厚植安全文化　提高信息安全管理的實效性

彭政　田八林　白文華

【摘? 要】本文從加強安全文化建設切入，首先闡述了安全文化和安全管理的含義和相互關系，然后針對信息安全所面臨的問題，提出了“人為本、防為先、恒為貴、變為優”的安全文化建設原則并給出了相應措施，以期為提高國防軟實力、做好信息安全領域的未雨綢繆提供有益參考。

【關鍵詞】安全文化，信息安全，管理

【中圖分類號】G8??????????? 【文獻識別碼】A

一、引言

信息安全是指敏感信息在產生、傳遞、處理和存儲過程中不被泄露或破壞，確保信息的可用性、保密性、完整性和不可否認性，并保證信息系統的可靠性和可控性。敏感信息失控會給國家利益和國防安全造成不同程度的危害，這些事件當中因管理原因導致出問題的占比不小，這一現象值得我們深思。

二、安全文化與安全管理

（一）安全文化

安全文化是人類生存和社會生產過程中的主觀和客觀存在，是人類文化文明的一部分。關于安全文化的發源，一種觀點認為，直到20世紀80年代，安全文化才由國際原子能機構提出，之后安全文化的思想和策略逐步擴展到各個國家和不同的產業領域，從核安全文化深化到一般安全生產與安全生活領域。黨的十八大以來，習主席以高度的文化自覺與文化擔當，反復強調“文化自信是更基礎、更廣泛、更深厚的自信，是更基本、更深沉、更持久的力量”^[1]。回溯中國歷史，我們的經典中不乏先賢們治國安邦的安全文化思想。關于安全文化的定義，有觀點認為：安全文化是存在于單位和個人中種種素質和態度的總和^[2]，它建立一種超出一切之上的觀念，即核電廠的安全問題由于它的重要性要保證得到應有的重視;有觀點認為：安全文化是信念、規范、態度、角色及社會和技術實踐的集合^[3]，總之，觀點很多，眾說紛紜，但是，至今安全文化仍沒有一個“統一”的定義。

（二）安全文化與安全管理的關系

安全管理是包括關于技術、人、組織的一切活動、計劃以及關于組織內所有的個體活動，并易形式化為安全管理體系，可以看出安全管理是企業的經營活動，而安全文化是企業精神、理念的體現，是一種狀態。其次，安全文化突出人的思想、意識、思維方法、人生觀、價值觀、倫理、道德規范，主要從精神領域、從安全管理的“軟件”方面及智能開發方面影響人的安全行為和自律能力;而安全管理注重安全技術、安全生產的物質環境，管理手段主要側重于人對技術、對物質環境的安全控制。另外，安全文化對人影響具有終身性，它用安全的精神財富和物質財富感染和激勵人，提高人的安全素質和安全技術水平，增強人安全的生理和心理承受能力，可以說安全文化對人的影響是深遠、持久的;而安全管理主要通過有局限性的安全管理技術和方法，在員工從事生產經營活動的過程中發揮作用，由于它具有強制性、懲罰性、約束性的特點，被管理者始終處于被動安全、服從安全、要我安全的強迫狀態，對人的精神心理的影響相對短暫有限^[4]。

很多重大安全事故的調查報告指出安全文化是影響事故結果的決定性因素，而評價一個單位安全管理工作的主要指標就是安全事故發生率和事故危害程度，反過來，一個單位或組織的安全文化最終反映在工作場所的管理方式方法上。

三、信息安全管理面臨的幾個問題

（一）傳統信息安全管理理念并未重視內部人員的有意或無意泄密

據Gartner報告，85%的泄密事件源于內部人員誤操作或違規行為。2010年的“維基揭秘”就是這一現狀的最佳注解：美國陸軍上等兵布拉德利· 曼寧（Bradley E. Manning），在其被派駐伊拉克期間，負責情報分析工作。他利用職務之便，從軍方網絡下載大量機密文件，并刻錄在一張標為“Lady Gaga”的CD中，轉交給維基揭秘，被后者公布于互聯網。無獨有偶，各國出現的敏感信息披露也大都是源于內部人員的違規操作。信息安全管理必須對內部人員誤操作、違規操作、惡意破壞等給予足夠的重視，對內部個人行為必須進行管控。

（二）沒有事故發生就認為信息是安全的思想是極度危險的

管理人員必須時刻保持“生于憂患”的工作態度，不能把沒有發生問題當作沒有問題。有的信息攻擊所使用的惡意代碼破壞性不強、隱蔽性很高，計算機被該類惡意代碼俘獲后仍能正常工作，管理員和電腦操作人員很難發現磁盤上大量的敏感信息已被搜集轉發。有的惡意代碼還能欺騙監控系統，如系統管道壓力值超過警戒門限時，惡意代碼能使監控系統的感知值仍在安全范圍內，該類代碼一旦得到啟動指令運行后會對目標系統造成不可挽回的損失，例如，2010年以西門子數據采集與監控系統為攻擊目標的“震網”病毒使伊朗境內包括布什爾核電站在內的5個工業基礎設施遭到攻擊，而在這之前伊朗等國的安全專家一直沒有發現系統運行有何異常。

