單劍+范海峰

【摘要】 本文首先簡(jiǎn)要介紹了指揮自動(dòng)化系統(tǒng)安全管理的基本概念，然后分析了我軍指揮自動(dòng)化系統(tǒng)在安全管理方面存在的問(wèn)題，最后論述了指揮自動(dòng)化系統(tǒng)安全管理需要把握的幾個(gè)問(wèn)題。

【關(guān)鍵字】 指揮自動(dòng)化 安全管理

隨著信息技術(shù)在軍事領(lǐng)域的廣泛應(yīng)用，我軍指揮自動(dòng)化水平取得了長(zhǎng)足的進(jìn)步，但是信息安全問(wèn)題日益突出，信息安全已經(jīng)成為制約我軍指揮自動(dòng)化系統(tǒng)建設(shè)的瓶頸。研究和實(shí)踐證明，70%以上的安全問(wèn)題是由于安全管理不善造成，而其中95%可以通過(guò)科學(xué)的安全管理來(lái)避免，因此指揮自動(dòng)化系統(tǒng)安全管理工作應(yīng)當(dāng)引起我們的高度重視。

一、指揮自動(dòng)化系統(tǒng)安全管理的基本概念

指揮自動(dòng)化系統(tǒng)安全管理是管理的一種，具備安全管理的一般概念，指揮自動(dòng)化系統(tǒng)安全管理是指為完成指揮自動(dòng)化系統(tǒng)安全這一核心任務(wù)，設(shè)置一個(gè)高效的組織機(jī)構(gòu)，建立一套完善的管理制度，充分調(diào)動(dòng)該系統(tǒng)內(nèi)部人員的積極性和創(chuàng)造性，發(fā)揮現(xiàn)有的信息安全技術(shù)條件，以期最大限度保證指揮自動(dòng)化系統(tǒng)以及指揮自動(dòng)化信息安全的過(guò)程。

指揮自動(dòng)化系統(tǒng)安全管理包括的范圍較廣，主要包括以下內(nèi)容：落實(shí)安全管理機(jī)構(gòu)以及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃；開發(fā)安全策略；實(shí)施風(fēng)險(xiǎn)管理；制定業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃；選擇與實(shí)施安全措施；保證配置、變更的正確與安全；進(jìn)行安全審計(jì)；保證維護(hù)支持；進(jìn)行監(jiān)控、檢查，處理安全事件；安全意識(shí)與安全教育；人員安全管理等。

二、指揮自動(dòng)化系統(tǒng)安全管理問(wèn)題分析

2.1指揮自動(dòng)化系統(tǒng)安全管理機(jī)構(gòu)不完善

信息安全管理機(jī)構(gòu)是信息安全管理制度制定和實(shí)施的有力保障，這個(gè)安全機(jī)構(gòu)分為三個(gè)層次，領(lǐng)導(dǎo)層、管理層和執(zhí)行層。我軍各級(jí)指揮自動(dòng)化系統(tǒng)在領(lǐng)導(dǎo)層缺乏一個(gè)統(tǒng)一的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)；在管理層絕大多數(shù)是參謀兼職人員；在執(zhí)行層更是專業(yè)技術(shù)人員匱乏。

2.2指揮自動(dòng)化系統(tǒng)相關(guān)人員缺乏信息安全教育

首先信息安全管理人員發(fā)生信息安全問(wèn)題時(shí)，完全依靠于技術(shù)部門，信息安全管理意識(shí)缺乏；其次忽視了對(duì)廣大系統(tǒng)用戶的安全知識(shí)和安全意識(shí)的教育，導(dǎo)致用戶不清楚指揮自動(dòng)化系統(tǒng)的信息安全的標(biāo)準(zhǔn)和要求，最終導(dǎo)致內(nèi)部安全事件頻發(fā)。

2.3指揮自動(dòng)化系統(tǒng)風(fēng)險(xiǎn)管理得沒(méi)有有效開展

我軍各級(jí)指揮自動(dòng)化系統(tǒng)風(fēng)險(xiǎn)管理工作還處于起步階段，對(duì)指揮自動(dòng)化系統(tǒng)及其承載的信息等不了解，對(duì)系統(tǒng)所面臨的威脅不清楚。由于對(duì)其信息系統(tǒng)整體安全狀況不了解，風(fēng)險(xiǎn)管理和評(píng)估工作無(wú)法有效開展。

