浅析军工企业“互联网+”建设存在问题

朱小卫，范 军

（中国航发贵州黎阳航空动力有限公司，贵阳 550014）

0 引言

随着我国信息技术的不断创新和改革，“互联网＋”被广泛应用在各个领域中，推动了各个行业的快速发展。但是对军工企业来说这是一个新事物，“互联网＋”给军工企业带来的不仅是发展的机遇，也是挑战。因此，互联网时代，军工企业需要结合互联网时代的特征、互联网的优势以及军工企业自身安全保密管理要求的实际情况，将多方面的因素进行有机结合，通过一定的措施和手段，来实现军工企业“互联网＋”的建设应用，促进军工企业高质量、高效率、高效益发展，加快推动军工企业在新时代背景下转型升级。

1 军工企业“互联网＋”建设的必要性

在新形势下，世界发展日新月异，军工企业承担着打造“国之重器”的使命和责任，是我国军事科技力量重要的组成部分，是国家战略的安全基石，展现了我国综合实力、肩负着国防建设、经济建设的双重使命，代表着制造业的最顶端［1］。在“互联网＋”时代背景下，企业管理能力的提高离不开信息技术的帮助，“互联网＋”建设的应用是提高办公效率的有效途径，军工企业与“互联网＋”概念相结合是社会发展的潮流，也是企业发展的必然趋势［2］。

2 军工企业“互联网＋”建设存在的问题

2.1 互联网办公存在保密安全隐患

从军工企业的特点来看，业务中涉及诸多国家机密、商业机密和敏感事项，而军工企业的工作性质，让保密工作在军工企业发展中成为不可或缺的重要组成部分。因此，军工企业的信息化系统建设必须按照国家保密要求进行部署，而军工企业“互联网＋”建设在互联网办公方面主要存在以下安全保密隐患：①员工个人使用手机、平板等移动终端进行互联网办公，无法进行有效管控，存在处理、传输敏感信息的安全隐患；②员工在互联网填报个人信息，存在泄露个人身份、具体工作部门、工作地址及其他军工敏感信息的风险；③军工企业员工集中在互联网办公，容易引相关人员关注；④互联网所面临的信息安全更复杂，容易遭受木马病毒与钓鱼链接的攻击。

2.2 互联网办公缺少管理制度的规范

对于军工企业来说，因互联网的开放性、共享性，互联网办公一直是没有人愿意触碰的领域，除了必要的信息发布管理制度，互联网办公未建立相应的管理制度，缺少对账号登录、设备管控、用户行为审计、平台运维等管理的规范。

2.3 “互联网＋”建设资金投入较大

目前军工企业网络环境均采用局域网的方式部署，与互联网物理隔离，缺少“互联网＋”建设所需的资源。建设“互联网＋”应用需要重新部署互联网网络、服务器环境、互联网平台、配置信息安全的信息化技术人员以及互联网应用需要取得相应保证书，需要定期进行等保测评，需要大量的资金投入。

2.4 场景转换，缺乏互联网信息安全运维资源

当前，军工企业信息化主要以内部局域网建设为主，应对的信息安全形势相当简单，导致企业缺乏信息安全人才，信息安全检测技术落后，信息攻防水平不高，信息化技术人员难以胜任互联网复杂的信息安全运维工作。

3 军工企业“互联网＋”建设基本原则

信息化时代，“互联网＋”已经是一项使用广泛、技术成熟的通用技术，但是“互联网＋”对军工企业来说，还是新兴的事物，必须在满足业务需求的同时，满足安全保密管理要求，确保不能触及“保密红线”，因此推广“互联网＋”建设需要遵循以下原则：①统筹规划，分步实施；②大胆设想，小心求证；③充分论证，落实防护措施；④落实保密与业务的互动机制。

4 军工企业“互联网＋”建设实施方法

综合上文梳理的存在问题和基本原则，军工企业“互联网＋”建设主要从以下三个步骤实施。

4.1 识别风险，做好防护

首先，制定管理制度并落实管理措施，规范互联网办公用户行为。①制度必须明确，各层级管理人员必须“履部门管理职责、权限分配职责，落实监管、审查职责”；②明确互联网设备管理要求，必须“专人专管”；③明确外来人员管理要求，禁止加入企业所属的互联网应用架构中；④明确互联网应用，运行环境的等保资质要求，必须经过等保测评（最好具备3 级以上等保资质）；⑤明确互联网应用的信息发布、外发，严格履行审批流程；⑥明确员工使用互联网办公，必须经过审批并签订保密承诺书；⑦严禁手机等便携式设备带入保密要害部门及涉密会议和活动；⑧禁止在涉密场所部署具备视频通话、拍照、上网等功能的互联网终端设备，并做到专人专管；⑨涉密办公场所和使用涉密信息设备的场所，禁止便携电子设备使用人脸识别验证。

