楊振英 萬秋一

廣東省珠海市75406部隊 廣東 519000

0 引言

隨著軍隊信息化程度的不斷提高，信息技術(shù)正深刻的影響著軍隊的工作方式、作戰(zhàn)方式乃至整個軍隊的結(jié)構(gòu)，軍隊工作和作戰(zhàn)已嚴(yán)重依賴并越來越依賴于信息技術(shù)，由其在現(xiàn)代戰(zhàn)爭條件下，交戰(zhàn)雙方誰奪取了信息優(yōu)勢，誰就掌握了戰(zhàn)場上的主動權(quán)，同時也擁有了無可比擬的優(yōu)勢，可以說，信息技術(shù)將在未來戰(zhàn)爭中扮演非常重要的角色。與此同時，信息安全問題日益嚴(yán)峻，也帶來了安全隱患和威脅，這些隱患和威脅直接關(guān)系到軍隊的安全，影響著戰(zhàn)爭的勝負天秤。然而，現(xiàn)階段軍隊不少人員存在著信息安全意識不足或缺乏信息安全培訓(xùn)等安全隱患，近幾年，不少信息安全專家不約而同地提出了缺乏安全意識正在成為黑客突破安全防護時，最大也最難修補的漏洞。因此，加強對軍隊人員信息安全素養(yǎng)進行評價，讓廣大軍隊人員認識到自身信息安全素養(yǎng)的現(xiàn)狀，并有效提升其信息安全素養(yǎng)是亟待解決的重要問題。

1 軍隊信息安全威脅分析

威脅就是以某種方式可能對系統(tǒng)造成損害的環(huán)境或潛在事件，其表現(xiàn)可以是實際的攻擊行為。不同的信息安全威脅的存在及其危害是隨環(huán)境而變化的，從信息攻擊的方式看，威脅主要有信息截獲、信息修改、信息中斷及信息偽造(圖1)。一種技術(shù)。如電磁截獲、搭線竊聽、信息流分析等。

信息修改：第三方對通信雙方的信息進行修改傳輸?shù)囊环N技術(shù)。如修改、刪除數(shù)據(jù)或文件、部分?jǐn)?shù)據(jù)丟失等。

信息中斷：第三方切斷通信雙方信息交互的一種技術(shù)。如硬件毀壞、線路切斷、信息流阻塞、病毒破壞等。

信息偽造：第三方假冒通信雙方中的一方給另一方發(fā)送信息。如假冒我方授權(quán)用戶發(fā)送信息等。

圖1 信息安全攻擊方式

1 軍隊信息安全目標(biāo)分析

軍隊信息安全技術(shù)都是為了保護軍隊泄密信息，其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標(biāo)。

保密性：指未授權(quán)的用戶不能夠獲取敏感信息。對計算機及網(wǎng)絡(luò)環(huán)境中的信息，我們不僅要制止非授權(quán)者對信息的閱讀。也要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者，以致信息被泄露。

完整性：指防止信息被未經(jīng)授權(quán)的篡改。它是保護信息保持原始的狀態(tài)。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來嚴(yán)重的后果。

可用性：指授權(quán)主體在需要信息時能及時得到服務(wù)的能力。可用性是在信息安全保護階段對信息安全提出的新要求，也是在網(wǎng)絡(luò)化空間中必須滿足的一項信息安全要求。

可控性：指對信息和信息系統(tǒng)實施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)。

不可否認性：指在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方不能否認其在交換過程中的各種操作或行為。

上述五個信息安全目標(biāo)中，保密性、完整性和可用性主要強調(diào)對非授權(quán)主體的控制。信息安全的可控性和不可否認性主要強調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進行合法的訪問，并對其行為進行監(jiān)督和審查，通過對授權(quán)主體的控制，實現(xiàn)對保密性、完整性和可用性的有效補充。

2 軍隊人員信息安全素養(yǎng)的內(nèi)涵

打贏信息化戰(zhàn)爭和遂行非戰(zhàn)爭軍事行動都對軍隊人員信息安全素養(yǎng)提出了較高的要求。軍隊人員信息安全素養(yǎng)是指在信息化、網(wǎng)絡(luò)化環(huán)境下，軍隊人員對信息安全的認識，以及對信息安全所表現(xiàn)出的各種綜合能力，包括信息安全意識、信息安全知識、信息安全能力等具體內(nèi)容。它是信息社會中信息素養(yǎng)的重要組成部分，已成為信息戰(zhàn)、電子戰(zhàn)條件下軍隊生存立足的重要條件。信息安全意識是指軍隊人員能夠認識到信息安全在工作、生活和作戰(zhàn)中的重要性，對信息安全有一定的敏感性和洞察力，要了解信息安全對軍隊建設(shè)和作戰(zhàn)的重要意義、熟記軍隊對信息安全方面的規(guī)定和要求等內(nèi)容。信息安全知識是指軍隊人員熟悉信息安全的基本概念和基本理論框架，了解傳統(tǒng)和最新的信息安全威脅及信息保護技術(shù)基礎(chǔ)知識等內(nèi)容。信息安全能力是指軍隊人員處理各種信息安全威脅的能力，如能夠正確設(shè)置密碼確保信息的私密性、能夠防范計算機木馬和病毒等惡意攻擊等問題。信息安全素養(yǎng)與計算機素養(yǎng)有所不同，后者主要指個人使用計算機所需要的各種基礎(chǔ)知識。另外信息安全素養(yǎng)的養(yǎng)成是長期“修習(xí)”的結(jié)果，并非天生就有，也不能一朝一夕就形成。信息安全素養(yǎng)的形成有一個程度變化的過程，即從低到高逐步發(fā)展的過程。

