楊振英 萬(wàn)秋一

廣東省珠海市75406部隊(duì) 廣東 519000

0 引言

隨著軍隊(duì)信息化程度的不斷提高，信息技術(shù)正深刻的影響著軍隊(duì)的工作方式、作戰(zhàn)方式乃至整個(gè)軍隊(duì)的結(jié)構(gòu)，軍隊(duì)工作和作戰(zhàn)已嚴(yán)重依賴并越來(lái)越依賴于信息技術(shù)，由其在現(xiàn)代戰(zhàn)爭(zhēng)條件下，交戰(zhàn)雙方誰(shuí)奪取了信息優(yōu)勢(shì)，誰(shuí)就掌握了戰(zhàn)場(chǎng)上的主動(dòng)權(quán)，同時(shí)也擁有了無(wú)可比擬的優(yōu)勢(shì)，可以說(shuō)，信息技術(shù)將在未來(lái)戰(zhàn)爭(zhēng)中扮演非常重要的角色。與此同時(shí)，信息安全問(wèn)題日益嚴(yán)峻，也帶來(lái)了安全隱患和威脅，這些隱患和威脅直接關(guān)系到軍隊(duì)的安全，影響著戰(zhàn)爭(zhēng)的勝負(fù)天秤。然而，現(xiàn)階段軍隊(duì)不少人員存在著信息安全意識(shí)不足或缺乏信息安全培訓(xùn)等安全隱患，近幾年，不少信息安全專家不約而同地提出了缺乏安全意識(shí)正在成為黑客突破安全防護(hù)時(shí)，最大也最難修補(bǔ)的漏洞。因此，加強(qiáng)對(duì)軍隊(duì)人員信息安全素養(yǎng)進(jìn)行評(píng)價(jià)，讓廣大軍隊(duì)人員認(rèn)識(shí)到自身信息安全素養(yǎng)的現(xiàn)狀，并有效提升其信息安全素養(yǎng)是亟待解決的重要問(wèn)題。

1 軍隊(duì)信息安全威脅分析

威脅就是以某種方式可能對(duì)系統(tǒng)造成損害的環(huán)境或潛在事件，其表現(xiàn)可以是實(shí)際的攻擊行為。不同的信息安全威脅的存在及其危害是隨環(huán)境而變化的，從信息攻擊的方式看，威脅主要有信息截獲、信息修改、信息中斷及信息偽造(圖1)。一種技術(shù)。如電磁截獲、搭線竊聽(tīng)、信息流分析等。

信息修改：第三方對(duì)通信雙方的信息進(jìn)行修改傳輸?shù)囊环N技術(shù)。如修改、刪除數(shù)據(jù)或文件、部分?jǐn)?shù)據(jù)丟失等。

信息中斷：第三方切斷通信雙方信息交互的一種技術(shù)。如硬件毀壞、線路切斷、信息流阻塞、病毒破壞等。

信息偽造：第三方假冒通信雙方中的一方給另一方發(fā)送信息。如假冒我方授權(quán)用戶發(fā)送信息等。

圖1 信息安全攻擊方式

1 軍隊(duì)信息安全目標(biāo)分析

軍隊(duì)信息安全技術(shù)都是為了保護(hù)軍隊(duì)泄密信息，其核心包括保密性、完整性、可用性、可控性和不可否認(rèn)性五個(gè)安全目標(biāo)。

保密性：指未授權(quán)的用戶不能夠獲取敏感信息。對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)環(huán)境中的信息，我們不僅要制止非授權(quán)者對(duì)信息的閱讀。也要阻止授權(quán)者將其訪問(wèn)的信息傳遞給非授權(quán)者，以致信息被泄露。

完整性：指防止信息被未經(jīng)授權(quán)的篡改。它是保護(hù)信息保持原始的狀態(tài)。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來(lái)嚴(yán)重的后果。

可用性：指授權(quán)主體在需要信息時(shí)能及時(shí)得到服務(wù)的能力?？捎眯允窃谛畔踩Ｗo(hù)階段對(duì)信息安全提出的新要求，也是在網(wǎng)絡(luò)化空間中必須滿足的一項(xiàng)信息安全要求。

可控性：指對(duì)信息和信息系統(tǒng)實(shí)施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)。

不可否認(rèn)性：指在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方不能否認(rèn)其在交換過(guò)程中的各種操作或行為。

