安盟信息【智慧监狱网络安全建设】解决方案

　　一、建设背景

　　2018 年 7 月，司法部召开网络安全和信息化工作电视电话会议，做出了加快建设“数字法治、 智慧司法”的重大决策；而“智慧监狱”是“数字法治、智慧司法”信息化体系建设中不可或缺的 重要组成部分，其主要内容是：在现有监狱信息化建设基础上，充分运用大数据、物联网、人工智能等现代科技手段，将现有信息技术与监狱各项业务融合，最大限度地汇聚整合、感测分析监管改 造信息资源和社会信息资源，从而对监狱工作各项需求做出智慧判断和响应。

　　在司法部制定的《关于加快推进“智慧监狱”建设的实施意见》中明确提出要构建统一的安全保障体系，确保监狱系统的信息网络和信息系统中的信息资源免受各种类型的威胁、干扰和破坏， 确保“智慧监狱”全流程信息安全可控。

　　二、风险分析

　　（一）网络安全风险分析

　　网络是用户访问监狱信息系统的渠道和通路，许多安全问题都集中体现在网络层面，网络中存在的大量安全威胁，包括黑客入侵和攻击、非法访问和越权访问、信息窃密和篡改、病毒泛滥和蔓 延、间谍软件和恶意代码等，其危害非常大。

　　（二）主机安全风险分析

　　主机安全主要决定于操作系统安全，目前没有绝对安全的操作系统可以选择，会面临本地的攻 击、远程的攻击、对外访问引入的攻击、恶意代码、有害网络内容等各种综合的威胁。主机层面存 在主机日志丢失或被篡改，无法进行事件分析和事后取证的风险；未采取相关入侵防范措施，不能 够实现主机入侵防范。

　　（三）应用安全风险分析

　　应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应 用系统是不断发展且应用类型是不断增加的。应用安全性涉及到信息、数据的安全性。智慧监狱信 息系统的重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是比较严重的。

　　（四）数据安全风险分析

　　数据安全尤其重要，如果数据在存储、处理过程中被非法复制或破坏，或在传输过程中被非法 窃听或篡改，将带来不同程度的影响和危害。信息在传输过程中极易被窃听和篡改，因监狱业务需 求与政法部门专网/政务外网互联后，会有大量的业务数据交换，如果缺乏足够的保障措施，将会导致数据泄密事件的发生。 （五）安全管理风险分析

　　安全管理是监狱信息系统安全保障体系最重要的部分。责权不明，安全管理制度不健全及缺乏 可操作性等都可能引起管理层面的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如 内部人员的违规操作等），无法进行实时的检测、监控、报告与预警，将造成重大信息安全事故。同 时，当事故发生后，缺乏对网络的可控性与可审查性，将无法提供黑客攻击行为的追踪线索及破案 依据。

　　三、设计依据

　　 《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）

　　 《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）

　　 《全国司法行政信息化总体技术规范》（SF/T 0008）

　　 《全国司法行政信息资源交换规范》（SF/T 0011）

　　 《全国司法行政系统网络平台技术规范》（SF/T 0012）

　　 《智慧监狱 技术规范》（SF/T 0028-2018）

　　四、解决方案

　　智慧监狱安全保障体系建设的核心内容是建立、健全技术体系及管理体系，提供持续覆盖监狱 整体安全防护的安全能力。

　　（一）安全技术体系

　　监狱网络架构按功能配置进行区域划分，分为多个相对独立的功能区，包括联网区、核心交换区、数据中心区、安防设施区、普通用户区、特别用户区、安全运维管理区和外网办公区等。

　　（1）联网区

　　联网区部署下一代防火墙，开启防病毒、IPS 等安全模块，接入政务部门专网/自建专网，以及专有云平台服务。同时联网区部署网闸实现外网办公区数据安全交换。

　　（2）核心交换区

　　负责监狱网络核心架构与安全核心业务的交互。核心交换机旁路部署入侵检测系统，监测网络 中发生的异常访问、入侵事件，并及时发出告警。

　　（3）数据中心区

　　数据中心区负责提供全网各类计算、存储、数据、网络架构、安全体系和系统与业务应用等资 源的私有云服务。数据中心区边界部署下一代防火墙；针对数据库访问行为采用数据库审计设备进 行审计。由私有云安全资源池提供其他安全能力。

　　（3）特别用户区

　　特别用户区独立组网且具有安全隔离与信息交换边界，负责接入罪犯使用的各种智能终端。特 别用户区与核心交换机之间部署网闸；内部终端安装终端管理/防病毒客户端软件，对接安全运维管 理区的终端管理/防病毒服务端实现统一管理，病毒库升级等。

　　（4）普通用户区

　　普通用户区负责接入监狱民警职工等所有认证用户使用的各类智能终端，普通用户区与核心交 换区之间部署下一代防火墙；普通用户区内部终端安装终端管理/防病毒客户端软件，对接安全运维 管理区的终端管理/防病毒服务端实现统一管理，病毒库升级等。

　　（5）外网办公区

　　外网办公区独立组网且具有安全隔离与信息交换边界，负责接入监狱外网中所有用户的智能终 端，并通过政务外网连接司法公有云和政务云服务。外网办公区通过联网区网闸实现数据安全交换； 外网办公区与政务外网之间部署下一代防火墙；内部终端安装终端管理/防病毒客户端软件，对接安 全运维管理区的终端管理/防病毒服务端实现统一管理，病毒库升级等。

　　（6）安防设施区

　　安防设施区负责接入监管安防前端基础设施及提供安全防范终端采集和管控服务，安防设施区 与核心交换区之间部署下一代防火墙。

　　（7）安全运维管理区

　　安全运维管理区负责监狱全网基础设施、信息系统及数据中心的监管运维和安全统一管理，部 署日志审计系统、漏洞扫描、安全管理平台、终端管理/防病毒服务端。建立监狱网络安全态势感知， 深度可视安全风险，全面感知威胁和协同预警，促使监狱安全架构从被动防御到主动防御的升级。

　　（二）安全管理体系

　　建立统一的安全管理体系，落实各项监狱安全管理制度，让监狱的安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制度要求，最终做到整体防御、技管并重。

　　五、方案价值

　　（一）满足等级保护技术规范要求

　　通过本方案建设符合等级保护相关要求的安全防护措施，构建统一的智慧监狱安全保障体系， 同时满足国家、行业主管机构的监管要求。

　　（二）维护监狱的形象和声誉

　　监狱网络安全事关监狱形象和声誉，甚至可能引起社会不稳定事件，智慧监狱安全保障体系的 建立，保证监狱不出现网络安全事件，维护监狱的形象和声誉。

　　（三）业务持续安全运行

　　通过建立智慧监狱安全保障体系，在运维阶段加强信息安全管理，有效保障监狱的信息系统安全可靠运行。

　　责任编辑：广汉