信息管控：信息安全的“防火墙”

信息管控，就是对信息的管理、控制、防范、监测的全过程。据统计，我国集成电路的80%、软件的60%左右要依靠进口解决，在安全方面存在许多漏洞和隐患。解决军事信息的安全问题，关键在于消除威胁，化解风险，加强信息管控，构筑军事信息安全的“防火墙”。

健全维护军事信息安全的法规体系。不能把信息安全简单地看成一个技术问题，健全的法规体系是安全管理的重要依据，构建重点突出、补漏防缺、周密完善的信息安全法规体系是当务之急。首先，理清现有的军事信息安全条例与规定，针对信息通信安全、计算机系统安全和人员管理安全等重点，建立有较强针对性和操作性的法律法规，使信息安全管理工作有法可依、有章可循。其次，对各种军事信息安全犯罪予以明确界定，对军事信息领域的犯罪行为依法进行严厉打击，以维护军队正常的军事信息安全秩序。再次，采取切实得力的措施，建立有效的监督机制，使军事信息安全法律制度真正落到实处。

建立完善的信息网络安全管理体系。有专家学者认为，现实的威胁主要来自系统的缺陷，其次是泄密和内部人员犯罪，第三是病毒，第四才是黑客。由于外部攻击破坏性大，许多国家不惜花巨资建立国家主导的计算机网络安全体系。我军应当走“建设与管控同步，应用与防护一体”的路子，建立“统一管理，分级防护，层层负责”的管理体系。一方面，信息安全管理不能只靠少数单位或部门“孤军奋战”，必须各相关管理部门通力合作，形成齐抓共管的局面，共同构建信息安全的“长城”。另一方面，各单位和部门要在管理上形成制度。从威胁的角度看，如果不落实到管理，再好的技术也是徒劳的。必须建立健全信息网络安全管理体系，制定、审查信息安全措施，确定信息网络使用原则和办法，组织协调、监督和检查安全措施的执行情况。特别对核心机密、易遭“黑客”侵袭的关键部位，应作为安全管理的重点，分工专业技术人员重点防范。同时，建立全程监控、定期检测、形势分析、奖励惩罚制度，确保信息严格按规范程序传递使用。安全漏洞没有大小之分，应通盘考虑、合理分工，尽可能堵住所有的漏洞。

建立有效的内部监控新机制。谈及信息安全的威胁，来自内部的威胁最可怕。据国外统计，外部入侵事件占到所有信息安全事件的20%-30%，而70%-80%的信息安全事件来自于内部，而且内部人员犯罪难抵御、难发现，除了采用数据加密、分级使用等措施之外，还要建立新机制来进行有效监控。一是在网络信息系统中创建实用的自动系统响应功能。针对内部人员能够在片刻之间造成对信息的巨大破坏，必须在极短时间内监测到安全事件。二是开发信息数据关联工具。为监测内部潜在的或已发生的信息安全事件，应把多种源头的信息数据进行关联分析，并及时捕获和存储发生的信息安全事件的相关数据，这样可以对下一次信息安全事件做出快速反应。三是提高对非网络化信息进行监测的能力。不是所有的信息资源都是在线的，那些非网络化信息资源极易被内部人员获取，为防范安全事件的发生，应建立内部人员信息使用规则，加强对内部人员的全程管理。

制定维护军事信息系统安全标准。军事信息安全系统广泛应用于值勤、训练、教学、作战等各个方面，是信息安全保障体系的基本设施。为确保信息与信息系统的安全，在军事信息系统建设上要按照统一的标准进行。不少国家已有相应的标准，比如，美国国防部发表的计算机安全橙皮书，就将计算机安全分A到D四个级别，每个级别内又细分若干级。其中C2级实际上已经成为工业标准，很多计算机制造商都采用C2级标准中的各项准则，来完善各自的安全系统。目前，我国计算机芯片还主要依赖进口，急需制定统一的网络信息安全标准。因此，要结合我军信息网络建设的实际情况，吸取国外先进经验，尽快制定一套我军军事信息系统安全标准，使信息管控有据可循。尤其要建立与完善军事信息安全风险评估规范标准，对重要军事信息系统按照统一标准，实行定期的自主性评估和强制性评估，确保军事信息系统安全可靠运行。