案例背景
西部某知名高校的刘教授,承担了一项国家级重点研究课题,课题研究中产出了一批具有较高学术价值和潜在国防应用价值的关键实验数据。在课题结题验收前,刘教授收到了一个国际顶级学术会议的论文录用通知,他计划在会议上发表一篇基于该课题部分研究成果的学术论文。为了使论文内容更有说服力,刘教授在论文中引用了大量的原始实验数据和图表,其中部分数据涉及的技术指标参数超过了公开发表的许可范围。在出国参会前,刘教授将存有完整论文和原始实验数据的笔记本电脑随身带上了飞机。到达会议举办地后,刘教授的笔记本电脑在酒店房间内被盗。虽然笔记本电脑设置了登录密码,但硬盘数据并未进行加密处理,笔记本中存储的数百兆实验数据文件全部暴露在外。刘教授立即向当地警方报案,同时向中国驻当地使领馆报告了情况。经过当地警方的调查,这是一起专门针对参会人员实施的盗窃案,同期还有多名参会者被盗。但这个结果并不能让刘教授和所在高校感到安心,因为被盗的笔记本电脑中不仅有论文数据,还包括了大量未公开的研究数据、实验方法和部分涉及技术指标的参数。高校在接到报告后,紧急成立了应急处置小组,对被盗数据可能涉及的技术秘密范围进行了评估,并向项目主管部门和国家安全部门做了报告。虽然目前没有证据表明这起盗窃是境外势力的针对性行动,但数据已经脱离控制,技术泄密的风险无法消除。刘教授因违反保密管理规定,携带涉密数据出境参会,受到了严肃的纪律处分,其课题验收也因此受到影响。
风险分析
携带敏感数据出境的管控,在高校和科研机构中普遍存在管理盲区。这个案例反映了几个非常突出的风险隐患。第一,科研人员对涉密数据的判定标准把握不清。刘教授认为论文中的数据已经是课题研究中的一部分,不具备涉密属性,但实际上其中部分技术指标在课题评审时已经被认定为敏感技术信息。第二,笔记本电脑携带出境缺乏必要的审批和安全防护措施。学校从制度层面没有明确规定携带科研数据出境的审批流程和加密要求,刘教授在未经任何审批的情况下就带着存有敏感数据的笔记本电脑出国了。第三,设备丢失后的应急处置能力不足。笔记本电脑丢失后,由于缺乏加密保护,数据处于完全裸露状态。学校方面在数据丢失后也没有能够立即评估泄密范围并启动技术补救措施的能力。这个案例反映了一个更深层的问题——高校科研人员在学术发表和信息安全之间缺乏有效的管理协调机制。学术界鼓励及时发表研究成果,但信息安全要求对敏感信息进行管控,两种需求之间的平衡往往被科研单位所忽视。
警示与建议
高校和科研机构需要从制度层面建立科研数据出境管理规范。建议从以下几个方面着手:第一,建立科研数据分级分类管理制度,明确不同级别数据是否允许出境以及在何种条件下可以出境。对于涉及国家安全、国防应用或关键核心技术的科研数据,一律不允许以原始形式带出境。第二,建立科研论文发表前的信息安全检查机制。在论文投递国际会议或期刊前,由单位保密部门或技术安全委员会对论文内容进行审查,确保不包含超出允许范围的涉密信息。第三,科研人员携带笔记本电脑或其他电子设备出境参加学术活动,必须经过严格的审批,并要求对设备存储的敏感数据进行加密处理,或者使用专用设备、使用后及时远程擦除。第四,建议为经常出境的科研人员配备安全移动办公设备,设备中安装远程管理和数据擦除软件,一旦设备丢失可以立即启动远程数据清除。北京企密安在协助高校和科研机构建设信息安全体系的过程中,专门设计了针对科研数据出境管理的解决方案。我们的方案将数据分级分类、出境审批、设备加密和远程擦除集成在一个管理平台上,科研人员在出境前只需要在平台上完成一次审批,就能获得安全的数据保护配置。这个方案已经在多所高校部署实施,有效杜绝了科研数据出境过程中的泄密风险。
