孟謝琦、趙金玲、秦宇 /中國(guó)航天系統(tǒng)科學(xué)與工程研究院

軍工單位是指承擔(dān)國(guó)防科研生產(chǎn)任務(wù)，從事武器裝備研制和生產(chǎn)經(jīng)營(yíng)活動(dòng)的企事業(yè)單位，涉及航空航天、船舶、兵器等重要領(lǐng)域。按照《中華人民共和國(guó)保守國(guó)家秘密法》規(guī)定，非涉密網(wǎng)絡(luò)存儲(chǔ)、傳輸和處理的信息不得涉及國(guó)家秘密。當(dāng)前，軍工單位非涉密網(wǎng)絡(luò)主要有互聯(lián)網(wǎng)、商密網(wǎng)、自組局域網(wǎng)和工控網(wǎng)，承載民品研制等非涉密業(yè)務(wù)，部分非涉密網(wǎng)絡(luò)存在敏感不宜公開的工作信息及商業(yè)秘密信息。

軍工單位在國(guó)防領(lǐng)域所處的重要地位使其非涉密網(wǎng)絡(luò)成為境外情報(bào)機(jī)構(gòu)和不法分子攻擊的重點(diǎn)目標(biāo)。軍工單位的敏感信息、商業(yè)秘密及重要信息一旦泄露，勢(shì)必?fù)p害單位利益，甚至危害國(guó)防安全。本文對(duì)軍工單位非涉密網(wǎng)絡(luò)建設(shè)情況及主要安全問題進(jìn)行了分析，提出了針對(duì)性的管理措施及建議。

一、軍工單位非涉密網(wǎng)絡(luò)建設(shè)情況

為了實(shí)現(xiàn)軍工單位非涉密業(yè)務(wù)的快速響應(yīng)、信息集成和資源共享，軍工單位普遍組建了非涉密網(wǎng)絡(luò)。非涉密網(wǎng)絡(luò)主要包括四類：

（1）互聯(lián)網(wǎng)。部分軍工單位通過虛擬專用網(wǎng)（VPN）形式處理非涉密業(yè)務(wù)，或直接在互聯(lián)網(wǎng)開展工作，通常用于移動(dòng)辦公或跨國(guó)協(xié)同辦公。

（2）商密網(wǎng)。部分軍工單位為了發(fā)展民用產(chǎn)業(yè)，便于經(jīng)營(yíng)管控，提升工作效率，形成了與互聯(lián)網(wǎng)邏輯隔離的商密網(wǎng)，商密網(wǎng)中存儲(chǔ)商業(yè)秘密。

（3）自組局域網(wǎng)。部分軍工單位為了處理不涉及國(guó)家秘密但又不便于在互聯(lián)網(wǎng)中公開發(fā)布的敏感信息，組建內(nèi)部局域網(wǎng)，與互聯(lián)網(wǎng)物理隔離。

（4）工控網(wǎng)。涉及智能制造、電子裝聯(lián)、測(cè)試試驗(yàn)等業(yè)務(wù)的軍工單位，將工控設(shè)備、加工生產(chǎn)設(shè)備、測(cè)試試驗(yàn)設(shè)備組成工控網(wǎng)，與互聯(lián)網(wǎng)物理隔離或邏輯隔離。

近年來，針對(duì)非涉密網(wǎng)絡(luò)的攻擊手段更加多樣，安全事件頻發(fā)，如新冠肺炎疫情釣魚事件、中國(guó)電信數(shù)據(jù)泄露事件、美國(guó)輸油管道勒索病毒攻擊事件、SolarWinds 供應(yīng)鏈攻擊事件等。非涉密網(wǎng)絡(luò)中Web 應(yīng)用、操作系統(tǒng)、數(shù)據(jù)庫(kù)、工控系統(tǒng)攜帶大量漏洞，能夠被攻擊者快速利用，引發(fā)安全事件。非涉密網(wǎng)絡(luò)軟、硬件設(shè)備的主要安全漏洞如表1所示。

軍工單位普遍對(duì)非涉密網(wǎng)絡(luò)的重要性和存在的安全問題及面臨的安全風(fēng)險(xiǎn)認(rèn)識(shí)不足，因此有必要分析軍工單位非涉密網(wǎng)絡(luò)的主要問題，探索非涉密網(wǎng)絡(luò)管理的相關(guān)措施。

二、軍工單位非涉密網(wǎng)絡(luò)存在的主要問題

1.非涉密網(wǎng)絡(luò)缺乏有效管理

軍工單位非涉密網(wǎng)絡(luò)大部分未明確管理機(jī)構(gòu)和管理職責(zé)，設(shè)備維護(hù)、網(wǎng)絡(luò)運(yùn)維、監(jiān)督管理等分工不清，未建立可執(zhí)行的管理制度。在日常管理中，非涉密網(wǎng)絡(luò)資產(chǎn)底數(shù)不清、使用情況不明的現(xiàn)象普遍存在；即使建立了管理制度，制度的可操作性和執(zhí)行落實(shí)均比較差。

