编者按 建设信息化军队，打赢信息化战争，是我军新时期部队建设与发展的方向。军队物资采购网的应用，无疑是军队物资采购改革中的一个亮点。它的实施，演绎着军队物资采购部门为推进采购制度改革和提升后勤保障力所做的不懈努力。

　　军队采购网作为我军采购信息化建设的一个重要组成部分，它的建成极大地提高了我军物资采购的快速反应、及时保障能力，有效地维护了公开、公平、公正的原则。随着军队采购网在我军采购活动中扮演的角色越发重要，军队采购网信息安全的重要性也越来越突出，如何抓好信息安全管理就成为摆在我国军队采购监管部门面前的一个重要课题，加强军队采购网信息安全管理机制建设就显得尤为重要。

　　建立健全管理机制 保证采购正常运行

　　提升保障力的需要

　　根据军委16号文件要求，为了适应军队物资采购制度改革的需要，加快军队采购信息化建设的步伐，更好地开展军队采购工作，规范操作、体现效益、注重效率、强化监督，我军依托现代信息网络技术，按照"统一规划，统一管理，统一标准"的原则，建成了军队采购网。它是一个以计算机网络技术为基础，以宣传、发布、采购、交流、协作为核心，以采购的需求流、供应流相对集成为基本结构的系统，它包括内网和外网以及介于两者之间的信息交换部分。

　　军队采购网作为我军物资采购信息化工作的重要组成部分，在投标供应商与物资采购机构、物资采购机构与部队用户之间架设了沟通的桥梁。建立采购资源信息库、采购咨询专家库，逐步实现采购信息与交易的网络化、电子化，提高采购透明度和效率、效益。军队采购网的应用将现行军队物资采购的多流系统改变成单流系统，加快军队物资采购工作的信息化进程。因此，保障军队采购网的安全稳定运行，就是保障我军采购工作的正常运行，是提升我军保障力的重要保证。

　　对关键信息资产进行全面保护

　　军队采购网安全管理机制是采购网安全管理策略的正式陈述，并由军队采购网管理机构强制实施，用以检验安全策略的完整性和一致性，它描述的是军队采购网为贯彻实施安全策略而必须采取的所有安全机制的组合。它应是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障军队采购网的信息安全。它是直接管理活动的结果，表示为方针、原则、目标、方法、过程、核查表等要素的集合，是涉及到人、程序和信息技术的管理系统。

　　建立、实施与保持军队采购网信息安全管理机制产生的作用主要有下几点：强化人员的信息安全意识，规范采购网信息安全行为；对采购网的关键信息资产进行全面系统的保护，维持高效运行；在军队采购网信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；使总部机关、部队用户和供应商对军队采购网充满信心；如果通过军队认证，表明体制符合标准，证明采购网有能力保障重要信息，提高采购网的知名度与信任度；促使管理层坚持贯彻军队采购网信息安全管理机制。

　　确保发挥"信息高速路"作用

　　建立健全军队采购网安全管理机制对军队采购网的安全管理工作和采购活动的正常开展意义重大。

　　首先，此机制的建立将提高采购网参与人员的信息安全意识，提升采购网信息安全管理的水平，增强采购网抵御灾难性事件的能力，是物资采购信息化建设中的重要环节，必将大大提高安全管理工作的可靠性和及时性，使其更好地服务于部队的采购活动。

　　其次，通过采购网安全管理机制的建设，可有效提高对安全风险的管控能力，通过与等级保护、风险评估等工作衔接起来，使得采购网的安全管理工作更加科学有效。采购网安全管理机制的建立将使得采购网的安全正常运行得到有效保障，真正发挥采购"信息高速路"的作用，保障我军采购活动的及时有效开展。

　　我们所使用的计算机从芯片、操作系统、协议、标准到先进密码技术全被外国垄断，我们至今未形成具有自主知识产权的核心技术，从而客观上造成了军队采购网关键信息基础设施不安全，防护水平不高的问题。

　　建立信息安全管理框架

　　采购网所面临的的安全不仅会遭遇内部威胁，而且还会受到外部威胁。因此，对于其信息安全管理应建立完善的信息安全管理框架。

　　策划与准备阶段是军队采购网安全管理周期的起点，作为安全管理的准备阶段，为后续活动提供依据。这个阶段的活动包括：建立安全管理小组，明晰责任，确定安全目标、战略和策略，进行风险评估，选择安全措施，并在明确安全需求的基础上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程以及人力资源的配置与管理。

　　在确定安全目标时要根据军队采购网的基础信息平台、采购管理平台、采购商务平台、决策分析平台这四个业务平台不同的安全需求，确定不同的安全目标，分别选择合适的安全措施，制定相应的安全计划。

