王君 侯天子 羅萬強(qiáng)

本文結(jié)合國家政策要求、網(wǎng)絡(luò)安全等級保護(hù)2.0制度（簡稱“等保2.0”）和檢察工作網(wǎng)建設(shè)，在等保三級視角下，對檢察工作網(wǎng)建設(shè)進(jìn)行研討。檢察工作網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

安全接入?yún)^(qū)

在安全接入?yún)^(qū)部署防火墻系統(tǒng)和入侵防御設(shè)備。防火墻設(shè)備串聯(lián)在路由器與核心交換機(jī)之間進(jìn)行訪問控制和流量過濾。將核心數(shù)據(jù)區(qū)域與非核心數(shù)據(jù)區(qū)域進(jìn)行有效地邏輯隔離和區(qū)分授權(quán)訪問。訪問控制系統(tǒng)應(yīng)根據(jù)各數(shù)據(jù)區(qū)域?qū)Π踩墑e的要求控制訪問各區(qū)域數(shù)據(jù)的網(wǎng)絡(luò)信息流，并且訪問控制系統(tǒng)本身具有較強(qiáng)的抗攻擊能力。防火墻根據(jù)用戶設(shè)定的安全策略，對經(jīng)過的所有通信數(shù)據(jù)進(jìn)行檢查，保護(hù)內(nèi)部網(wǎng)絡(luò)資源的安全。同時(shí)對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照設(shè)定的安全策略進(jìn)行檢查，阻止用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問，達(dá)到控制訪問網(wǎng)絡(luò)資源的目的。防火墻還可以配備防病毒模塊，以此達(dá)到對網(wǎng)絡(luò)傳輸過程中的惡意代碼進(jìn)行有效過濾，同時(shí)通過對防病毒數(shù)據(jù)庫的實(shí)時(shí)更新，可以有效防止惡意代碼在內(nèi)部網(wǎng)絡(luò)中的感染傳播。

入侵防御設(shè)備串聯(lián)在防火墻與核心交換機(jī)之間進(jìn)行入侵防護(hù)，可檢測阻斷各種網(wǎng)絡(luò)攻擊行為，阻斷惡意代碼進(jìn)行滲透。包括：病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼和端口掃描等。

核心交換區(qū)

在核心交換區(qū)中旁路部署入侵檢測系統(tǒng)和網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，入侵檢測系統(tǒng)在核心交換機(jī)上將需要檢測的流量以鏡像的方式輸入并進(jìn)行檢測分析。入侵檢測系統(tǒng)在防火墻進(jìn)行訪問控制的基礎(chǔ)上，可以應(yīng)對來自應(yīng)用層的各種攻擊行為。

網(wǎng)絡(luò)安全審計(jì)在核心交換機(jī)上將需要審計(jì)的流量以鏡像的方式輸入并進(jìn)行檢測分析。

公共應(yīng)用服務(wù)區(qū)

在公共應(yīng)用服務(wù)區(qū)透明部署Web應(yīng)用防火墻（WAF），串聯(lián)在公共應(yīng)用服務(wù)區(qū)與跨網(wǎng)數(shù)據(jù)交換區(qū)之間，過濾來自應(yīng)用層的安全攻擊行為。WAF能精確識別基于HTTP/HTTPS/FTP協(xié)議的蠕蟲攻擊、木馬后門、間諜軟件、灰色軟件和網(wǎng)絡(luò)釣魚等基本攻擊，一旦發(fā)現(xiàn)攻擊行為立刻中斷連接保護(hù)Web服務(wù)器的安全。同時(shí)通過實(shí)時(shí)掃描、系統(tǒng)備份等技術(shù)，實(shí)現(xiàn)對數(shù)據(jù)文件的實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)問題時(shí)可以對數(shù)據(jù)文件進(jìn)行實(shí)時(shí)恢復(fù)，可以有效保護(hù)數(shù)據(jù)文件的安全，為網(wǎng)站提供實(shí)時(shí)的數(shù)據(jù)安全保護(hù)。

