如何做好軍工單位非涉密網絡管理

孟謝琦、趙金玲、秦宇 /中國航天系統科學與工程研究院

軍工單位是指承擔國防科研生產任務，從事武器裝備研制和生產經營活動的企事業單位，涉及航空航天、船舶、兵器等重要領域。按照《中華人民共和國保守國家秘密法》規定，非涉密網絡存儲、傳輸和處理的信息不得涉及國家秘密。當前，軍工單位非涉密網絡主要有互聯網、商密網、自組局域網和工控網，承載民品研制等非涉密業務，部分非涉密網絡存在敏感不宜公開的工作信息及商業秘密信息。

軍工單位在國防領域所處的重要地位使其非涉密網絡成為境外情報機構和不法分子攻擊的重點目標。軍工單位的敏感信息、商業秘密及重要信息一旦泄露，勢必損害單位利益，甚至危害國防安全。本文對軍工單位非涉密網絡建設情況及主要安全問題進行了分析，提出了針對性的管理措施及建議。

一、軍工單位非涉密網絡建設情況

為了實現軍工單位非涉密業務的快速響應、信息集成和資源共享，軍工單位普遍組建了非涉密網絡。非涉密網絡主要包括四類：

（1）互聯網。部分軍工單位通過虛擬專用網（VPN）形式處理非涉密業務，或直接在互聯網開展工作，通常用于移動辦公或跨國協同辦公。

（2）商密網。部分軍工單位為了發展民用產業，便于經營管控，提升工作效率，形成了與互聯網邏輯隔離的商密網，商密網中存儲商業秘密。

（3）自組局域網。部分軍工單位為了處理不涉及國家秘密但又不便于在互聯網中公開發布的敏感信息，組建內部局域網，與互聯網物理隔離。

（4）工控網。涉及智能制造、電子裝聯、測試試驗等業務的軍工單位，將工控設備、加工生產設備、測試試驗設備組成工控網，與互聯網物理隔離或邏輯隔離。

近年來，針對非涉密網絡的攻擊手段更加多樣，安全事件頻發，如新冠肺炎疫情釣魚事件、中國電信數據泄露事件、美國輸油管道勒索病毒攻擊事件、SolarWinds 供應鏈攻擊事件等。非涉密網絡中Web 應用、操作系統、數據庫、工控系統攜帶大量漏洞，能夠被攻擊者快速利用，引發安全事件。非涉密網絡軟、硬件設備的主要安全漏洞如表1所示。

軍工單位普遍對非涉密網絡的重要性和存在的安全問題及面臨的安全風險認識不足，因此有必要分析軍工單位非涉密網絡的主要問題，探索非涉密網絡管理的相關措施。

二、軍工單位非涉密網絡存在的主要問題

1.非涉密網絡缺乏有效管理

軍工單位非涉密網絡大部分未明確管理機構和管理職責，設備維護、網絡運維、監督管理等分工不清，未建立可執行的管理制度。在日常管理中，非涉密網絡資產底數不清、使用情況不明的現象普遍存在；即使建立了管理制度，制度的可操作性和執行落實均比較差。

部分軍工單位在規劃與建設非涉密網絡時，未充分考慮網絡安全防護需求，重應用輕安全、重可用輕防護，增加了非涉密網絡的運維、安全管理難度。

2.人員安全防范意識淡薄

軍工單位高度重視涉密網絡，但對非涉密網絡的重視程度普遍不夠，用于網絡管理的資金、人員投入普遍不足。使用人員多為缺少保密教育的非涉密人員，防范意識和防范能力薄弱，用戶使用弱口令登錄系統、隨意插接介質、設備隨意入網、不處理感染木馬病毒的程序等危害非涉密網絡安全的情況較為普遍，且通過非涉密網絡違規處理涉密信息及將敏感信息違規輸出的情況時有發生。

3.對待外來威脅缺乏有效手段

軍工制造企業通常會組建工控網，工控網設備類型眾多，現有標準的針對性和可操作性不強，缺乏針對工控設備等特殊設備的防護措施，工控網的抗攻擊能力較差。軍工單位的互聯網及與互聯網邏輯隔離的商密網更容易受到來自互聯網的多方攻擊，自組局域網容易受到來自網絡內部和數據交互引入的病毒攻擊。面對外來威脅，非涉密網絡的安全管理不僅僅是安全產品的堆疊，更需要專業的技術人員進行管理?，F階段技術防護體系不足、人員能力欠缺，使得非涉密網絡對外來威脅缺乏行之有效的防護手段。