其次，通过信息化技术手段采用技术措施，约束员工自主输入信息的能力。通过管理制度约束员工行为，仍无法完全保证互联网办公的保密安全，因此必须通过技术手段做好风险防范。①坚持信息填报最小化原则，简化系统信息字段，仅使用业务管理所需的必填信息；②填报信息不允许同时出现部门名称、职务、具体工作地点等信息；③敏感信息使用编码替代，包括公司名称、部门名称以及其他敏感信息；④尽量避免“人脸识别、指纹”等生物特征验证方式，避免涉密人员生物信息泄露；⑤禁用GPS 功能，避免个人行动轨迹泄露；⑥减少人为的信息填报，必须填报的信息通过系统预置，采用选择、勾选的方式；⑦必须人为填报信息时，增加保密提醒功能或者特殊字段限制功能。

再次，通过培训教育提高员工安全保密意识，保护信息安全。互联网是非常复杂的一种虚拟环境，军工企业的员工须有较强的安全保密意识，而保密意识的形成和强化需要长期的训练。一方面，通过保密形势教育、保密知识教育以及泄密事件案例宣传等，让全体员工了解并掌握保密注意事项；另一方面，谨记坚持“涉密不上网，上网不涉密”的原则。

最后，加强保密检查，做好信息安全风险评估工作。加强保密检查工作是把控信息流动的最后一道监管程序。由于军工企业信息涉及内容较为复杂，在互联网办公必须严格遵守工作流程，时刻绷紧信息保密这根弦，形成敏锐的保密意识和良好的保密习惯。定期对互联网应用进行排查，可将安全隐患尽可能排除，确保信息安全。

4.2 梳理业务，做好规划

军工企业因其特殊性，不可能将所有办公业务纳入互联网办公，因此军工企业要实施“互联网＋”建设，必须提前做好业务梳理，然后根据梳理情况做好互联网办公平台的业务规划，并制定实施计划。

4.3 选定平台，启动实施

一方面，互联网办公更便捷，大大提高了军工企业的生产效率；另一方面互联网具有开放性，易被攻击、易泄露，给军工企业的信息安全带来威胁［3］。但是维护互联网信息安全所需的资源较多，因此建议通过租赁互联网平台的方式实现“互联网＋”的建设，减少企业在网络环境、互联网服务器、信息安全人才以及其他方面后期的持续投入，通过社会资源的共享，企业只管产品的使用并支付租赁费。目前市场上有大量成熟的互联网办公平台，如钉钉、企业微信等，但是互联网应用的选择必须严格控制，需要具有一定的资质以及签订相关协议。

①互联网应用、运行环境必须经过等保测评，供应商需签订保密协议，严禁私自将企业数据提供给第三方；②企业的相关信息必须采用加密技术保护，防止供应商、其他人员查看；③必须通过技术手段保障互联网应用的网络安全，最大限度地保障业务数据的安全运转，通过V P N、防火墙、专有A P N等方式保障互联网应用的网络安全，防止互联网应用被非法入侵、篡改；④采取有效的技术防护措施对用户进行身份认证，保证用户的账号信息不会轻易地被他人窃取，从而防止用户身份被非法冒用；⑤互联网应用应基于SSL／TLS 协议对所有的数据进行加密传输，通过这种私有安全通信协议，实现通信链路加密、签名，防止窃听、篡改，以确保数据信息的传输安全；⑥要求在数据生命周期各阶段，如数据产生、数据存储、数据使用、数据传输、数据共享、数据销毁等都采取必要的安全控制措施，确保用户数据的机密性、完整性、可靠性；⑦要求提供可靠的应急响应方案，实现安全事件发现、处置、溯源、复盘等闭环管理并持续运营，确保业务系统安全稳定运行。

5 结语

在互联网环境下，军工企业“互联网＋”建设是必然趋势。目前因安全保密管理问题，大部分军工企业不愿接触互联网环境，但是社会的发展必然会逼迫企业进入互联网环境中，因此企业要发现问题、解决问题才能更好地跟上时代的发展。