单剑+范海峰
【摘要】 本文首先简要介绍了指挥自动化系统安全管理的基本概念,然后分析了我军指挥自动化系统在安全管理方面存在的问题,最后论述了指挥自动化系统安全管理需要把握的几个问题。
【关键字】 指挥自动化 安全管理
随着信息技术在军事领域的广泛应用,我军指挥自动化水平取得了长足的进步,但是信息安全问题日益突出,信息安全已经成为制约我军指挥自动化系统建设的瓶颈。研究和实践证明,70%以上的安全问题是由于安全管理不善造成,而其中95%可以通过科学的安全管理来避免,因此指挥自动化系统安全管理工作应当引起我们的高度重视。
一、指挥自动化系统安全管理的基本概念
指挥自动化系统安全管理是管理的一种,具备安全管理的一般概念,指挥自动化系统安全管理是指为完成指挥自动化系统安全这一核心任务,设置一个高效的组织机构,建立一套完善的管理制度,充分调动该系统内部人员的积极性和创造性,发挥现有的信息安全技术条件,以期最大限度保证指挥自动化系统以及指挥自动化信息安全的过程。
指挥自动化系统安全管理包括的范围较广,主要包括以下内容:落实安全管理机构以及安全管理人员,明确角色与职责,制定安全规划;开发安全策略;实施风险管理;制定业务连续性计划和灾难恢复计划;选择与实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查,处理安全事件;安全意识与安全教育;人员安全管理等。
二、指挥自动化系统安全管理问题分析
2.1指挥自动化系统安全管理机构不完善
信息安全管理机构是信息安全管理制度制定和实施的有力保障,这个安全机构分为三个层次,领导层、管理层和执行层。我军各级指挥自动化系统在领导层缺乏一个统一的信息安全领导机构;在管理层绝大多数是参谋兼职人员;在执行层更是专业技术人员匮乏。
2.2指挥自动化系统相关人员缺乏信息安全教育
首先信息安全管理人员发生信息安全问题时,完全依靠于技术部门,信息安全管理意识缺乏;其次忽视了对广大系统用户的安全知识和安全意识的教育,导致用户不清楚指挥自动化系统的信息安全的标准和要求,最终导致内部安全事件频发。
2.3指挥自动化系统风险管理得没有有效开展
我军各级指挥自动化系统风险管理工作还处于起步阶段,对指挥自动化系统及其承载的信息等不了解,对系统所面临的威胁不清楚。由于对其信息系统整体安全状况不了解,风险管理和评估工作无法有效开展。
2.4指挥自动化系统安全管理制度不完善
各级指挥自动化系统安全管理制度不完善。一是安全管理内容不全面,如网络安全、设备安全权责不清、责任不明等;二是安全管理制度层次不清,可操作性不强,在实际工作中很难逐级落实。
三、指挥自动化系统安全管理应该把握的几个问题
3.1完善指挥自动化系统安全管理机构
指挥自动化系统安全管理机构是安全管理工作的基本组织保证。在指挥自动化系统管理机构中建立安全管理机构,一是要根据该系统安全工作的具体情况而定,不同安全等级的安全管理机构由于管理任务和要求不一样,管理机构组成也不一样。二是要建立健全管理信息安全工作的职能部门。三是要为信息安全管理配备专职或兼职的安全管理人员。
3.2大力加强指挥自动化系统相关人员的安全教育
目前我军信息安全知识匮乏,人才质量参差不齐。信息安全技术只有通过人的操作才能发挥应有的作用,如果对操作和配置指挥自动化系统的用户没有相应的安全管理,再好的安全技术也难以发挥应有的效力,因此人员安全知识和安全意识的教育是指挥自动化系统安全管理的核心。
3.3扎实推进指挥自动化系统风险管理工作
风险管理是信息安全中非常重要的一环,风险管理工作必须严格按照风险识别、风险评估、风险控制以及效果评价四个步骤进行。风险识别是准确的对资产进行识别,评估资产可能面临的威胁。风险评估主要对识别的风险进行分析和分级。风险控制是通过避免、转移、缓解或承认等策略来控制漏洞所产生的威胁。效果评价是检验风险评估和风险控制的结果是否满足信息系统的安全要求,在目前条件下,这部分工作亦可委托专业机构来完成。
3.4把握好指挥自动化系统安全管理的动态特性
指挥自动化系统安全管理是风险管理的一种,自然离不开管理的动态特性。指挥自动化系统中存在威胁、风险和脆弱性并不是一成不变的,因此安全管理必须因内外环境的变化而做出相应的改变,最大限度达成管理目的。指挥自动化系统安全必须一动态的眼光来看待问题,不仅仅停留在安全策略、计划、规划等描述性的文档上,需要在实践中不断地反馈、修改和完善。
参 考 文 献
[1]戴宗坤,罗万伯,唐三平,黄元飞,刘永澄,《信息系统安全》,金城出版社,2001
[2]王斌君,景乾元,吉增瑞,《信息安全体系》,高等教育出版社,2008
[3]张敏情,魏萍,《信息安全管理基础》,人民邮电出版社,2008