馮戈

本文針對(duì)林草政務(wù)信息的安全需求，以網(wǎng)絡(luò)安全法和最新頒布的等級(jí)保護(hù)要求為指導(dǎo)，建設(shè)一套滿(mǎn)足等級(jí)保護(hù)三級(jí)要求的信息安全系統(tǒng)，構(gòu)建林草政務(wù)一體化信息安全態(tài)勢(shì)感知平臺(tái)。創(chuàng)新性地通過(guò)各安全組件的聯(lián)動(dòng)設(shè)計(jì)，優(yōu)化了安全業(yè)務(wù)流程，能夠讓使用者無(wú)感知安全的存在；簡(jiǎn)化了安全運(yùn)維人員的工作量，提高了工作效率；極大提高了林草政務(wù)信息安全水平，具有實(shí)際推廣和應(yīng)用價(jià)值。

1引言

隨著科技的發(fā)展進(jìn)步，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)不斷在各行各業(yè)落地應(yīng)用，信息安全體現(xiàn)的尤為重要。

2016年4月19日，習(xí)近平總書(shū)記指出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”。2017年6月1日《國(guó)家網(wǎng)絡(luò)安全法》正式執(zhí)行，從國(guó)家法律層面規(guī)定了安全建設(shè)應(yīng)遵循的標(biāo)準(zhǔn)、規(guī)范。2019年12月1日開(kāi)始實(shí)施等級(jí)保護(hù)新標(biāo)準(zhǔn)，即業(yè)界統(tǒng)稱(chēng)為等級(jí)保護(hù)2.0，是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本制度。近年來(lái)，國(guó)家林業(yè)和草原局先后出臺(tái)了《林草政務(wù)服務(wù)平臺(tái)網(wǎng)絡(luò)安全管理制度》《林草政務(wù)服務(wù)平臺(tái)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等文件，切實(shí)增強(qiáng)了新時(shí)期林草網(wǎng)絡(luò)安全和信息化工作的責(zé)任感、使命感和緊迫感。本文以林草政務(wù)信息安全建設(shè)為例，闡述了基于網(wǎng)絡(luò)安全法和等級(jí)保護(hù)2.0的信息安全建設(shè)內(nèi)容，為加強(qiáng)林草政務(wù)信息安全建設(shè)提供安全可靠的方案。

2信息安全建設(shè)目的

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)互聯(lián)網(wǎng)的發(fā)展，政務(wù)信息化建設(shè)更多地使用了新技術(shù)和新應(yīng)用，伴隨而來(lái)的是新技術(shù)帶來(lái)的新安全問(wèn)題。結(jié)合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的相關(guān)要求，從基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全和應(yīng)用安全等多個(gè)層面切入，涉及區(qū)域邊界、通信網(wǎng)絡(luò)、計(jì)算環(huán)境、終端、應(yīng)用系統(tǒng)和數(shù)據(jù)等多個(gè)安全防范著力點(diǎn)，不再過(guò)度強(qiáng)調(diào)傳統(tǒng)網(wǎng)絡(luò)側(cè)的防護(hù)，加強(qiáng)終端在整體防御體系中的重要性。通過(guò)基于大數(shù)據(jù)的安全管理系統(tǒng)將傳統(tǒng)互相獨(dú)立的分散的防御技術(shù)進(jìn)行整合、關(guān)聯(lián)分析，以數(shù)據(jù)驅(qū)動(dòng)安全為導(dǎo)向，建設(shè)一套立體化全方位的信息安全防御系統(tǒng)，把控整體信息安全態(tài)勢(shì)。

3設(shè)計(jì)與實(shí)現(xiàn)

3.1信息安全設(shè)計(jì)

網(wǎng)絡(luò)和通信安全層面：使用各類(lèi)安全串行防護(hù)設(shè)備，包括各類(lèi)防火墻、入侵防御系統(tǒng)；保障遠(yuǎn)程安全接入的VPN系統(tǒng)；維護(hù)網(wǎng)絡(luò)邊界完整性的網(wǎng)絡(luò)接入認(rèn)證系統(tǒng)和無(wú)線安全認(rèn)證系統(tǒng)；執(zhí)行網(wǎng)絡(luò)資源控制的鏈路負(fù)載均衡設(shè)備；在網(wǎng)絡(luò)邊緣節(jié)點(diǎn)部署安全系統(tǒng)探針。

