多個法人單位共用涉密網絡的管理與探索

中國航天系統科學與工程研究院 孟謝琦 趙 斌

軍工企業因部分工作涉及國家秘密，其型號設計、工藝設計、生產管理、質量管理等科研生產活動，以及郵件通信、視頻會議、OA 辦公等日常工作流程多通過建立涉密網絡來實現，涉密網絡已成為軍工企業不可缺少的工作基礎。涉密網絡因存儲、傳遞國家秘密信息，需按照國家行政許可要求，遵循國家相關保密規定及標準來建立。在建立涉密網絡時，需要選擇有相關資質的硬件、安全防護產品，其建設成本遠高于普通網絡，且其后期需要有相關資質人員按照標準進行運維，管理成本也遠高于普通網絡，故部分軍工企業選擇與其所屬單位共建、共用一個涉密網絡，以節約經營成本。在實際使用中，部分單位出現了邊界防護設置難、管理邊界混亂等多方面問題，給國家秘密安全帶來了隱患。目前，雖然國家行政管理部門下發了相關文件來指導多法人單位共用涉密網絡，但仍有部分難點問題需要探索解決對策。

一、 多個法人單位共用同一涉密網絡的優勢

（一）避免資金的重復投入

軍工企業在業務上多為縱向管理，建設的涉密網絡多用于工作郵件、公文流轉、異地視頻會議和業務應用管理。由上級機關、單位建設涉密網絡、部署應用服務，下級機關、單位共同使用涉密網絡，可以有效避免資金的重復投入，有效實現業務數據的及時匯總和再利用。同時，涉密網絡在建設使用時需按照國家相關標準進行，并依照國家行政許可要求，由具備資質的測評、審批機構進行測評、審批后方可投入使用。按照國家行政許可要求，涉密網絡的方案設計、綜合布線、安防監控、機房建設、工程監理等均需要選擇有系統集成資質的單位實施或由本單位實施，多個單位共用同一涉密網絡可以有效節省涉密網絡建設階段的設計成本和實施成本。

（二）解決缺少專業運維隊伍的問題

涉密網絡運行時常見的最大問題是相關單位缺少一支專業的運維隊伍。專業的運維隊伍會按照標準安全、高效地做好涉密網絡管理，運維隊伍由少量精通操作系統、網絡、數據庫的高級技術人員，少量可簡單更改應用系統可視化操作流程的中高水平應用管理人員，以及一些工作認真、善于執行、善于服務用戶的運維人員組成。運維隊伍的招募和融合相對困難，多個單位共用涉密網絡，可以增加運維隊伍的規模，分攤涉密網絡的運維成本，提升運維人員的待遇并拓寬職業發展通道，確保涉密網絡高質量管理、高效率運行。

二、 多個法人單位共用涉密網絡管理的難點

（一）辦公區域疊加，邊界防護設置難

按照國家相關標準要求，不同法人單位用戶應劃分在不同安全域，通過安全域邊界防護措施（如防火墻）對用戶的訪問進行控制。當前，多個法人單位在共建共用一個涉密網絡時，存在不同法人單位共用同一辦公樓的情況，如在每個共用區域均采取安全域邊界防護措施，則投資成本較大，現多采用交換機劃分虛擬局域網（VLAN）的方式對不同法人單位用戶進行訪問控制，但安全域邊界防護力度基本符合國家相關標準要求。

（二）法人單位與運維管理人員協調難

當前，多個法人單位共用一個涉密網絡的，普遍由其中一家法人單位承擔運維管理職責，運維人員的工資、考核與職業發展均由該單位獨立負責，造成其他法人單位與運維人員溝通困難，提出的運維管理要求難以得到運維人員的支撐等問題。同時，部分共用的涉密網絡運維機構所在單位與其他單位為同級單位，當其他法人單位與運維機構所在單位發生利益沖突時，其數據安全、數據利用等相關業務的開展難以得到運維機構人員的支撐，同級法人單位運維困難已成為多個法人單位共用涉密網絡時最突出的問題。

（三）管理制度未與業務結合，管理邊界混亂

當前，多個法人單位共用涉密網絡的運維管理制度多由涉密網絡運維依托單位制定，其他單位參照執行。但在制定管理制度時，運維單位多以本單位為基礎，其他單位在參照執行該制度時經常出現與自己單位制度沖突的地方。此外，在管理上，當不負責運維的法人單位出現組織機構調整、管理職能變更等造成業務流程及人員的職責變化時，不負責運維的法人單位新設的管理機構和管理人員與運維機構之間常出現銜接慢、協調難的問題，易造成涉密網絡部分運維暫緩，甚至違規操作的發生。

三、 多個法人單位共用涉密網絡的管理對策

（一）在方案設計時統籌考慮安全防護措施

在涉密網絡方案設計階段，應充分考慮各法人單位間用戶安全域的劃分和邊界防護設備的配置，因在同一涉密網絡且由同一運維機構維護，為節約成本，可以在多單位共用的同一建筑物內僅配備一臺邊界防護設備（如防火墻），通過不同端口劃分不同安全域，對多個法人單位的用戶終端提供安全域邊界防護。同時，應明確各法人單位的管理邊界和管理職責。

（二）將運維機構設置在最上級單位

多個法人單位共建共用同一涉密網絡的情況多發生在上級法人單位和其所屬下級法人單位之間。不同單位在共用同一涉密網絡時，可采用同一運維機構對多個法人單位進行運維。運維機構設置在上級法人單位有利于運維制度的制定和各單位的共同執行，而且運維機構依托單位與所有使用單位不存在利益沖突，可更好地與各單位溝通以推動涉密網絡的運維管理。

（三）各單位均應發布可執行制度

在運維機構依托單位制定涉密網絡管理制度后，其他單位應結合本單位實際情況制定本單位的涉密網絡管理制度，不應僅照搬運維機構依托單位的制度。同時，各單位在制定本單位的涉密網絡管理制度時，應邀請運維機構進行會簽或征詢運維機構的意見，使制度可操作、管理可銜接，使運維機構真正為本單位的涉密網絡服務提供支撐。

多個法人單位共同管理的涉密網絡一定要由最上級單位推動管理，下級單位的信息化管理人員應嚴格履職盡責，落實歸口管理責任，并按照制度中界定的運維管理職責和涉密網絡安全保密管理職責，與運維機構一起做到齊抓共管。只有各單位同心同力，才能管好涉密網絡，確保國家秘密安全。