4.網絡安全監督管理機制不健全

軍工單位的互聯網和商密網由公安部授權的等級保護測評機構進行風險評估，但存儲、處理工作敏感信息的自組局域網和對穩定性要求極高的工控網缺乏專業的評估機構進行風險識別。軍工單位內部開展的非涉密網絡自查多關注該網絡信息是否涉密，對非涉密網絡自身的安全性缺乏重視，不能切實發現風險隱患。對識別的風險應對能力不足，導致隱患長期存在。

表1 非涉密網絡軟、硬件設備的主要安全漏洞

三、軍工單位非涉密網絡的管理對策及建議

1.完善頂層設計，統籌規劃非涉密網絡安全防護建設

非涉密網絡在頂層設計階段，結合等級保護、行業標準等網絡建設標準要求，充分調研各部門業務需求，以業務活動為主線，將各安全要素滲透進業務流程中，明確各方責任，在建設維護時設置專項經費，對非涉密網絡進行統一規劃、設計、建設、管理、運維，統籌非涉密網絡的安全防護體系建設和運維人員配備，保證非涉密網絡具備較高的整體防護能力。

2.落實主體責任，建立非涉密網絡防護管理機制

軍工單位對非涉密網絡實行歸口管理、職責分擔、協作配合的分工體制，制定歸口管理、設備管理、運維管理、監督管理等一系列管理辦法與制度，將非涉密網絡的相關要求納入整個管理體系中，形成常態化管理機制，制定非涉密網絡使用及運行維護的相關操作規程，確保各項措施落到實處。

3.加強技術管控，健全非涉密網絡防護技術體系

軍工單位參照等級保護要求進行非涉密網絡技術防護，識別保護等級，確定安全基線，設計安全防護策略。重點開展以下7個方面工作。

（1）身份認證。對非涉密網絡中的軟硬件設備、應用的本地登錄和遠程登錄進行身份認證，必要時采取多因子認證方式。

（2）訪問控制。依據最小授權原則制定用戶權限分配策略，將敏感信息接觸范圍限制在最小范圍內。

（3）網絡防護。部署邊界防護產品進行網絡邊界防護，采取入侵防御聯動措施，自動阻斷和追蹤入侵行為。

（4）主機防護。對服務器、計算機等硬件設備進行加固，及時更新操作系統、數據庫、應用軟件的安全補丁程序，定期挖掘系統漏洞，并予以修補，防止攻擊者利用漏洞發起攻擊。

（5）計算機病毒與惡意代碼防護。部署防病毒系統，在非涉密網絡系統關鍵節點（如網絡出入口）部署異構防病毒產品，加強病毒與惡意代碼防護。

（6）安全檢查和審計。在關鍵操作處如信息輸入輸出端進行安全檢查和審計，避免涉密信息、惡意代碼和特定信息流入及敏感信息非授權流出。

（7）數據備份與恢復。制定備份措施保障關鍵數據的安全，制定恢復預案以保障故障情況下重要業務的快速恢復。

4.強化教育引導，提升人員網絡安全意識和使用規范

定期對非涉密網絡使用人員開展網絡安全行為規范、風險危害等教育培訓，引導用戶正確使用非涉密網絡，讓所有用戶在使用計算機之初就能夠深刻認識到網絡安全的重要性，進而在操作過程中提高防范意識。通過對運維管理人員進行專業技術培訓，切實提升管理人員的安全防范專業技術水平，掌握網絡應急事件處理方法。

5.定期風險評估，形成以查促改、以改促優的正向循環

軍工單位定期組織開展非涉密網絡風險自評估，按期邀請專業測評機構進行安全評估。建立責任追究機制，舉一反三落實整改，形成以查促改、以改促優的正向循環，并定期分析業務系統更新和管理因素變化帶來的安全威脅，動態調整非涉密網絡的安全策略，適時補充和完善技術與管理措施。

軍工單位非涉密網絡的建設和使用給非涉密業務發展帶來了便利，但在非涉密網絡的使用過程中，網絡安全問題仍然是網絡管理中無法忽視的問題。本文對軍工單位非涉密網絡現狀進行了闡述，對網絡管理的主要問題進行了分析，并提出了相應的管理措施和建議。通過采取相應的措施和手段，可以提高軍工單位非涉密網絡的安全性，對促進非涉密網絡的管理能力起到一定借鑒作用。