馮戈

本文針對林草政務信息的安全需求，以網絡安全法和最新頒布的等級保護要求為指導，建設一套滿足等級保護三級要求的信息安全系統(tǒng)，構建林草政務一體化信息安全態(tài)勢感知平臺。創(chuàng)新性地通過各安全組件的聯(lián)動設計，優(yōu)化了安全業(yè)務流程，能夠讓使用者無感知安全的存在；簡化了安全運維人員的工作量，提高了工作效率；極大提高了林草政務信息安全水平，具有實際推廣和應用價值。

1引言

隨著科技的發(fā)展進步，云計算、大數據、物聯(lián)網等新技術不斷在各行各業(yè)落地應用，信息安全體現的尤為重要。

2016年4月19日，習近平總書記指出“沒有網絡安全就沒有國家安全”。2017年6月1日《國家網絡安全法》正式執(zhí)行，從國家法律層面規(guī)定了安全建設應遵循的標準、規(guī)范。2019年12月1日開始實施等級保護新標準，即業(yè)界統(tǒng)稱為等級保護2.0，是我國網絡安全領域的基本制度。近年來，國家林業(yè)和草原局先后出臺了《林草政務服務平臺網絡安全管理制度》《林草政務服務平臺網絡安全事件應急預案》等文件，切實增強了新時期林草網絡安全和信息化工作的責任感、使命感和緊迫感。本文以林草政務信息安全建設為例，闡述了基于網絡安全法和等級保護2.0的信息安全建設內容，為加強林草政務信息安全建設提供安全可靠的方案。

2信息安全建設目的

隨著云計算、大數據、物聯(lián)網、移動互聯(lián)、工業(yè)互聯(lián)網的發(fā)展，政務信息化建設更多地使用了新技術和新應用，伴隨而來的是新技術帶來的新安全問題。結合國家網絡安全等級保護制度的相關要求，從基礎設施安全、數據安全和應用安全等多個層面切入，涉及區(qū)域邊界、通信網絡、計算環(huán)境、終端、應用系統(tǒng)和數據等多個安全防范著力點，不再過度強調傳統(tǒng)網絡側的防護，加強終端在整體防御體系中的重要性。通過基于大數據的安全管理系統(tǒng)將傳統(tǒng)互相獨立的分散的防御技術進行整合、關聯(lián)分析，以數據驅動安全為導向，建設一套立體化全方位的信息安全防御系統(tǒng)，把控整體信息安全態(tài)勢。

3設計與實現

3.1信息安全設計

網絡和通信安全層面：使用各類安全串行防護設備，包括各類防火墻、入侵防御系統(tǒng)；保障遠程安全接入的VPN系統(tǒng)；維護網絡邊界完整性的網絡接入認證系統(tǒng)和無線安全認證系統(tǒng)；執(zhí)行網絡資源控制的鏈路負載均衡設備；在網絡邊緣節(jié)點部署安全系統(tǒng)探針。

設備和計算安全層面：使用運維審計管理系統(tǒng)，提供身份賬戶管理、鑒別管理、授權管理、工單管理和操作審計等功能；基礎設施即服務管理組件支持與信息安全相關系統(tǒng)中的虛擬化安全軟件對接，提供惡意代碼防護、入侵防范和訪問控制等相關安全防護能力，以保護虛擬機安全；在物理服務器、辦公終端和移動辦公終端使用防病毒軟件，保護主機安全。

應用和數據安全層面：使用安全認證管理，通過構建應用統(tǒng)一認證管理環(huán)境，為應用訪問行為提供身份賬號管理、鑒別管理、授權管理、工作流和審批管理和應用審計功能；使用CA認證中心，通過提供基于數字證書的雙因素身份認證能力，配合安全認證、運維審計管理，提供高強度的身份鑒別能力；通過上網行為管理提供出口內容安全、違規(guī)信息屏蔽能力；通過部署Web應用防火墻提供網站防護能力。

3.2智能安全運維

態(tài)勢感知平臺是整體安全建設的中樞和大腦，平臺收集所有安全產品的日志和告警，結合態(tài)勢感知平臺自身的探針采集的流量，通過匯總分析，及時發(fā)現并上報安全事件，為實現安全主動防御打下良好的基礎。

3.3安全聯(lián)動開發(fā)

在信息安全建設中，在滿足等級保護安全要求的前提下采用多個安全產品對接開發(fā)，實現安全聯(lián)動，提升信息安全整體水平。態(tài)勢感知平臺定制化開發(fā)了和防火墻的聯(lián)動功能，當平臺識別出高危告警后，可以向防火墻自動下發(fā)阻斷策略，真正實現由被動防御轉為主動防御。CA認證中心系統(tǒng)和堡壘機對接開發(fā)，滿足等級保護要求的二次強認證功能。統(tǒng)一認證系統(tǒng)和業(yè)務系統(tǒng)對接開發(fā)，實現賬號和授權統(tǒng)一管理。

4結束語

基于網絡安全法和等級保護第三級設計的林草政務信息安全，在實踐過程中驗證了其合規(guī)性、合理性和易用性，創(chuàng)新的安全聯(lián)動設計和應用，使信息安全進入主動防御階段，提升整體安全防護水平。同時提高了運維工作效率，大大降低了運維工作量和管理成本，節(jié)省了運維費用，增加了林草政務信息安全性，值得在相關行業(yè)中復制推廣。