检察工作网建设方案

微信扫码，打开到小程序

检察工作网创新建设方案 政府事业部 深信服 1 2 3 4 Contents 检察机关信息化建设趋势 检务新安全解决方案 检察工作网整体解决方案（一览图） 检务云 IT 解决方案 检察机关信息化建设趋势 建立检察信息感 知体系 • 进一步提升检 察机关信息收 集利用能力， 整合各类信息 资源，逐步实 现检察机关与 其他政法部门、 行政管理部门 信息资源交换 共享 构建高效网络传 输体系 • 强化基础网络 建设，优化网 络结构，提升 网络传输质量， 在网络层面实 现上下贯通和 内外交换 打造智能信息服 务体系 • 参与国家“互联 网＋”重大工程 和大数据发展 行动，重视云 计算、大数据、 移动互联网、 物联网、人工 智能、虚拟现 实等新技术的 应用，打造数 据驱动的智慧 检务 建立智慧检务应 用体系 • 建设检务辅助 决策支持平台， 提高宏观态势 把握能力。强 化司法办案智 能服务，研发 满足检察工作 需求的侦查装 备，探索推进 移动侦查指挥 和远程专家辅 助办案应用。 优化科技强检管 理体系 • 建立检察科技 部门与业务部 门协同机制， 加强信息技术 支撑体系建设， 建立检察技术 信息化标准规 范体系，制定 完善相关标准 和规范 建立智慧检务五大体系 通过云计算、大数据、人工智能等新技术、新应用，完善信息化建设，支撑智慧检务 加快推进智慧检务建设 保障司法人员分类管理改革 保障省以下检察院人财物 统一管理改革 升级队伍管理和检务保障系统 司法体制改革 试点研发“精准扶贫”检察智能服务平台 试点研发检察机关知识产权法律监督智能服务平台 推进“两法衔接”数据共享 试点研发公益诉讼智能辅助办案平台 开展非涉密应用系统建设 探索人工智能的技术创新、成立联合实验室 推动电子检务工程“六大平台” 推进基础安全运维平台智能化，实现全面智能支撑 实现可视化、精准化、自动化的智能辅助系统异常 监测故障快速定位、病毒安全查杀与资源配置优化。 人工智能创新指南 检察大数据平台 智慧检务工程 人工智能、大数据 基于检察涉密网络建设高检院、省级院两级部署的国家检察大数据中心 依托检察工作网，建设融合林生态、水生态和农生态地理信息及全省生态 大数据，实现生态大数据共享，网上生态检察，履行好监督职能。 建设国家检察大数据异地灾备中心，进一步提高检察机关核心应用系统数 据安全。 ……… 涉密网络全面通过分级保护测评 开展非涉密信息系统等级保护相关工作 加强不同网络之前的安全防护建设 建立网络安全态势感知防御体系 强化网络信息安全 建设高检院、省级院两级部 署的检务云平台，具备条件的市 级院可以建立检务云平台 司法体制改革 最高检《检察人工智能创新指南（ 2017 － 2022 年）》、《检察大数据行动计划（ 2017-2020 ）》确定以人工 智能、大数据应用为核心的检察机关信息化发展的方向： 智慧检务工程建设方向 大数据生态圈 检务云 审讯 图像 审批 结果 庭审 图像 政务数据 公安数据 电商数据 文书公开 犯罪查询 铁路数据 航运数据 律师服务 文书送达 监所 视频 当事人通知 社交数据 电子商务 纠纷处理 …… 征信数据 金融犯罪 预测和预防 电信数据 金融数据 公诉 政务 大数 据 检察 大数据 人事 大数 据 文书 远程 提审 建设检务云 + 大数据生态圈 • 推动信息安全体系建设，落实等级与分级 保护制度 • 为应用和服务跨网安全协同和数据高效共 享提供保障 • 加强不同网络之前的安全防护建设 • 建设“云、网、端”安全防护体系 • 建立网络安全态势感知监测体系 加强安全体系建设 提高安全保护水平 涉密云 互联网云 检务云 + 分级保护 + 等级保护 + 等级保护 系统建设方向—安全 《关于印发 < 检察工作网安全保障系统建设指导意见 > 的通知》（高检技 ［ 2018 ］ 62 号） 省院网络安全 态势感知系统 系统 最高检网络安全 态势感知系统 市级网络综合监 管预警平台 市级网络综合监 管预警平台 市检院网络安全 态势感知系统 信任服务设施 外部 数据 命令下发 数据上报 命令下发 