杨振英 万秋一

广东省珠海市75406部队 广东 519000

0 引言

随着军队信息化程度的不断提高，信息技术正深刻的影响着军队的工作方式、作战方式乃至整个军队的结构，军队工作和作战已严重依赖并越来越依赖于信息技术，由其在现代战争条件下，交战双方谁夺取了信息优势，谁就掌握了战场上的主动权，同时也拥有了无可比拟的优势，可以说，信息技术将在未来战争中扮演非常重要的角色。与此同时，信息安全问题日益严峻，也带来了安全隐患和威胁，这些隐患和威胁直接关系到军队的安全，影响着战争的胜负天秤。然而，现阶段军队不少人员存在着信息安全意识不足或缺乏信息安全培训等安全隐患，近几年，不少信息安全专家不约而同地提出了缺乏安全意识正在成为黑客突破安全防护时，最大也最难修补的漏洞。因此，加强对军队人员信息安全素养进行评价，让广大军队人员认识到自身信息安全素养的现状，并有效提升其信息安全素养是亟待解决的重要问题。

1 军队信息安全威胁分析

威胁就是以某种方式可能对系统造成损害的环境或潜在事件，其表现可以是实际的攻击行为。不同的信息安全威胁的存在及其危害是随环境而变化的，从信息攻击的方式看，威胁主要有信息截获、信息修改、信息中断及信息伪造(图1)。一种技术。如电磁截获、搭线窃听、信息流分析等。

信息修改：第三方对通信双方的信息进行修改传输的一种技术。如修改、删除数据或文件、部分数据丢失等。

信息中断：第三方切断通信双方信息交互的一种技术。如硬件毁坏、线路切断、信息流阻塞、病毒破坏等。

信息伪造：第三方假冒通信双方中的一方给另一方发送信息。如假冒我方授权用户发送信息等。

图1 信息安全攻击方式

1 军队信息安全目标分析

军队信息安全技术都是为了保护军队泄密信息，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。

保密性：指未授权的用户不能够获取敏感信息。对计算机及网络环境中的信息，我们不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄露。

完整性：指防止信息被未经授权的篡改。它是保护信息保持原始的状态。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。

可用性：指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。

可控性：指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。

不可否认性：指在网络环境中，信息交换的双方不能否认其在交换过程中的各种操作或行为。

上述五个信息安全目标中，保密性、完整性和可用性主要强调对非授权主体的控制。信息安全的可控性和不可否认性主要强调授权用户只能在授权范围内进行合法的访问，并对其行为进行监督和审查，通过对授权主体的控制，实现对保密性、完整性和可用性的有效补充。

2 军队人员信息安全素养的内涵

打赢信息化战争和遂行非战争军事行动都对军队人员信息安全素养提出了较高的要求。军队人员信息安全素养是指在信息化、网络化环境下，军队人员对信息安全的认识，以及对信息安全所表现出的各种综合能力，包括信息安全意识、信息安全知识、信息安全能力等具体内容。它是信息社会中信息素养的重要组成部分，已成为信息战、电子战条件下军队生存立足的重要条件。信息安全意识是指军队人员能够认识到信息安全在工作、生活和作战中的重要性，对信息安全有一定的敏感性和洞察力，要了解信息安全对军队建设和作战的重要意义、熟记军队对信息安全方面的规定和要求等内容。信息安全知识是指军队人员熟悉信息安全的基本概念和基本理论框架，了解传统和最新的信息安全威胁及信息保护技术基础知识等内容。信息安全能力是指军队人员处理各种信息安全威胁的能力，如能够正确设置密码确保信息的私密性、能够防范计算机木马和病毒等恶意攻击等问题。信息安全素养与计算机素养有所不同，后者主要指个人使用计算机所需要的各种基础知识。另外信息安全素养的养成是长期“修习”的结果，并非天生就有，也不能一朝一夕就形成。信息安全素养的形成有一个程度变化的过程，即从低到高逐步发展的过程。

3 军队人员安全素养评价的原则

从根本上说，评价是评定价值的简称，是一种价值判断活动，通常通过详细、仔细的研究和评估，评价的过程是一个对评价对象的判断过程，同时也是一个综合计算、观察和咨询等方法的一个复合分析过程。由此可见，评价是一个非常复杂的过程。它本质上是一个判断的处理过程。指标是指衡量目标的单位或方法，就是将抽象的、难以测量的社会概念翻译成可以考察、分析的操作性术语。对军队人员信息安全素养的评价是对军队人员在面临信息安全问题时的应用能力的价值判断，其所对应的指标体系就是要将评价目标中定性的难以测量的部分进行量化、细化，把抽象的、原则性的目标具体化、可操作化，使评价能够更加准确更加容易的进行。所以，需要按照一定的评价原则来对规范评价，在此，本文选定以下几条原则进行规范。

