某资源测绘院
建设背景
在国家生态文明建设与数字中国战略持续推进的背景下,自然资源治理正加快向全域感知、智能分析和协同监管转型。某省自然资源综合感知服务系统作为支撑全省地质灾害监测、耕地保护监管和矿山生态修复的重要数字化平台,业务覆盖范围广、数据类型多、运行连续性要求高,对系统安全性和可靠性提出了更高要求。
随着系统数据集中程度和跨层级共享需求不断提升,传统安全防护手段已难以全面满足身份可信、数据防篡改和安全合规等要求。为落实《中华人民共和国密码法》及政务信息系统“密码保障同步规划、同步建设、同步运行、定期评估”的要求,项目在既有系统基础上,对照 GB/T 39786—2021 等标准,系统性推进商用密码应用建设,为自然资源综合感知服务系统的稳定运行和长期发展提供可靠的密码支撑。
建设内容
1. 网络与通信安全建设
针对系统管理员、运维人员及普通业务人员的不同访问场景,统一采用基于国密算法的安全通信机制,通过 SSL VPN、TLCP 和 HTTPS 等方式实现身份鉴别(SM2)、数据加密(SM4)及完整性校验(HMAC-SM3),保障各类业务数据在传输过程中的机密性、完整性和通信双方身份可信。
2. 设备与计算安全建设
部署云服务器密码机、应用安全网关、安全接入网关等关键密码产品,并利用数字证书和智能密码钥匙实现身份鉴别,同时保障访问控制、远程管理和关键操作安全,提升系统运行环境的可信性和稳定性。
3. 应用与数据安全建设
在应用和数据层引入云服务器密码机,提供密码服务能力,对系统管理员身份鉴别、访问控制信息以及重要业务数据实施密码保护。通过对关键数据在存储和传输过程中的加密与完整性校验,有效防范数据泄露和非法篡改风险,保障自然资源核心数据的安全可控。
建设亮点
构建可信身份体系,降低管理与运维风险
通过引入基于数字证书和智能密码钥匙的强身份认证机制,系统管理员和运维人员的操作行为具备明确的身份绑定和可追溯性,显著降低账号冒用和误操作风险,提升系统管理的安全性和规范性。
实现核心数据全流程密码保护
密码改造后,系统对地质灾害监测数据、耕地监管信息和矿山图斑数据等关键数据,在传输和存储环节均实施密码保护,数据安全从“被动防护”转向“内生防护”,有效增强数据可信度和业务运行可靠性。
提升跨层级协同场景下的数据安全保障能力
在省、市、县多级协同和系统对接场景中,通过统一的密码支撑能力,实现数据安全共享和有序流转,在不增加业务复杂度的前提下,兼顾数据利用效率与安全合规要求,支撑自然资源治理多层级联动监管。
为系统持续运营和合规评估提供长期支撑
通过规范化推进商用密码应用建设,系统在整体上满足等级保护三级及商用密码应用安全性评估要求,为后续系统升级、业务扩展及年度安全评估奠定稳固基础,同时有助于长期合规管理与运维工作的高效开展,降低管理风险并提升运维可靠性。