摘要：本文阐述了在信息全球化的时代背景下，做好我国信息安全保密管理工作所具有的重要意义，提出我国国防科技工业信息安全保密管理工作中存在的问题，以及如何使用信息安全风险评估方法和强化管理来做好新时期国防科技工业的信息安全保密管理工作。
    关键词：信息安全 风险评估 保密管理 
    随着计算机和通讯技术的迅速发展，全球信息化的不断推进和因特网的普及，信息化呈现加快发展的趋势，信息安全保密问题日益突出，已成为事关国家安全、经济建设、社会发展和军事斗争的重大战略问题。没有信息安全保密作为免疫系统,就不能保证信息的有效性,无法使信息有效地转化成生产力、战斗力。面对网络窃密和攻击、病毒侵袭和人为破坏，进一步健全管理制度，提高保密技术防范能力，对推动信息安全保密工作的发展，维护国家安全和社会稳定起着重要的作用。如何适应信息化发展的需要，做好国防科技工业信息安全与保密管理工作，积极推进国防科技工业信息化的建设发展，是我国国防科技工业面临的严峻考验和亟待解决的问题。 
    作者简介: 吴义忠(1974),女,安徽省青阳县,助理研究员,硕士,主要研究方向:思想政治教育
               杨友文(1974),男,安徽省滁州市，副教授,博士,主要研究方向:纳米材料
               汪国林(1974),男,重庆市渝北区,讲师,硕士,主要研究方向:检测技术和自动装置
 
    1. 我国国防科技工业信息安全保密管理工作中存在的问题
    在我国，保密工作有着优良的传统，江泽民同志说“革命战争年代，保密就是保生存，保胜利。和平建设时期，保密就是保安全，保发展。”经过长期信息安全保密工作的实践，我国已经建立了较完整的保密工作机制和保密管理制度，培养了一支素质较好的保密人员队伍，积累了丰富的保密工作经验。但是，伴随着现代通信技术的发展和国防科技工业事业的迅速发展，我们的信息安全保密工作也存在着明显的不足：
    1.1 保密工作机制缺乏规范
    目前，我国国防科技工业信息安全保密管理工作的机制不够健全。在部分单位存在着没有专门的保密工作机构或机构挂靠在办公室或保卫部门之中、没有专职的保密工作人员、保密工作经费不能充分保障的问题。许多单位没有系统的定密、变密、解密标准，定密、变密、解密程序。定密时，有高有低，重点不够突出，覆盖面不全。有的涉密人员对本岗位的秘密事项的数量和密级不明确。一些涉密人员网络安全保密意识淡薄，缺乏计算机网络安全保密基本常识。单位内部人员,包括所有能进入信息系统的操作人员、编程人员、维护人员、网络管理人员和用户等,如果思想麻痹大意,或安全保密意识不强或操作技术不熟练,或违反安全保密规定和操作规程,都可能造成国防科技工业重要信息的泄密。
    1.2 网络信息安全保密存在漏洞 
    有些单位在网络信息安全保密上不够重视，网络信息安全保密上存在的漏洞包括：(1)一些单位对涉密网络没有采取有效的防范措施，系统共享情况比较普遍，缺乏有效的访问权控制，对内不设防的状况还比较多。(2)有一些涉密单位仍然一机多用，有的直接在互联网上办工，对涉密的移动硬盘、光盘、软盘、U盘等涉密介质疏于管理。（3）对于淘汰、更换或改变用途的涉密计算机缺乏有效的技术处理等等，这些都极容易造成国防科技工业秘密信息的外流。
    1.3 外围环境安全管理存在隐患
    从保密角度考虑，军品科研生产活动应有一个相对独立的外部环境。但随着对外经济交流日益频繁，涉外工作也越来越多，这也为各单位保密工作增添了许多新的难题：如涉密的科技人才的流动、工作环境的混杂交错等都给我们的保密工作带来了很多隐患。当然，军工单位不可能只与军品管理部门接触，必然还要与其他部门打交道。军工资产上市，军工企业破产、兼并重组，中介机构到企业查账、审计等，其军工的特殊性考虑较少。在军品科研生产项目的立项、科研等一直到建成后的经费审计等各环节不得不将有些秘密事项提供给这些单位和部门，从而扩大了知悉范围，增加了保密工作的难度。
    2 国防科技工业信息安全保密管理的风险评估
