信息安全指的是“保护信息免受意外或故意的非授权泄露、传递、修改或破坏”。 21世纪是大数据时代,信息是最重要的战略资源,信息安全属于国家利益和国家安全层面。信息化是一把双刃剑,随着网络有关的信息安全问题日益突出,信息安全在国防领域意义尤为重要,它是有形战场与无形战场软、硬对抗的焦点,它是夺取现代战争综合制胜权的决定性因素并贯穿始终。大数据时代,信息安全与非安全,堪称军之大事,因此,要高度重视加强军事信息安全管理与研究。
1 军事信息安全管理的现状
军事信息安全管理,必须置于国家信息安全的大环境下进行,我国信息安全面临的形势较为严峻,与此类似,军事信息安全管理的现状也不容乐观,主要表现在以下几个方面:
1.1 信息产业基础弱,易受西方国家对我实施电子封锁
我国在信息行业起步较晚,造成了当前我国在信息化进程中因使用习惯和兼容性等方面的问题,仍大量使用着国外的硬件和软件。我国信息产业近年来虽有所发展,但关键技术,核心部件严重依赖国外。长期以来,国内金融、电信、能源等核心行业的信息系统市场,主要被IBM、Oracle等国外信息服务提供商瓜分,其中以大型服务器为例,IBM的市场占有率高达70%。而自主品牌的服务器最多起辅助作用,在根源上无法保证我国的数据安全。军事领域同样如此,研究水平不高,计算机操作系统和应用软件都依赖进口,军用软件开发大量使用SQL、Oracle等作为后台数据库。一旦西方国家对我实施电子封锁,军事信息业面临被遏制的危险,可能造成灾难性的后果,对此,我们要有足够的警惕。
1.2 对外来技术和设备检测能力差,存在大量安全隐患
在海湾战争中,伊军由于使用了被美军做过手脚的计算机,造成其防空信息系统失灵,因而一开战即失去制空权,处于被动挨打的局面。
由于缺乏相关知识和经验,我军对进口信息技术和关键设备的检测主要集中在性能测试,很少涉及到其技术核心,如芯片、操作系统、PLC等,不能发现产品的安全漏洞和“后门”,由于缺乏有效的监督管理和技术改造,对可能存在的手脚很难检测和排除,存在大量安全隐患。
1.3 信息安全防护能力差,网络和系统人员缺乏安全意识和技术培训
信息系统具有开放性、脆弱性和易受攻击的特点。黑客活动已成为当前信息安全的头号“公敌”,据不完全统计,世界上平均每15到20秒就有一起“黑客”事件。美军曾对其军事用途的计算机系统进行了3.8万次模拟袭击,成功率高达65% ,而被发现的概率仅为12% ,对发现的攻击及时通报的只有27%,能做出反应的不到1%。我军信息网络和计算机系统的管理人员缺乏安全观念和必备的技术。大多数指挥员只知道自己是系统的用户,而不知道自己也是系统的管理者,由于不了解计算机方面的风险,常常因错误的应用管理程序导致信息泄密。我军目前缺乏大量全职的,训练有素、经验丰富的网络系统管理人员,来应对未来可能发生的网上外敌入侵、信息安全事故及完成保护计算机系统进行的侦测工作。
2 加强军事信息安全管理的几点思考
加强军事信息安全管理工作是一项长期而艰巨的系统工程,应从多方面入手:
2.1 深化法制意识,加强军事信息安全法规制度建设
发展信息技术,必须建立军事信息安全政策法规体系,必须做到有法可依、有章可循。由于计算机网络与信息系统在技术上存在着严重的不可管理性,行政和法律方面的管理手段非常重要。为此,针对部队的信息安全建设,一方面要建立一套严格而有效地信息安全评估和质量认证体系,做到在制定网络规划和方案时,要有安全管理部门审批;在网络建设中,要有安全管理部门指导,进行信息安全质量认证;在网络运行中要接受安全管理部门的监督、检查。另一方面,要加强军事信息安全法制建设,尽快制定信息安全法,惩治计算机犯罪法,对破坏军用计算机设备罪、非法侵入军用计算机系统获取、窃取国防及军事机密罪、网上传播反动信息罪等予以明确界定,对军事信息领域的犯罪行为依法进行严厉打击,以维护国家正常的军事信息安全秩序。