科学性原则：是评价要以科学思想为指导，以事实为依据。任何评价体系都应该建立在一定的理论基础之上，科学性是构建评价体系最基本的原则。军队人员信息安全素养评价指标体系框架及各级指标的确定应该由强有力的信息安全理论以及学科教育标准作为支撑，应严格从信息安全素养的概念内涵出发，遵照科学性原则，客观真实地揭示影响军队人员信息安全素养的各个环节。

可操作性原则：评价指标体系要简便易行，能直接测量，具有良好的可操作性。在描述指标时应多考虑非信息安全专业人士的视角，不要制定空洞而不好理解的指标，尽可能多地通过实例或简单易懂的语言将指标说明清楚。

导向性原则：是指组织的指导性或方向性，即使事情向某个方面发展的特性。军队人员信息安全素养评价指标体系不仅要能够反映军队在信息安全领域的最新新趋，还要导引军队人员自觉培养信息安全素养，提高自身信息安全能力。

前瞻性原则：由于信息安全素养是在不断变化的，不同的时期其内涵和外延也不同，因此所构建的指标体系必须具有一定的前瞻性，不仅适用于现阶段，还能适应未来的发展方面，有一定的拓展性。

4 军队人员信息安全素养评价指标体系的构建

信息安全素养评价指标体系的构建需要结合信息安全素养标准，按照一定的构建思想，将总体目标层层分解。目前，国内外处理类似问题的方法很多，国际上主要运用过程结构法来处理类似问题，国内则使用目标描述法较为常见。以信息安全素养为例，过程结构法是在仔细了解信息安全素养概念之后，按照信息安全需要、信息安全知识储备、信息安全应对处理方法等一系列完整的信息安全行为过程，很多环节组成信息安全行为的整个过程，各个环节密不可分。信息安全素养的完整内涵就是同这些环节对信息主体在各方面的要求所构成的，此种方法具有稳定的内容结构和秩序结构，可以稳定而全面的推导出信息素养内涵，但该方法不能将信息安全意识等因素融入到某一具体过程，只能一一列出。目标描述法是对信息安全素养的高度抽象和概括，是信息时代对人们信息安全素养要求的总体表达。该方法符合中国人的高度概括思维习惯，表达比较简洁，但却存在着描述方法可操作性不强，每一层次包含的具体内容不够清晰等问题。

常用的两种方法各有特点，尽管他们思路不同，但都有着相同的认识对象，两者在很多方面具有相互对应关系，在本质上可以统一起来。因此可将这两种方法结合起来构成过程-目标结构体系，该体系以信息安全素养的目标为核心，在信息安全行为的整个过程中体现出信息安全素养的目标，能更好地展示出信息安全素养的内涵。本文以过程-目标结构法为基础，分层次对军队信息安全素养评价指标进行构建，力求在考虑军队实际的同时全面的反映出信息安全素养的内涵，为了简化分析过程，本文只构建二级指标体系，只做定性分析。具体如图2所示。本文所提出的安全素养评价指标体系由目标导、准则层、量化层三个层次组成，其中目标层为最终目标，量化层为军队人员提出了各种核心指标，准则层则对量化层各项指标进行了必要的分类。该体系能够较为全面地反映军队人员信息安全素养应该包含的各项能力。

图2 军队人员信息安全素养评价指标体系

5 结论

信息安全是军队新世纪新阶段必须面临的一个重大问题，这个问题如果处理不好，将影响到军队的战斗力，更危险的是将导致一场战争的失利，严重威胁到军队和国家的根本利益。再好的信息安全装备和信息安全技术也都是以人为本，任何装备和技术没有人去应用都是毫无作用的，因此，必须要加强军队人员信息安全素养的教育和培训。本文在分析了信息安全所面临的攻击手段和信息安全目标后结合信息安全的评价原则，运用-目标结构法构建了军队人员信息安全素养评价指标体系，定性的分析了军队人员应具有的各种信息安全素养，一定程度上帮助建立了信息安全素养教育的内容。由于时间关系，本文并没有分析各种指标的定量问题，这是下一定要努力研究的方向。

[1]曹锐,孙厚钊.军队信息安全保密防线的探讨[J].网络安全技术与应用.2006.

[2]宁章.计算机及网络安全与防护基础[M].北京航空航天大学出版社.1999.

[3]郭振民等.我国信息安全面临的形势与发展策略的思考[J].微电子学与计算机.2002.

[4]孙厚钊.军队信息安全保密浅探[J].安徽电子信息职业技术学学报.2004.

[5]周孟雷.江泽民国防科研和武器装备建设思想研究[J].中共云南省委学校学报.2008.

[6]张琼,孙论强.中国信息安全战略研究[M].北京人民公安大学出版社.2007.

[7]蒋莉,杨培静,欧美国家如何培养网络安全意识[J].中国教育网络.2008.

[8]DREVIN,KRUGER,STEYN.Value-focusef assessment of ICT security awareness in an academic environment[J].Computers&Security.2007.

[9]罗力,国民信息安全素养评价指标体系构建研究[J],重庆大学学报(社会科学版)[J].2012.

[10]US Department ofDefense,DoD 5200.1-R Information Security Program[R].1998.