檢察工作網安全防護體系研究

王君 侯天子 羅萬強

本文結合國家政策要求、網絡安全等級保護2.0制度（簡稱“等保2.0”）和檢察工作網建設，在等保三級視角下，對檢察工作網建設進行研討。檢察工作網網絡拓撲圖如圖1所示。

安全接入區

在安全接入區部署防火墻系統和入侵防御設備。防火墻設備串聯在路由器與核心交換機之間進行訪問控制和流量過濾。將核心數據區域與非核心數據區域進行有效地邏輯隔離和區分授權訪問。訪問控制系統應根據各數據區域對安全級別的要求控制訪問各區域數據的網絡信息流，并且訪問控制系統本身具有較強的抗攻擊能力。防火墻根據用戶設定的安全策略，對經過的所有通信數據進行檢查，保護內部網絡資源的安全。同時對網絡之間傳輸的數據包按照設定的安全策略進行檢查，阻止用戶對受保護的網絡資源進行非授權訪問，達到控制訪問網絡資源的目的。防火墻還可以配備防病毒模塊，以此達到對網絡傳輸過程中的惡意代碼進行有效過濾，同時通過對防病毒數據庫的實時更新，可以有效防止惡意代碼在內部網絡中的感染傳播。

入侵防御設備串聯在防火墻與核心交換機之間進行入侵防護，可檢測阻斷各種網絡攻擊行為，阻斷惡意代碼進行滲透。包括：病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼和端口掃描等。

核心交換區

在核心交換區中旁路部署入侵檢測系統和網絡安全審計系統，入侵檢測系統在核心交換機上將需要檢測的流量以鏡像的方式輸入并進行檢測分析。入侵檢測系統在防火墻進行訪問控制的基礎上，可以應對來自應用層的各種攻擊行為。

網絡安全審計在核心交換機上將需要審計的流量以鏡像的方式輸入并進行檢測分析。

公共應用服務區

在公共應用服務區透明部署Web應用防火墻（WAF），串聯在公共應用服務區與跨網數據交換區之間，過濾來自應用層的安全攻擊行為。WAF能精確識別基于HTTP/HTTPS/FTP協議的蠕蟲攻擊、木馬后門、間諜軟件、灰色軟件和網絡釣魚等基本攻擊，一旦發現攻擊行為立刻中斷連接保護Web服務器的安全。同時通過實時掃描、系統備份等技術，實現對數據文件的實時監控，發現問題時可以對數據文件進行實時恢復，可以有效保護數據文件的安全，為網站提供實時的數據安全保護。

政務應用服務區

在政務應用服務區中部署下一代防火墻，串聯在核心交換機與匯聚交換機之間進行流量過濾和訪問控制。防火墻在政務應用服務區入口根據設定的安全策略，檢查所有經過的通信數據，保護內部網絡資源的安全。同時對網絡之間傳輸的數據按照設定的安全策略進行檢查，阻止用戶對受保護的網絡資源進行非授權訪問，達到訪問控制網絡資源的目的。

終端接入區

在終端接入區部署上網行為審計設備，控制和管理互聯網用戶的上網行為。部署網絡防病毒系統，通過管理中心進行統一管理和升級。網絡防病毒系統通過管理中心統一配置防病毒安全防護策略，防范各區域病毒交叉感染，通過病毒管理中心對網絡內的服務器、終端進行遠程聯病毒策略下發、病毒查殺等各種管理操作，實現內部網絡系統中防病毒系統的集中管理和監控。

安全管理區

安全管理區部署日志審計服務器、安全管理平臺。日志審計服務器對網絡中的服務器、應用、安全產品等進行日志收集與審計。集中部署的日志審計系統，收集各類日志信息，包括各類業務服務的操作系統和應用系統，數據庫服務以及網絡設備和安全設備的日志信息，為事后分析及事件還原提供有力支持。安全管理平臺即態勢感知平臺，該系統能夠提供一體化安全管控功能，除了可以采集各類安全事件，系統還能夠采集如NetFlow的流量數據并進行可視化展示。針對采集來的NetFlow流量數據分析，借助量化的網絡流量模型，通過分析計算，發現網絡中的異常行為。安全管理平臺具備完善的響應管理功能，能夠根據用戶設定的各種觸發條件，通過多種方式通知用戶，并觸發響應處理流程，直至跟蹤到問題處理完畢，從而實現安全事件的閉環管理，符合并體現了等級保護和信息安全管理體系的要求。

網絡安全威脅總是實時變化的，任何系統的安全防護措施都不能一勞永逸。因此檢察工作網的安全管理主體一方面需要根據最新的網絡安全相關標準，設置并調整適合自己工作網的安全基線，跟蹤安全技術和攻擊技術的發展，定期進行防護系統的安全檢測、對防護系統進行升級，及時處理發現的問題，確保工作網的安全運行。另一方面，要加強安全管理和安全運維的意識，落實安全管理措施，加強全網使用者的安全意識并進行長期安全培訓。