实现对上网人员的有效管理

   当谈起人在网络安全中的作用时，邬江兴院士特别强调，信息网络安全最关键、最核心的因素是人，网络堡垒最容易从内部攻克，实现对人员的有效管理、提高官兵的信息素养，是当务之急、重中之重。

    大部分失泄密来自于内部人员

    记者：最近国内的几次信息安全事件，如亚信的电信方案被盗版，华为与美国思科及上海沪科的知识产权诉讼案，其关键问题不是出在技术防范上而是出在人员管理上，您如何看待这一问题？

    邬江兴院士（以下简称邬院士）：有效的信息安全体系由三部分组成——人员与管理、技术与产品、过程与体系。其中，制度建设是根本，技术防范是保障，人员管理是核心。堡垒最容易从内部攻克。据国外统计，外部入侵事件只占失泄密事件的20%~30%，而70%~80%的失泄密事件来自于内部。人为的信息泄密，可以分为被动泄密和主动泄密。被动泄密可以通过教育、制度、检查等传统方法进行有效管理，而主动泄密却隐蔽性更强、破坏性更大，是典型的间谍行为。

    对人的有效管理是最复杂的问题

    记者：网络的最大特点是开放性、连通性和无差异性，在这样一个虚拟空间上，实现对人的有效管理是一个复杂问题，请您谈一谈对此需要关注哪些方面？

    邬院士：主要应该关注三个因素：一是信息容易管理而意识很难管理。按照要求，使用与互联网或安全管理体系禁止连接的计算机处理涉密信息是违反规定的，但是通过互联网查阅信息、获取知识却不属于违规行为。互联网之父有一句名言：“互联网的神奇就在于可以让你联通全世界，互联网的梦魇也在于全世界可以联接你。”在互联网创造的虚拟世界里，借助技术手段，点对点地监控某一个特定人的行为，通过汇总某个人经常浏览什么网页、查找什么信息、点击什么网站，了解其立场观点、判定个人身份等已不是什么天方夜谭。即使要准确推论某人正在从事的工作性质、工作进度、工作内容等也没有不可跨越的门槛，互联网使得隐性的秘密显性化，也使得人们的自主意识管理陷入多维化与多重化困境。

    二是密级容易管理而信息融合很难管理。使用信息的过程中必然能够产生新信息。同样，使用、发布非涉密信息也能够通过信息融合汇聚为秘密信息。由于网络联通和覆盖的程度不断加深，一些重要人员、重点岗位逐步透明。在传统技术手段下，实现对特定人员、目标的信息汇总比较困难，而在网络时代只需要利用普通的搜索引擎就可以实现。一些信息孤立的存在并不涉密，而把这些公开的信息关联起来，进行综合分析、研判就能够在融合中获取涉密信息。

    三是“自己人”容易管理而“身边人”很难管理。比如，现在互联网上推出的“谷歌地球”软件，由于开发了“地标”功能，和其他国家军事设施一样，我军许多重要单位的位置坐标、编制序列、任务职能等敏感信息都被“好事者”标识出来。据调查，这类信息大都由一些“身边人”、“好事者”完成的，他们可能是军人的家属、朋友、驻地的服务业人员，或者是非常关注军队建设的“发烧友”等等。通过这种“众人”标识行为，把过去需要专门情报人员通过几年时间才能得到的军事秘密，现在通过“好事者”的“你一言、我一语”就能轻易获取，以社区论坛、个人博客等合法方式公布所谓的“内部消息”、“小道消息”，正在成为信息泄密的重要渠道。

    提高全时全维全天候管理能力

    记者：信息安全威胁无处不在、无时不在，如何才能实现对人员的有效管理，始终做到警钟长鸣？

    邬院士：毋庸置疑，信息技术的飞速发展，从意识、文化、心理、道德、习惯等多个方面正在改变人们的生活方式。在享受信息网络给我们带来方便、快捷的同时，必须要高度关注网络对个人隐私、公共机密等重要信息的严重威胁。作为信息系统中最核心、最基础的人，其思想认识、行为方式、个体素质必须随着信息技术的发展而不断提高、同步升级，否则就会造成损失，小则损害个人利益、侵犯个人隐私，大则危害国家和军队安全。目前我们应该重点做好以下四点：

    更新保密观念。我们在牢固树立“对党忠诚、严守机密”、“保密就是保打赢，保密就是保战斗力”、“保守机密、慎之又慎”的基础上，还要从思想上主动预防被动泄密、无意泄密，从我做起、从现在做起、从点滴做起，不但做到“不该看的不看”、“不该听的不听”、守口如瓶，还需要做到“不该点的不点、不该上的不上、不该下的不下”，保证自己不成为“跳板”和“后门”。

    克服心理惯性。安全与快捷是一对矛盾。过去我们习惯于互联网的行为方式，习惯于自由的“网络冲浪”，习惯于使用U盘即插即用。随着信息安全威胁的升级，这些原有的基于提高个体效率的“习惯”将被抛弃或禁止。严格的安全机制可能会在一段时间内给工作、生活带来不便，但是从长远看，则是解决信息安全的必由之路。习惯成自然，学会“带着锁链跳舞”，就会获得理性的自由。

    提高信息素养。信息化呼唤高素质的新型军事人才，信息素养是高素质的重要内涵和基本支撑。信息素养既包括信息获取、传输、控制等应用能力，也包括信息防护、预警、判别等安全能力。各级应当把提高官兵的信息安全能力和应用能力放在同一个高度加以重视，加强保密知识和技能的普及教育，把安全技能培养、考核作为学历教育和任职培训的重要内容，切实提升官兵的保密能力。

    注重慎独慎微。作为组织层面，应该有全时、全维、全天候管理能力，不但要管住8小时以内，还应该关注8小时以外；不但要加强在线监管，还应该加强离线管理；不但要管住“自己人”，还应该管住“身边人”。作为个体层面，应该坚决防止侥幸心理、随意心理，不以“偶尔一次未必能盯上我”来开脱自己，不以“不是我一个”来原谅自己，不以“一点小事无所谓”来放纵自己，始终做到严守机密、严于律己。