摘要:本文結合當前國防科技工業(yè)信息安全的現(xiàn)狀,分析了當前信息安全管理中存在的問題,并提出安全文化在做好信息安全中的作用,建議將安全文化引入到信息安全管理中.

　　關鍵詞:信息安全 安全文化

　　安全文化這一概念是國際核安全咨詢組在《關于1986年切爾諾貝利事故的事故后會議總結報告》中引入的。安全文化概念定義是“安全文化是組織和個人所具有的特征和態(tài)度的這樣一個組合體：它保證作為首要事情的核設施的安全問題受到與其重要性相稱的重視”。安全文化必須扎根于組織中每個層次的所有個人的思想和行動中，最高層管理部門的領導至關重要。安全文化的概念在核行業(yè)中得到了普遍的接受和認可，目前已成為從事安全工作人員最重要的工作內容之一。隨著計算機信息技術的應用越來越普遍，計算機信息系統(tǒng)的安全問題越來越引起各方面的重視，安全已成為建設計算機信息系統(tǒng)首先要解決的問題，但從這些年的實踐來看，雖然各種各樣的安全解決方案和技術不斷推出，但似乎對信息系統(tǒng)安全問題的擔憂卻越來越大。問題到底出在哪里呢?本文試圖從安全文化的角度來尋求問題的答案。

　　1.問題的提出

　　我們對安全的理解往往是和威脅、風險等概念相關聯(lián)的，對信息安全的定義是這樣的：信息的機密性、完整性和可用性的保持。問題是我們靠什么來做到這一點呢?目前，普遍的認識是主要從制度、人員、產品和技術來解決信息安全問題，其中技術和產品主要有密碼、防火墻、防病毒、身份識別、網(wǎng)絡隔離、可信服務、安全服務、備份恢復、PKI技術等手段，毋庸質疑，這些手段在保障信息安全中起到了很大作用。但同時也發(fā)現(xiàn)，安全問題或安全隱患卻依然層出不窮，安全管理部門、運行維護人員疲于奔命，管理層人員的擔心不斷增加。這形成了一個奇怪的局面，一方面我們在安全方面的投入越來越大，而另一方面我們對安全的擔心卻并沒有減少。這并不意味著我們在安全上的投入是徒勞的，而是說明安全不是簡單地通過投入就可以解決的，更不是現(xiàn)有技術、產品的堆積就能達到效果的。針對這樣的局面，我們應該如何應對呢?

　　2.如何理解安全

　　探討這個問題的重要性在于你對安全采取什么態(tài)度，而你的態(tài)度將決定你的行為，或行為方式，而你的行為將對你所負責的系統(tǒng)產生關鍵影響，也就是你對安全的態(tài)度是決定你所負責的系統(tǒng)的安全狀態(tài)的最基本的要素。所以說，如何理解安全是十分重要的。從對信息安全的定義可以得出一個結論，那就是安全是一個過程，而不是一個結果，它是隨著時間的發(fā)展，隨著系統(tǒng)環(huán)境、人文環(huán)境的變化而動態(tài)變化的，某一時刻的安全，并不代表全部。另一個結論是安全是整體性的，系統(tǒng)性的，它取決于多個部分共同的努力，也就是我們常提到的木桶效應，問題是我們需要找出所有影響安全的因素，才能找到影響安全的關鍵環(huán)節(jié)，而這幾乎是很難做到的。雖然我們可以通過風險分析來彌補這方面的不足，但仍然可能忽視掉影響安全的重要因素，這就造成我們對安全的持續(xù)不斷的擔心。

　　安全的另一個特點是它是相對的，不是絕對的，這主要指兩個方面，一個是它的時間性，它可能隨著技術的發(fā)展等因素，安全與風險之間的平衡打破了，原先安全的可能變?yōu)椴话踩?另一個方面是你所能承受的損失的能力的變化，我們可稱其為可承受的損失或代價，我們一般所理解的安全是在我們所承受的損失范圍內，當你的承受能力變小或帶來的損失增大到無法承受時，安全的就可能變?yōu)椴话踩�的。所以在理解安全時，要弄清楚你所要保護的對象和所承受的損失。正確的理解是你為得到安全所付出的代價應小于你所保護對象的價值。弄清楚了這一點，對于你準備在安全上要投入多少，就有一個比較容易衡量的方法了。

