淺議指揮自動化系統安全管理

單劍+范海峰

【摘要】 本文首先簡要介紹了指揮自動化系統安全管理的基本概念，然后分析了我軍指揮自動化系統在安全管理方面存在的問題，最后論述了指揮自動化系統安全管理需要把握的幾個問題。

【關鍵字】 指揮自動化 安全管理

隨著信息技術在軍事領域的廣泛應用，我軍指揮自動化水平取得了長足的進步，但是信息安全問題日益突出，信息安全已經成為制約我軍指揮自動化系統建設的瓶頸。研究和實踐證明，70%以上的安全問題是由于安全管理不善造成，而其中95%可以通過科學的安全管理來避免，因此指揮自動化系統安全管理工作應當引起我們的高度重視。

一、指揮自動化系統安全管理的基本概念

指揮自動化系統安全管理是管理的一種，具備安全管理的一般概念，指揮自動化系統安全管理是指為完成指揮自動化系統安全這一核心任務，設置一個高效的組織機構，建立一套完善的管理制度，充分調動該系統內部人員的積極性和創造性，發揮現有的信息安全技術條件，以期最大限度保證指揮自動化系統以及指揮自動化信息安全的過程。

指揮自動化系統安全管理包括的范圍較廣，主要包括以下內容：落實安全管理機構以及安全管理人員，明確角色與職責，制定安全規劃；開發安全策略；實施風險管理；制定業務連續性計劃和災難恢復計劃；選擇與實施安全措施；保證配置、變更的正確與安全；進行安全審計；保證維護支持；進行監控、檢查，處理安全事件；安全意識與安全教育；人員安全管理等。

二、指揮自動化系統安全管理問題分析

2.1指揮自動化系統安全管理機構不完善

信息安全管理機構是信息安全管理制度制定和實施的有力保障，這個安全機構分為三個層次，領導層、管理層和執行層。我軍各級指揮自動化系統在領導層缺乏一個統一的信息安全領導機構；在管理層絕大多數是參謀兼職人員；在執行層更是專業技術人員匱乏。

2.2指揮自動化系統相關人員缺乏信息安全教育

首先信息安全管理人員發生信息安全問題時，完全依靠于技術部門，信息安全管理意識缺乏；其次忽視了對廣大系統用戶的安全知識和安全意識的教育，導致用戶不清楚指揮自動化系統的信息安全的標準和要求，最終導致內部安全事件頻發。

2.3指揮自動化系統風險管理得沒有有效開展

我軍各級指揮自動化系統風險管理工作還處于起步階段，對指揮自動化系統及其承載的信息等不了解，對系統所面臨的威脅不清楚。由于對其信息系統整體安全狀況不了解，風險管理和評估工作無法有效開展。

2.4指揮自動化系統安全管理制度不完善

各級指揮自動化系統安全管理制度不完善。一是安全管理內容不全面，如網絡安全、設備安全權責不清、責任不明等；二是安全管理制度層次不清，可操作性不強，在實際工作中很難逐級落實。

三、指揮自動化系統安全管理應該把握的幾個問題

3.1完善指揮自動化系統安全管理機構

指揮自動化系統安全管理機構是安全管理工作的基本組織保證。在指揮自動化系統管理機構中建立安全管理機構，一是要根據該系統安全工作的具體情況而定，不同安全等級的安全管理機構由于管理任務和要求不一樣，管理機構組成也不一樣。二是要建立健全管理信息安全工作的職能部門。三是要為信息安全管理配備專職或兼職的安全管理人員。

3.2大力加強指揮自動化系統相關人員的安全教育

目前我軍信息安全知識匱乏，人才質量參差不齊。信息安全技術只有通過人的操作才能發揮應有的作用，如果對操作和配置指揮自動化系統的用戶沒有相應的安全管理，再好的安全技術也難以發揮應有的效力，因此人員安全知識和安全意識的教育是指揮自動化系統安全管理的核心。

3.3扎實推進指揮自動化系統風險管理工作

風險管理是信息安全中非常重要的一環，風險管理工作必須嚴格按照風險識別、風險評估、風險控制以及效果評價四個步驟進行。風險識別是準確的對資產進行識別，評估資產可能面臨的威脅。風險評估主要對識別的風險進行分析和分級。風險控制是通過避免、轉移、緩解或承認等策略來控制漏洞所產生的威脅。效果評價是檢驗風險評估和風險控制的結果是否滿足信息系統的安全要求，在目前條件下，這部分工作亦可委托專業機構來完成。

3.4把握好指揮自動化系統安全管理的動態特性

指揮自動化系統安全管理是風險管理的一種，自然離不開管理的動態特性。指揮自動化系統中存在威脅、風險和脆弱性并不是一成不變的，因此安全管理必須因內外環境的變化而做出相應的改變，最大限度達成管理目的。指揮自動化系統安全必須一動態的眼光來看待問題，不僅僅停留在安全策略、計劃、規劃等描述性的文檔上，需要在實踐中不斷地反饋、修改和完善。

參 考 文 獻

[1]戴宗坤，羅萬伯，唐三平，黃元飛，劉永澄，《信息系統安全》，金城出版社，2001

[2]王斌君，景乾元，吉增瑞，《信息安全體系》，高等教育出版社，2008

[3]張敏情，魏萍，《信息安全管理基礎》，人民郵電出版社，2008