單劍+范海峰

【摘要】 本文首先簡要介紹了指揮自動化系統(tǒng)安全管理的基本概念，然后分析了我軍指揮自動化系統(tǒng)在安全管理方面存在的問題，最后論述了指揮自動化系統(tǒng)安全管理需要把握的幾個問題。

【關(guān)鍵字】 指揮自動化 安全管理

隨著信息技術(shù)在軍事領(lǐng)域的廣泛應(yīng)用，我軍指揮自動化水平取得了長足的進步，但是信息安全問題日益突出，信息安全已經(jīng)成為制約我軍指揮自動化系統(tǒng)建設(shè)的瓶頸。研究和實踐證明，70%以上的安全問題是由于安全管理不善造成，而其中95%可以通過科學(xué)的安全管理來避免，因此指揮自動化系統(tǒng)安全管理工作應(yīng)當(dāng)引起我們的高度重視。

一、指揮自動化系統(tǒng)安全管理的基本概念

指揮自動化系統(tǒng)安全管理是管理的一種，具備安全管理的一般概念，指揮自動化系統(tǒng)安全管理是指為完成指揮自動化系統(tǒng)安全這一核心任務(wù)，設(shè)置一個高效的組織機構(gòu)，建立一套完善的管理制度，充分調(diào)動該系統(tǒng)內(nèi)部人員的積極性和創(chuàng)造性，發(fā)揮現(xiàn)有的信息安全技術(shù)條件，以期最大限度保證指揮自動化系統(tǒng)以及指揮自動化信息安全的過程。

指揮自動化系統(tǒng)安全管理包括的范圍較廣，主要包括以下內(nèi)容：落實安全管理機構(gòu)以及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃；開發(fā)安全策略；實施風(fēng)險管理；制定業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃；選擇與實施安全措施；保證配置、變更的正確與安全；進行安全審計；保證維護支持；進行監(jiān)控、檢查，處理安全事件；安全意識與安全教育；人員安全管理等。

二、指揮自動化系統(tǒng)安全管理問題分析

2.1指揮自動化系統(tǒng)安全管理機構(gòu)不完善

信息安全管理機構(gòu)是信息安全管理制度制定和實施的有力保障，這個安全機構(gòu)分為三個層次，領(lǐng)導(dǎo)層、管理層和執(zhí)行層。我軍各級指揮自動化系統(tǒng)在領(lǐng)導(dǎo)層缺乏一個統(tǒng)一的信息安全領(lǐng)導(dǎo)機構(gòu)；在管理層絕大多數(shù)是參謀兼職人員；在執(zhí)行層更是專業(yè)技術(shù)人員匱乏。

2.2指揮自動化系統(tǒng)相關(guān)人員缺乏信息安全教育

首先信息安全管理人員發(fā)生信息安全問題時，完全依靠于技術(shù)部門，信息安全管理意識缺乏；其次忽視了對廣大系統(tǒng)用戶的安全知識和安全意識的教育，導(dǎo)致用戶不清楚指揮自動化系統(tǒng)的信息安全的標準和要求，最終導(dǎo)致內(nèi)部安全事件頻發(fā)。

2.3指揮自動化系統(tǒng)風(fēng)險管理得沒有有效開展

我軍各級指揮自動化系統(tǒng)風(fēng)險管理工作還處于起步階段，對指揮自動化系統(tǒng)及其承載的信息等不了解，對系統(tǒng)所面臨的威脅不清楚。由于對其信息系統(tǒng)整體安全狀況不了解，風(fēng)險管理和評估工作無法有效開展。

2.4指揮自動化系統(tǒng)安全管理制度不完善

各級指揮自動化系統(tǒng)安全管理制度不完善。一是安全管理內(nèi)容不全面，如網(wǎng)絡(luò)安全、設(shè)備安全權(quán)責(zé)不清、責(zé)任不明等；二是安全管理制度層次不清，可操作性不強，在實際工作中很難逐級落實。

三、指揮自動化系統(tǒng)安全管理應(yīng)該把握的幾個問題

3.1完善指揮自動化系統(tǒng)安全管理機構(gòu)

指揮自動化系統(tǒng)安全管理機構(gòu)是安全管理工作的基本組織保證。在指揮自動化系統(tǒng)管理機構(gòu)中建立安全管理機構(gòu)，一是要根據(jù)該系統(tǒng)安全工作的具體情況而定，不同安全等級的安全管理機構(gòu)由于管理任務(wù)和要求不一樣，管理機構(gòu)組成也不一樣。二是要建立健全管理信息安全工作的職能部門。三是要為信息安全管理配備專職或兼職的安全管理人員。

3.2大力加強指揮自動化系統(tǒng)相關(guān)人員的安全教育

目前我軍信息安全知識匱乏，人才質(zhì)量參差不齊。信息安全技術(shù)只有通過人的操作才能發(fā)揮應(yīng)有的作用，如果對操作和配置指揮自動化系統(tǒng)的用戶沒有相應(yīng)的安全管理，再好的安全技術(shù)也難以發(fā)揮應(yīng)有的效力，因此人員安全知識和安全意識的教育是指揮自動化系統(tǒng)安全管理的核心。

3.3扎實推進指揮自動化系統(tǒng)風(fēng)險管理工作

風(fēng)險管理是信息安全中非常重要的一環(huán)，風(fēng)險管理工作必須嚴格按照風(fēng)險識別、風(fēng)險評估、風(fēng)險控制以及效果評價四個步驟進行。風(fēng)險識別是準確的對資產(chǎn)進行識別，評估資產(chǎn)可能面臨的威脅。風(fēng)險評估主要對識別的風(fēng)險進行分析和分級。風(fēng)險控制是通過避免、轉(zhuǎn)移、緩解或承認等策略來控制漏洞所產(chǎn)生的威脅。效果評價是檢驗風(fēng)險評估和風(fēng)險控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，在目前條件下，這部分工作亦可委托專業(yè)機構(gòu)來完成。

3.4把握好指揮自動化系統(tǒng)安全管理的動態(tài)特性

指揮自動化系統(tǒng)安全管理是風(fēng)險管理的一種，自然離不開管理的動態(tài)特性。指揮自動化系統(tǒng)中存在威脅、風(fēng)險和脆弱性并不是一成不變的，因此安全管理必須因內(nèi)外環(huán)境的變化而做出相應(yīng)的改變，最大限度達成管理目的。指揮自動化系統(tǒng)安全必須一動態(tài)的眼光來看待問題，不僅僅停留在安全策略、計劃、規(guī)劃等描述性的文檔上，需要在實踐中不斷地反饋、修改和完善。

參 考 文 獻

[1]戴宗坤，羅萬伯，唐三平，黃元飛，劉永澄，《信息系統(tǒng)安全》，金城出版社，2001

[2]王斌君，景乾元，吉增瑞，《信息安全體系》，高等教育出版社，2008

[3]張敏情，魏萍，《信息安全管理基礎(chǔ)》，人民郵電出版社，2008