息，并插入有害數(shù)據(jù)或病毒。

（2）建立技術型防護系統(tǒng)。利用有效軟件建立技術型防護系統(tǒng)，有針對性地選擇適合于圖書館的網(wǎng)絡所用防火墻、殺毒軟件、操作系統(tǒng)和工具軟件等，并由專人負責管理和及時升級與更新，徹底阻止各種木馬和黑客程序利用系統(tǒng)漏洞進行攻擊。對網(wǎng)絡依賴性高的重要設備如服務器、交換機、路由器等也要實行專人負責職守和管理。建立起客戶登陸平臺安全系統(tǒng)模塊、服務器管理安全系統(tǒng)模塊、終端總控監(jiān)督報警系統(tǒng)模塊。對情報數(shù)據(jù)庫中密級較高的重要資源實行物理隔離技術，即實行內(nèi)部網(wǎng)和公共網(wǎng)的物理隔離，確保內(nèi)部網(wǎng)不會受到外部公共網(wǎng)絡的非法攻擊。

（3）增強無線局域網(wǎng)中的安全防御系統(tǒng)。通過技術手段增強無線局域網(wǎng)中的安全防御系統(tǒng)。例如，使用端口訪問控制技術（802.1x） 增強無線局域網(wǎng)安全性。再如，使用擴頻、跳頻無線傳輸技術，使未授權者難以捕捉到有用的數(shù)據(jù)。通過設置嚴密的用戶口令及認證措施以防止非法用戶入侵。

總之，加強數(shù)據(jù)庫網(wǎng)絡維護，尤其是強化數(shù)據(jù)庫安全保密管理是高校圖書館數(shù)據(jù)庫管理的頭等大事，高校圖書館管理人員應充分認識到做好信息安全保密工作的重要性和緊迫性，采取切實有效措施，不斷提高管理與技術防御能力，確保網(wǎng)絡暢通和信息安全穩(wěn)定，真正做到人防、物防和技防的有效結合，堅決將企圖非法獲取科技信息并破壞網(wǎng)絡的不法分子拒之門外。

［1］姜從盛．高?？萍急Ｃ芘c國家安全利益［J］．理工高教研究，2002（4）：58．

［2］郭寧，祝文燕．試論加入WTO后高校的保密工作 ［J］．北京教育·高教版，2002（9）：32－33．

［3］相麗玲，史尚元．中外信息保密的立法精神比較及其思考 ［J］．情報理論與實踐，2005（4）：369－372.