3 軍隊人員安全素養(yǎng)評價的原則

從根本上說，評價是評定價值的簡稱，是一種價值判斷活動，通常通過詳細、仔細的研究和評估，評價的過程是一個對評價對象的判斷過程，同時也是一個綜合計算、觀察和咨詢等方法的一個復(fù)合分析過程。由此可見，評價是一個非常復(fù)雜的過程。它本質(zhì)上是一個判斷的處理過程。指標(biāo)是指衡量目標(biāo)的單位或方法，就是將抽象的、難以測量的社會概念翻譯成可以考察、分析的操作性術(shù)語。對軍隊人員信息安全素養(yǎng)的評價是對軍隊人員在面臨信息安全問題時的應(yīng)用能力的價值判斷，其所對應(yīng)的指標(biāo)體系就是要將評價目標(biāo)中定性的難以測量的部分進行量化、細化，把抽象的、原則性的目標(biāo)具體化、可操作化，使評價能夠更加準(zhǔn)確更加容易的進行。所以，需要按照一定的評價原則來對規(guī)范評價，在此，本文選定以下幾條原則進行規(guī)范。

科學(xué)性原則：是評價要以科學(xué)思想為指導(dǎo)，以事實為依據(jù)。任何評價體系都應(yīng)該建立在一定的理論基礎(chǔ)之上，科學(xué)性是構(gòu)建評價體系最基本的原則。軍隊人員信息安全素養(yǎng)評價指標(biāo)體系框架及各級指標(biāo)的確定應(yīng)該由強有力的信息安全理論以及學(xué)科教育標(biāo)準(zhǔn)作為支撐，應(yīng)嚴(yán)格從信息安全素養(yǎng)的概念內(nèi)涵出發(fā)，遵照科學(xué)性原則，客觀真實地揭示影響軍隊人員信息安全素養(yǎng)的各個環(huán)節(jié)。

可操作性原則：評價指標(biāo)體系要簡便易行，能直接測量，具有良好的可操作性。在描述指標(biāo)時應(yīng)多考慮非信息安全專業(yè)人士的視角，不要制定空洞而不好理解的指標(biāo)，盡可能多地通過實例或簡單易懂的語言將指標(biāo)說明清楚。

導(dǎo)向性原則：是指組織的指導(dǎo)性或方向性，即使事情向某個方面發(fā)展的特性。軍隊人員信息安全素養(yǎng)評價指標(biāo)體系不僅要能夠反映軍隊在信息安全領(lǐng)域的最新新趨，還要導(dǎo)引軍隊人員自覺培養(yǎng)信息安全素養(yǎng)，提高自身信息安全能力。

前瞻性原則：由于信息安全素養(yǎng)是在不斷變化的，不同的時期其內(nèi)涵和外延也不同，因此所構(gòu)建的指標(biāo)體系必須具有一定的前瞻性，不僅適用于現(xiàn)階段，還能適應(yīng)未來的發(fā)展方面，有一定的拓展性。

4 軍隊人員信息安全素養(yǎng)評價指標(biāo)體系的構(gòu)建

信息安全素養(yǎng)評價指標(biāo)體系的構(gòu)建需要結(jié)合信息安全素養(yǎng)標(biāo)準(zhǔn)，按照一定的構(gòu)建思想，將總體目標(biāo)層層分解。目前，國內(nèi)外處理類似問題的方法很多，國際上主要運用過程結(jié)構(gòu)法來處理類似問題，國內(nèi)則使用目標(biāo)描述法較為常見。以信息安全素養(yǎng)為例，過程結(jié)構(gòu)法是在仔細了解信息安全素養(yǎng)概念之后，按照信息安全需要、信息安全知識儲備、信息安全應(yīng)對處理方法等一系列完整的信息安全行為過程，很多環(huán)節(jié)組成信息安全行為的整個過程，各個環(huán)節(jié)密不可分。信息安全素養(yǎng)的完整內(nèi)涵就是同這些環(huán)節(jié)對信息主體在各方面的要求所構(gòu)成的，此種方法具有穩(wěn)定的內(nèi)容結(jié)構(gòu)和秩序結(jié)構(gòu)，可以穩(wěn)定而全面的推導(dǎo)出信息素養(yǎng)內(nèi)涵，但該方法不能將信息安全意識等因素融入到某一具體過程，只能一一列出。目標(biāo)描述法是對信息安全素養(yǎng)的高度抽象和概括，是信息時代對人們信息安全素養(yǎng)要求的總體表達。該方法符合中國人的高度概括思維習(xí)慣，表達比較簡潔，但卻存在著描述方法可操作性不強，每一層次包含的具體內(nèi)容不夠清晰等問題。