　　确定信息安全管理机制适用的范围，信息安全管理机制的范围就是需要重点进行管理的安全领域。军队采购网管理部门需要根据自己的实际情况，可以在整个采购网范围内、也可以在个别领域内实施。本阶段的工作，应将采购网的各个要素划分成不同的信息安全控制领域，如可分为军网安全领域、民网安全领域和网间安全领域。在定义适用范围时，应重点考虑机制的适用环境、适用人员、现用IT技术、现有信息资产等。

　　规划和建立一个合理的信息安全管理框架，要从整体和全局的视角，从采购网信息系统的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步骤，从而建立安全机制并提出安全解决方案。

　　现行管理机制侧重于技术

　　军队采购网目前的安全体系是贯彻《中国人民解放军计算机信息系统安全保密规定》，遵循国家信息安全有关标准，将网络安全与信息保密纳入系统建设总体方案，统一规划，分步实施。确保合法身份用户，按规定权限对信息资源进行有效访问，防止非法用户对网络系统的攻击及对信息的窃取和破坏。

　　目前军队物资采购网对外依托互联网，收集市场供求信息，发布军队采购信息，进行网上采购；对内依托军队指挥网，汇总采购需求计划，下达采购任务，管理采购合同，实施网上采购业务管理，因此需要进行军地网间的数据交换。

　　根据网间隔离和多重保护原则，采用安全隔离网闸（GAP）技术，保证军网和外网互联在物理上相互隔离，采用高强度的网络加密设备，保证军网与外网之间的逻辑隔离，通过网间隔离，有效地实现军队物资采购信息的保密性与完整性；运用身份认证、信息监控、漏洞扫描、病毒防范、系统容错、数据备份、灾难恢复等安全技术和设备，建立各级信息安全系统，保证系统安全运行。

　　现行的军队采购网安全管理机制在制定时侧重于对技术方面的考虑，对安全管理方面的考虑较少，仅要求如何通过技术措施来保障信息安全，没有从管理层面上作出要求，因此还需要进一步的补充完善。

　　从五方面改进安全管理

　　防护重点不突出 目前的军队采购网信息安全管理采用的是相对单一的安全措施，对军队采购网的各个要素、各级信息中心采用相同的安全机制，重点防护要素与安全需求较弱的要素没有相互区分，这样就容易造成安全管理资源的盲目使用，没有侧重，导致安全重点单位防护不够、安全需求较弱的单位防护过度的情况。

　　与采购业务结合不紧密 由于当时建立安全管理体系只侧重于保证采购网的信息安全，只是针对一个网络系统，而没有针对采购网的业务的特殊性来进行优化改进，与采购网的业务结合不紧密，与采购机构的信息管理相脱节，造成现行安全机制的效果不佳，同时在运行起来也有一定的难度。

　　可操作性待提升 由于军队采购网现行的安全机制只考虑了技术层面的防护措施，而且是借鉴地方网络安全防护的通行做法，针对性不强。军队采购网既包括民网部分，也包括军网部分，与普通的地方网络还是有很大区别的，并且管理机构的设置等均与地方不一样，因此若仅仅借鉴地方网络的做法，操作起来有一定的难度，而且也不能取得较好的效果。

　　安全意识有待提高 信息安全问题是一个新问题，随着信息化网络化的发展才变得日渐重要起来，而目前我们只是对军队采购网的安全防护做了一些技术措施，并没有针对这些安全问题进行专门的教育，人员对军队采购网的信息安全威胁还没有给予足够的重视。

　　例如在军网部分，大多数人还普遍认为在军网上肯定不会发生类似于攻击等威胁军队采购网安全的突发事件，所以制订安全防护措施是没必要的，但是从近几年来发生的利用军网袭击窃取机密的案件可以看出，军网上也不能高枕无忧，因此军队采购网相关人员的安全防护意识还有待提高。

　　技术有待更新 由于军队采购网从建成到现在已有相当长的时间，虽然当时采用了最新的网络技术，但是信息技术的发展日新月异，不更新就意味着落后。信息安全防护技术更是处在信息技术更新的最前沿，当时的技术在现在已经不能再满足军队采购网的安全需求，如果不及时更新，军队采购网的安全就无法得到有效保证。

　　军队采购网信息安全"三分技术七分管理"

　　保证军队采购网的信息安全有三个方面的工作需要做，这就是技术、管理与法制，健全的法制是采购网安全运行的基石，全面的管理是采购网安全运行的必要条件，先进的技术是军队采购网安全运行的要求。