　　3.信息安全的現(xiàn)狀

　　隨著信息技術的發(fā)展，信息技術給人們帶來方便的同時，也同時帶來了隱患，病毒、后門、惡意攻擊等花樣翻新的手段給信息系統(tǒng)的正常使用帶來了很大威脅。人們?yōu)榉婪哆@些風險，開發(fā)了一系列的工具，防病毒軟件、防火墻、入侵檢測，還有其它的工具。針對國防涉密系統(tǒng)，比較有效的手段主要是物理隔離、加密、訪問控制、身份認證等措施。似乎我們已經(jīng)有了很多的手段來對付各種威脅，但仔細分析就可以看出來，這些手段的有效實施，離不開一個重要因素——人，而且防范的對象主要是人，人的作用在整個防范體系中既是核心又是最大的缺陷。我們都清楚，內網(wǎng)主要是防內，即所謂70%的威脅來自內部，這些人具有合法的身份，但卻可能做非法的事情，由于人的不確定性，這使得防范工作十分困難，如果對人的控制十分嚴厲，將不可避免地帶來工作效率的降低，這和信息系統(tǒng)便于工作的初衷相違背或至少抵消了一部分信息系統(tǒng)建設所帶來的便利性。

　　目前各種防范手段很多，但往往是針對某一種或某幾中威脅來建立的，甚至某一種工具都有眾多的方法和品牌，而且各種防范手段之間缺少相互的關聯(lián)，這就好比我們要建立一條完整的防線，但各部隊之間卻沒有配合，更不用說它們之間可能還存在沖突，這種結果使得我們建立的防線存在很多漏洞，我們防御的做法仍然停留在被動的局面上。

　　這使得我們不得不思考一個問題，針對國防信息系統(tǒng)如何建立我們的安全機制呢?如何才能做到萬無一失呢?

　　4.安全文化的引入

　　信息系統(tǒng)的安全雖然有其特殊性，但與其它安全管理相比也有很多共同性，如消防安全、交通安全、生產安全、核安全。它們所管理的對象雖然不同，但其內部基理卻有相通之處，這讓我們思考是否可以借用其成功的經(jīng)驗用于信息安全的管理呢?安全文化概念的引入對做好核安全工作起到了巨大的作用，這也是人類經(jīng)歷了慘痛的教訓后得出的，目前已在核工業(yè)得到了普遍的接受。

　　安全文化(safety culture)也有翻譯為安全素養(yǎng)的，它強調的是在實踐中從上至下全員的安全意識和行為，即各個不同層次的人員、組織都應履行其安全職責。這里特別提出的是，安全不再是某個人、某個組織的責任，而是全體人員、組織，它強調的是整體的作用。簡單闡述一下，即國家一層應制定相應的政策、方針，監(jiān)督、管理機關應根據(jù)國家政策制定響應法規(guī)、法律、技術文件、導則、規(guī)范，組織應有響應的程序、細則來保證執(zhí)行，個人應有良好的行為和態(tài)度。在為達到安全目標這間工作上，雖然各級組織的職責不同，但應有一個共同的目標，即達到安全的目的。這一點是非常重要的，這使得監(jiān)管和被監(jiān)管的雙方可以為一個共同目標來付出努力，從而使雙方有一個良好的態(tài)度來對待工作。

　　從組織和個人對安全的態(tài)度來看，可簡單地分三個階段，第一階段是認為安全就是遵從法律、法規(guī)的約束，只要實踐了這些法律、法規(guī)就可以了，這個時候安全是靠外部約束來達到目標的，還處于被動階段;第二階段是組織將安全作為組織目標之一，即安全已成為組織自覺努力的方向，這個時候安全已成為組織工作的方向，即使沒有外部約束，它仍要努力達到;第三個階段是人為安全總是可以不斷改進的，這一階段組織已將安全作為持續(xù)改進的工作，這使得安全工作進入到一個良性循環(huán)中，隨著工作不斷、自覺的得到改進。

　　對照信息系統(tǒng)安全的現(xiàn)狀可以看到，目前信息系統(tǒng)的安全工作還主要集中在信息部門和監(jiān)管部門，這使得我們的認識還停留在初級階段，這也是為什么安全工作難做的重要原因，信息部門和監(jiān)管部門的力量畢竟是有限的，如果得不到全員的支持，安全工作很難做的好。另一個現(xiàn)象可以看到，我們的信息安全還大部分停留在遵從法規(guī)和產品堆積階段，法規(guī)要求要有這個產品，就采購一個，還不是從整體分析基礎來建立安全體系，這種被動建立的安全是脆弱的、不連貫的，往往是錢花了，效果不好。因此，盡快將信息安全作為組織目標之一得到各級的認可，是做好信息安全非常重要的環(huán)節(jié)。

　　個人和組織對安全的態(tài)度在整個安全體系中發(fā)揮著重要作用，這方面給我們兩點啟示，一個是決不能忽視個人對安全的貢獻，片面的通過對個人的控制，而不是正面地激勵其對安全的貢獻，是做信息安全的一個誤區(qū);二是不能過分依賴人的可靠性，要考慮到人因素的不確定性，安全系統(tǒng)在涉及時就應該考慮到人因可能帶來的后果，系統(tǒng)應能包容人因出差錯所帶來的損失。以上兩點是相輔相成的，是一個事件的兩個方面。

　　安全文化的概念還有很多方面可以在國防信息系統(tǒng)安全管理中引用，觸類旁通是我們做好安全工作的一個基本原則。