部分軍工單位在規(guī)劃與建設(shè)非涉密網(wǎng)絡(luò)時(shí)，未充分考慮網(wǎng)絡(luò)安全防護(hù)需求，重應(yīng)用輕安全、重可用輕防護(hù)，增加了非涉密網(wǎng)絡(luò)的運(yùn)維、安全管理難度。

2.人員安全防范意識(shí)淡薄

軍工單位高度重視涉密網(wǎng)絡(luò)，但對(duì)非涉密網(wǎng)絡(luò)的重視程度普遍不夠，用于網(wǎng)絡(luò)管理的資金、人員投入普遍不足。使用人員多為缺少保密教育的非涉密人員，防范意識(shí)和防范能力薄弱，用戶使用弱口令登錄系統(tǒng)、隨意插接介質(zhì)、設(shè)備隨意入網(wǎng)、不處理感染木馬病毒的程序等危害非涉密網(wǎng)絡(luò)安全的情況較為普遍，且通過非涉密網(wǎng)絡(luò)違規(guī)處理涉密信息及將敏感信息違規(guī)輸出的情況時(shí)有發(fā)生。

3.對(duì)待外來威脅缺乏有效手段

軍工制造企業(yè)通常會(huì)組建工控網(wǎng)，工控網(wǎng)設(shè)備類型眾多，現(xiàn)有標(biāo)準(zhǔn)的針對(duì)性和可操作性不強(qiáng)，缺乏針對(duì)工控設(shè)備等特殊設(shè)備的防護(hù)措施，工控網(wǎng)的抗攻擊能力較差。軍工單位的互聯(lián)網(wǎng)及與互聯(lián)網(wǎng)邏輯隔離的商密網(wǎng)更容易受到來自互聯(lián)網(wǎng)的多方攻擊，自組局域網(wǎng)容易受到來自網(wǎng)絡(luò)內(nèi)部和數(shù)據(jù)交互引入的病毒攻擊。面對(duì)外來威脅，非涉密網(wǎng)絡(luò)的安全管理不僅僅是安全產(chǎn)品的堆疊，更需要專業(yè)的技術(shù)人員進(jìn)行管理。現(xiàn)階段技術(shù)防護(hù)體系不足、人員能力欠缺，使得非涉密網(wǎng)絡(luò)對(duì)外來威脅缺乏行之有效的防護(hù)手段。

4.網(wǎng)絡(luò)安全監(jiān)督管理機(jī)制不健全

軍工單位的互聯(lián)網(wǎng)和商密網(wǎng)由公安部授權(quán)的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估，但存儲(chǔ)、處理工作敏感信息的自組局域網(wǎng)和對(duì)穩(wěn)定性要求極高的工控網(wǎng)缺乏專業(yè)的評(píng)估機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)識(shí)別。軍工單位內(nèi)部開展的非涉密網(wǎng)絡(luò)自查多關(guān)注該網(wǎng)絡(luò)信息是否涉密，對(duì)非涉密網(wǎng)絡(luò)自身的安全性缺乏重視，不能切實(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患。對(duì)識(shí)別的風(fēng)險(xiǎn)應(yīng)對(duì)能力不足，導(dǎo)致隱患長(zhǎng)期存在。

表1 非涉密網(wǎng)絡(luò)軟、硬件設(shè)備的主要安全漏洞

三、軍工單位非涉密網(wǎng)絡(luò)的管理對(duì)策及建議

1.完善頂層設(shè)計(jì)，統(tǒng)籌規(guī)劃非涉密網(wǎng)絡(luò)安全防護(hù)建設(shè)

非涉密網(wǎng)絡(luò)在頂層設(shè)計(jì)階段，結(jié)合等級(jí)保護(hù)、行業(yè)標(biāo)準(zhǔn)等網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)要求，充分調(diào)研各部門業(yè)務(wù)需求，以業(yè)務(wù)活動(dòng)為主線，將各安全要素滲透進(jìn)業(yè)務(wù)流程中，明確各方責(zé)任，在建設(shè)維護(hù)時(shí)設(shè)置專項(xiàng)經(jīng)費(fèi)，對(duì)非涉密網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、設(shè)計(jì)、建設(shè)、管理、運(yùn)維，統(tǒng)籌非涉密網(wǎng)絡(luò)的安全防護(hù)體系建設(shè)和運(yùn)維人員配備，保證非涉密網(wǎng)絡(luò)具備較高的整體防護(hù)能力。

2.落實(shí)主體責(zé)任，建立非涉密網(wǎng)絡(luò)防護(hù)管理機(jī)制

軍工單位對(duì)非涉密網(wǎng)絡(luò)實(shí)行歸口管理、職責(zé)分擔(dān)、協(xié)作配合的分工體制，制定歸口管理、設(shè)備管理、運(yùn)維管理、監(jiān)督管理等一系列管理辦法與制度，將非涉密網(wǎng)絡(luò)的相關(guān)要求納入整個(gè)管理體系中，形成常態(tài)化管理機(jī)制，制定非涉密網(wǎng)絡(luò)使用及運(yùn)行維護(hù)的相關(guān)操作規(guī)程，確保各項(xiàng)措施落到實(shí)處。