上述五個(gè)信息安全目標(biāo)中，保密性、完整性和可用性主要強(qiáng)調(diào)對(duì)非授權(quán)主體的控制。信息安全的可控性和不可否認(rèn)性主要強(qiáng)調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進(jìn)行合法的訪問(wèn)，并對(duì)其行為進(jìn)行監(jiān)督和審查，通過(guò)對(duì)授權(quán)主體的控制，實(shí)現(xiàn)對(duì)保密性、完整性和可用性的有效補(bǔ)充。

2 軍隊(duì)人員信息安全素養(yǎng)的內(nèi)涵

打贏信息化戰(zhàn)爭(zhēng)和遂行非戰(zhàn)爭(zhēng)軍事行動(dòng)都對(duì)軍隊(duì)人員信息安全素養(yǎng)提出了較高的要求。軍隊(duì)人員信息安全素養(yǎng)是指在信息化、網(wǎng)絡(luò)化環(huán)境下，軍隊(duì)人員對(duì)信息安全的認(rèn)識(shí)，以及對(duì)信息安全所表現(xiàn)出的各種綜合能力，包括信息安全意識(shí)、信息安全知識(shí)、信息安全能力等具體內(nèi)容。它是信息社會(huì)中信息素養(yǎng)的重要組成部分，已成為信息戰(zhàn)、電子戰(zhàn)條件下軍隊(duì)生存立足的重要條件。信息安全意識(shí)是指軍隊(duì)人員能夠認(rèn)識(shí)到信息安全在工作、生活和作戰(zhàn)中的重要性，對(duì)信息安全有一定的敏感性和洞察力，要了解信息安全對(duì)軍隊(duì)建設(shè)和作戰(zhàn)的重要意義、熟記軍隊(duì)對(duì)信息安全方面的規(guī)定和要求等內(nèi)容。信息安全知識(shí)是指軍隊(duì)人員熟悉信息安全的基本概念和基本理論框架，了解傳統(tǒng)和最新的信息安全威脅及信息保護(hù)技術(shù)基礎(chǔ)知識(shí)等內(nèi)容。信息安全能力是指軍隊(duì)人員處理各種信息安全威脅的能力，如能夠正確設(shè)置密碼確保信息的私密性、能夠防范計(jì)算機(jī)木馬和病毒等惡意攻擊等問(wèn)題。信息安全素養(yǎng)與計(jì)算機(jī)素養(yǎng)有所不同，后者主要指?jìng)€(gè)人使用計(jì)算機(jī)所需要的各種基礎(chǔ)知識(shí)。另外信息安全素養(yǎng)的養(yǎng)成是長(zhǎng)期“修習(xí)”的結(jié)果，并非天生就有，也不能一朝一夕就形成。信息安全素養(yǎng)的形成有一個(gè)程度變化的過(guò)程，即從低到高逐步發(fā)展的過(guò)程。

3 軍隊(duì)人員安全素養(yǎng)評(píng)價(jià)的原則

從根本上說(shuō)，評(píng)價(jià)是評(píng)定價(jià)值的簡(jiǎn)稱，是一種價(jià)值判斷活動(dòng)，通常通過(guò)詳細(xì)、仔細(xì)的研究和評(píng)估，評(píng)價(jià)的過(guò)程是一個(gè)對(duì)評(píng)價(jià)對(duì)象的判斷過(guò)程，同時(shí)也是一個(gè)綜合計(jì)算、觀察和咨詢等方法的一個(gè)復(fù)合分析過(guò)程。由此可見(jiàn)，評(píng)價(jià)是一個(gè)非常復(fù)雜的過(guò)程。它本質(zhì)上是一個(gè)判斷的處理過(guò)程。指標(biāo)是指衡量目標(biāo)的單位或方法，就是將抽象的、難以測(cè)量的社會(huì)概念翻譯成可以考察、分析的操作性術(shù)語(yǔ)。對(duì)軍隊(duì)人員信息安全素養(yǎng)的評(píng)價(jià)是對(duì)軍隊(duì)人員在面臨信息安全問(wèn)題時(shí)的應(yīng)用能力的價(jià)值判斷，其所對(duì)應(yīng)的指標(biāo)體系就是要將評(píng)價(jià)目標(biāo)中定性的難以測(cè)量的部分進(jìn)行量化、細(xì)化，把抽象的、原則性的目標(biāo)具體化、可操作化，使評(píng)價(jià)能夠更加準(zhǔn)確更加容易的進(jìn)行。所以，需要按照一定的評(píng)價(jià)原則來(lái)對(duì)規(guī)范評(píng)價(jià)，在此，本文選定以下幾條原則進(jìn)行規(guī)范。

