信息管控,就是對信息的管理、控制、防范、監(jiān)測的全過程。據(jù)統(tǒng)計,我國集成電路的80%、軟件的60%左右要依靠進口解決,在安全方面存在許多漏洞和隱患。解決軍事信息的安全問題,關鍵在于消除威脅,化解風險,加強信息管控,構筑軍事信息安全的“防火墻”。
健全維護軍事信息安全的法規(guī)體系。不能把信息安全簡單地看成一個技術問題,健全的法規(guī)體系是安全管理的重要依據(jù),構建重點突出、補漏防缺、周密完善的信息安全法規(guī)體系是當務之急。首先,理清現(xiàn)有的軍事信息安全條例與規(guī)定,針對信息通信安全、計算機系統(tǒng)安全和人員管理安全等重點,建立有較強針對性和操作性的法律法規(guī),使信息安全管理工作有法可依、有章可循。其次,對各種軍事信息安全犯罪予以明確界定,對軍事信息領域的犯罪行為依法進行嚴厲打擊,以維護軍隊正常的軍事信息安全秩序。再次,采取切實得力的措施,建立有效的監(jiān)督機制,使軍事信息安全法律制度真正落到實處。
建立完善的信息網(wǎng)絡安全管理體系。有專家學者認為,現(xiàn)實的威脅主要來自系統(tǒng)的缺陷,其次是泄密和內(nèi)部人員犯罪,第三是病毒,第四才是黑客。由于外部攻擊破壞性大,許多國家不惜花巨資建立國家主導的計算機網(wǎng)絡安全體系。我軍應當走“建設與管控同步,應用與防護一體”的路子,建立“統(tǒng)一管理,分級防護,層層負責”的管理體系。一方面,信息安全管理不能只靠少數(shù)單位或部門“孤軍奮戰(zhàn)”,必須各相關管理部門通力合作,形成齊抓共管的局面,共同構建信息安全的“長城”。另一方面,各單位和部門要在管理上形成制度。從威脅的角度看,如果不落實到管理,再好的技術也是徒勞的。必須建立健全信息網(wǎng)絡安全管理體系,制定、審查信息安全措施,確定信息網(wǎng)絡使用原則和辦法,組織協(xié)調(diào)、監(jiān)督和檢查安全措施的執(zhí)行情況。特別對核心機密、易遭“黑客”侵襲的關鍵部位,應作為安全管理的重點,分工專業(yè)技術人員重點防范。同時,建立全程監(jiān)控、定期檢測、形勢分析、獎勵懲罰制度,確保信息嚴格按規(guī)范程序傳遞使用。安全漏洞沒有大小之分,應通盤考慮、合理分工,盡可能堵住所有的漏洞。
建立有效的內(nèi)部監(jiān)控新機制。談及信息安全的威脅,來自內(nèi)部的威脅最可怕。據(jù)國外統(tǒng)計,外部入侵事件占到所有信息安全事件的20%-30%,而70%-80%的信息安全事件來自于內(nèi)部,而且內(nèi)部人員犯罪難抵御、難發(fā)現(xiàn),除了采用數(shù)據(jù)加密、分級使用等措施之外,還要建立新機制來進行有效監(jiān)控。一是在網(wǎng)絡信息系統(tǒng)中創(chuàng)建實用的自動系統(tǒng)響應功能。針對內(nèi)部人員能夠在片刻之間造成對信息的巨大破壞,必須在極短時間內(nèi)監(jiān)測到安全事件。二是開發(fā)信息數(shù)據(jù)關聯(lián)工具。為監(jiān)測內(nèi)部潛在的或已發(fā)生的信息安全事件,應把多種源頭的信息數(shù)據(jù)進行關聯(lián)分析,并及時捕獲和存儲發(fā)生的信息安全事件的相關數(shù)據(jù),這樣可以對下一次信息安全事件做出快速反應。三是提高對非網(wǎng)絡化信息進行監(jiān)測的能力。不是所有的信息資源都是在線的,那些非網(wǎng)絡化信息資源極易被內(nèi)部人員獲取,為防范安全事件的發(fā)生,應建立內(nèi)部人員信息使用規(guī)則,加強對內(nèi)部人員的全程管理。
制定維護軍事信息系統(tǒng)安全標準。軍事信息安全系統(tǒng)廣泛應用于值勤、訓練、教學、作戰(zhàn)等各個方面,是信息安全保障體系的基本設施。為確保信息與信息系統(tǒng)的安全,在軍事信息系統(tǒng)建設上要按照統(tǒng)一的標準進行。不少國家已有相應的標準,比如,美國國防部發(fā)表的計算機安全橙皮書,就將計算機安全分A到D四個級別,每個級別內(nèi)又細分若干級。其中C2級實際上已經(jīng)成為工業(yè)標準,很多計算機制造商都采用C2級標準中的各項準則,來完善各自的安全系統(tǒng)。目前,我國計算機芯片還主要依賴進口,急需制定統(tǒng)一的網(wǎng)絡信息安全標準。因此,要結(jié)合我軍信息網(wǎng)絡建設的實際情況,吸取國外先進經(jīng)驗,盡快制定一套我軍軍事信息系統(tǒng)安全標準,使信息管控有據(jù)可循。尤其要建立與完善軍事信息安全風險評估規(guī)范標準,對重要軍事信息系統(tǒng)按照統(tǒng)一標準,實行定期的自主性評估和強制性評估,確保軍事信息系統(tǒng)安全可靠運行。