2.4指揮自動(dòng)化系統(tǒng)安全管理制度不完善

各級(jí)指揮自動(dòng)化系統(tǒng)安全管理制度不完善。一是安全管理內(nèi)容不全面，如網(wǎng)絡(luò)安全、設(shè)備安全權(quán)責(zé)不清、責(zé)任不明等；二是安全管理制度層次不清，可操作性不強(qiáng)，在實(shí)際工作中很難逐級(jí)落實(shí)。

三、指揮自動(dòng)化系統(tǒng)安全管理應(yīng)該把握的幾個(gè)問(wèn)題

3.1完善指揮自動(dòng)化系統(tǒng)安全管理機(jī)構(gòu)

指揮自動(dòng)化系統(tǒng)安全管理機(jī)構(gòu)是安全管理工作的基本組織保證。在指揮自動(dòng)化系統(tǒng)管理機(jī)構(gòu)中建立安全管理機(jī)構(gòu)，一是要根據(jù)該系統(tǒng)安全工作的具體情況而定，不同安全等級(jí)的安全管理機(jī)構(gòu)由于管理任務(wù)和要求不一樣，管理機(jī)構(gòu)組成也不一樣。二是要建立健全管理信息安全工作的職能部門。三是要為信息安全管理配備專職或兼職的安全管理人員。

3.2大力加強(qiáng)指揮自動(dòng)化系統(tǒng)相關(guān)人員的安全教育

目前我軍信息安全知識(shí)匱乏，人才質(zhì)量參差不齊。信息安全技術(shù)只有通過(guò)人的操作才能發(fā)揮應(yīng)有的作用，如果對(duì)操作和配置指揮自動(dòng)化系統(tǒng)的用戶沒(méi)有相應(yīng)的安全管理，再好的安全技術(shù)也難以發(fā)揮應(yīng)有的效力，因此人員安全知識(shí)和安全意識(shí)的教育是指揮自動(dòng)化系統(tǒng)安全管理的核心。

3.3扎實(shí)推進(jìn)指揮自動(dòng)化系統(tǒng)風(fēng)險(xiǎn)管理工作

風(fēng)險(xiǎn)管理是信息安全中非常重要的一環(huán)，風(fēng)險(xiǎn)管理工作必須嚴(yán)格按照風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制以及效果評(píng)價(jià)四個(gè)步驟進(jìn)行。風(fēng)險(xiǎn)識(shí)別是準(zhǔn)確的對(duì)資產(chǎn)進(jìn)行識(shí)別，評(píng)估資產(chǎn)可能面臨的威脅。風(fēng)險(xiǎn)評(píng)估主要對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析和分級(jí)。風(fēng)險(xiǎn)控制是通過(guò)避免、轉(zhuǎn)移、緩解或承認(rèn)等策略來(lái)控制漏洞所產(chǎn)生的威脅。效果評(píng)價(jià)是檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，在目前條件下，這部分工作亦可委托專業(yè)機(jī)構(gòu)來(lái)完成。

3.4把握好指揮自動(dòng)化系統(tǒng)安全管理的動(dòng)態(tài)特性

指揮自動(dòng)化系統(tǒng)安全管理是風(fēng)險(xiǎn)管理的一種，自然離不開管理的動(dòng)態(tài)特性。指揮自動(dòng)化系統(tǒng)中存在威脅、風(fēng)險(xiǎn)和脆弱性并不是一成不變的，因此安全管理必須因內(nèi)外環(huán)境的變化而做出相應(yīng)的改變，最大限度達(dá)成管理目的。指揮自動(dòng)化系統(tǒng)安全必須一動(dòng)態(tài)的眼光來(lái)看待問(wèn)題，不僅僅停留在安全策略、計(jì)劃、規(guī)劃等描述性的文檔上，需要在實(shí)踐中不斷地反饋、修改和完善。

參 考 文 獻(xiàn)

[1]戴宗坤，羅萬(wàn)伯，唐三平，黃元飛，劉永澄，《信息系統(tǒng)安全》，金城出版社，2001

[2]王斌君，景乾元，吉增瑞，《信息安全體系》，高等教育出版社，2008

[3]張敏情，魏萍，《信息安全管理基礎(chǔ)》，人民郵電出版社，2008