3.加強(qiáng)技術(shù)管控，健全非涉密網(wǎng)絡(luò)防護(hù)技術(shù)體系

軍工單位參照等級(jí)保護(hù)要求進(jìn)行非涉密網(wǎng)絡(luò)技術(shù)防護(hù)，識(shí)別保護(hù)等級(jí)，確定安全基線，設(shè)計(jì)安全防護(hù)策略。重點(diǎn)開展以下7個(gè)方面工作。

（1）身份認(rèn)證。對(duì)非涉密網(wǎng)絡(luò)中的軟硬件設(shè)備、應(yīng)用的本地登錄和遠(yuǎn)程登錄進(jìn)行身份認(rèn)證，必要時(shí)采取多因子認(rèn)證方式。

（2）訪問控制。依據(jù)最小授權(quán)原則制定用戶權(quán)限分配策略，將敏感信息接觸范圍限制在最小范圍內(nèi)。

（3）網(wǎng)絡(luò)防護(hù)。部署邊界防護(hù)產(chǎn)品進(jìn)行網(wǎng)絡(luò)邊界防護(hù)，采取入侵防御聯(lián)動(dòng)措施，自動(dòng)阻斷和追蹤入侵行為。

（4）主機(jī)防護(hù)。對(duì)服務(wù)器、計(jì)算機(jī)等硬件設(shè)備進(jìn)行加固，及時(shí)更新操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件的安全補(bǔ)丁程序，定期挖掘系統(tǒng)漏洞，并予以修補(bǔ)，防止攻擊者利用漏洞發(fā)起攻擊。

（5）計(jì)算機(jī)病毒與惡意代碼防護(hù)。部署防病毒系統(tǒng)，在非涉密網(wǎng)絡(luò)系統(tǒng)關(guān)鍵節(jié)點(diǎn)（如網(wǎng)絡(luò)出入口）部署異構(gòu)防病毒產(chǎn)品，加強(qiáng)病毒與惡意代碼防護(hù)。

（6）安全檢查和審計(jì)。在關(guān)鍵操作處如信息輸入輸出端進(jìn)行安全檢查和審計(jì)，避免涉密信息、惡意代碼和特定信息流入及敏感信息非授權(quán)流出。

（7）數(shù)據(jù)備份與恢復(fù)。制定備份措施保障關(guān)鍵數(shù)據(jù)的安全，制定恢復(fù)預(yù)案以保障故障情況下重要業(yè)務(wù)的快速恢復(fù)。

4.強(qiáng)化教育引導(dǎo)，提升人員網(wǎng)絡(luò)安全意識(shí)和使用規(guī)范

定期對(duì)非涉密網(wǎng)絡(luò)使用人員開展網(wǎng)絡(luò)安全行為規(guī)范、風(fēng)險(xiǎn)危害等教育培訓(xùn)，引導(dǎo)用戶正確使用非涉密網(wǎng)絡(luò)，讓所有用戶在使用計(jì)算機(jī)之初就能夠深刻認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，進(jìn)而在操作過程中提高防范意識(shí)。通過對(duì)運(yùn)維管理人員進(jìn)行專業(yè)技術(shù)培訓(xùn)，切實(shí)提升管理人員的安全防范專業(yè)技術(shù)水平，掌握網(wǎng)絡(luò)應(yīng)急事件處理方法。

5.定期風(fēng)險(xiǎn)評(píng)估，形成以查促改、以改促優(yōu)的正向循環(huán)

軍工單位定期組織開展非涉密網(wǎng)絡(luò)風(fēng)險(xiǎn)自評(píng)估，按期邀請(qǐng)專業(yè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全評(píng)估。建立責(zé)任追究機(jī)制，舉一反三落實(shí)整改，形成以查促改、以改促優(yōu)的正向循環(huán)，并定期分析業(yè)務(wù)系統(tǒng)更新和管理因素變化帶來的安全威脅，動(dòng)態(tài)調(diào)整非涉密網(wǎng)絡(luò)的安全策略，適時(shí)補(bǔ)充和完善技術(shù)與管理措施。

軍工單位非涉密網(wǎng)絡(luò)的建設(shè)和使用給非涉密業(yè)務(wù)發(fā)展帶來了便利，但在非涉密網(wǎng)絡(luò)的使用過程中，網(wǎng)絡(luò)安全問題仍然是網(wǎng)絡(luò)管理中無法忽視的問題。本文對(duì)軍工單位非涉密網(wǎng)絡(luò)現(xiàn)狀進(jìn)行了闡述，對(duì)網(wǎng)絡(luò)管理的主要問題進(jìn)行了分析，并提出了相應(yīng)的管理措施和建議。通過采取相應(yīng)的措施和手段，可以提高軍工單位非涉密網(wǎng)絡(luò)的安全性，對(duì)促進(jìn)非涉密網(wǎng)絡(luò)的管理能力起到一定借鑒作用。