常用的兩種方法各有特點，盡管他們思路不同，但都有著相同的認識對象，兩者在很多方面具有相互對應(yīng)關(guān)系，在本質(zhì)上可以統(tǒng)一起來。因此可將這兩種方法結(jié)合起來構(gòu)成過程-目標(biāo)結(jié)構(gòu)體系，該體系以信息安全素養(yǎng)的目標(biāo)為核心，在信息安全行為的整個過程中體現(xiàn)出信息安全素養(yǎng)的目標(biāo)，能更好地展示出信息安全素養(yǎng)的內(nèi)涵。本文以過程-目標(biāo)結(jié)構(gòu)法為基礎(chǔ)，分層次對軍隊信息安全素養(yǎng)評價指標(biāo)進行構(gòu)建，力求在考慮軍隊實際的同時全面的反映出信息安全素養(yǎng)的內(nèi)涵，為了簡化分析過程，本文只構(gòu)建二級指標(biāo)體系，只做定性分析。具體如圖2所示。本文所提出的安全素養(yǎng)評價指標(biāo)體系由目標(biāo)導(dǎo)、準(zhǔn)則層、量化層三個層次組成，其中目標(biāo)層為最終目標(biāo)，量化層為軍隊人員提出了各種核心指標(biāo)，準(zhǔn)則層則對量化層各項指標(biāo)進行了必要的分類。該體系能夠較為全面地反映軍隊人員信息安全素養(yǎng)應(yīng)該包含的各項能力。

圖2 軍隊人員信息安全素養(yǎng)評價指標(biāo)體系

5 結(jié)論

信息安全是軍隊新世紀(jì)新階段必須面臨的一個重大問題，這個問題如果處理不好，將影響到軍隊的戰(zhàn)斗力，更危險的是將導(dǎo)致一場戰(zhàn)爭的失利，嚴(yán)重威脅到軍隊和國家的根本利益。再好的信息安全裝備和信息安全技術(shù)也都是以人為本，任何裝備和技術(shù)沒有人去應(yīng)用都是毫無作用的，因此，必須要加強軍隊人員信息安全素養(yǎng)的教育和培訓(xùn)。本文在分析了信息安全所面臨的攻擊手段和信息安全目標(biāo)后結(jié)合信息安全的評價原則，運用-目標(biāo)結(jié)構(gòu)法構(gòu)建了軍隊人員信息安全素養(yǎng)評價指標(biāo)體系，定性的分析了軍隊人員應(yīng)具有的各種信息安全素養(yǎng)，一定程度上幫助建立了信息安全素養(yǎng)教育的內(nèi)容。由于時間關(guān)系，本文并沒有分析各種指標(biāo)的定量問題，這是下一定要努力研究的方向。

[1]曹銳,孫厚釗.軍隊信息安全保密防線的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2006.

[2]寧章.計算機及網(wǎng)絡(luò)安全與防護基礎(chǔ)[M].北京航空航天大學(xué)出版社.1999.

[3]郭振民等.我國信息安全面臨的形勢與發(fā)展策略的思考[J].微電子學(xué)與計算機.2002.

[4]孫厚釗.軍隊信息安全保密淺探[J].安徽電子信息職業(yè)技術(shù)學(xué)學(xué)報.2004.

[5]周孟雷.江澤民國防科研和武器裝備建設(shè)思想研究[J].中共云南省委學(xué)校學(xué)報.2008.

[6]張瓊,孫論強.中國信息安全戰(zhàn)略研究[M].北京人民公安大學(xué)出版社.2007.

[7]蔣莉,楊培靜,歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識[J].中國教育網(wǎng)絡(luò).2008.

[8]DREVIN,KRUGER,STEYN.Value-focusef assessment of ICT security awareness in an academic environment[J].Computers&Security.2007.

[9]羅力,國民信息安全素養(yǎng)評價指標(biāo)體系構(gòu)建研究[J],重慶大學(xué)學(xué)報(社會科學(xué)版)[J].2012.

[10]US Department ofDefense,DoD 5200.1-R Information Security Program[R].1998.