政務(wù)應(yīng)用服務(wù)區(qū)

在政務(wù)應(yīng)用服務(wù)區(qū)中部署下一代防火墻，串聯(lián)在核心交換機(jī)與匯聚交換機(jī)之間進(jìn)行流量過濾和訪問控制。防火墻在政務(wù)應(yīng)用服務(wù)區(qū)入口根據(jù)設(shè)定的安全策略，檢查所有經(jīng)過的通信數(shù)據(jù)，保護(hù)內(nèi)部網(wǎng)絡(luò)資源的安全。同時(shí)對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)按照設(shè)定的安全策略進(jìn)行檢查，阻止用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問，達(dá)到訪問控制網(wǎng)絡(luò)資源的目的。

終端接入?yún)^(qū)

在終端接入?yún)^(qū)部署上網(wǎng)行為審計(jì)設(shè)備，控制和管理互聯(lián)網(wǎng)用戶的上網(wǎng)行為。部署網(wǎng)絡(luò)防病毒系統(tǒng)，通過管理中心進(jìn)行統(tǒng)一管理和升級。網(wǎng)絡(luò)防病毒系統(tǒng)通過管理中心統(tǒng)一配置防病毒安全防護(hù)策略，防范各區(qū)域病毒交叉感染，通過病毒管理中心對網(wǎng)絡(luò)內(nèi)的服務(wù)器、終端進(jìn)行遠(yuǎn)程聯(lián)病毒策略下發(fā)、病毒查殺等各種管理操作，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中防病毒系統(tǒng)的集中管理和監(jiān)控。

安全管理區(qū)

安全管理區(qū)部署日志審計(jì)服務(wù)器、安全管理平臺。日志審計(jì)服務(wù)器對網(wǎng)絡(luò)中的服務(wù)器、應(yīng)用、安全產(chǎn)品等進(jìn)行日志收集與審計(jì)。集中部署的日志審計(jì)系統(tǒng)，收集各類日志信息，包括各類業(yè)務(wù)服務(wù)的操作系統(tǒng)和應(yīng)用系統(tǒng)，數(shù)據(jù)庫服務(wù)以及網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志信息，為事后分析及事件還原提供有力支持。安全管理平臺即態(tài)勢感知平臺，該系統(tǒng)能夠提供一體化安全管控功能，除了可以采集各類安全事件，系統(tǒng)還能夠采集如NetFlow的流量數(shù)據(jù)并進(jìn)行可視化展示。針對采集來的NetFlow流量數(shù)據(jù)分析，借助量化的網(wǎng)絡(luò)流量模型，通過分析計(jì)算，發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為。安全管理平臺具備完善的響應(yīng)管理功能，能夠根據(jù)用戶設(shè)定的各種觸發(fā)條件，通過多種方式通知用戶，并觸發(fā)響應(yīng)處理流程，直至跟蹤到問題處理完畢，從而實(shí)現(xiàn)安全事件的閉環(huán)管理，符合并體現(xiàn)了等級保護(hù)和信息安全管理體系的要求。

網(wǎng)絡(luò)安全威脅總是實(shí)時(shí)變化的，任何系統(tǒng)的安全防護(hù)措施都不能一勞永逸。因此檢察工作網(wǎng)的安全管理主體一方面需要根據(jù)最新的網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)，設(shè)置并調(diào)整適合自己工作網(wǎng)的安全基線，跟蹤安全技術(shù)和攻擊技術(shù)的發(fā)展，定期進(jìn)行防護(hù)系統(tǒng)的安全檢測、對防護(hù)系統(tǒng)進(jìn)行升級，及時(shí)處理發(fā)現(xiàn)的問題，確保工作網(wǎng)的安全運(yùn)行。另一方面，要加強(qiáng)安全管理和安全運(yùn)維的意識，落實(shí)安全管理措施，加強(qiáng)全網(wǎng)使用者的安全意識并進(jìn)行長期安全培訓(xùn)。