設(shè)備和計(jì)算安全層面：使用運(yùn)維審計(jì)管理系統(tǒng)，提供身份賬戶(hù)管理、鑒別管理、授權(quán)管理、工單管理和操作審計(jì)等功能；基礎(chǔ)設(shè)施即服務(wù)管理組件支持與信息安全相關(guān)系統(tǒng)中的虛擬化安全軟件對(duì)接，提供惡意代碼防護(hù)、入侵防范和訪問(wèn)控制等相關(guān)安全防護(hù)能力，以保護(hù)虛擬機(jī)安全；在物理服務(wù)器、辦公終端和移動(dòng)辦公終端使用防病毒軟件，保護(hù)主機(jī)安全。

應(yīng)用和數(shù)據(jù)安全層面：使用安全認(rèn)證管理，通過(guò)構(gòu)建應(yīng)用統(tǒng)一認(rèn)證管理環(huán)境，為應(yīng)用訪問(wèn)行為提供身份賬號(hào)管理、鑒別管理、授權(quán)管理、工作流和審批管理和應(yīng)用審計(jì)功能；使用CA認(rèn)證中心，通過(guò)提供基于數(shù)字證書(shū)的雙因素身份認(rèn)證能力，配合安全認(rèn)證、運(yùn)維審計(jì)管理，提供高強(qiáng)度的身份鑒別能力；通過(guò)上網(wǎng)行為管理提供出口內(nèi)容安全、違規(guī)信息屏蔽能力；通過(guò)部署Web應(yīng)用防火墻提供網(wǎng)站防護(hù)能力。

3.2智能安全運(yùn)維

態(tài)勢(shì)感知平臺(tái)是整體安全建設(shè)的中樞和大腦，平臺(tái)收集所有安全產(chǎn)品的日志和告警，結(jié)合態(tài)勢(shì)感知平臺(tái)自身的探針采集的流量，通過(guò)匯總分析，及時(shí)發(fā)現(xiàn)并上報(bào)安全事件，為實(shí)現(xiàn)安全主動(dòng)防御打下良好的基礎(chǔ)。

3.3安全聯(lián)動(dòng)開(kāi)發(fā)

在信息安全建設(shè)中，在滿(mǎn)足等級(jí)保護(hù)安全要求的前提下采用多個(gè)安全產(chǎn)品對(duì)接開(kāi)發(fā)，實(shí)現(xiàn)安全聯(lián)動(dòng)，提升信息安全整體水平。態(tài)勢(shì)感知平臺(tái)定制化開(kāi)發(fā)了和防火墻的聯(lián)動(dòng)功能，當(dāng)平臺(tái)識(shí)別出高危告警后，可以向防火墻自動(dòng)下發(fā)阻斷策略，真正實(shí)現(xiàn)由被動(dòng)防御轉(zhuǎn)為主動(dòng)防御。CA認(rèn)證中心系統(tǒng)和堡壘機(jī)對(duì)接開(kāi)發(fā)，滿(mǎn)足等級(jí)保護(hù)要求的二次強(qiáng)認(rèn)證功能。統(tǒng)一認(rèn)證系統(tǒng)和業(yè)務(wù)系統(tǒng)對(duì)接開(kāi)發(fā)，實(shí)現(xiàn)賬號(hào)和授權(quán)統(tǒng)一管理。

4結(jié)束語(yǔ)

基于網(wǎng)絡(luò)安全法和等級(jí)保護(hù)第三級(jí)設(shè)計(jì)的林草政務(wù)信息安全，在實(shí)踐過(guò)程中驗(yàn)證了其合規(guī)性、合理性和易用性，創(chuàng)新的安全聯(lián)動(dòng)設(shè)計(jì)和應(yīng)用，使信息安全進(jìn)入主動(dòng)防御階段，提升整體安全防護(hù)水平。同時(shí)提高了運(yùn)維工作效率，大大降低了運(yùn)維工作量和管理成本，節(jié)省了運(yùn)維費(fèi)用，增加了林草政務(wù)信息安全性，值得在相關(guān)行業(yè)中復(fù)制推廣。