军校学员信息安全风险评估问题及对策研究

【 摘 要 】 迅速发展和广泛应用的互联网，是广大军校学员获取信息的有效途径，同时也对信息安全形成巨大挑战，展开针对军校学员信息安全的风险评估具有现实意义势在必行。本文分析了结合对军校学员面临的网络信息安全风险，指出了行为的调研和信息安全风险评估的技术方法，同时总结了军校学员面临的信息安全风险和目前风险评估存在的问题，并提出了具体的实施对策。

【 关键词 】 军校学员；信息安全；风险评估

Cadets’s Information Security Risk Assessment Problems and Solutions

Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3

（1.Second Military Medical University， Department of Health Services Corps Shanghai 200433；

2.Second Military Medical University， Department of Health Services， Public Health Management Shanghai 200433；

3.Second Military Medical University， Department of Computer Shanghai 200433）

【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information， meanwhile， make a huge challenge to information security.So， Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing， point out the problems of information security risk assessment， and the specific implementation of countermeasures.

【 Keywords 】 cadet； information security； risk assessment

1 引言

军队院校信息化建设始于上个世纪90年代初开始，如今军校教育教学、机关办公、学员管理等基础业务对网络信息系统的依赖程度越来越大，同时面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然学校采取了安全监测、入侵防护等安全技术措施，但由于学员网络安全保密意识不强，网络安全技术掌握不到位的欠缺，管理方法针对性不强，军队院校学员网络安全风险高，以至网络安全事件甚至泄密事件时有发生。而卫勤军校学员在平时的学习工作中均有可能会涉及并接触到更多的军事秘密，面临的信息安全问题更加严峻。因此，迫切需要对卫勤军校学员的网络信息安全现状及风险因素进行客观有效的分析和评估，依据评估结果为针对军校学员的网络信息安全管理提供指导，进而有针对性地采取综合性网络安全风险的有效管理措施。

2 军校学员信息安全面临的风险

2.1 网络信息环境复杂，安全风危险性高

信息时代，互联网的应用已经深入到各个领域，但其共享性、开放性和互联性的特点，使得环境越来越复杂，危险不安全因素越来越多。

一是网络黑客攻击。网络攻击包括黑客攻击、病毒感染以及针对性军事机构、军队人员的网络监视，如军校附近的企业、网络监听。目前信息系统技术发达，网络黑客可以通过极限攻击、读取受限文件、拒绝服务以及口令恢复等一系列技术获取信息，对军队保密安全形成威胁。学员在使用网络时感染病毒导致文件丢失、破坏，发生严重的安全事故。此外，针对军事机构和军事人员的网络监视并不少见， 增加了军校学员网络信息安全的风险。

二是网络陷阱。特别是一些博客、论坛，借军事爱好、讨论敏感话题、套取军事信息此外，有些人在网络上设置陷阱，一旦发现军人身份的网络用户便主动接近，通过交流和获取军队内部信息。同时，由网络海量信息形成的巨大信息流，其中掺杂着诸多不良信息，更有人借网络进行非法活动的传播，对大学生进行鼓动和教唆，严重危害学员身心健康。现代社会的多元化很大程度上反映到了互联网上，随着网络的发展，论坛社区、交友网站的兴起，微博、QQ、MSN等交流交互方式的流行，智能手机的广泛应用，吸引着军校学员接触网络，给学员自身、学校甚至军队的信息安全都带来很大的威胁。

三是病毒感染网络沉迷。互联网的虚拟性极大程度地吸引着学员不断接触网络，其中网络恋情和网络游戏是最主要的沉迷对象。人生观和价值观正在形成过程中的大学生分辨能力和自制能力较差，加上军队院校相对封闭的环境，部分军校学员沉迷于网络恋情或网络游戏而不能自拔，安全意识更加薄弱，往往将自身信息和军事机密信息透漏出去，甚至引发安全事故。