    风险是指遭受损害或者损失的可能性，是实现一个事件不想要的负面结果的潜在因素，在信息安全中，风险特指被特定安全威胁利用的资产的一种或一组脆弱点导致资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果对结合。信息安全风险评估是指依据有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。随着国防科技工业信息系统安全问题的不断加剧，人们已逐渐意识到国防科技工业信息系统安全问题的解决应涉及到法规、管理、标准、技术等方面，任何单一层次的安全措施都不可能提供真正的全方位的安全。因此，国防科技工业信息系统安全问题的解决应该站在系统工程的角度来考虑。在这项系统工程中，对信息系统安全评估占有重要的地位，它是信息系统安全的基础和前提，对确保信息安全保密具有重要的作用。信息安全风险评估的目的是认清当前的信息安全环境,全面、准确地了解组织机构的信息安全现状,发现系统的安全问题及其可能存在的危害,分析网络信息系统的安全需求,通过合理的步骤,制定出适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。
    2.1 国防科技工业信息安全保密管理的风险评估的作用
    信息安全风险评估是信息安全建设的起点和基础。信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性和可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移等方面之间做出决策的过程。具体来说,国防科技工业信息安全风险评估的作用可以分为以下三个方面:(1)国防科技工业信息安全风险评估是保障国防科技工业信息系统安全的基础性工作,也是观察过程的一个持续性的工作。(2)信息安全风险评估是分级防护和突出重点的具体体现。实现等级保护的关键在于要突出重点,把握要害部位,再进行分级负责,分层实施。(3)加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求。
    2.2 国防科技工业信息安全保密管理的风险评估实施步骤
    国防科技工业信息保密系统风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。实际操作中可分为六个步骤：(1)确立评估对象：明确国防科技工业中的涉密信息系统软硬件资产、数据和信息、人员和系统使命等，给出系统功能、边界、关键资产和敏感资产，确立评估范围并提请报批。(2)评估准备：按国防科技工业保密要求制定评估计划，确定评估程序，选择合适的评估方法和工具，组建涉密系统小组，进行分工，监督审查评估活动。(3)风险识别：识别评估范围里的关键资产与一般资产，分别执行详细评估或基线评估等不同的评估方法;识别运行环境威胁，进行分类整理；识别资产自身存在的脆弱性；识别现有安全措施(包括管理措施和技术措施)。(4)风险分析：结合资产的属性，分析脆弱性被威胁利用的可能性及后果。分析现有安全措施的有效性与合理性。风险分析中侧重泄密风险的分析。(5)风险评估：评价分析结果，结合专家组意见，给出风险评估报告及相关推荐措施，形成风险评估报告，上报涉密系统小组监督审查委员会。(6)风险控制：风险评估报告通过审批后，按批示要求采取有效措施，转移、规避或降低风险，使系统中的风险得到有效控制。整个评估流程中，风险的识别和计算可以采用定量分析与定性相结合的风险评估方法。
    3 强化对国防科技工业信息安全保密管理
    时代的发展需要管理，我们要做好对国防科技工业信息安全保密管理的风险评估基础工作，并依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险，做好信息安全保密管理工作:
    3.1 强化信息安全保密管理法规和制度建设
    为进一步加强对信息安全保密管理工作，切实加强信息安全保密工作，国家保密局加强了对信息安全保密工作的指导、监督和检查，制定并发布了一系列规章和标准。依据《保密法》制定了一系列的保密法规和规章，如《关于加强信息安全保障工作中保密管理的若干意见》、《涉密信息系统分级保护管理办法》、《涉密信息系统分级保护技术要求》、《信息系统保密管理规定》、《电子政务的保密管理指南》等等关于信息安全保密管理方面的法规和制度。国防科技工业信息安全保密管理工作不仅要严格按照国家关于保密方面的法律、法规和制度进行外，对涉密的军工项目还要遵照《武器装备科研生产许可管理条例》等条例法规，同时，国防科技工业的科研生产单位还应该结合本部门的实际情况制定相应的措施，使国防科技工业信息安全保密管理工作有法可依，有章可循。
