王君 侯天子 羅萬(wàn)強(qiáng)

本文結(jié)合國(guó)家政策要求、網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度（簡(jiǎn)稱(chēng)“等保2.0”）和檢察工作網(wǎng)建設(shè)，在等保三級(jí)視角下，對(duì)檢察工作網(wǎng)建設(shè)進(jìn)行研討。檢察工作網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

安全接入?yún)^(qū)

在安全接入?yún)^(qū)部署防火墻系統(tǒng)和入侵防御設(shè)備。防火墻設(shè)備串聯(lián)在路由器與核心交換機(jī)之間進(jìn)行訪問(wèn)控制和流量過(guò)濾。將核心數(shù)據(jù)區(qū)域與非核心數(shù)據(jù)區(qū)域進(jìn)行有效地邏輯隔離和區(qū)分授權(quán)訪問(wèn)。訪問(wèn)控制系統(tǒng)應(yīng)根據(jù)各數(shù)據(jù)區(qū)域?qū)Π踩?jí)別的要求控制訪問(wèn)各區(qū)域數(shù)據(jù)的網(wǎng)絡(luò)信息流，并且訪問(wèn)控制系統(tǒng)本身具有較強(qiáng)的抗攻擊能力。防火墻根據(jù)用戶(hù)設(shè)定的安全策略，對(duì)經(jīng)過(guò)的所有通信數(shù)據(jù)進(jìn)行檢查，保護(hù)內(nèi)部網(wǎng)絡(luò)資源的安全。同時(shí)對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照設(shè)定的安全策略進(jìn)行檢查，阻止用戶(hù)對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問(wèn)，達(dá)到控制訪問(wèn)網(wǎng)絡(luò)資源的目的。防火墻還可以配備防病毒模塊，以此達(dá)到對(duì)網(wǎng)絡(luò)傳輸過(guò)程中的惡意代碼進(jìn)行有效過(guò)濾，同時(shí)通過(guò)對(duì)防病毒數(shù)據(jù)庫(kù)的實(shí)時(shí)更新，可以有效防止惡意代碼在內(nèi)部網(wǎng)絡(luò)中的感染傳播。

入侵防御設(shè)備串聯(lián)在防火墻與核心交換機(jī)之間進(jìn)行入侵防護(hù)，可檢測(cè)阻斷各種網(wǎng)絡(luò)攻擊行為，阻斷惡意代碼進(jìn)行滲透。包括：病毒、蠕蟲(chóng)、木馬、間諜軟件、廣告軟件、可疑代碼和端口掃描等。

核心交換區(qū)

在核心交換區(qū)中旁路部署入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，入侵檢測(cè)系統(tǒng)在核心交換機(jī)上將需要檢測(cè)的流量以鏡像的方式輸入并進(jìn)行檢測(cè)分析。入侵檢測(cè)系統(tǒng)在防火墻進(jìn)行訪問(wèn)控制的基礎(chǔ)上，可以應(yīng)對(duì)來(lái)自應(yīng)用層的各種攻擊行為。

網(wǎng)絡(luò)安全審計(jì)在核心交換機(jī)上將需要審計(jì)的流量以鏡像的方式輸入并進(jìn)行檢測(cè)分析。

公共應(yīng)用服務(wù)區(qū)

在公共應(yīng)用服務(wù)區(qū)透明部署Web應(yīng)用防火墻（WAF），串聯(lián)在公共應(yīng)用服務(wù)區(qū)與跨網(wǎng)數(shù)據(jù)交換區(qū)之間，過(guò)濾來(lái)自應(yīng)用層的安全攻擊行為。WAF能精確識(shí)別基于HTTP/HTTPS/FTP協(xié)議的蠕蟲(chóng)攻擊、木馬后門(mén)、間諜軟件、灰色軟件和網(wǎng)絡(luò)釣魚(yú)等基本攻擊，一旦發(fā)現(xiàn)攻擊行為立刻中斷連接保護(hù)Web服務(wù)器的安全。同時(shí)通過(guò)實(shí)時(shí)掃描、系統(tǒng)備份等技術(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)文件的實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)問(wèn)題時(shí)可以對(duì)數(shù)據(jù)文件進(jìn)行實(shí)時(shí)恢復(fù)，可以有效保護(hù)數(shù)據(jù)文件的安全，為網(wǎng)站提供實(shí)時(shí)的數(shù)據(jù)安全保護(hù)。

