彭政　田八林　白文华

【摘  要】本文从加强安全文化建设切入，首先阐述了安全文化和安全管理的含义和相互关系，然后针对信息安全所面临的问题，提出了“人为本、防为先、恒为贵、变为优”的安全文化建设原则并给出了相应措施，以期为提高国防软实力、做好信息安全领域的未雨绸缪提供有益参考。

【关键词】安全文化，信息安全，管理

【中图分类号】G8            【文献识别码】A

一、引言

信息安全是指敏感信息在产生、传递、处理和存储过程中不被泄露或破坏，确保信息的可用性、保密性、完整性和不可否认性，并保证信息系统的可靠性和可控性。敏感信息失控会给国家利益和国防安全造成不同程度的危害，这些事件当中因管理原因导致出问题的占比不小，这一现象值得我们深思。

二、安全文化与安全管理

（一）安全文化

安全文化是人类生存和社会生产过程中的主观和客观存在，是人类文化文明的一部分。关于安全文化的发源，一种观点认为，直到20世纪80年代，安全文化才由国际原子能机构提出，之后安全文化的思想和策略逐步扩展到各个国家和不同的产业领域，从核安全文化深化到一般安全生产与安全生活领域。党的十八大以来，习主席以高度的文化自觉与文化担当，反复强调“文化自信是更基础、更广泛、更深厚的自信，是更基本、更深沉、更持久的力量”^[1]。回溯中国历史，我们的经典中不乏先贤们治国安邦的安全文化思想。关于安全文化的定义，有观点认为：安全文化是存在于单位和个人中种种素质和态度的总和^[2]，它建立一种超出一切之上的观念，即核电厂的安全问题由于它的重要性要保证得到应有的重视;有观点认为：安全文化是信念、规范、态度、角色及社会和技术实践的集合^[3]，总之，觀点很多，众说纷纭，但是，至今安全文化仍没有一个“统一”的定义。

（二）安全文化与安全管理的关系

安全管理是包括关于技术、人、组织的一切活动、计划以及关于组织内所有的个体活动，并易形式化为安全管理体系，可以看出安全管理是企业的经营活动，而安全文化是企业精神、理念的体现，是一种状态。其次，安全文化突出人的思想、意识、思维方法、人生观、价值观、伦理、道德规范，主要从精神领域、从安全管理的“软件”方面及智能开发方面影响人的安全行为和自律能力;而安全管理注重安全技术、安全生产的物质环境，管理手段主要侧重于人对技术、对物质环境的安全控制。另外，安全文化对人影响具有终身性，它用安全的精神财富和物质财富感染和激励人，提高人的安全素质和安全技术水平，增强人安全的生理和心理承受能力，可以说安全文化对人的影响是深远、持久的;而安全管理主要通过有局限性的安全管理技术和方法，在员工从事生产经营活动的过程中发挥作用，由于它具有强制性、惩罚性、约束性的特点，被管理者始终处于被动安全、服从安全、要我安全的强迫状态，对人的精神心理的影响相对短暂有限^[4]。

很多重大安全事故的调查报告指出安全文化是影响事故结果的决定性因素，而评价一个单位安全管理工作的主要指标就是安全事故发生率和事故危害程度，反过来，一个单位或组织的安全文化最终反映在工作场所的管理方式方法上。

三、信息安全管理面临的几个问题

（一）传统信息安全管理理念并未重视内部人员的有意或无意泄密

据Gartner报告，85%的泄密事件源于内部人员误操作或违规行为。2010年的“维基揭秘”就是这一现状的最佳注解：美国陆军上等兵布拉德利· 曼宁（Bradley E. Manning），在其被派驻伊拉克期间，负责情报分析工作。他利用职务之便，从军方网络下载大量机密文件，并刻录在一张标为“Lady Gaga”的CD中，转交给维基揭秘，被后者公布于互联网。无独有偶，各国出现的敏感信息披露也大都是源于内部人员的违规操作。信息安全管理必须对内部人员误操作、违规操作、恶意破坏等给予足够的重视，对内部个人行为必须进行管控。

（二）没有事故发生就认为信息是安全的思想是极度危险的

管理人员必须时刻保持“生于忧患”的工作态度，不能把没有发生问题当作没有问题。有的信息攻击所使用的恶意代码破坏性不强、隐蔽性很高，计算机被该类恶意代码俘获后仍能正常工作，管理员和电脑操作人员很难发现磁盘上大量的敏感信息已被搜集转发。有的恶意代码还能欺骗监控系统，如系统管道压力值超过警戒门限时，恶意代码能使监控系统的感知值仍在安全范围内，该类代码一旦得到启动指令运行后会对目标系统造成不可挽回的损失，例如，2010年以西门子数据采集与监控系统为攻击目标的“震网”病毒使伊朗境内包括布什尔核电站在内的5个工业基础设施遭到攻击，而在这之前伊朗等国的安全专家一直没有发现系统运行有何异常。