2.2 立足自主创新,构建军事信息安全防范体系
军事信息安全管理机构要加强对信息安全工作的统一规划、统一管理和统一部署,跟踪信息技术发展的最前沿,大力推进军事领域信息产业的国产化进程,大力支持自主关键技术和核心产品的国产化进程,在此基础上建立自主的信息安全防范体系。嵌入式操作系统的国产化有利于安全路由器、防火墙、加密系统等网络安全关键部件的实现,应规定在军事信息安全的关键部门必须使用国产的嵌入式操作系统。建立自主军事信息安全防范体系,对网络防护进行规范化管理,要建立一套完整的信息安全标准和系统评估体系,对军事信息的获取、传输和共享,对资源共享的程度、级别和上网的控制等方面,制定有效的安全措施。建立自主信息安全防范体系,还要深入研究网络信息安全隐患措施,未来分散、移动、隐藏的信息技术比集中、规模化的信息技术更具安全性。因此,在加大网络监控力度的同时,应广泛采用分布式、局部性信息系统,以尽可能地减少信息安全风险。
对从西方国家引进的信息技术和关键设备,要进行有效的监督管理和技术改造,对有可能引起安全隐患的要加强检测和排除。
2.3 强化安全管理意识,加快军事信息安全人才队伍建设
信息安全管理防范意识差的原因在于对信息安全管理的重要性认识不足。据悉,信息产业发达的国家十分重视信息的安全管理,美国把信息安全与未来作战直接联系,认为“安全保密”是来来“信息战”的核心,每年拨出数十亿美元用于加强国防信息安全。因此,我们应该重视信息安全管理,强化信息安全管理意识。强化安全管理意识,就要重视军事信息安全人才的培养。
军事信息安全是一门专业性很强的新兴技术,只有掌握和运用先进的信息安全防护技术和方法,做到心中有数、技高一筹,才能获得信息安全防护优势。要把培养和造就大批高素质人才,作为军队信息化的基石。高技术条件下的信息安全对抗,说到底是人才的对抗。要防患于未然,建立一支懂技术、会管理的骨干队伍,对网络和系统人员进行安全意识和技术培训,造就一批高素质的“网络卫士”,以备在遇到战争或突发信息安全事件时的需要。
2.4 明确信息安全管理重点,提升军事信息网络防护技术
要抓好信息安全管理工作,必须明确信息安全管理的重点。信息安全管理是为了实现信息的保密性、完整性、可用性、可控性和信息行为的不可否认性而对信息进行防御、检测、抑制与恢复及管理工作,它包括系统层的安全管理、网络层的安全管理和应用的安全管理。系统层的安全管理包括硬件和软件。硬件系统的安全重点在于防电磁辐射,电子干扰和固化软件的安全。
由于应用软件自身存在着易修改性等缺陷,特别容易受到攻击,防“黑客”技术、防病毒技术、软件恢复技术以及安全操作系统的实现和应用是安全管理的重点。网络层的安全管理是对网络安全报警、入侵恢复、数据保护、密钥管理、内部认证等方面的管理。防冒充、防泄漏、防篡改等与网络无关的信息安全管理,属于应用安全管理,其中密码技术和管理是信息安全管理的核心。所以,我们要借鉴国外先进的技术和做法,以探索和预研的滚动发展为重点,坚持自主知识产权,研制具有中国特色的信息安全攻防兼备的系列产品特别是具有中国特色自主知识产权的安检测评、等级判别系统、抵御入侵系统、智能化入网者身份鉴别认证系统、高级密码芯片系列产品等。并组织开展信息和网络系统对抗的演示、演练、演习,不断提升信息安全管理技能和信息网络防护技术。