智慧监狱网络安全解决方案
项目建设背景
2018年7月,司法部召开网络安全和信息化工作电视电话会议,做出了加快建设“数字法治、智慧司法”的重大决策;而“智慧监狱”是“数字法治、智慧司法”信息化体系建设中不可或缺的重要组成部分,其主要内容是:
在现有监狱信息化建设基础上,充分运用大数据、物联网、人工智能等现代科技手段,将现有信息技术与监狱各项业务融合,最大限度地汇聚整合、感测分析监管改造信息资源和社会信息资源,从而对监狱工作各项需求做出智慧判断和响应。
在司法部制定的《关于加快推进“智慧监狱”建设的实施意见》中明确提出要构建统一的安全保障体系,确保监狱系统的信息网络和信息系统中的信息资源免受各种类型的威胁、干扰和破坏,确保“智慧监狱”全流程信息安全可控。
安全现状
随着科技的不断发展以及信息化程度的不断提高,监狱信息安全所面临的外部威胁也越来越严重,主要集中在几个方面:
#
遭受严重外部威胁
面临计算机病毒、黑客入侵等外部威胁越来越严重,一些国家或个人利用监狱信息管理系统存在的漏洞或在计算机或是通信设备上所留下的后门实行未经授权的侵入从而盗取监狱信息。
#
安全防护能力薄弱
能够对存在的安全问题(漏洞、暗链、木马、敏感词、后门等)进行人工验证检测,并及时进行通报预警;提供信息系统(网站)的安全监测人工验证和高危风险人工验证服务。
#
新技术带来新风险
智慧监狱的建设将物联网、云计算、大数据、人工智能等新一代信息技术与监狱各项业务深度融合,新技术的应用带来了便利和效率,同时也引入了诸多信息安全风险。
#
数据泄露与篡改
智慧监狱建设最重要的目标即是利用大数据技术完成数据共享、整合、分析,数据需要在各子系统间连贯性的传递,且智慧监狱的信息系统需要与互联网进行数据交换,给数据安全性带来极大的隐患。
总体设计方案
本期智慧监狱信息系统的等保建设,安恒信息以等保2.0“一个中心三重防御”的保障理念,根据安恒多年网络安全保障经验,提出等保2.0安全保障体系方案,重点突出以安全管理中心建设,引入整体安全运营理念,推进客户技术体系及管理体系的完善,提供持续覆盖企事业单位整体安全防护的安全能力。
联网区
联网区负责接入政务部门专网/自建专网的边界连接,以及专有云平台服务,联网区应部署NGFW,开启防病毒、IPS等特征库。
数据中心区
数据中心区负责提供全网各类计算、存储、数据、网络架构、安全体系和系统与业务应用等资源的私有云服务。数据中心区部署WAF、NGFW、数据库防火墙、数据库审计、主机安全管理系统等。
特别用户区
特别用户区独立组网且具有安全隔离与信息交换边界,负责接入罪犯使用的各种智能终端,特别用户区部署网闸、主机安全管理系统。
普通用户区
普通用户区负责接入监狱民警职工等所有认证用户使用的各类智能终端,普通用户区部署NGFW、主机安全管理系统。
外网办公区
外网办公区独立组网且具有安全隔离与信息交换边界,负责接入监狱外网中所有用户的智能终端,并通过政务外网连接司法公有云和政务云服务。外网办公区部署网闸、NGFW、主机安全管理系统。
安防设施区
安防设施区负责接入监管安防前端基础设施及提供安全防范终端采集和管控服务,安防设施区部署NGFW、视频准入引擎、物联网安全心。
运维管理区
运维管理区负责整个监狱的安全状况统一运维管理,部署堡垒机、日志审计、漏洞扫描、物联网安全态势感知、APT、DPI、物联网监测、大数据平台设备。
方案优势
满足等级保护技术规范要求
通过本项目建设符合等级保护相关要求的安全防护措施,形成检测、防护、响应和恢复的保障体系,从而建立有针对性的合规性安全保障体系框架和安全防护措施。
维护监狱的形象和声誉
监狱网络安全事关监狱形象和声誉,甚至可能引起社会不稳定事件,通过智慧监狱等级保护建设安全防护体系,保证监狱不出现网络安全事件,维护监狱的形象和声誉。
重大事件期间安全运行
通过对智慧监狱网络进行安全加固建设,在运维阶段加强信息安全管理,有效保障单位系统的信息安全,满足国家、行业主管机构的监管要求;保证重大事件(例如峰会、国庆)期间的应用系统安全。