單劍+范海峰
【摘要】 本文首先簡要介紹了指揮自動化系統(tǒng)安全管理的基本概念,然后分析了我軍指揮自動化系統(tǒng)在安全管理方面存在的問題,最后論述了指揮自動化系統(tǒng)安全管理需要把握的幾個問題。
【關(guān)鍵字】 指揮自動化 安全管理
隨著信息技術(shù)在軍事領(lǐng)域的廣泛應(yīng)用,我軍指揮自動化水平取得了長足的進步,但是信息安全問題日益突出,信息安全已經(jīng)成為制約我軍指揮自動化系統(tǒng)建設(shè)的瓶頸。研究和實踐證明,70%以上的安全問題是由于安全管理不善造成,而其中95%可以通過科學(xué)的安全管理來避免,因此指揮自動化系統(tǒng)安全管理工作應(yīng)當(dāng)引起我們的高度重視。
一、指揮自動化系統(tǒng)安全管理的基本概念
指揮自動化系統(tǒng)安全管理是管理的一種,具備安全管理的一般概念,指揮自動化系統(tǒng)安全管理是指為完成指揮自動化系統(tǒng)安全這一核心任務(wù),設(shè)置一個高效的組織機構(gòu),建立一套完善的管理制度,充分調(diào)動該系統(tǒng)內(nèi)部人員的積極性和創(chuàng)造性,發(fā)揮現(xiàn)有的信息安全技術(shù)條件,以期最大限度保證指揮自動化系統(tǒng)以及指揮自動化信息安全的過程。
指揮自動化系統(tǒng)安全管理包括的范圍較廣,主要包括以下內(nèi)容:落實安全管理機構(gòu)以及安全管理人員,明確角色與職責(zé),制定安全規(guī)劃;開發(fā)安全策略;實施風(fēng)險管理;制定業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃;選擇與實施安全措施;保證配置、變更的正確與安全;進行安全審計;保證維護支持;進行監(jiān)控、檢查,處理安全事件;安全意識與安全教育;人員安全管理等。
二、指揮自動化系統(tǒng)安全管理問題分析
2.1指揮自動化系統(tǒng)安全管理機構(gòu)不完善
信息安全管理機構(gòu)是信息安全管理制度制定和實施的有力保障,這個安全機構(gòu)分為三個層次,領(lǐng)導(dǎo)層、管理層和執(zhí)行層。我軍各級指揮自動化系統(tǒng)在領(lǐng)導(dǎo)層缺乏一個統(tǒng)一的信息安全領(lǐng)導(dǎo)機構(gòu);在管理層絕大多數(shù)是參謀兼職人員;在執(zhí)行層更是專業(yè)技術(shù)人員匱乏。
2.2指揮自動化系統(tǒng)相關(guān)人員缺乏信息安全教育
首先信息安全管理人員發(fā)生信息安全問題時,完全依靠于技術(shù)部門,信息安全管理意識缺乏;其次忽視了對廣大系統(tǒng)用戶的安全知識和安全意識的教育,導(dǎo)致用戶不清楚指揮自動化系統(tǒng)的信息安全的標準和要求,最終導(dǎo)致內(nèi)部安全事件頻發(fā)。
2.3指揮自動化系統(tǒng)風(fēng)險管理得沒有有效開展
我軍各級指揮自動化系統(tǒng)風(fēng)險管理工作還處于起步階段,對指揮自動化系統(tǒng)及其承載的信息等不了解,對系統(tǒng)所面臨的威脅不清楚。由于對其信息系統(tǒng)整體安全狀況不了解,風(fēng)險管理和評估工作無法有效開展。
2.4指揮自動化系統(tǒng)安全管理制度不完善
各級指揮自動化系統(tǒng)安全管理制度不完善。一是安全管理內(nèi)容不全面,如網(wǎng)絡(luò)安全、設(shè)備安全權(quán)責(zé)不清、責(zé)任不明等;二是安全管理制度層次不清,可操作性不強,在實際工作中很難逐級落實。
三、指揮自動化系統(tǒng)安全管理應(yīng)該把握的幾個問題
3.1完善指揮自動化系統(tǒng)安全管理機構(gòu)
指揮自動化系統(tǒng)安全管理機構(gòu)是安全管理工作的基本組織保證。在指揮自動化系統(tǒng)管理機構(gòu)中建立安全管理機構(gòu),一是要根據(jù)該系統(tǒng)安全工作的具體情況而定,不同安全等級的安全管理機構(gòu)由于管理任務(wù)和要求不一樣,管理機構(gòu)組成也不一樣。二是要建立健全管理信息安全工作的職能部門。三是要為信息安全管理配備專職或兼職的安全管理人員。
3.2大力加強指揮自動化系統(tǒng)相關(guān)人員的安全教育
目前我軍信息安全知識匱乏,人才質(zhì)量參差不齊。信息安全技術(shù)只有通過人的操作才能發(fā)揮應(yīng)有的作用,如果對操作和配置指揮自動化系統(tǒng)的用戶沒有相應(yīng)的安全管理,再好的安全技術(shù)也難以發(fā)揮應(yīng)有的效力,因此人員安全知識和安全意識的教育是指揮自動化系統(tǒng)安全管理的核心。
3.3扎實推進指揮自動化系統(tǒng)風(fēng)險管理工作
風(fēng)險管理是信息安全中非常重要的一環(huán),風(fēng)險管理工作必須嚴格按照風(fēng)險識別、風(fēng)險評估、風(fēng)險控制以及效果評價四個步驟進行。風(fēng)險識別是準確的對資產(chǎn)進行識別,評估資產(chǎn)可能面臨的威脅。風(fēng)險評估主要對識別的風(fēng)險進行分析和分級。風(fēng)險控制是通過避免、轉(zhuǎn)移、緩解或承認等策略來控制漏洞所產(chǎn)生的威脅。效果評價是檢驗風(fēng)險評估和風(fēng)險控制的結(jié)果是否滿足信息系統(tǒng)的安全要求,在目前條件下,這部分工作亦可委托專業(yè)機構(gòu)來完成。
3.4把握好指揮自動化系統(tǒng)安全管理的動態(tài)特性
指揮自動化系統(tǒng)安全管理是風(fēng)險管理的一種,自然離不開管理的動態(tài)特性。指揮自動化系統(tǒng)中存在威脅、風(fēng)險和脆弱性并不是一成不變的,因此安全管理必須因內(nèi)外環(huán)境的變化而做出相應(yīng)的改變,最大限度達成管理目的。指揮自動化系統(tǒng)安全必須一動態(tài)的眼光來看待問題,不僅僅停留在安全策略、計劃、規(guī)劃等描述性的文檔上,需要在實踐中不斷地反饋、修改和完善。
參 考 文 獻
[1]戴宗坤,羅萬伯,唐三平,黃元飛,劉永澄,《信息系統(tǒng)安全》,金城出版社,2001
[2]王斌君,景乾元,吉增瑞,《信息安全體系》,高等教育出版社,2008
[3]張敏情,魏萍,《信息安全管理基礎(chǔ)》,人民郵電出版社,2008