浅谈部队信息安全保密风险管理

柳立强 刘 清 武瑞凯

信息化条件下，军事秘密面临的风险不断加大，无意识泄密、间接泄密、计算机网络泄密等现象时有发生，给部队信息安全保密工作带来了严重挑战。信息安全保密风险管理从风险识别出发，对军事秘密面临的风险进行客观地全面分析和评估，并对风险实施有效控制，变事后补救为事先防范，这是形势发展的需要，是确保军事秘密安全的需要，也是做好信息化条件下部队保密工作的必然要求。

一、系统识别，找出部队信息安全保密重要风险

信息安全保密风险识别是指运用有关知识、方法、系统、全面和连续地发现部队军事秘密面临的风险。风险识别是风险管理的首要步骤。部队保密工作面临的风险是错综复杂的，需要进行认识和辨别。只有全面、准确地发现和辨识风险，才能进行风险评估和选择风险控制的措施。风险识别的方法有很多，比如保密清单损失法、专家调差分析法、经典案例分析法、等级全息建模法等等，不管用哪种方法，都要系统的识别以下几个方面。

1.对保密资产的识别。保密资产就是要保护的秘密资产。主要包括涉密的电子文档、涉密的实体信息以及涉密的装备设施等。一个单位保密资产越多，秘密的级别越高，保密的风险就越大，需要采取的措施就要更严密。

2.对资产脆弱性的识别。要清楚这些保密资产它们的弱电在哪里，也就是说，这些保密资产哪些方面容易被敌对势力利用。一般情况下，可以将脆弱性分为技术脆弱性和管理脆弱性两类。技术脆弱性

主要是保护资产所涉及到的所有设备，包括移动载体、计算机网络、通信设备等本身所存在的一些技术隐患，比如一些后门程序等。管理的脆弱性主要是规章制度、责任区分等问题，要识别出在这些方面部队有哪些弱点。

3.对威胁的识别。威胁是指可能对保密资产或组织造成损害的一种潜在的侵害。比如信息泄露、信息破坏等。这些侵害有些是非人为，可能是无意识的行为，有些是故意的，是敌方情报机关或者我方人员有意识的行为。以上关于保密资产、脆弱性以及威胁的识别，不仅要清楚它们单个因素的种类，同是还要结合部队已有的安全措施，找出威胁利用脆弱性的可能性，以及发生以后对保密资产可能造成的损失，这就是保密风险。这些风险因素有很多，要通过进一步的识别，找出一些发生可能性大并且发生以后对保密资产影响较大的风险，也就是重要风险，将其进行评估。

…… …… 余下全文