　　因此，仅仅依靠技术保障信息安全的做法是不会达到最好的效果的，"三分技术，七分管理"这个在其他领域总结出来的实践经验和原则，在这里也同样适用。

　　加强信息安全法规建设

　　健全的法规是安全的基石，是建立安全管理的标准和方法。应尽快开展军队采购网信息网络安全法律法规体系的规划，对原有信息网络安全法律法规进行清理，受用方要涵盖军地双方，既要保证供应商的公平竞争，又要保证部队用户的合法权益。

　　信息安全管理应尽快立法，完善法律法规和管理制度，为保障采购网的正常运行提供法律保障。应修订《军队采购网安全管理规定》，建立起部队司法部门与技术支持部门之间的高效合作机制，建立相应机构，如组建军队采购网法律支援中心，研究犯罪追踪和取证技术，及时发现犯罪形式并制定对策，完善法律法规和管理制度等，为司法部门提供技术上的支持，保证法律得到执行。

　　强化信息安全风险管理

　　风险总是存在，无论这种风险是由于内部人员造成的，还是由于外部攻击引起的。因此有必要对采购网进行风险管理，评估风险，之后采取步骤将风险消减到可以接受的水平并且维持这一风险级别。

　　风险管理由两个主要的和一个基础的活动构成：风险评估和风险消减是主要活动，而不确定性分析是基础活动。

　　信息安全风险评估是分析和解释风险的过程，评估应该集中于风险程度未知或已知但风险较高的特定领域，系统的不同部分其分析的详细程度也不同，范围和界限的定义可以帮助进行成本效益的评估。如在采购商务平台上对安全的要求较高，而且使用方较广，风险最高，需要重点进行评估。

　　进行风险评估之后，就要采取措施进行风险消减。风险消减是指在现有的约束条件下，为了将风险降低到管理者可以接受的水平而进行的安全控制的选择和部署，主要包括选择安全措施、接受残留风险、保证实时控制和监视的有效性。风险管理必须依赖于推测、猜想、不完全的数据和许多未经证实的假设，不确定性分析试图记录这些内容，以便更加恰当地使用风险管理的结果，为军队采购网的提供制定安全管理机制的依据与措施。

　　落实信息安全责任管理

　　主管部门应当加强对军队采购网的信息和网络安全责任的落实，应按照"谁主管，谁负责"和"谁经营，谁负责"的原则，明确责任主体，做到责任落实到每个人，特别要强化与部门职能和领导者相关的安全责任，并将其制度化、目标化。相关部门应密切协作，形成齐抓共管的工作机制。

　　建立信息安全应急处理机制

　　加强对采购网各数据中心、节点、层次的来袭行为和有害信息的监控，从技术和管理上，实现对网络的防护、监测、应急、恢复、预警和反制，对有害行为实施有效的监测、预警和封堵。组建军队采购网信息安全危机处理小组，调集精兵强将，负责采购网信息安全的侦测防范和反制等工作的组织协调，提升快速反应能力；根据军队采购网可能发生的安全事件建立相应的安全防护预案，做到事前有预案，事发有措施，及时处理各种突发安全问题。

　　完善信息安全灾备措施

　　绝对安全的防范措施是很难实现的，所以要对可能发生的事故有所准备，完善系统备份措施，制定紧急恢复计划。主要分为三个方面：

　　一是系统备份，主要是指为防止在军队采购网中发生由于"单点故障"（即一个部件出问题）而使整个系统瘫痪的情况，如电源故障、服务器和交换机故障、网卡故障、线路故障等，备份与网络系统安全运行有关的设备和部件。

　　二是数据备份，数据备份可防止因天灾人祸致使军队采购网系统中的数据丢失，或由硬件错误、误操作、病毒等造成联机数据丢失而带来的损失，它对采购网系统的安全性、可靠性十分重要，是下一步紧急恢复的前提。

　　三是紧急恢复，紧急恢复又称灾难恢复，是指灾难产生后迅速采取措施恢复采购网的正常运行，为了在发生灾难后对采购网进行快速恢复，以减少由此而产生的非直接损失，管理部门有必要制定一个紧急恢复计划。

　　加强精神防线建设

　　与信息强国相比，我们的信息技术和网络设施存在着明显的差距，要在较短的时间内解决这些问题，保证军队采购网的正常运行，完全不受信息侵略和破坏，还不现实。

　　但我们可以努力增强采购网全体人员的信息防护意识，筑起无形的精神防线。有关部门应当采取综合措施，加强信息安全宣传和引导，提升每个人的信息安全敏感度，最大限度的保障采购网的安全运行。

　　军队采购网作为我军采购信息化建设的重要组成部分，其信息安全的重要性也越来越突出，信息安全管理的任务也越来越重，必须建立完善的安全管理机制，才能保证采购网的安全正常运行。军队采购网作为我军信息化建设的一个重点、亮点，必须保证有良好的安全性，才能使其在我军后勤建设中发挥更大的作用。