2.2 信息安全意识差，抵御能力弱

一方面随着智能终端的不断研发，信息化进程的不断推进，上网方式已经不再局限于计算机，智能手机、平板电脑以及各种无线网络设备都可以方便连接网络。学生作为网络的主体，网络信息安全意识差，依赖上网方式的多样化和便捷性频繁的接触网络。另一方面，随着微时代的到来，微文化流行，参与便捷，加之学员的信息安全意识不强，将校区所处的环境图片、课件、听看到的信息、消息等随手转发到网络上，给学校和军事机构带来严重的安全隐患。更有甚者，学员利用网络散播不良信息，参与黑客等网络破坏活动，给国家和军队带来严重的损失。迅速发展和广泛应用的互联网，是广大军校学员获取信息的有效途径，同时也对信息安全形成巨大挑战。互联网大量的信息集成，是对每个涉足互联网人员的冲击，没有强烈的安全意识，很容易导致安全事故的发生。在管理方式上，大多数只停留在接受口头安全教育的层面上，没有意识到现代高端的信息技术和间谍技术带来的威胁。

2.3 网络信息安全管理差，处理方法少

目前军校面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然杀毒软件、防火墙、入侵检测等安全技术的应用起到一定的防御作用，但由于管理方法针对性不强，对于安全事件的处理不到位，信息安全事故依旧不减。军队院校是培养军队专门人才的特殊教育训练机构，互联网、校园网、军事信息综合网等各类网络广泛应用。军校学员在生活、学习过程中，有机会了解和掌握军队的编制体制、方针政策、武器装备等涉及军事秘密等信息，而针对军校学员的网络信息安全管理办法少、科学性不强，主要体现在两方面。

一是宣传式教育过于形式化。大多数学校的网络信息安全教育是以口头说教、安全讲座、安全知识考试以及教育传单的形式展开，而这些宣传式的教育流于表面，没有真正让学员体会到现代网络环境存在的风险，也没有意识到自己的网络行为所造成的安全隐患。

二是限制网络使用效果不明显。为了防止安全保密事故的发生，学校常常用会限制学员的网络使用，但是这种 “堵”的方式只能限制了学员对学校网络和网络设备的使用，学员依旧可以方便选择通过其他智能终端使用网络，而且这种方式与现代信息社会格格不入，阻碍和影响到了学员正常获取学校正常教学、办公信息和知识的途径，引起教学办公人员的不满。这些办法并没有真正加强学员的安全意识以及阻止安全事件的发生，也为信息安全带来了风险。

3 军校学员信息安全评估存在的问题

3.1 针对性不强，评估指标不完善

目前大多数军校都会定期对网络进行检测和维护，对于信息安全的风险评估大多数侧重于网络硬件和软件的基本情况，忽视了针对学员的信息风险评估。认为通过限制使用就可以避免风险，这样不但浪费了资源，也没有真正起到降低风险的作用。很多风险评估没有针对学员的评估指标，或者没有深入研究学员的网络行为，其指标缺乏有针对性，导致评估在学员信息安全防范措施这一环节上的薄弱。

3.2 科学性不高，风险量化能力差

对于军校学员的信息安全风险评估大多数指标是定性的，而定性的安全风险评估无法准确地确定风险的大小，无法对安全风险进行精确地排序，从而难以确定系统面临的真正风险。这就要求军校学员信息安全风险评估工作所运用的评估方法必须具备一定的量化能力。量化风险评估分析方法的关键在于输入参数的量化。对制定的量表进行有效的赋值，并在此基础上归类分析是量化评估的难点，而目前军校在对学员进行信息安全风险评估时，处理这些量化难点做的还不够到位。

3.3 系统性评估流于形式，对评估结果没有充分利用

多数军校只有上级安全部门进行的检查评估时才进行信息安全风险评估工作，并没有进行自评估，或者自评估的次数少，不能及时发现学员存在的信息安全隐患。风险评估在国内发展的时间较短，在军校学员中开展系统性的信息安全风险评估，军校引入的并不多，所以评估的形式欠科学性。同时评估流于形式，有些军校虽然开展了对学员的评估，但不能根据评估结果采取相应的安全措施，失去了评估的意义。

4 军校学员风险评估实施策略

4.1 提高重视程度，采用先进管理方法

提高对学员信息安全风险评估的重视程度是决定风险评估效果的关键因素。首先，军校工作人员在对学校整个信息系统进行风险评估时，应当把对学员的信息安全风险评估单独列出，着重从伦理道德、纪律规范、网络技能和网络行为等方面进行评估，提高学员的安全思想意识。其次，要引进先进的管理办法，不能只停留在宣传式教育和限制网络上。宣传形式要新颖，可以用实例向学员宣讲，同时模拟真实的环境，让学员参与其中，从而加深印象，提高意识。管理上可以对学员进行跟踪监测，发现学员在网络使用上的漏洞，将其列为控制的关键环节加强管理；也可以对学员进行调研，了解学员对于网络行为和信息安全的认识程度，及时进行针对性教育。同时，领导层面要加强重视，才能提供更多的人力物力支持评估工作。各级干部和学员要抓好落实，养成良好的安全习惯，配合好风险评估工作。

