2002年,上海化工研究院领导收到一份函件,一下子震惊了全院所有人。全球仅三四个国家有能力生产的高科技产品,凝聚着上海化工研究院四代科技人员几十年的心血、被该院列为“一号商业秘密” 的同位素氮15化合物在国内有竞争对手了,而且价格比化工研究院便宜得多。
函件提到,这家国内的竞争对手名为昆山埃索托普化工有限公司。那么,这家公司是如何获取到这项技术的呢?
排除该企业不具有自主研发能力后,研究院领导把目标定为“一号商业秘密”是通过“内鬼”泄露出去的。
很快,近期相继辞职到外地办公司的高级工程师程尚雄、强剑康和工程师陈伟元成为重点嫌疑对象,因为他们不仅知道氮15是单位的“一号工程”,有的还是该工程的主要参与者、负责人员。
经过缜密的侦查,果如所料,导致公司商业机密泄露的真是公司的内鬼。
正是这三双“黑手”,将公司的“一号商业秘密”化公为私,当成了牟取个人私利的摇钱树。
2001年上半年,曾与化工院打过交道的昆山王老板和苏州某公司李某,找到程尚雄,商量共同出资成立一家单一生产同位素氮15化合物的公司,由程尚雄出任总经理,双方一拍即合。
随后,程尚雄又拉上陈伟元、强剑康,在丰厚收益诱惑下,陈伟元向其姐夫借款并参与投资,强剑康让其表弟参与投资,共同成立了埃索托普化工有限公司。在三人相继辞职准备创办公司时,化工院曾有所警觉,要求他们不得泄露化工院氮15秘密,更不得研制生产。
然而,当化工院派人寻踪到埃索托普公司所在地,眼见的一切让他们震惊:同样的生产设备、同样的生产装置、同样的工艺流程,连氮15的主要技术要点、装置尺寸和工艺参数也通通被照搬过去了,而程尚雄此时正在工厂里指挥生产……
据统计,从埃索托普公司成立至去年8月,他们生产销售的各类氮15标记化合物,已造成化工院经济损失100余万元。由于氮15的商业秘密被侵犯,国际市场打压产品价格,一些客户取消定好的合同,化工院部分氮15车间只得停产。
经法院审判:埃索托普化工有限公司通过非法手段获取上海市化工研究院的技术秘密并使用,今年5月被一审法院判处罚金人民币30万元,被告陈伟元因侵犯商业秘密罪被判处有期徒刑1年,并处罚金3万元,被告程尚雄、强剑康以同样罪名分别被判处有期徒刑9个月,并处罚金2万元,同时依法没收作案赃物。
科研人员卖国家机密情报被判死刑2011年的一天,四川省和成都市国家安全机关在掌握犯罪证据后,抓捕了成都市某涉密科研单位黄宇。
从他进入该涉密科研单位十年时间里。他向境外间谍机关提供15万余份资料,其中绝密级国家秘密90项,机密级国家秘密292项,秘密级国家秘密1674项。其出卖情报数量之大、范围之广、涉密之深,令人震惊。
作为本案主犯的黄宇,是如何从一个普通小职员变身为大间谍,犯下不可饶恕的罪行的呢?
事情要回到黄宇刚刚进入这家涉密科研所工作时。由于他不太适合研发,工作也不踏实,他在单位并不受领导的器重。5年里他一连换了3个部门,还是没能在公司站稳脚跟。
后来公司推出了末位淘汰制度,本来能力就不强的黄宇终于在2004年被公司辞退了。
由于并不承认自己的工作能力落后,怀恨在心的昔日科研人员黄宇将平日工作中复制下来的涉密内容,出卖给境外间谍机关。
为了源源不断的获得内容,他又设法去策反老同事、伺机从同在涉密单位工作的妻子和姐夫处获取机密。
最终,黄宇因间谍罪被判处死刑;其妻子及姐夫因过失泄露国家机密罪,被分别判处五年、三年有期徒刑。此案告破后,黄宇原来就职的单位有29人受到不同程度的处分。
高校已成为个人数据泄漏的重灾区2015年,据《经济参考报》记者对补天漏洞响应平台的数据梳理发现:高校已成为信息安全泄漏的重灾区。
自2014年4月至2015年3月的12个月间,补天平台上显示的有效高校网站漏洞多达3495个,涉及高校网站1088个。其中,高危漏洞2611个,占74.7%;中危漏洞691个,占19.8%;低危漏洞193个,占5.5%。
在上述漏洞中,至少有384个漏洞可能造成教职员工或学生个人信息泄漏,一旦这些漏洞全部被恶意利用,至少会导致837万以上的教职员工及学生个人信息泄漏。
令人担忧的是,在被告知网站存在漏洞后的一年时间里,会修复漏洞的高校网站只有35个,仅186个漏洞被修复,96.8%的高校网站完全无视安全漏洞的存在,94.6%的高校网站安全漏洞未被修复。
这些高校网站中,山东大学、浙江大学、厦门大学、东北师范大学、中国地质大学、北京师范大学、北京大学、中国人民大学、清华大学、中国矿业大学等等顶级高校赫然在列。
在随后的采访中,记者了解到:高校网站的信息安全漏洞非常低级,只要稍微动手就可以入侵。从而获取科研项目和领导机密,甚至篡改网页、植入木马、窃取账号等。
而因为学校网站泄露出的大量集中性人群的个人信息,也成为信息安全“黑市”交易的香饽饽。