科學(xué)性原則：是評(píng)價(jià)要以科學(xué)思想為指導(dǎo)，以事實(shí)為依據(jù)。任何評(píng)價(jià)體系都應(yīng)該建立在一定的理論基礎(chǔ)之上，科學(xué)性是構(gòu)建評(píng)價(jià)體系最基本的原則。軍隊(duì)人員信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系框架及各級(jí)指標(biāo)的確定應(yīng)該由強(qiáng)有力的信息安全理論以及學(xué)科教育標(biāo)準(zhǔn)作為支撐，應(yīng)嚴(yán)格從信息安全素養(yǎng)的概念內(nèi)涵出發(fā)，遵照科學(xué)性原則，客觀真實(shí)地揭示影響軍隊(duì)人員信息安全素養(yǎng)的各個(gè)環(huán)節(jié)。

可操作性原則：評(píng)價(jià)指標(biāo)體系要簡(jiǎn)便易行，能直接測(cè)量，具有良好的可操作性。在描述指標(biāo)時(shí)應(yīng)多考慮非信息安全專業(yè)人士的視角，不要制定空洞而不好理解的指標(biāo)，盡可能多地通過(guò)實(shí)例或簡(jiǎn)單易懂的語(yǔ)言將指標(biāo)說(shuō)明清楚。

導(dǎo)向性原則：是指組織的指導(dǎo)性或方向性，即使事情向某個(gè)方面發(fā)展的特性。軍隊(duì)人員信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系不僅要能夠反映軍隊(duì)在信息安全領(lǐng)域的最新新趨，還要導(dǎo)引軍隊(duì)人員自覺(jué)培養(yǎng)信息安全素養(yǎng)，提高自身信息安全能力。

前瞻性原則：由于信息安全素養(yǎng)是在不斷變化的，不同的時(shí)期其內(nèi)涵和外延也不同，因此所構(gòu)建的指標(biāo)體系必須具有一定的前瞻性，不僅適用于現(xiàn)階段，還能適應(yīng)未來(lái)的發(fā)展方面，有一定的拓展性。

4 軍隊(duì)人員信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系的構(gòu)建

信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系的構(gòu)建需要結(jié)合信息安全素養(yǎng)標(biāo)準(zhǔn)，按照一定的構(gòu)建思想，將總體目標(biāo)層層分解。目前，國(guó)內(nèi)外處理類似問(wèn)題的方法很多，國(guó)際上主要運(yùn)用過(guò)程結(jié)構(gòu)法來(lái)處理類似問(wèn)題，國(guó)內(nèi)則使用目標(biāo)描述法較為常見(jiàn)。以信息安全素養(yǎng)為例，過(guò)程結(jié)構(gòu)法是在仔細(xì)了解信息安全素養(yǎng)概念之后，按照信息安全需要、信息安全知識(shí)儲(chǔ)備、信息安全應(yīng)對(duì)處理方法等一系列完整的信息安全行為過(guò)程，很多環(huán)節(jié)組成信息安全行為的整個(gè)過(guò)程，各個(gè)環(huán)節(jié)密不可分。信息安全素養(yǎng)的完整內(nèi)涵就是同這些環(huán)節(jié)對(duì)信息主體在各方面的要求所構(gòu)成的，此種方法具有穩(wěn)定的內(nèi)容結(jié)構(gòu)和秩序結(jié)構(gòu)，可以穩(wěn)定而全面的推導(dǎo)出信息素養(yǎng)內(nèi)涵，但該方法不能將信息安全意識(shí)等因素融入到某一具體過(guò)程，只能一一列出。目標(biāo)描述法是對(duì)信息安全素養(yǎng)的高度抽象和概括，是信息時(shí)代對(duì)人們信息安全素養(yǎng)要求的總體表達(dá)。該方法符合中國(guó)人的高度概括思維習(xí)慣，表達(dá)比較簡(jiǎn)潔，但卻存在著描述方法可操作性不強(qiáng)，每一層次包含的具體內(nèi)容不夠清晰等問(wèn)題。