4.2 深入研究风险，有针对性地建立指标体系

合理有效的评估指标体系是进行风险评估的基础要素。建立有针对性的评估指标体系：一是要要充分调研学员信息安全存在的风险，跟踪学员的网络行为，发现关键环节；二是要把握指标体现建立的原则。首先是一般性原则，包括系统性原则、典型性原则、导向性原则、针对性原则、简约性原则、可操作性原则以及可延续性原则。风险评估设计要考虑到学员心理行为、网络安全技术和安全管理制度等多方面因素，依照一般性原则的同时也要综合考虑这些特殊因素；三是要多维度建立评估指标体系。依据信息安全风险评估成熟的理论和方法，根据对军校学员网络行为的研究结果，从法律法规、伦理道德、安全保密和安全技术等维度入手，在每个维度中确立定性和定量的指标，建立网络安全风险评估架构。

4.3 充分利用评估结果，将风险评估制度化

在完成了对学员信息安全风险的评估后，要对采集的数据进行科学的分析。针对学员的信息安全风险评估存在大量的定性指标，具有结构复杂、不确定性和非线性的特点，传统的权重赋值方法精度低。人工神经网络是近几年发展起来的一种新兴的科学方法，它模仿人大脑的工作机理和思维本质，通过数学模型与计算机的结合，所建立起来的一套智能的系统。目前，人工神经网络已经发展了十几种，适用于不同的实际问题来建模。而径向基神经网络因其能够逼近任意的非线性函数，解决系统内在难以解析的规律，因此在实际评估的过程中能很好地处理主观与客观的指标，得到较为完善的评估结果。针对评估结果，学校应当采取一系列管理措施，并制定长期的网络使用规范和有关信息安全的纪律条例，并根据新的问题进行修改和完善。把对学员信息安全的风险评估制度化、规范化，真正展现发挥风险评估的效果效用，从而避免安全事故的发生。

参考文献

[1] 贾玲.军校网络信息安全风险评估研究[J]. 武警学院学报，2010（8）：95-96.

[2] 贾卫国，许浩，王成.军校网络信息安全风险评估工作探讨[J]. 计算机安全，2009（9）：78-80.

[3] 孙利娟，刘彩红.高校信息安全教育问题研究[J]. 电脑技术与知识，2010（8）：30.

[4] 刘枫.大学生信息安全素养分析与形成[J]. 计算机教育，2010（21）：77-80.

[5] 申时凯，佘玉梅. 糊神经网络在信息安全风险评估中的应用[J]. 计算机仿真，2011（10）：92-94.

[6] 黄婷婷.网络安全防御管理研究及对策[J]. SILICONVALLEY，2010（6）：107.

[7] 赵军勇. 网络信息系统技术安全与防范[J]. 广播电视技术，2011（4）：9-11.

[8] 任丽平. 加强大学生网络安全教育[J]. 内江师范学院学报，2004（5）：97-100.

[9] 巢传宣.大学生网络安全问题研究[J]. 南昌工程学院学报，2010（5）：54-57.

[10] 韩立群.人工神经网络理论、设计及应用（第2 版）[M].化学工业出版社，2011（9）：164.

[11] 郝文江，武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全，2012，（01）：5-9.

[12] 任伟.无线网络安全问题初探[J].信息网络安全，2012，（01）：10.

[13] 郎为民，杨德鹏，李虎生.基于SIR模型的智能电网WCSN数据伪造攻击研究[J].信息网络安全，2012，（01）：14-16.

基金项目：

基于神经网络模型的大学生网络信息安全风险评估及对策研究；项目级别：校创新能力基金；项目编号：ZD2012039。

作者简介：

胡鹏伟（1992-），男，学员，第二军医大学卫勤系学员队。

陈立富（1967-），男，副教授，硕士生导师，第二军医大学卫勤系卫生事业管理教研室。