（三）信息安全管理从规范程序到落实实施存在脱节现象

赫拉克利特说过：“内在的和谐比表面的一致更强大”。虽然管理者对信息安全管理制定了系统全面的规范和程序，但是管理的实效性不能单靠书面的规范达标，还应注重工作场所安全操作的方式以及安全规范和程序贯彻到工作场所的状况，例如并非在办公室张贴了信息安全管理的规定，所有办公人员就像机器人一样百分百按照规定程序工作，一点纰漏不出，因此，制定管理规范的同时必须建立起有效的监管体系，引入审查机制，在组织结构、技术支撑和人员配置上确实做到保障有力。

（四）对新形势下信息安全管理特点和规律的探索研究有待深入

随着人工智能、云计算、大数据和5G等信息技术的广泛运用，社交网络、微博、抖音等应用服务的发展势头迅猛，技术的发展深刻影响着人类社会生产生活，信息安全管理中哪些因素会受其影响，受影响的因素当中哪些可控、哪些不可控，可控的如何控，不可控的又怎样通过一定管理措施对其施加影响达到降低风险的目的，这些问题只有通过深入研究、科学研判，才能找准要害、跟上形势、有的放矢，最终达到事半功倍的效果。

四、加强安全文化建设需要注意的原则和措施

（一）“人”为本

《管子·权修》中有记：“一年之计，莫如树骨;十年之计，莫如树木;终身之计，莫如树人”。文化是由人所创造的，是对人的一种本质规定。个人行为会受到所属单位安全文化的影响，在浓郁的安全文化氛围中，个人的安全理念能够得到较好地发展和保持，安全行为就会不断提升，而安全理念一旦渗透到每个人的灵魂深处并养成为一种习惯思维方式，将对其行为方式产生决定性指导作用。培育全员安全文化，牢固树立“违章就是事故”、“1%的疏忽就会导致100%的失败”的安全文化目标，变“要我安全”为“我要安全”，可以聘请信息安全领域经验丰富的管理人员和专家学者讲授安全文化知识，增强所属人员的信息安全意识，提高他们安全管理的自觉性。

（二）“防”为先

《申鉴·杂言上》有记：“一曰防，二曰救，三曰戒。先其未然谓之防，发而止之谓之救，行而责之谓之戒。防为上，救次之，戒为下”。《左传》有记：“居安思危，思则有备，备则无患”。安全文化建设中要突出预防为先，进行信息安全警示教育时深入分析发生问题的原因，把事后管理变为事前管理，创建一个信息通畅的安全文化氛围，确保管理人员能够及时搜集获取各类安全管理信息。

（三）“恒”为贵

《荀子·劝学》有记：“不积跬步，无以至千里，不积小流，无以成江河”。为解决前几年 “黑校车”安全事故频发，各类学校集中配置了一批校车，但校车易配、安全意识难寻。同样要解决信息安全的问题，可以通过“软硬件升级”：硬件升级最简单，最方便界定责任，但可能掩盖问题的本质;而包括主管部门管理能力和全社会安全意识在内的“软件升级”，实现难度很大、需要时间更长。因此，我们必须持之以恒，以几十年甚至上百年的格局去建设安全文化，让安全成为每个人牢不可破的习惯，最终使国家稳定、全民受益。

（四）“变”为优

《孙子·虚实篇》有记：“故兵无常势，水无常形。能因敌变化而取胜者，谓之神”。在信息安全管理中，“對同一问题通过同一种方式讲一百遍”收到的效果明显不如“对同一问题通过一百种方式讲一百遍”所收到的效果好。因此，在安全文化建设中要注重科学变换方式和手段，例如有的单位为营造安全文化良好氛围，构建了以亲情关怀促安全、安全理念铸安全、制度法规抓安全、荣誉激励保安全等为主题的隐形教育课程，通过公众号、短视频、情景剧等形式将信息安全理念潜移默化到每个人心中。

总之，当今世界处于百年未有之大变局，我们要以高度的文化自信厚植安全文化土壤，按照“人为本、防为先、恒为贵、变为优”的原则筑牢安全防线，进一步提高信息安全管理的实效性。

参考文献：

[1]中国共产党中央委员会.求是[M]. 北京：求是杂志社，2020（3）.

[2]International Nuclear Safety Advisory Group. Safety culture.[C]//IAEA Safety Series 75-INSAG-4.Vienna，1991.

[3]Pidgeon.Safety culture and risk management in organizations[J].Journal of Cross Cultural Psychology，1991，22（1）：129-140.

[4]战俊红，张晓辉.中国公共安全管理概论[M].北京：当代中国出版社，2007.