政務(wù)應(yīng)用服務(wù)區(qū)

在政務(wù)應(yīng)用服務(wù)區(qū)中部署下一代防火墻，串聯(lián)在核心交換機(jī)與匯聚交換機(jī)之間進(jìn)行流量過(guò)濾和訪問(wèn)控制。防火墻在政務(wù)應(yīng)用服務(wù)區(qū)入口根據(jù)設(shè)定的安全策略，檢查所有經(jīng)過(guò)的通信數(shù)據(jù)，保護(hù)內(nèi)部網(wǎng)絡(luò)資源的安全。同時(shí)對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)按照設(shè)定的安全策略進(jìn)行檢查，阻止用戶(hù)對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問(wèn)，達(dá)到訪問(wèn)控制網(wǎng)絡(luò)資源的目的。

終端接入?yún)^(qū)

在終端接入?yún)^(qū)部署上網(wǎng)行為審計(jì)設(shè)備，控制和管理互聯(lián)網(wǎng)用戶(hù)的上網(wǎng)行為。部署網(wǎng)絡(luò)防病毒系統(tǒng)，通過(guò)管理中心進(jìn)行統(tǒng)一管理和升級(jí)。網(wǎng)絡(luò)防病毒系統(tǒng)通過(guò)管理中心統(tǒng)一配置防病毒安全防護(hù)策略，防范各區(qū)域病毒交叉感染，通過(guò)病毒管理中心對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器、終端進(jìn)行遠(yuǎn)程聯(lián)病毒策略下發(fā)、病毒查殺等各種管理操作，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中防病毒系統(tǒng)的集中管理和監(jiān)控。

安全管理區(qū)

安全管理區(qū)部署日志審計(jì)服務(wù)器、安全管理平臺(tái)。日志審計(jì)服務(wù)器對(duì)網(wǎng)絡(luò)中的服務(wù)器、應(yīng)用、安全產(chǎn)品等進(jìn)行日志收集與審計(jì)。集中部署的日志審計(jì)系統(tǒng)，收集各類(lèi)日志信息，包括各類(lèi)業(yè)務(wù)服務(wù)的操作系統(tǒng)和應(yīng)用系統(tǒng)，數(shù)據(jù)庫(kù)服務(wù)以及網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志信息，為事后分析及事件還原提供有力支持。安全管理平臺(tái)即態(tài)勢(shì)感知平臺(tái)，該系統(tǒng)能夠提供一體化安全管控功能，除了可以采集各類(lèi)安全事件，系統(tǒng)還能夠采集如NetFlow的流量數(shù)據(jù)并進(jìn)行可視化展示。針對(duì)采集來(lái)的NetFlow流量數(shù)據(jù)分析，借助量化的網(wǎng)絡(luò)流量模型，通過(guò)分析計(jì)算，發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為。安全管理平臺(tái)具備完善的響應(yīng)管理功能，能夠根據(jù)用戶(hù)設(shè)定的各種觸發(fā)條件，通過(guò)多種方式通知用戶(hù)，并觸發(fā)響應(yīng)處理流程，直至跟蹤到問(wèn)題處理完畢，從而實(shí)現(xiàn)安全事件的閉環(huán)管理，符合并體現(xiàn)了等級(jí)保護(hù)和信息安全管理體系的要求。

網(wǎng)絡(luò)安全威脅總是實(shí)時(shí)變化的，任何系統(tǒng)的安全防護(hù)措施都不能一勞永逸。因此檢察工作網(wǎng)的安全管理主體一方面需要根據(jù)最新的網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)，設(shè)置并調(diào)整適合自己工作網(wǎng)的安全基線，跟蹤安全技術(shù)和攻擊技術(shù)的發(fā)展，定期進(jìn)行防護(hù)系統(tǒng)的安全檢測(cè)、對(duì)防護(hù)系統(tǒng)進(jìn)行升級(jí)，及時(shí)處理發(fā)現(xiàn)的問(wèn)題，確保工作網(wǎng)的安全運(yùn)行。另一方面，要加強(qiáng)安全管理和安全運(yùn)維的意識(shí)，落實(shí)安全管理措施，加強(qiáng)全網(wǎng)使用者的安全意識(shí)并進(jìn)行長(zhǎng)期安全培訓(xùn)。