    3.2 强化对信息安全保密系统的管理
    针对国防科技工业信息系统的场所隐患，信息安全保密系统管理需要建立物理屏障。用以保护信息系统安全的物理环境、建筑物以及对信息安全威胁最大的电力故障和火灾。针对信息系统安全保密过程中的设备、通信以及软件的安全隐患，我们必须根据风险产生的特点和安全目标要求而采取相应的安全机制、技术措施和专用设备。比如防火墙技术可以保护内部网免受非法用户的入侵，数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析采用的主要技术手段之一。网络入侵检测系统对检测网络流量和异常行为，发现网络攻击入侵报警方面发挥着重要的作用。智能卡技术是授权用户所持有并由该用户赋予它一个口令或密码，只有该密码与内部网络服务器上注册的密码一致时才能开启，其对涉密信息系统具有一定的保密性。当然，要想更好的实现对信息系统安全保密管理，除应用已有的一些专业技术外，新技术的不断研究和发展也是信息系统安全的重要保证。
    3.3 强化对国防科技工业涉密项目单位和涉密人员的管理
    在采取以上措施的基础上，还要加强对国防科技工业军工项目实现严格的准入制度以及对国防科技工业涉密项目和涉密人员的管理。（1）对涉密单位的管理。对涉密单位的计算机系统的保密要按照《中华人民共和国计算机信息系统保密管理规定》制定本单位的管理制度，做到“涉密不上网，上网不涉密”。对计算机产生的磁光介质秘密载体，要建立档案。当涉密单位进行对外经济活动时也必须要做好保密工作，与一些业务单位发生联系可按照保密有关规定，与其签订责任状明确保密责任，对秘密的有关情况进行详细的记录，加强管理。此外，还要加强保密工作的基础管理工作，定密工作、开拓保密工作管理领域 ,完善重要部门、重点部位的保密工作，要健全组织机构和专兼人员 ,严格规范。强制性管理工作。（2）对涉密人员的管理。 
    对涉密人员要加大对保密工作知识的宣传培训力度 ,更新观念 ,增强适应新形势需要的保密意识。要对涉密人员进行信息网络系统方面的专业知识的培训，让他们了解信息网络系统的一些基础知识，网络信息系统的一些缺陷和泄密点，掌握一些基本的计算机防御技术。使人们对保密工作的思想认识跟上时代步伐 ,树立与改革开放和建立社会主义市场体制相适应的科学的保密观念。加强督查 ,落实保密工作法规、制度、责任 ,查处泄密事件 ,总结经验教训。重点加强对涉密人员和科研人员进行流动的管理 ,如签定保密协议终身制 ,加强离岗、离职、出境的教育和管理 ,通过制定行业公约进行约束等。
    信息安全的保密管理与风险评估是相辅相成，把这两种方式相结合，将会使国防科技工业的保密管理工作与我国社会主义现代化发展的新形势相适应。将我国国防科技工业泄密的风险降至最低点，在我国的国防科技工业的建设中起到“保安全,保发展”的作用。
参考文献
    [1]吕晓霞等.新形势下信息安全保密工作的几点设想.[J]情报杂志,2004(6)：121-122
    [2]刘剑英等.河北省国防科技工业保密工作的形势与对策. [J]国防科技工业军工论坛,2002(12)：31-33
    [3]宋晓莉等.信息安全风险评估方法研究. [J]网络安全技术应用,2006(12)：67-69
    [4]陈光等.信息系统安全风险评估研究. [J网络安全技术应用,2004(7)：62-64
    [5]赵兴利等.信息安全保密系统与信息系统建设的协调发展. [J]信息安全与通信保密,2005(6)：24-27
    [6]丛飞.要加强信息安全保密管理工作. [J]信息安全与通信保密,2004(11)：6-7
    [7]刘玉林.涉密信息系统风险评估与安全测评实施. [J]信息安全与通信保密,2007：142-144
    [8]梁晓燕.信息安全保密中信息泄密途径及其防护. [J]微计算机研究, 2004(4)：407-410
    [9]付沙.信息安全风险评估的研究. [J]科学技术与工程,2007(10)：2351-2353
    [10]贾颖禾.信息安全风险评估.[J]网络安全技术与应用,2004(7):16-17
 

(责任编辑：)