（三）信息安全管理從規范程序到落實實施存在脫節現象

赫拉克利特說過：“內在的和諧比表面的一致更強大”。雖然管理者對信息安全管理制定了系統全面的規范和程序，但是管理的實效性不能單靠書面的規范達標，還應注重工作場所安全操作的方式以及安全規范和程序貫徹到工作場所的狀況，例如并非在辦公室張貼了信息安全管理的規定，所有辦公人員就像機器人一樣百分百按照規定程序工作，一點紕漏不出，因此，制定管理規范的同時必須建立起有效的監管體系，引入審查機制，在組織結構、技術支撐和人員配置上確實做到保障有力。

（四）對新形勢下信息安全管理特點和規律的探索研究有待深入

隨著人工智能、云計算、大數據和5G等信息技術的廣泛運用，社交網絡、微博、抖音等應用服務的發展勢頭迅猛，技術的發展深刻影響著人類社會生產生活，信息安全管理中哪些因素會受其影響，受影響的因素當中哪些可控、哪些不可控，可控的如何控，不可控的又怎樣通過一定管理措施對其施加影響達到降低風險的目的，這些問題只有通過深入研究、科學研判，才能找準要害、跟上形勢、有的放矢，最終達到事半功倍的效果。

四、加強安全文化建設需要注意的原則和措施

（一）“人”為本

《管子·權修》中有記：“一年之計，莫如樹骨;十年之計，莫如樹木;終身之計，莫如樹人”。文化是由人所創造的，是對人的一種本質規定。個人行為會受到所屬單位安全文化的影響，在濃郁的安全文化氛圍中，個人的安全理念能夠得到較好地發展和保持，安全行為就會不斷提升，而安全理念一旦滲透到每個人的靈魂深處并養成為一種習慣思維方式，將對其行為方式產生決定性指導作用。培育全員安全文化，牢固樹立“違章就是事故”、“1%的疏忽就會導致100%的失敗”的安全文化目標，變“要我安全”為“我要安全”，可以聘請信息安全領域經驗豐富的管理人員和專家學者講授安全文化知識，增強所屬人員的信息安全意識，提高他們安全管理的自覺性。

（二）“防”為先

《申鑒·雜言上》有記：“一曰防，二曰救，三曰戒。先其未然謂之防，發而止之謂之救，行而責之謂之戒。防為上，救次之，戒為下”。《左傳》有記：“居安思危，思則有備，備則無患”。安全文化建設中要突出預防為先，進行信息安全警示教育時深入分析發生問題的原因，把事后管理變為事前管理，創建一個信息通暢的安全文化氛圍，確保管理人員能夠及時搜集獲取各類安全管理信息。

（三）“恒”為貴

《荀子·勸學》有記：“不積跬步，無以至千里，不積小流，無以成江河”。為解決前幾年 “黑校車”安全事故頻發，各類學校集中配置了一批校車，但校車易配、安全意識難尋。同樣要解決信息安全的問題，可以通過“軟硬件升級”：硬件升級最簡單，最方便界定責任，但可能掩蓋問題的本質;而包括主管部門管理能力和全社會安全意識在內的“軟件升級”，實現難度很大、需要時間更長。因此，我們必須持之以恒，以幾十年甚至上百年的格局去建設安全文化，讓安全成為每個人牢不可破的習慣，最終使國家穩定、全民受益。

（四）“變”為優

《孫子·虛實篇》有記：“故兵無常勢，水無常形。能因敵變化而取勝者，謂之神”。在信息安全管理中，“對同一問題通過同一種方式講一百遍”收到的效果明顯不如“對同一問題通過一百種方式講一百遍”所收到的效果好。因此，在安全文化建設中要注重科學變換方式和手段，例如有的單位為營造安全文化良好氛圍，構建了以親情關懷促安全、安全理念鑄安全、制度法規抓安全、榮譽激勵保安全等為主題的隱形教育課程，通過公眾號、短視頻、情景劇等形式將信息安全理念潛移默化到每個人心中。

總之，當今世界處于百年未有之大變局，我們要以高度的文化自信厚植安全文化土壤，按照“人為本、防為先、恒為貴、變為優”的原則筑牢安全防線，進一步提高信息安全管理的實效性。

參考文獻：

[1]中國共產黨中央委員會.求是[M]. 北京：求是雜志社，2020（3）.

[2]International Nuclear Safety Advisory Group. Safety culture.[C]//IAEA Safety Series 75-INSAG-4.Vienna，1991.

[3]Pidgeon.Safety culture and risk management in organizations[J].Journal of Cross Cultural Psychology，1991，22（1）：129-140.

[4]戰俊紅，張曉輝.中國公共安全管理概論[M].北京：當代中國出版社，2007.