深信服检察工作网安全保障系统

　　《检察工作网安全保障系统建设指导意见》提出“依据国家网络安全等级保护三级标准要求,建立和完善检察工作网网络安全保障系统,增强精确感知的安全预警能力和及时有效的安全防御能力、快速响应的应急处置和安全可靠的灾难恢复能力,实现网络安全由边界防护、被动防御向全域联动、主动防御转变,提高检察工作网整体防护水平,形成与智慧检务相适应的智能化网络安全保障系统。”检察机关积极推进检察工作网应用系统建设,逐步将目前在涉密网运行的非涉密应用迁移或改造部署到检察工作网,不断拓展检察工作网应用系统。检察工作网作为检察信息化建设的基础平台,服务检察业务,运行等级保护三级及以下的信息资源和应用系统,同时为实现与政法相关部门的业务协同、与相关政务部门间的信息交换提供网络和安全支撑。

　　方案建设思路:

　　(1) 等级保护思想

　　依据国家等级保护的有关标准和规范,结合检察业务开展的实际需求,建立一个完整的安全保障体系,有效保障检务工作的正常开展,保护数据安全,保证安全防护能力达到相关技术和管理要求。

　　(2) 新一代信息安全体系建设思想

　　新一代的信息安全体系,将基于人工智能、大数据、机器学习等技术,按照“业务驱动安全”的理念,涵盖用户行为安全、终端/移动安全、网络连接安全、业务安全的“全业务链安全”,涉及物理和环境安全、“端”安全、“网”安全、“云”安全、安全管理、跨网交换、网络信任等,以“安全可视、动态感知、闭环联动”为基本策略。

　　解决方案:

　　从物理和环境安全、设备和计算安全(“端”安全)、网络和通信安全(“网”安全)、应用和数据以及云平台安全(“云”安全)、跨网交换、网络信任等方面开展安全技术体系设计,从安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理四方面开展安全管理体系设计,从安全管理、安全感知和安全服务等方面开展管理中心及服务支撑系统设计,综合保障检察工作网安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、云计算安全、移动互联安全等。检察工作网安全保障系统总体框架如下图所示。

　　检察工作网安全保障系统建设内容主要包含以下五个方面:

　　(1)构建“持续保护、不止合规”的等保三级要求的纵深防御体系。依据等级保护要求,结合 业务实际,围绕物理和环境、“端”、“网”、“云”等建设纵深安全防御体系,实施多层隔离和保护,避免出现薄弱环节而影响整体安全。

　　(2)建设协同防御、积极响应的安全管理中心。建设安全管理中心,包括安全运维管理平台和态势感知平台,实现安全系统协同联动防御,全网统一安全管理及整体安全态势的掌控、呈现和响应。

　　(3)建设完善网络信任服务。建立身份认证体系或身份认证基础设施,实现全网统一身份认证。

　　(4)规范跨网数据交换的安全隔离与控制。存在跨网交换需求的,对跨网数据交换采取必要安全隔离与控制措施,并进行边界安全防护,实现检察工作网和其他网络的安全数据交换。

　　(5)建立健全检察机关安全管理体系。建立健全检察院网络安全和信息化领导机构,制定安全策略与配套安全管理制度,明确安全管理人员工作职责和要求,组织管理安全建设和安全运维,为检察工作网的安全运行提供有效管理保障。

　　　方案优势:

　　(1) 安全合规

　　本方案立足于检察工作网实际业务需求,全面分析检察工作网的安全隐患、内外部威胁,以建立统一安全策略为指引,既满足了等级保护建设的合规性,又保证了安全体系建设的完整性、先进性与适用性,满足国家安全法律法规、等级保护标准规范、检察行业安全政策等的要求。

　　(2) 安全闭环

　　本方案基于检察业务生命周期的安全防护需求,构建“预知、防护、检测、响应”闭环安全体系,实现事前风险预知(资产主动发现、Web扫描、风险分析、实施漏洞分析、威胁情报预警与处置、策略有效性识别等),事中积极安全防护(智能控制、基于漏洞的安全防护、web层防护、防篡改、病毒防护、数据防泄密等),事后持续检测(基础安全检测、内部违规行为检测、异常行为检测、潜在风险访问、威胁关联分析等),事后协同响应(策略自动生成、不同安全工具协同处置等),以及安全可视化(全网业务资产可视化、全网访问关系可视化、全局视角态势感知可视化等)。

　　(3) 从容应对高级/新型威胁

　　通过云计算、人工智能、大数据等技术,增强检测、响应的能力,从业务维度来保障检察院运维人员具备风险管理的条件和能力,能够感知整网安全风险。通过对数据中心的全网流量、相关安全设备日志等进行自动化关联分析,可有效发现本地潜伏的威胁和异常行为,及时发现数据中心网络自身存在的安全隐患问题,并可以对相关攻击进行追踪溯源。

　　(4) 简单高效

　　本方案秉承安全架构简化的原则,采用基于融合的安全架构、软件定义安全等先进技术,实现安全实施部署的简单、安全资源扩容的简单、业务上线的高效、安全管理的有效。摒弃堆叠设备的传统“糖葫芦串”的安全建设方式,提高投资性价比、提升整体安全保障质效和简化运维管理,使检察院IT人员可以把更多精力释放出来、投入业务创新,使检察院IT更有价值创造力!从而给旅客等提供更好的数字化服务。