檢察工作網安全邊界新選擇:啟明星辰動態網絡安全隔離解決方案
隨著檢察機關科技強檢戰略深入實施,檢察工作網作為檢察機關的重要基礎網絡,已成為與其他黨政機關、企事業等單位非涉密網絡互聯互通、數據共享和業務協同的重要支撐平臺。但隨著檢察工作網覆蓋范圍、數據交換范圍與用戶群體的擴大,解決專網與專網之間、專網與互聯網之間的邊界鏈路安全問題,已成為加強檢察機關與政法機關、行政執法部門資源共享,推動建設政法網絡互聯互通和信息資源共享平臺的底板工程。
檢察工作網安全挑戰
1、終端安全風險
接入用戶類型多,場所物理環境不安全、人員復雜、接入終端安全狀態不可控,且接入后行為不可控,終端安全風險較大;其次,接入終端存在非法使用、非授權訪問,甚至存在偽造終端接入,并有可能發展為木馬、病毒的傳播來源。
2、鏈路安全風險
接入鏈路復雜、缺乏針對數據傳輸機密性、完整性的保障機制,存在敏感數據被篡改外泄的風險,以及存在非法數據、病毒數據通過接入鏈路進入內部網絡的風險。
3、應用安全風險
接入用戶存在對應用的越權訪問,信息泄密的風險;其次,與外部對象連接后應用系統暴露面擴大,安全風險增加,極易遭受黑客攻擊、木馬入侵、病毒傳播、信息篡改和數據竊取等不同程度的安全威脅。
動態訪問控制嚴把邊界接入安全
最高人民檢察院于2019年9月6日印發《檢察工作網邊界安全接入平臺建設管理規范》(高檢技[2019]26號),規定了檢察工作網邊界安全接入平臺的總體框架、技術要求和管理要求。
針對檢察工作網邊界安全接入平臺的業務互聯、安全管理、邊界防護、安全檢測、隔離交換、等保建設等安全保障需求,啟明星辰推出軟件定義檢察工作網邊界——動態網絡安全隔離解決方案,為檢察機關與外部非涉密網絡數據共享、業務協同安全穩定可靠運行提供安全保障。
該方案基于零信任思路構建,以資源保護為核心。主體和資源之間的信任關系都需要從零開始,通過持續環境感知與動態信任評估進行構建,從而實施權最小化的訪問控制。通過終端基于信任評估及風險分析的動態訪問控制,將檢察工作網邊界安全接入平臺劃分為安全防護區、安全檢測區、安全隔離交換區、安全管理區,構建基動態訪問控制的安全隔離模型,在滿足檢察機關安全建設合規性要求的同時,幫助應對更加智能、更加復雜的外部安全威脅,進而保障業務及數據應用安全。
1、外部接入對象區
部署零信任環境感知一體化客戶端。該客戶端可根據用戶需要集成SDP、EDR、殺毒、桌管、DLP組件、數據安全沙箱。對用戶的終端安全基線以及終端行為進行全面持續檢測,并針對發現的終端安全問題進行及時修復,確保接入客戶端終端與用戶實名綁定,終端安全基線合規,用戶使用行為合規。并為零信任控制中心提供終端評分依據,通過實現用戶訪問業務敏感數據不落地,確保用戶業務網絡與互聯網完全隔離。
2、安全防護區
通過串聯部署防火墻實現對從接入的終端進行訪問控制,同時防火墻上開啟IPS、防病毒模塊,實現對攻擊、病毒的過濾。并在安全防護區旁路部署SDP網關,實現對接入終端到訪問過程中的端口動態開放、傳輸加密、應用代理訪問等功能,實現對后端網絡的隱藏,降低網絡暴露面。
3、安全檢測區
部署SDP控制中心以及EDR服務端,分別作為動態策略控制中心和信任評估中心,和在接入終端上部署的融合客戶端以及安全防護區部署的SDP網關,一起組成零信任架構,實現動態、按需重塑邊界,確保只有通過驗證的主體方可接入到邊界。同時,部署IDS,準確監測異常網絡流量,實時識別流量中的網絡入侵行為,并進行記錄,自動對各類攻擊進行實時審計;部署DLP監管內部重要數據的合規合理使用,從而有效地實現對泄密風險的事前預警防護與事后追查;部署集控探針,采集邊界上所有設備日志,進行簡單的范式化處理后統一發送至安全管理區的集中監控服務器,進行集中分析存儲。
4、安全隔離交換區
根據接入對象的不同部署數據交換系統+網閘/雙單向光閘,構成數據交換平臺,阻斷外部接入對象與檢察工作網之間的所有直接網絡鏈接,對網絡協議進行剝離和轉化,并對網絡流量的隔離和過濾防護,保證網絡安全隔離與數據安全交換。通過零信任控制中心與數據交換系統聯動,實現數據交換端口的網絡隱身和數據訪問行為的動態訪問控制。
5、安全管理區
該區域部署于檢察工作網內,實現檢察工作網中管理用戶對接入平臺運行狀態監控、業務配置管理與集中日志審計。通過部署堡壘機以實現設備的統一安全審計,并部署集中管理平臺對邊界接入平臺的各種安全設備進行監控、管理、審計。
啟明星辰軟件定義檢察工作網邊界——動態網絡安全隔離解決方案,具有更細粒度的控制、更靈活的擴展、更高的可靠性,改變了傳統的網絡接入控制管理模式,幫助檢察機關工作網邊界安全接入平臺管理由靜態訪問控制走向動態訪問控制,從基于IP的訪問控制到基于身份的訪問控制,從開放所有端口到只對授權客戶開放有限端口轉變,為實現接入后的持續自適應風險、信任評估奠定了技術基礎,提升了檢察工作網整體主動防御能力與網絡安全運維效率,從而保障數智檢察轉型行穩致遠。
