科技论文出版全生命周期的安全问题与对策

2023-01-18吴炳潮王永吉

中国科技期刊研究 2022年12期

王蕴吴炳潮关贝王永吉

1)国家税务总局税务干部学院(大连)，辽宁省大连市高新园区数码路41号 116023 2)中国科学院软件研究所协同创新中心,北京市海淀区中关村南四街4号 100190 3)中国科学院大学,北京市石景山区玉泉路19号(甲) 100049 4)计算机科学国家重点实验室(中国科学院软件研究所),北京市海淀区中关村南四街4号 100190

互联网时代推动着科技革命的发展，知识信息、智慧价值、人才配置成为信息革命的创新源泉。在互联网时代，《中国科技期刊研究》《软件学报》、中国计算机大会等期刊与会议不断涌现，随之而来的是科技论文发表数量激增，并且科技论文正朝着数字化、网络化方向发展。广大科研人员利用互联网的高速传输等优势，将最新的科研成果以电子形式呈现，通过互联网实现线上投稿和出版。网络化特征使信息无论在传播途径、传播效率，还是传播范围等方面都发生前所未有的大变革，同时信息泄密的概率与风险增加，例如个人软件开发者利用自己设计的网页爬虫软件非法获取阿里巴巴旗下的淘宝网的数据，导致超过11亿条用户信息数据被泄露。此外，目前互联网学术期刊检索系统收录了大量的自然科学和社会科学领域论文，期刊检索平台在支持科技论文查询的同时存在着泄密风险。唐迪等[1]指出，海外情报机构利用期刊数据库开展情报收集活动，从公开发表的科技论文中获取我国科技领域的敏感信息和情报。此外，秦晓雪[2]指出，在互联网时代，科技期刊一直是国外情报机构渗透和窃取信息的主要目标，因此科技论文的保密工作尤为重要。虽然前人在科技论文出版过程中的信息安全问题研究方面已取得一定的成效，但他们仅关注科技论文出版过程中的部分环节，缺乏对科技论文出版过程中潜在的信息安全问题的整体考虑。本文从全生命周期角度研究科技论文发表过程中的各个环节存在的潜在安全问题及其对策，特别是对非公开资料的安全问题进行研究。

1 科技论文出版的全生命周期

1.1 全生命周期概念

全生命周期是一个交易理念和理论。在不同的领域，研究者对全生命周期有着不同的阐释，例如：软件的全生命周期(Software Life Cycle，SLC)是软件的整个生命周期，包括了软件的需求可行性分析、需求设计编码、调试和测试、验收和运营；智能制造企业的产品生命周期管理平台在产品和工艺设计、企业财务管理一体化等不同生命周期阶段，通过定制新型生产模式来加速企业健康发展。既往研究参考全生命周期概念来探究科技论文评审机制中的信息安全问题，如李满意[3]指出，全生命周期管理思路在科技评审机制和保密评审机制等方面发挥着巨大的作用。然而，既往研究仅考虑科技论文出版过程中评审阶段的信息安全问题，本文分别从作者、作者机构和编辑部等角度探索论文出版全生命周期中的信息安全问题以及对策。

1.2 科技论文出版全生命周期

科技论文出版全生命周期包括作者选题策划、作者单位审查、编辑部审稿和涉密材料销毁4个阶段，如图1所示。

图1 科技论出版全生命周期

(1) 作者选题策划阶段。作者在策划科技论文选题时，应当首先了解《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规在科技论文相关领域对国家秘密范围和密级界定的规定，然后结合研究内容来合理地选择科技论文选题方向。

(2) 作者单位审查阶段。科技论文涉及科技生产的前沿知识，因此作者所属单位应当对科技成果进行审核，依据相关法律法规判断科技论文是否超出学术研究的范畴，做好对科技成果及关键技术的密级划定，做好对创新成果信息安全的保密审查工作。

(3) 编辑部审稿阶段。编辑部在论文安全审查中起着至关重要的作用。编辑部的工作人员和审稿人要强化保密观念，严格遵守编辑制度，防止泄露论文的保密信息。编辑部的审查流程具体包括约稿、收稿、初审和外部审查4个环节[4]。

(4) 涉密材料销毁阶段。科技论文出版过程中不仅存在公开发表的材料(例如发表的论文)，还存在非公开发表的材料(例如作者回复审稿人的邮件)。编辑部需依据设计完备的规章制度来销毁材料中的涉密内容。

2 科技论文出版全生命周期的安全问题

安全问题贯穿科技论文出版全生命周期的4个阶段。根据科技论文出版全生命周期安全问题的特点，需要在科技论文出版过程中提前识别风险，对潜在的信息安全风险进行分析[5-8]。

2.1 作者选题策划阶段

在作者选题策划阶段存在的潜在信息安全问题包括：(1)作者缺乏对《中华人民共和国保守国家秘密法》《中华人民共和国国家安全法》《中华人民共和国生物安全法》等法律法规的了解，作者对所研究的科技论文课题的保密性知之甚少。在撰写科技论文之前，作者保密意识淡薄，未按科技保密审查规章制度对科技论文课题的保密性进行研判，而是按照自己的主观意识对科技论文保密性进行判定。(2)作者在撰写科学论文时泄露机密信息。作者迫于职称晋升、学位评定、业绩评定和绩效考核等的压力，在撰写科技论文时，仅考虑科技论文的录用率，而过于详细地描述了关键技术参数、技术方案、实现路径等涉及机密的科技成果。

