林草政務(wù)信息安全設(shè)計

馮戈

本文針對林草政務(wù)信息的安全需求，以網(wǎng)絡(luò)安全法和最新頒布的等級保護要求為指導，建設(shè)一套滿足等級保護三級要求的信息安全系統(tǒng)，構(gòu)建林草政務(wù)一體化信息安全態(tài)勢感知平臺。創(chuàng)新性地通過各安全組件的聯(lián)動設(shè)計，優(yōu)化了安全業(yè)務(wù)流程，能夠讓使用者無感知安全的存在；簡化了安全運維人員的工作量，提高了工作效率；極大提高了林草政務(wù)信息安全水平，具有實際推廣和應用價值。

1引言

隨著科技的發(fā)展進步，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)不斷在各行各業(yè)落地應用，信息安全體現(xiàn)的尤為重要。

2016年4月19日，習近平總書記指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”。2017年6月1日《國家網(wǎng)絡(luò)安全法》正式執(zhí)行，從國家法律層面規(guī)定了安全建設(shè)應遵循的標準、規(guī)范。2019年12月1日開始實施等級保護新標準，即業(yè)界統(tǒng)稱為等級保護2.0，是我國網(wǎng)絡(luò)安全領(lǐng)域的基本制度。近年來，國家林業(yè)和草原局先后出臺了《林草政務(wù)服務(wù)平臺網(wǎng)絡(luò)安全管理制度》《林草政務(wù)服務(wù)平臺網(wǎng)絡(luò)安全事件應急預案》等文件，切實增強了新時期林草網(wǎng)絡(luò)安全和信息化工作的責任感、使命感和緊迫感。本文以林草政務(wù)信息安全建設(shè)為例，闡述了基于網(wǎng)絡(luò)安全法和等級保護2.0的信息安全建設(shè)內(nèi)容，為加強林草政務(wù)信息安全建設(shè)提供安全可靠的方案。

2信息安全建設(shè)目的

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)互聯(lián)網(wǎng)的發(fā)展，政務(wù)信息化建設(shè)更多地使用了新技術(shù)和新應用，伴隨而來的是新技術(shù)帶來的新安全問題。結(jié)合國家網(wǎng)絡(luò)安全等級保護制度的相關(guān)要求，從基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全和應用安全等多個層面切入，涉及區(qū)域邊界、通信網(wǎng)絡(luò)、計算環(huán)境、終端、應用系統(tǒng)和數(shù)據(jù)等多個安全防范著力點，不再過度強調(diào)傳統(tǒng)網(wǎng)絡(luò)側(cè)的防護，加強終端在整體防御體系中的重要性。通過基于大數(shù)據(jù)的安全管理系統(tǒng)將傳統(tǒng)互相獨立的分散的防御技術(shù)進行整合、關(guān)聯(lián)分析，以數(shù)據(jù)驅(qū)動安全為導向，建設(shè)一套立體化全方位的信息安全防御系統(tǒng)，把控整體信息安全態(tài)勢。

3設(shè)計與實現(xiàn)

3.1信息安全設(shè)計

網(wǎng)絡(luò)和通信安全層面：使用各類安全串行防護設(shè)備，包括各類防火墻、入侵防御系統(tǒng)；保障遠程安全接入的VPN系統(tǒng)；維護網(wǎng)絡(luò)邊界完整性的網(wǎng)絡(luò)接入認證系統(tǒng)和無線安全認證系統(tǒng)；執(zhí)行網(wǎng)絡(luò)資源控制的鏈路負載均衡設(shè)備；在網(wǎng)絡(luò)邊緣節(jié)點部署安全系統(tǒng)探針。

設(shè)備和計算安全層面：使用運維審計管理系統(tǒng)，提供身份賬戶管理、鑒別管理、授權(quán)管理、工單管理和操作審計等功能；基礎(chǔ)設(shè)施即服務(wù)管理組件支持與信息安全相關(guān)系統(tǒng)中的虛擬化安全軟件對接，提供惡意代碼防護、入侵防范和訪問控制等相關(guān)安全防護能力，以保護虛擬機安全；在物理服務(wù)器、辦公終端和移動辦公終端使用防病毒軟件，保護主機安全。

應用和數(shù)據(jù)安全層面：使用安全認證管理，通過構(gòu)建應用統(tǒng)一認證管理環(huán)境，為應用訪問行為提供身份賬號管理、鑒別管理、授權(quán)管理、工作流和審批管理和應用審計功能；使用CA認證中心，通過提供基于數(shù)字證書的雙因素身份認證能力，配合安全認證、運維審計管理，提供高強度的身份鑒別能力；通過上網(wǎng)行為管理提供出口內(nèi)容安全、違規(guī)信息屏蔽能力；通過部署Web應用防火墻提供網(wǎng)站防護能力。

3.2智能安全運維

態(tài)勢感知平臺是整體安全建設(shè)的中樞和大腦，平臺收集所有安全產(chǎn)品的日志和告警，結(jié)合態(tài)勢感知平臺自身的探針采集的流量，通過匯總分析，及時發(fā)現(xiàn)并上報安全事件，為實現(xiàn)安全主動防御打下良好的基礎(chǔ)。

3.3安全聯(lián)動開發(fā)

在信息安全建設(shè)中，在滿足等級保護安全要求的前提下采用多個安全產(chǎn)品對接開發(fā)，實現(xiàn)安全聯(lián)動，提升信息安全整體水平。態(tài)勢感知平臺定制化開發(fā)了和防火墻的聯(lián)動功能，當平臺識別出高危告警后，可以向防火墻自動下發(fā)阻斷策略，真正實現(xiàn)由被動防御轉(zhuǎn)為主動防御。CA認證中心系統(tǒng)和堡壘機對接開發(fā)，滿足等級保護要求的二次強認證功能。統(tǒng)一認證系統(tǒng)和業(yè)務(wù)系統(tǒng)對接開發(fā)，實現(xiàn)賬號和授權(quán)統(tǒng)一管理。

4結(jié)束語

基于網(wǎng)絡(luò)安全法和等級保護第三級設(shè)計的林草政務(wù)信息安全，在實踐過程中驗證了其合規(guī)性、合理性和易用性，創(chuàng)新的安全聯(lián)動設(shè)計和應用，使信息安全進入主動防御階段，提升整體安全防護水平。同時提高了運維工作效率，大大降低了運維工作量和管理成本，節(jié)省了運維費用，增加了林草政務(wù)信息安全性，值得在相關(guān)行業(yè)中復制推廣。