彭政　田八林　白文華

【摘? 要】本文從加強(qiáng)安全文化建設(shè)切入，首先闡述了安全文化和安全管理的含義和相互關(guān)系，然后針對信息安全所面臨的問題，提出了“人為本、防為先、恒為貴、變?yōu)閮?yōu)”的安全文化建設(shè)原則并給出了相應(yīng)措施，以期為提高國防軟實力、做好信息安全領(lǐng)域的未雨綢繆提供有益參考。

【關(guān)鍵詞】安全文化，信息安全，管理

【中圖分類號】G8??????????? 【文獻(xiàn)識別碼】A

一、引言

信息安全是指敏感信息在產(chǎn)生、傳遞、處理和存儲過程中不被泄露或破壞，確保信息的可用性、保密性、完整性和不可否認(rèn)性，并保證信息系統(tǒng)的可靠性和可控性。敏感信息失控會給國家利益和國防安全造成不同程度的危害，這些事件當(dāng)中因管理原因?qū)е鲁鰡栴}的占比不小，這一現(xiàn)象值得我們深思。

二、安全文化與安全管理

（一）安全文化

安全文化是人類生存和社會生產(chǎn)過程中的主觀和客觀存在，是人類文化文明的一部分。關(guān)于安全文化的發(fā)源，一種觀點(diǎn)認(rèn)為，直到20世紀(jì)80年代，安全文化才由國際原子能機(jī)構(gòu)提出，之后安全文化的思想和策略逐步擴(kuò)展到各個國家和不同的產(chǎn)業(yè)領(lǐng)域，從核安全文化深化到一般安全生產(chǎn)與安全生活領(lǐng)域。黨的十八大以來，習(xí)主席以高度的文化自覺與文化擔(dān)當(dāng)，反復(fù)強(qiáng)調(diào)“文化自信是更基礎(chǔ)、更廣泛、更深厚的自信，是更基本、更深沉、更持久的力量”^[1]?；厮葜袊鴼v史，我們的經(jīng)典中不乏先賢們治國安邦的安全文化思想。關(guān)于安全文化的定義，有觀點(diǎn)認(rèn)為：安全文化是存在于單位和個人中種種素質(zhì)和態(tài)度的總和^[2]，它建立一種超出一切之上的觀念，即核電廠的安全問題由于它的重要性要保證得到應(yīng)有的重視;有觀點(diǎn)認(rèn)為：安全文化是信念、規(guī)范、態(tài)度、角色及社會和技術(shù)實踐的集合^[3]，總之，觀點(diǎn)很多，眾說紛紜，但是，至今安全文化仍沒有一個“統(tǒng)一”的定義。

（二）安全文化與安全管理的關(guān)系

安全管理是包括關(guān)于技術(shù)、人、組織的一切活動、計劃以及關(guān)于組織內(nèi)所有的個體活動，并易形式化為安全管理體系，可以看出安全管理是企業(yè)的經(jīng)營活動，而安全文化是企業(yè)精神、理念的體現(xiàn)，是一種狀態(tài)。其次，安全文化突出人的思想、意識、思維方法、人生觀、價值觀、倫理、道德規(guī)范，主要從精神領(lǐng)域、從安全管理的“軟件”方面及智能開發(fā)方面影響人的安全行為和自律能力;而安全管理注重安全技術(shù)、安全生產(chǎn)的物質(zhì)環(huán)境，管理手段主要側(cè)重于人對技術(shù)、對物質(zhì)環(huán)境的安全控制。另外，安全文化對人影響具有終身性，它用安全的精神財富和物質(zhì)財富感染和激勵人，提高人的安全素質(zhì)和安全技術(shù)水平，增強(qiáng)人安全的生理和心理承受能力，可以說安全文化對人的影響是深遠(yuǎn)、持久的;而安全管理主要通過有局限性的安全管理技術(shù)和方法，在員工從事生產(chǎn)經(jīng)營活動的過程中發(fā)揮作用，由于它具有強(qiáng)制性、懲罰性、約束性的特點(diǎn)，被管理者始終處于被動安全、服從安全、要我安全的強(qiáng)迫狀態(tài)，對人的精神心理的影響相對短暫有限^[4]。

