张丽

(中国科学院苏州生物医学工程技术研究所，江苏苏州215163)

0 引言

随着信息化时代的加速到来，信息的获取、传输、存储和处理方式已向电子化、计算机化、网络化发展[1]。信息化推动了社会经济的发展，带来了极大的便利，但同时，高度的开放和共享也对信息安全构成威胁。如今，科技创新能力的竞争已成为综合国力竞争的决定性因素。因此，信息化背景下的科技保密工作面临日益严峻的局面。

中国科学院是我国科学技术方面的最高学术机构，中科院各研究所承担着大量国家重点项目，包括973计划、863计划、国际科技合作项目、国防科研生产任务等。中科院研究的是关系国家全局和长远发展的基础性、战略性、前瞻性重大科技问题，其研究水平代表着中国科研的最高水平，对中国科学技术的发展有着重大作用。因此，做好中科院研究所的科技保密管理工作，成为维护国家科技创新工作安全的关键。

1 研究所保密管理工作的特点

研究所是科研项目、专利成果、前沿理论研究的聚集地，拥有大量科研成果和知识产权。同时，研究所又是一个开放、活跃的学术科研机构。

为了开拓学术视野，建立资源共享体系，促进提升科技创新能力，研究所会举办形式多样的学术交流活动，包括和兄弟院所、国内外知名大学和公司。科研人员参加国内外各类科技交流的机会和频率增加，如何有效地对涉密项目、涉密人员进行管控，实现科技交流和科技保密的齐头并进，成为亟待思考的问题。

同时，研究所为了宣传学术成果、扩大学术影响力，对论文发表、专著出版、专利申请有较大要求。对外信息交流量的增大使得保密管理面临更大挑战。

此外，科研人员在项目进行过程中，需要向上级科技主管部门汇报项目进展、和合作单位探讨技术难题，面临经常性的出差，在外期间保密设备的配备往往不能齐全，如何确保涉密计算机和涉密信息的安全非常重要。

2 研究所保密体系建设措施

针对研究所在保密管理工作方面的特点以及信息化时代的大环境，研究所保密体系的建设要向全面化、专业化、科学化发展，做到覆盖科研项目进展全过程的跟踪管理。

2.1 领导重视是关键

研究所的生存和发展依赖于科研经费的争取，保密管理作为一项辅助性的行政工作，表面上不能带来直接的经济效益，因此很容易被忽视。有些单位甚至出现为了应付保密认证成立临时的保密管理部门，认证过了再撤销的现象，等真正在保密方面出了问题吃了亏，后悔却已经晚了。因此，研究所保密工作能不能长效开展和顺利推进，领导重视是关键。

第一，所领导在保密工作中要严以律己，做好表率作用，该履行的保密审批手续一个都不能少。领导的参与会带动全所职工的重视，实现全员参与。第二，所领导要为保密工作的开展提供足额开支的经费，为保密防护体系的构建提供物质保障。第三，严格落实保密责任制，注重保密管理队伍的培养，使保密工作真正做到有人抓，有人管，有人做。另外，保密管理人员在保密工作中必须把争取领导重视作为关键环节来抓，把上级部门的最新保密工作指示、研究所保密工作中需要解决的难题、日常保密工作进展情况向领导做经常性的口头、书面汇报，主动出击的模式比等待领导作出工作指示要有效得多。

2.2 准确定密是源头

做好对涉密科研项目的管理，源头在于科技秘密的准确界定。只有知道哪些事项和模块应该保密，哪些可以公开，做到对科研项目中保密要点的精确提炼，才能根据“以项定岗”原则明确涉密岗位，因而才能通过“以岗定人”原则确定涉密人员。同时，准确定密也是对涉密载体和涉密计算机正确规范管理的前提。

涉密科研项目的涉密事项范围定小了，出现“高密低定”甚至“是密未定”的情况，会使科技秘密受不到应有的保护，导致泄密。有些单位为了防止泄密，喜欢遍地撒网一股脑定密，这样会使保密管理体系工程的规模变大、管理成本和管理周期增加。而且，把原本可以公开的科学技术定密，也会使技术失去创造经济和社会效益的价值。

