林草政務信息安全設計

馮戈

本文針對林草政務信息的安全需求，以網絡安全法和最新頒布的等級保護要求為指導，建設一套滿足等級保護三級要求的信息安全系統，構建林草政務一體化信息安全態(tài)勢感知平臺。創(chuàng)新性地通過各安全組件的聯動設計，優(yōu)化了安全業(yè)務流程，能夠讓使用者無感知安全的存在；簡化了安全運維人員的工作量，提高了工作效率；極大提高了林草政務信息安全水平，具有實際推廣和應用價值。

1引言

隨著科技的發(fā)展進步，云計算、大數據、物聯網等新技術不斷在各行各業(yè)落地應用，信息安全體現的尤為重要。

2016年4月19日，習近平總書記指出“沒有網絡安全就沒有國家安全”。2017年6月1日《國家網絡安全法》正式執(zhí)行，從國家法律層面規(guī)定了安全建設應遵循的標準、規(guī)范。2019年12月1日開始實施等級保護新標準，即業(yè)界統稱為等級保護2.0，是我國網絡安全領域的基本制度。近年來，國家林業(yè)和草原局先后出臺了《林草政務服務平臺網絡安全管理制度》《林草政務服務平臺網絡安全事件應急預案》等文件，切實增強了新時期林草網絡安全和信息化工作的責任感、使命感和緊迫感。本文以林草政務信息安全建設為例，闡述了基于網絡安全法和等級保護2.0的信息安全建設內容，為加強林草政務信息安全建設提供安全可靠的方案。

2信息安全建設目的

隨著云計算、大數據、物聯網、移動互聯、工業(yè)互聯網的發(fā)展，政務信息化建設更多地使用了新技術和新應用，伴隨而來的是新技術帶來的新安全問題。結合國家網絡安全等級保護制度的相關要求，從基礎設施安全、數據安全和應用安全等多個層面切入，涉及區(qū)域邊界、通信網絡、計算環(huán)境、終端、應用系統和數據等多個安全防范著力點，不再過度強調傳統網絡側的防護，加強終端在整體防御體系中的重要性。通過基于大數據的安全管理系統將傳統互相獨立的分散的防御技術進行整合、關聯分析，以數據驅動安全為導向，建設一套立體化全方位的信息安全防御系統，把控整體信息安全態(tài)勢。

3設計與實現

3.1信息安全設計

網絡和通信安全層面：使用各類安全串行防護設備，包括各類防火墻、入侵防御系統；保障遠程安全接入的VPN系統；維護網絡邊界完整性的網絡接入認證系統和無線安全認證系統；執(zhí)行網絡資源控制的鏈路負載均衡設備；在網絡邊緣節(jié)點部署安全系統探針。

設備和計算安全層面：使用運維審計管理系統，提供身份賬戶管理、鑒別管理、授權管理、工單管理和操作審計等功能；基礎設施即服務管理組件支持與信息安全相關系統中的虛擬化安全軟件對接，提供惡意代碼防護、入侵防范和訪問控制等相關安全防護能力，以保護虛擬機安全；在物理服務器、辦公終端和移動辦公終端使用防病毒軟件，保護主機安全。

應用和數據安全層面：使用安全認證管理，通過構建應用統一認證管理環(huán)境，為應用訪問行為提供身份賬號管理、鑒別管理、授權管理、工作流和審批管理和應用審計功能；使用CA認證中心，通過提供基于數字證書的雙因素身份認證能力，配合安全認證、運維審計管理，提供高強度的身份鑒別能力；通過上網行為管理提供出口內容安全、違規(guī)信息屏蔽能力；通過部署Web應用防火墻提供網站防護能力。

3.2智能安全運維

態(tài)勢感知平臺是整體安全建設的中樞和大腦，平臺收集所有安全產品的日志和告警，結合態(tài)勢感知平臺自身的探針采集的流量，通過匯總分析，及時發(fā)現并上報安全事件，為實現安全主動防御打下良好的基礎。

3.3安全聯動開發(fā)

在信息安全建設中，在滿足等級保護安全要求的前提下采用多個安全產品對接開發(fā)，實現安全聯動，提升信息安全整體水平。態(tài)勢感知平臺定制化開發(fā)了和防火墻的聯動功能，當平臺識別出高危告警后，可以向防火墻自動下發(fā)阻斷策略，真正實現由被動防御轉為主動防御。CA認證中心系統和堡壘機對接開發(fā)，滿足等級保護要求的二次強認證功能。統一認證系統和業(yè)務系統對接開發(fā)，實現賬號和授權統一管理。

4結束語

基于網絡安全法和等級保護第三級設計的林草政務信息安全，在實踐過程中驗證了其合規(guī)性、合理性和易用性，創(chuàng)新的安全聯動設計和應用，使信息安全進入主動防御階段，提升整體安全防護水平。同時提高了運維工作效率，大大降低了運維工作量和管理成本，節(jié)省了運維費用，增加了林草政務信息安全性，值得在相關行業(yè)中復制推廣。