很多重大安全事故的調(diào)查報告指出安全文化是影響事故結(jié)果的決定性因素，而評價一個單位安全管理工作的主要指標(biāo)就是安全事故發(fā)生率和事故危害程度，反過來，一個單位或組織的安全文化最終反映在工作場所的管理方式方法上。

三、信息安全管理面臨的幾個問題

（一）傳統(tǒng)信息安全管理理念并未重視內(nèi)部人員的有意或無意泄密

據(jù)Gartner報告，85%的泄密事件源于內(nèi)部人員誤操作或違規(guī)行為。2010年的“維基揭秘”就是這一現(xiàn)狀的最佳注解：美國陸軍上等兵布拉德利· 曼寧（Bradley E. Manning），在其被派駐伊拉克期間，負(fù)責(zé)情報分析工作。他利用職務(wù)之便，從軍方網(wǎng)絡(luò)下載大量機(jī)密文件，并刻錄在一張標(biāo)為“Lady Gaga”的CD中，轉(zhuǎn)交給維基揭秘，被后者公布于互聯(lián)網(wǎng)。無獨(dú)有偶，各國出現(xiàn)的敏感信息披露也大都是源于內(nèi)部人員的違規(guī)操作。信息安全管理必須對內(nèi)部人員誤操作、違規(guī)操作、惡意破壞等給予足夠的重視，對內(nèi)部個人行為必須進(jìn)行管控。

（二）沒有事故發(fā)生就認(rèn)為信息是安全的思想是極度危險的

管理人員必須時刻保持“生于憂患”的工作態(tài)度，不能把沒有發(fā)生問題當(dāng)作沒有問題。有的信息攻擊所使用的惡意代碼破壞性不強(qiáng)、隱蔽性很高，計算機(jī)被該類惡意代碼俘獲后仍能正常工作，管理員和電腦操作人員很難發(fā)現(xiàn)磁盤上大量的敏感信息已被搜集轉(zhuǎn)發(fā)。有的惡意代碼還能欺騙監(jiān)控系統(tǒng)，如系統(tǒng)管道壓力值超過警戒門限時，惡意代碼能使監(jiān)控系統(tǒng)的感知值仍在安全范圍內(nèi)，該類代碼一旦得到啟動指令運(yùn)行后會對目標(biāo)系統(tǒng)造成不可挽回的損失，例如，2010年以西門子數(shù)據(jù)采集與監(jiān)控系統(tǒng)為攻擊目標(biāo)的“震網(wǎng)”病毒使伊朗境內(nèi)包括布什爾核電站在內(nèi)的5個工業(yè)基礎(chǔ)設(shè)施遭到攻擊，而在這之前伊朗等國的安全專家一直沒有發(fā)現(xiàn)系統(tǒng)運(yùn)行有何異常。

（三）信息安全管理從規(guī)范程序到落實實施存在脫節(jié)現(xiàn)象

赫拉克利特說過：“內(nèi)在的和諧比表面的一致更強(qiáng)大”。雖然管理者對信息安全管理制定了系統(tǒng)全面的規(guī)范和程序，但是管理的實效性不能單靠書面的規(guī)范達(dá)標(biāo)，還應(yīng)注重工作場所安全操作的方式以及安全規(guī)范和程序貫徹到工作場所的狀況，例如并非在辦公室張貼了信息安全管理的規(guī)定，所有辦公人員就像機(jī)器人一樣百分百按照規(guī)定程序工作，一點(diǎn)紕漏不出，因此，制定管理規(guī)范的同時必須建立起有效的監(jiān)管體系，引入審查機(jī)制，在組織結(jié)構(gòu)、技術(shù)支撐和人員配置上確實做到保障有力。

（四）對新形勢下信息安全管理特點(diǎn)和規(guī)律的探索研究有待深入

隨著人工智能、云計算、大數(shù)據(jù)和5G等信息技術(shù)的廣泛運(yùn)用，社交網(wǎng)絡(luò)、微博、抖音等應(yīng)用服務(wù)的發(fā)展勢頭迅猛，技術(shù)的發(fā)展深刻影響著人類社會生產(chǎn)生活，信息安全管理中哪些因素會受其影響，受影響的因素當(dāng)中哪些可控、哪些不可控，可控的如何控，不可控的又怎樣通過一定管理措施對其施加影響達(dá)到降低風(fēng)險的目的，這些問題只有通過深入研究、科學(xué)研判，才能找準(zhǔn)要害、跟上形勢、有的放矢，最終達(dá)到事半功倍的效果。