2.2 作者单位审查阶段

在作者单位审查阶段存在的潜在信息安全问题包括：(1)作者单位缺乏完善的定密工作机制。合理的定密制度是决定科技论文审查有效性的关键因素。做好科技论文定密工作，其基础任务是指定定密细目并确认细目的细化程度，从而保障国家安全和利益。(2)作者单位对保密审查制度的执行力不足。《中华人民共和国保守国家秘密法》第三条规定：“一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。”科技论文作者单位虽然设立了保密评审机构，但大多数该类机构缺乏兼具保密知识和科研知识的评审人员，导致科技论文保密评审制度流于形式，保密评审机构未能有效履行保密评审职责。

2.3 编辑部审稿阶段

编辑部主要在约稿、收稿、初审和外审4个环节审理科技论文，每个环节都有潜在的信息安全问题。在科技论文约稿过程中，部分编辑部在征稿启事中要求作者自己承担保密义务，仅通过邮件等方式提醒作者确保投稿的科技论文不涉及保密事项，并未按照规定设置保密条款，也未按照科技论文保密规定要求提供保密审查证明。在接收稿件的过程中，作者将稿件通过互联网传输给编辑部，此过程可能受到间谍软件、木马和网络嗅探等的攻击，导致机密信息泄露。在初审过程中，由于期刊编辑人员数量和知识结构不合理，科技论文中的泄密信息无法被察觉。在外审过程中，期刊工作人员可能无法识别科技论文涉密内容和专业技术信息，将稿件中的涉密内容发送给外部审稿人。由于缺少对外部审稿人的相关限制，科技论文涉密信息可能被外部审稿人泄露。

2.4 涉密材料销毁阶段

编辑部在处理科技论文稿件时，不仅会接触到最终公开发表的论文，还会接触到未公开的涉密材料，例如作者对审稿人的回复。编辑部的工作人员在处理涉密材料时存在2个问题：(1)工作人员对未公开的涉密材料的重视程度不足，往往仅关注最终发表的论文是否涉及泄密信息，轻视了对未公开的涉密材料的处理；(2)编辑部擅自销毁涉密材料，他人利用技术手段恢复涉密材料，从而导致核心机密信息泄露。

3 科技论文出版全生命周期安全问题的对策

建立科技论文全生命周期监控机制，实现对科技论文出版全生命周期的过程管理，可有效防御和积极应对科技论文出版全生命周期的信息安全问题。

3.1 作者选题策划阶段

从作者选题策划的角度，针对作者缺乏保密意识和刻意泄露涉密信息的问题，提出2个解决措施：(1) 加强自审，强化作者保密意识。科技论文作者应当定期参与单位组织的保密警示教育活动，强化科技论文保密意识，始终坚持不发表涉密内容的原则，或对相关内容进行脱密处理后再投稿，从根源上杜绝科技论文泄密事件的发生[9-10]。(2)作者应把握好回避原则。作者在选题时，应当回避国防科技发展和武器装备研究等涉密主题。在撰写科技论文时，尽量不使用涉密科研项目中的文件资料和图标，严禁直接发表涉密成果。

3.2 作者单位审查阶段

从作者单位审查的角度，针对作者单位缺乏完善的定密工作机制和对保密审查制度的执行力不足的问题，提出2个解决措施：(1)完善审查定密工作，落实科技论文保密审查专人负责制。科技论文作者单位要完善科技论文保密工作机制，规范科技论文评审流程。科技论文保密评审专员不仅需要掌握有关保密的法律法规和规章制度，还需要熟练掌握科技论文中涉及的专业技术。(2)加强科技论文保密知识教育。科技论文保密审查工作直接关系到国家安全和利益。科技论文作者单位应加强保密宣传工作，构筑保密的第一道“防火墙”。根据科技论文作者研究内容的特点，作者单位应多组织科技论文保密知识学习活动，增强作者的科技成果保密意识，传播科技信息保密理念。

3.3 编辑部审稿阶段

从编辑部审稿的角度，针对编辑部在处理稿件的各环节中存在的问题，提出4个解决措施：(1)在约稿过程中，需要对涉及国家机密的论文或者涉及国防信息的内容进行保密审查。必须明确科技论文保密审查要求，积极落实保密制度。(2)在接收稿件的过程中，通过密钥的方式提高科技论文网络数据库的安全性。周全[5]指出，密钥使网络数据库和科技论文访问者形成相应的契约关系。科技论文网络数据库可以采用实物、数字签名或生物特征数据密码，为访问者提供相应的网络密码，使数据在网络数据库和访问者之间实现点对点的安全传输，从而迅速完成注册验证过程，极大提高科技论文的安全性。(3)在初审过程中，可采用两阶段人工审核和AI赋能审核的方法。其中两阶段人工审核为“初审+专家审”模式：在初审环节筛选涉及机密的稿件,由专家进行判定。AI赋能审核指利用人工智能技术自动识别科技论文敏感信息或自动对科技论文敏感信息进行打码。(4)在外审过程中，对于涉密科技论文, 在联系作者排除涉密内容后，将稿件交给外部审稿人，并且实行“外审专家认证制”，防止外审专家私自泄露科技论文中的机密信息[11-14]。