常用的兩種方法各有特點(diǎn)，盡管他們思路不同，但都有著相同的認(rèn)識(shí)對(duì)象，兩者在很多方面具有相互對(duì)應(yīng)關(guān)系，在本質(zhì)上可以統(tǒng)一起來(lái)。因此可將這兩種方法結(jié)合起來(lái)構(gòu)成過(guò)程-目標(biāo)結(jié)構(gòu)體系，該體系以信息安全素養(yǎng)的目標(biāo)為核心，在信息安全行為的整個(gè)過(guò)程中體現(xiàn)出信息安全素養(yǎng)的目標(biāo)，能更好地展示出信息安全素養(yǎng)的內(nèi)涵。本文以過(guò)程-目標(biāo)結(jié)構(gòu)法為基礎(chǔ)，分層次對(duì)軍隊(duì)信息安全素養(yǎng)評(píng)價(jià)指標(biāo)進(jìn)行構(gòu)建，力求在考慮軍隊(duì)實(shí)際的同時(shí)全面的反映出信息安全素養(yǎng)的內(nèi)涵，為了簡(jiǎn)化分析過(guò)程，本文只構(gòu)建二級(jí)指標(biāo)體系，只做定性分析。具體如圖2所示。本文所提出的安全素養(yǎng)評(píng)價(jià)指標(biāo)體系由目標(biāo)導(dǎo)、準(zhǔn)則層、量化層三個(gè)層次組成，其中目標(biāo)層為最終目標(biāo)，量化層為軍隊(duì)人員提出了各種核心指標(biāo)，準(zhǔn)則層則對(duì)量化層各項(xiàng)指標(biāo)進(jìn)行了必要的分類。該體系能夠較為全面地反映軍隊(duì)人員信息安全素養(yǎng)應(yīng)該包含的各項(xiàng)能力。

圖2 軍隊(duì)人員信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系

5 結(jié)論

信息安全是軍隊(duì)新世紀(jì)新階段必須面臨的一個(gè)重大問(wèn)題，這個(gè)問(wèn)題如果處理不好，將影響到軍隊(duì)的戰(zhàn)斗力，更危險(xiǎn)的是將導(dǎo)致一場(chǎng)戰(zhàn)爭(zhēng)的失利，嚴(yán)重威脅到軍隊(duì)和國(guó)家的根本利益。再好的信息安全裝備和信息安全技術(shù)也都是以人為本，任何裝備和技術(shù)沒(méi)有人去應(yīng)用都是毫無(wú)作用的，因此，必須要加強(qiáng)軍隊(duì)人員信息安全素養(yǎng)的教育和培訓(xùn)。本文在分析了信息安全所面臨的攻擊手段和信息安全目標(biāo)后結(jié)合信息安全的評(píng)價(jià)原則，運(yùn)用-目標(biāo)結(jié)構(gòu)法構(gòu)建了軍隊(duì)人員信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系，定性的分析了軍隊(duì)人員應(yīng)具有的各種信息安全素養(yǎng)，一定程度上幫助建立了信息安全素養(yǎng)教育的內(nèi)容。由于時(shí)間關(guān)系，本文并沒(méi)有分析各種指標(biāo)的定量問(wèn)題，這是下一定要努力研究的方向。

[1]曹銳,孫厚釗.軍隊(duì)信息安全保密防線的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2006.

[2]寧章.計(jì)算機(jī)及網(wǎng)絡(luò)安全與防護(hù)基礎(chǔ)[M].北京航空航天大學(xué)出版社.1999.

[3]郭振民等.我國(guó)信息安全面臨的形勢(shì)與發(fā)展策略的思考[J].微電子學(xué)與計(jì)算機(jī).2002.

[4]孫厚釗.軍隊(duì)信息安全保密淺探[J].安徽電子信息職業(yè)技術(shù)學(xué)學(xué)報(bào).2004.

[5]周孟雷.江澤民國(guó)防科研和武器裝備建設(shè)思想研究[J].中共云南省委學(xué)校學(xué)報(bào).2008.

[6]張瓊,孫論強(qiáng).中國(guó)信息安全戰(zhàn)略研究[M].北京人民公安大學(xué)出版社.2007.

[7]蔣莉,楊培靜,歐美國(guó)家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國(guó)教育網(wǎng)絡(luò).2008.

[8]DREVIN,KRUGER,STEYN.Value-focusef assessment of ICT security awareness in an academic environment[J].Computers&Security.2007.

[9]羅力,國(guó)民信息安全素養(yǎng)評(píng)價(jià)指標(biāo)體系構(gòu)建研究[J],重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)[J].2012.

[10]US Department ofDefense,DoD 5200.1-R Information Security Program[R].1998.