冯戈

本文针对林草政务信息的安全需求，以网络安全法和最新颁布的等级保护要求为指导，建设一套满足等级保护三级要求的信息安全系统，构建林草政务一体化信息安全态势感知平台。创新性地通过各安全组件的联动设计，优化了安全业务流程，能够让使用者无感知安全的存在；简化了安全运维人员的工作量，提高了工作效率；极大提高了林草政务信息安全水平，具有实际推广和应用价值。

1引言

随着科技的发展进步，云计算、大数据、物联网等新技术不断在各行各业落地应用，信息安全体现的尤为重要。

2016年4月19日，习近平总书记指出“没有网络安全就没有国家安全”。2017年6月1日《国家网络安全法》正式执行，从国家法律层面规定了安全建设应遵循的标准、规范。2019年12月1日开始实施等级保护新标准，即业界统称为等级保护2.0，是我国网络安全领域的基本制度。近年来，国家林业和草原局先后出台了《林草政务服务平台网络安全管理制度》《林草政务服务平台网络安全事件应急预案》等文件，切实增强了新时期林草网络安全和信息化工作的责任感、使命感和紧迫感。本文以林草政务信息安全建设为例，阐述了基于网络安全法和等级保护2.0的信息安全建设内容，为加强林草政务信息安全建设提供安全可靠的方案。

2信息安全建设目的

随着云计算、大数据、物联网、移动互联、工业互联网的发展，政务信息化建设更多地使用了新技术和新应用，伴随而来的是新技术带来的新安全问题。结合国家网络安全等级保护制度的相关要求，从基础设施安全、数据安全和应用安全等多个层面切入，涉及区域边界、通信网络、计算环境、终端、应用系统和数据等多个安全防范着力点，不再过度强调传统网络侧的防护，加强终端在整体防御体系中的重要性。通过基于大数据的安全管理系统将传统互相独立的分散的防御技术进行整合、关联分析，以数据驱动安全为导向，建设一套立体化全方位的信息安全防御系统，把控整体信息安全态势。

3设计与实现

3.1信息安全设计

网络和通信安全层面：使用各类安全串行防护设备，包括各类防火墙、入侵防御系统；保障远程安全接入的VPN系统；维护网络边界完整性的网络接入认证系统和无线安全认证系统；执行网络资源控制的链路负载均衡设备；在网络邊缘节点部署安全系统探针。

设备和计算安全层面：使用运维审计管理系统，提供身份账户管理、鉴别管理、授权管理、工单管理和操作审计等功能；基础设施即服务管理组件支持与信息安全相关系统中的虚拟化安全软件对接，提供恶意代码防护、入侵防范和访问控制等相关安全防护能力，以保护虚拟机安全；在物理服务器、办公终端和移动办公终端使用防病毒软件，保护主机安全。

应用和数据安全层面：使用安全认证管理，通过构建应用统一认证管理环境，为应用访问行为提供身份账号管理、鉴别管理、授权管理、工作流和审批管理和应用审计功能；使用CA认证中心，通过提供基于数字证书的双因素身份认证能力，配合安全认证、运维审计管理，提供高强度的身份鉴别能力；通过上网行为管理提供出口内容安全、违规信息屏蔽能力；通过部署Web应用防火墙提供网站防护能力。

3.2智能安全运维

态势感知平台是整体安全建设的中枢和大脑，平台收集所有安全产品的日志和告警，结合态势感知平台自身的探针采集的流量，通过汇总分析，及时发现并上报安全事件，为实现安全主动防御打下良好的基础。

3.3安全联动开发

在信息安全建设中，在满足等级保护安全要求的前提下采用多个安全产品对接开发，实现安全联动，提升信息安全整体水平。态势感知平台定制化开发了和防火墙的联动功能，当平台识别出高危告警后，可以向防火墙自动下发阻断策略，真正实现由被动防御转为主动防御。CA认证中心系统和堡垒机对接开发，满足等级保护要求的二次强认证功能。统一认证系统和业务系统对接开发，实现账号和授权统一管理。

4结束语

基于网络安全法和等级保护第三级设计的林草政务信息安全，在实践过程中验证了其合规性、合理性和易用性，创新的安全联动设计和应用，使信息安全进入主动防御阶段，提升整体安全防护水平。同时提高了运维工作效率，大大降低了运维工作量和管理成本，节省了运维费用，增加了林草政务信息安全性，值得在相关行业中复制推广。