谨防象牙塔里的数据泄密事件高等院校、科研机构拥有大量尖端知识产权和高技术成果,承担着国家重要课题研究项目,是开展国际交流和合作的重要窗口。
此外,高校科研机构承担着很多国家的科研课题。在对外交流、出版、信息公开各方面承担着许多保密任务。
然而,在高等院校、科研领域仍然存在着三个薄弱环节:
1. 高校科研单位保密意识不强
我们可以看到信息安全事故发生的主要因素是人为因素,另外内部人员作案也占10%,这是一组非常惊人的数据,由于科研人员缺乏基本的信息安全保密知识,在具体工作中,违规操作、有章不循、监管不力等现象频繁发生,更没有意识到信息安全问题不仅仅是职能部门的事,更是每个人必须遵守和维护的重要工作;也不了解信息化过程中对应的安全风险,如内部口令互串。
此外,高校对信息安全的模式和不作为也是造成信息泄露的主要原因。安全漏洞低级、无视安全漏洞,高校的不作为,不但令网站信息泄露渠道畅通无阻,客观上更是怂恿不法分子冒险入侵、窃取信息。
2. 信息安全性有待加强
历年发布的网络安全报告中,高等院校、科研机构已成为境外黑客攻击的最大对象之一。
近年来,国家投入了大量资金用于加强教育领域的信息化建设。硬件和软件设施有了很大提高。但整体系统缺乏宏观的全面规划,存在盲目地追求设备的先进性,从而导致管理秩序混乱,缺乏统一标准。主要表现在:对移动存储介质,移动计算机设备的使用上缺乏有效的监控手段,普遍存在随意处理各类密级文件、随意使用私人存储介质、随意拷贝文件的现象;数据库标准不统一,致使网络信息数据资源无法流通、汇总,影响了信息资源的利用率等等。
3. 缺乏针对性的网络信息安全防范制度
科研单位的网络信息安全责任体系尚不健全,存在不同部门职责划分不清,多头指导、建设和监督未能有效分离,检查监督不到位,出现问题难以落实到人等问题。这些问题造成科研单位内部管理混乱,责任不明确,技术措施不能到位,出现问题互相推诿等现象,严重影响科研单位整体的信息安全防范能力。
防微杜渐,做好象牙塔内的数据安全保护数据防泄密是高校科研科研机构信息部门的重点工作之一,数据的频繁泄露使高校科研机构不得不采用专业的防泄密措施。
整治信息泄露、滥用、非法交易等乱象,国家正在全面加强法治力度。未来随着《个人信息保护法》、《数据安全法》的出台,高等学校、科研机构对于数据安全的防护工作也将面临新的挑战。信源密信技术专家建议,高校应当积极采取制度措施和技术措施,全方位提升数据安全防护水平,杜绝信息泄露事件的发生。
1、 制度措施:
高校科研机构应当从全面提升科研工作人员的安全防范意识入手,建立完善的信息安全组织体系、管理制度及责任制度,同时增强自身安全预警和应急处置能力,形成与信息化发展相适应的数据安全保障体系。
2、 信源密信协同办公软件防护数据泄露:
信源密信作为高校、科研机构的协同办公软件,具有以下优势:
普通协同办公软件,比如微信、钉钉,科研工作中的重要信息不加密,不能溯源,谁分享了也不知道,不利于单位管理。
微信作为一款社交软件,可以轻易将信息分享给个人,或者通过朋友圈分享出去,进而造成数据泄露的扩大。
而一款安全即时通讯工具,比如信源密信,能够将工作与生活分开,避免了数据泄露风险也避免了近年来微信群用于工作群的苦恼。
此外,作为承载科研数据资产的新型基础设施,在日常工作中选择一款安全协同办公系统才能保证重要科研数据资产在时间和空间上的安全性。
《数据安全法》提出“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”,为数据生命周期的各环节提供了明确定义,数据在各环节均面临诸多泄露威胁与安全挑战。
信源密信的使用,从时间上保障科研资产从产生、迁移、流转、直至消亡的全生命周期的安全性。从空间上保障科研资产在基础设施层、平台层以及应用层之间流转,满足不同层次不同维度的防护需求。
结语在当前复杂而严峻的国际形势下,保障高校科研单位数据安全任务十分艰巨。
面对窃密与反窃密的斗争,作为高校科研单位全体人员,只有创新思维,用“敢于斗争、善于斗争”的态度,做好保密工作。既要克服谨小慎微的心理,又要克服麻痹大意的思想。
时刻紧绷保密的心弦,用保密培训织密“安全心理网”,用科技手段筑牢“安全防护墙”,打赢这场没有硝烟的战争!
参考资料
1. 《高校科研的泄密警示录》https://office.swjtu.edu.cn/info/1026/1686.htm
2. 经济参考报《千余高校网站存信息泄漏风险 多所顶级学府“上榜”》
3. 中国法院网《上海化工研究院前员工窃取商业秘密案宣判》
4. 卷宗《科研单位网络信息安全管理》
更多安全案例、行业内幕、前沿政策、白皮书、深度解读、安全社群、信源密信解决方案,请联系小编获取。
,
