朱旭宇

　　《军事论坛》围绕信息安全问题发表过多篇文章，读后颇受启发。确实，信息网络在给人们带来无穷无尽的信息资源的同时，也对传统的安全观提出了挑战。

　　在信息化战争的激烈对抗中，信息网络必然是敌方精确打击和信息攻击的首要目标 。信息攻击，已分不出战时与平时，且手段更具多样化。比如，计算机病毒攻击，外军已经研制出具有超强破坏能力的计算机病毒、芯片病毒固化技术和计算机病毒无线输送装备，正在研究以无线电方式、卫星辐射注入方式，将病毒植入计算机或各类传感器、网桥中，其危害之大，不言而喻。同时，外军的黑客攻击行为也向组织化、军事化发展，一些国家不但成立了专门的信息作战部队，而且还在国内外招聘了大量黑客，主要用于攻击信息网络。另外，用于主动攻击的网络入侵技术手段也向综合化、复杂化发展，快速寻找网络漏洞，通过网络连接安全薄弱部件，对信息网络进行破坏的能力不断提高。在信息对抗“不对称”条件下，落后一方的信息网络会出现防护失效、性能降低等问题，使指挥员做出不当决策、甚至被剥夺指挥权、打乱作战体系。

　　面对无孔不入、无时不在的信息安全压力，作为正在转型或处于转型起步阶段的军队，必须正视这一战略问题，清醒地认识到信息网络建设的迫切性与风险性同在，信息安全的潜伏威胁与新生危险并存。如果在信息安全领域还采取传统的单一或简单的被动信息防护手段，就很有可能在对抗中无密可保、不战自败。因此，信息网络安全，已成为军队信息化建设应当考虑的首要问题。

　　信息安全也要确立积极防护策略。所谓积极防护，是相对于过去的静态被动防护手段而言的，是针对目前军用信息安全基础相对薄弱、技术相对落后的情况下，采取“建防同步、动静结合、人机一体”的方法，对信息安全进行全时空、全领域、全过程的防护，使信息系统建设伊始，就处于一种有效的信息安全防护之中，进而为信息对抗中争取主动创造条件。“建防同步”，就是在信息系统的建设过程中，同步考虑信息安全问题，同步进行相应的信息安全建设；“动静结合”，就是将动态的网络监控、探测手段与静态的物理隔离、加卡设墙等措施相结合；“人机一体”，就是将信息安全的人工管理与计算机智能管理有机融为一体。实施积极防护策略，应注重把握以下几点：

　　一、信息安全防护与信息系统建设同步，加强信息网络全过程、全寿命安全保障。世界各国军队在进行信息网络建设时，都很重视信息安全方面的投入，为信息安全提供充足的资金保障。比如，美军规定，信息网络安全建设的费用不能低于整个系统项目总费用的10%，在美军全球信息网格(GIG)建设中，确立了8个涉及信息安全的项目，计划5年内投资2亿元用于GIG的安全政策与开发相应产品。美军强调，在信息系统建设的全过程，都应当高度重视信息安全，按照统一的技术标准和运行机制，将信息安全防护问题与信息系统建设同步设计、同步实施、同步验收，有效地消除信息安全隐患，使信息系统能够经受各类攻击手段的软杀伤。另外，他们还强调，根据信息网络的不断发展和信息安全技术手段的逐渐提高，及时升级完善相应的信息安全防范措施。

　　二、在关键信息安全技术和产品领域取得突破，从根本上解决信息网络防护能力弱的问题。发达国家在信息技术、网络语言和标准规范方面的优势，基本垄断了信息安全领域的技术和产品。对于信息弱势国家而言，全面提高信息网络安全的防范技术比较困难，应当注重从解决信息网络安全的关键问题入手，开发具有独立自主知识产权的信息安全技术和产品。一方面，破除“以封闭堵截保安全、关起门来搞信息化”的简单化思维，注重加强国际合作，因势利导，打破垄断，学习发达国家先进的技术和经验，为创新性信息安全技术开发奠定基础。另一方面，还要利用后发优势，采取整合信息安全技术研发力量，加大科研开发投入等方法，重点在开发密码技术和产品、防御信息攻击技术和产品、计算机网络安全保护技术和产品、信息网络攻击技术和产品等关键领域取得突破。通过研发使用自主的信息安全技术和网络产品，提高信息系统的安全防护能力，发现弥补隐患和缺陷能力，应急事件处理能力，以及信息对抗能力，构建稳固的信息安全屏障。

　　三、加强信息安全方面的人才队伍建设，形成稳定、可靠的高素质信息安全人才群体。据统计，在发生的信息安全事件中，超过90%的事件牵涉到信息安全系统内部人员。因此，解决信息安全问题，特别是在未来对抗条件下的信息网络安全问题，应当把人作为信息安全的核心因素。一是加强对整个信息流程人员的安全教育和管理，采取行之有效的方式，使信息链条上的各级、各类人员，尤其是涉及到关键性信息秘密的人员，充分认识信息安全的重要性，从维护国家、军队利益的大局需要出发，提高信息防范意识，自觉地维护信息安全。二是注重提高信息安全领域专职人员的信息防护能力，组织高强度的实战训练，提高信息安全人员的应用技能和实战能力。

　　四、加强信息安全防护体系建设，建立平战结合、技管一体、综合完善的多层次、多级别、多手段信息安全机制。信息安全防护体系建设，主要包括信息安全领导管理体系、法律制度体系、技术标准体系、安全评估验收体系等。建立完善信息安全防护体系，有利于形成管理严格、防护严密、反应快速、运行高效的信息安全防护机制，使信息网络能够提供不间断的及时、完整、可靠、保密和隐蔽的信息服务能力。即使敌方有机会攻破网络防护的若干层或者若干类的措施，但无法破坏信息网络的整体安全，进而为最终实现信息优势和决策优势创造有力条件。