研究所科技秘密的确定依据是《保密法》、《国家秘密及其密级具体范围的规定汇编》、《中科院科技工作中国家秘密范围规定》，以及甲方下达的合同书、任务书、保密协议。一个科研项目中，机械和电路设计部分可能涉及国家秘密，而机械结构中一个螺钉的尺寸、电路设计中一个移动电源的选择却是非常通用和公开的技术，完全没有必要保密。由此可见，对整个项目进行一概而论的保密管理是行不通的。

因此，除了对科研项目的总体密级进行确定，还应该对项目抽丝剥茧，一层层地分割研究，明确各个模块的保密要点和知悉范围。研究所应当成立专门的定密工作小组，由主管科研所领导任组长，科研管理部门和相关行业专家任成员，对每个涉密科研项目进行细致的分解定密。

在分解定密过程中，应该遵循科研项目定密的原则:涉密最小化原则。最小化一是指涉密信息的最小化，二是秘密信息的知悉范围最小化。一般来说，知悉范围的大小是与信息泄密的可能性成正比的:知悉范围越大，泄密的可能性也就越大，保密难度就越大。因此，应通过限定接触国家秘密最小范围，严格限制具体项目模块中秘密信息的接触范围和条件，实现科技秘密管理风险系数最小化和保险系数最大化的目标。

2.3 人员管控是中心

管理是以人为本的活动，因此加强对科技涉密人员的管理是健全完善研究所保密管理体系的重要保证和中心活动[2]。研究所的涉密人员组成包括涉密科研人员、涉密行政管理人员。其中科研人员是项目承担的主体。一部分科技涉密人员，尤其是职称在研究员以上的，科研任务繁重，他们认为研究所的保密管理工作非常麻烦，会影响自己的科研进度，因此有强烈的排斥和反感心理。

对这部分涉密人员，在管理上必须有股狠劲。首先，必须加大保密提醒和保密教育的频率以及深度。科研人员注重专业技术的研究，对当前国内外保密工作的严峻形势并不了解。保密管理人员可以定期为涉密人员发放保密宣传资料，制作一些醒目易懂的保密提醒标签，放置在涉密人员办公桌上，让保密防范的理念逐渐深入人心。同时，经常举办各种实用的专项保密培训，切实增强涉密人员的保密防范技能。比如涉密计算机和移动存储介质使用、信息交换流程、涉密人员对外交流注意事项培训等。为了确保涉密人员能积极参加，应当采取奖惩分明的管理模式，对经常不参加培训的涉密人员给予扣除保密津贴以及通报批评的处罚，对积极参加且认真学习理解的人员给予适当的金钱奖励以及表扬。再次，要强化落实保密审批流程。科研人员往往不会花时间去理解研究所的所有保密制度，对做哪些事情需要经过保密审批非常糊涂。保密管理人员可以从研究所保密制度中整理和提炼出简明易懂的“实用保密审批流程”，发放给涉密人员，让他们对因私出国、携带涉密笔记本电脑出差、对外科技交流、论文发表时需要做哪些审批、填哪些表格一目了然。审批流程变得不那么难懂和麻烦，涉密人员自然愿意执行了。

如今，为了提高项目进展效率和资源利用率，研究所会聘用一些非正式员工，俗称项目聘用人员。项目聘用人员没有研究所编制，流动性较大。对这类人员的管控，不能因为其承担项目时间短就有所松懈。轰动全球的“棱镜门事件”的主角斯诺登，并不是美国国家安全局的职员，而是安全局选择的一家军事承包商的员工。先不论斯诺登到底是泄密者还是英雄，我们应该从这件事中得到启示，研究所对承包商、临时聘用人员的招募和考核流程应该更谨慎和严格，而临时聘用人员到底有多大的权限、能知悉多大范围的秘密事项也应该权衡清楚。