四、加強(qiáng)安全文化建設(shè)需要注意的原則和措施

（一）“人”為本

《管子·權(quán)修》中有記：“一年之計，莫如樹骨;十年之計，莫如樹木;終身之計，莫如樹人”。文化是由人所創(chuàng)造的，是對人的一種本質(zhì)規(guī)定。個人行為會受到所屬單位安全文化的影響，在濃郁的安全文化氛圍中，個人的安全理念能夠得到較好地發(fā)展和保持，安全行為就會不斷提升，而安全理念一旦滲透到每個人的靈魂深處并養(yǎng)成為一種習(xí)慣思維方式，將對其行為方式產(chǎn)生決定性指導(dǎo)作用。培育全員安全文化，牢固樹立“違章就是事故”、“1%的疏忽就會導(dǎo)致100%的失敗”的安全文化目標(biāo)，變“要我安全”為“我要安全”，可以聘請信息安全領(lǐng)域經(jīng)驗豐富的管理人員和專家學(xué)者講授安全文化知識，增強(qiáng)所屬人員的信息安全意識，提高他們安全管理的自覺性。

（二）“防”為先

《申鑒·雜言上》有記：“一曰防，二曰救，三曰戒。先其未然謂之防，發(fā)而止之謂之救，行而責(zé)之謂之戒。防為上，救次之，戒為下”?！蹲髠鳌酚杏洠骸熬影菜嘉＃紕t有備，備則無患”。安全文化建設(shè)中要突出預(yù)防為先，進(jìn)行信息安全警示教育時深入分析發(fā)生問題的原因，把事后管理變?yōu)槭虑肮芾恚瑒?chuàng)建一個信息通暢的安全文化氛圍，確保管理人員能夠及時搜集獲取各類安全管理信息。

（三）“恒”為貴

《荀子·勸學(xué)》有記：“不積跬步，無以至千里，不積小流，無以成江河”。為解決前幾年 “黑校車”安全事故頻發(fā)，各類學(xué)校集中配置了一批校車，但校車易配、安全意識難尋。同樣要解決信息安全的問題，可以通過“軟硬件升級”：硬件升級最簡單，最方便界定責(zé)任，但可能掩蓋問題的本質(zhì);而包括主管部門管理能力和全社會安全意識在內(nèi)的“軟件升級”，實現(xiàn)難度很大、需要時間更長。因此，我們必須持之以恒，以幾十年甚至上百年的格局去建設(shè)安全文化，讓安全成為每個人牢不可破的習(xí)慣，最終使國家穩(wěn)定、全民受益。

（四）“變”為優(yōu)

《孫子·虛實篇》有記：“故兵無常勢，水無常形。能因敵變化而取勝者，謂之神”。在信息安全管理中，“對同一問題通過同一種方式講一百遍”收到的效果明顯不如“對同一問題通過一百種方式講一百遍”所收到的效果好。因此，在安全文化建設(shè)中要注重科學(xué)變換方式和手段，例如有的單位為營造安全文化良好氛圍，構(gòu)建了以親情關(guān)懷促安全、安全理念鑄安全、制度法規(guī)抓安全、榮譽(yù)激勵保安全等為主題的隱形教育課程，通過公眾號、短視頻、情景劇等形式將信息安全理念潛移默化到每個人心中。

總之，當(dāng)今世界處于百年未有之大變局，我們要以高度的文化自信厚植安全文化土壤，按照“人為本、防為先、恒為貴、變?yōu)閮?yōu)”的原則筑牢安全防線，進(jìn)一步提高信息安全管理的實效性。

參考文獻(xiàn)：

[1]中國共產(chǎn)黨中央委員會.求是[M]. 北京：求是雜志社，2020（3）.

[2]International Nuclear Safety Advisory Group. Safety culture.[C]//IAEA Safety Series 75-INSAG-4.Vienna，1991.

[3]Pidgeon.Safety culture and risk management in organizations[J].Journal of Cross Cultural Psychology，1991，22（1）：129-140.

[4]戰(zhàn)俊紅，張曉輝.中國公共安全管理概論[M].北京：當(dāng)代中國出版社，2007.