2.4 防护体系是保障

信息化背景下，采集、处理传输国家秘密信息的设备由打字机、电话机等传统设备扩展到各类计算机终端设备及网络设备，存储国家秘密信息的载体也由传统的纸质载体扩展到光、电、磁等介质载体[1]。因此，信息保密的涉及领域有了极大的拓展。近年来，国内国际的科技窃密活动日益频繁，手段更加多样化，渠道更加广泛。而研究所始终是敌对势力的重点关注对象，因此必须有先进的保密手段和完善的保密技术防护体系来应对挑战。

出于投入和管理成本考虑，大多数研究所目前未建立涉密信息系统，而是使用涉密单机处理涉密信息。首先，必须给涉密计算机的运行营造一个安全的物理环境[3]。涉密计算机的集中放置场所应该定为保密要害部门、部位，配备铁门、铁窗和密码文件柜，安装电子门禁、红外报警和视频监控。涉密计算机的摆放位置必须背对窗户，防止恶意监控。必须为涉密计算机配备防护硬件设备，例如视频干扰器、红黑隔离电源。同时，还要安装各类防护软件，例如涉密计算机及移动存储介质保密管理系统、光盘刻录监控与审计系统、终端安全登录与监控审计系统、主机审计系统。要保证涉密计算机的数据安全，还必须安装功能完善的单机版防病毒软件，并定期导入系统补丁安装包和防病毒软件病毒库。

在物理保护、防护软硬件的监护下，制定有效地安全防护策略，实行严格的信息导入导出流程，涉密信息的安全就能得到保证。

有些单位往往妄自菲薄，认为自己的科研成果还没有达到被敌对势力觊觎的水平。但是棱镜门事件告诉我们，全球任何一台计算机、任何一部手机都有可能处于被监控的状态。因此，研究所只有以上述的技术防护为保障，再加上严格规范的闭环化管理，才能真正应对敌对势力的恶意攻击。

2.5 专业管理是根本

保密管理是一项长期、复杂、系统的工作，而信息化条件下的保密工作更富专业性和技术性。

对于保密管理人员而言，仅具有保密意识还不够，还需要在五个方面狠下功夫。第一，基础知识的掌握。通过认证研读《新保密法》、《法律法规汇编》，提高对保密法规的理解水平。第二，定密水平的提升。精确掌握定密依据，培养一支业务水平高的定密队伍，提高研究所科研项目的定密准确性。第三，日常管理能力的提高。在日常保密工作中积累经验，增强保密管理知识能力。例如对涉密载体的闭环管理、台账的准确统计等。第四，保密检查能力的增强。研究所的保密自查能及时发现保密工作中存在的小问题，进而及时整改，防止问题扩大化。因此要熟练掌握各类检查工具，如计算机硬件检测工具、信息搜索工具、存储介质检查工具等，提高保密检查的准确性和有效性。第五，科技知识的领悟。由于科研工作本身具有很强的专业性和知识性，因而做好科研工作中的保密管理也应该具备一定的科技知识。科学研究的目的是创造经济效益，造福国家和人民。如何在保障科技秘密安全的前提下，发挥科研成果的最大功效，需要保密管理人员对该科技领域的发展情况清楚掌握。因此，目前很多研究所要求保密管理人员具有相关科研背景，只有了解科研，才能更好地服务科研，做好科研项目保密管理。

3 结语

随着信息化进程的加快，科技信息保密已上升为影响国家安全、经济发展的一个重要方面。研究所作为科学研究的排头兵，要想保护科研成果的安全，用先进的科研成果推动国家的科技进步，必须有保密管理的保驾护航。保密管理不是单纯的行政管理，而是一项涉及法律、信息技术、科学管理的系统工程。要构建适合研究所的保密防护体系，必须从准确定密出发，以涉密人员管理为中心，加强防护体系的建设，配以专业科学的管理，在所领导的带动下，实现全员参与保密的局面。从而促进研究所保密文化的形成，让保密工作成为每个人心中共同的信念。

[1] 马剑沁.信息化背景下的保密管理研究[D].上海:上海交通大学，2009.

[2] 赵冬，李元.论保密对象的确定[J].保密科学技术，2012(6):68－72.

[3] 郑奇敏.浅谈涉密信息系统单机防护[J].保密科学技术，2011(1):20－22.