数据上报 命令下发 数据上报 数据导入 认证 授权 机构信息 人员信息 设备信息 专业管理 系统 专业管理 系统 专业管理 系统 安全管 控前置 系统 设备 数据上报 系统建设方向—网络安全态势感知平台 专有云安全防护 物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全 物理 设备 部署 位置 安全 服务 商具 备 IDC 资格 虚拟 网络 资源 隔离 通 信 加 密 安 全 检 测 身 份 鉴 别 访 问 控 制 安 全 审 计 入 侵 和 恶 意 代 码 防 范 资 源 控 制 镜 像 和 快 照 保 护 资 源 控 制 接 口 安 全 数 据 完 整 性 数 据 保 密 性 数 据 备 份 和 恢 复 剩 余 信 息 保 护 主要遵循《网络安全等级保护基本要求》第三级要求： 安全通用要求 + 云计算安全扩展要求 检察工作网整体解决方案（一览图） 检务信息化技术架构 公诉信息库 侯监信息库 智 慧 基 础 智 慧 应 用 等级 保护 人才队 伍体系 身份 认证 分级 保护 可视化 运维 平 台 层 数 据 层 检务资源数据库 大数据 数据交换标准 应用支撑服务 数据智能服务 通用业务逻辑 服务组件 数据交换服务 应 用 层 监所检察 控告申诉 民事行政申诉 检委会 侦查监督 公诉 检察业务应用 检察官管理 纪检监察 检务督察 绩效考核 机构管理 队伍信息化应用 财务保障 装备管理 资产管理 侦查指挥 综合办公 人民监督员 办公 & 保障应用 远程培训 检务公开 数据交换 保 障 体 系 监所信息库 职务犯罪库 结构化数据 半结构化数据 非结构化数据 外部数据 数据共享交换平台 感 知 层 智能终端 侦查指挥中心 PC 桌面云 摄像头 RFID 传感器 采集器 互联网 网 络 层 检察工作网 接 入 层 执法司法部门 上级检察院 人民群众 基础 设 施层 计算虚拟化 容灾备份 网络虚拟化 存储虚拟化 安全虚拟化 互联网私有云 工作网检务云 涉密云 云数据中心 技术架构 标准体 系保障 检察专网 职务犯罪侦查与预防 应急处 理平台 其他相关部门 核心交换区 互联网 ISP1 ISP2 网络审计 检测探针 下一代防火墙 安 全 管 理 区 日志审计 堡垒机 防病毒 安全感知 平台 漏洞扫描 … … 数据库 司法监督 两法衔接 文化监督 … … 接入控制 电子档案 检视通 业务协同 VPN 链路负载均衡 专 网 办 公 区 最高检 安全隔离交换区 下一代防火墙 互 联 网 接 入 区 链路负载均衡 核心交换区 检测探针 APT 检测 安 全 管 理 区 日志审计 堡垒机 防病毒 安全感知 平台 漏洞扫描 接入控制 用 户 区 … … 门户网站 举报服务 门户网站 检务公开 上网行为管理 路由器 互联网业务区 核心业务区 音视频业务区 超融合架构 超融合架构 超融合架构 市检院 检察工作网 移 动 专 网 核心交换区 移 动 业 务 区 安 全 管 理 区 移动接入区 专 网 接 入 区 出口安全防护 等级保护方案 出口安全防护 等级保护方案 移动 安全 接入 方案 检务云桌面 方案 检务云桌面 方案 检务云建设方案 超融合 & 云安全资源池 检务云建设方案 超融合 & 云安全资源池 检务云建设方案 超融合 & 云安全资源池 安全态势 感知方案 检务整体解决方案（检察工作网＋互联网） 检务通 电子政务外网 政府机关 / 银行 / 工 商 /… 数据安全 交换方案 路由器 智慧新安全解决方案 Internet 个人域 检务工作域 : 全方位隔 离 明文传输 SSL 全程加密 检务应用服务器隐藏 数据封闭保护 个人域与检务工作域隔离，一机两用。 智慧移动安全解决方案 -- 检务通安全接入解决方案 “ 检务通”是适应检察院移动办公需要所建设的移动办公系统，通过检务通系统，支持工作人员使用检务工作网（非涉密）甚至 接入互联网，实现安全的检务移动办公的移动信息化综合解决方案。 移动终端 移动设备管控 移动数据安全 安全工作域 工作域 App 文件系统隔离 剪切板隔离 App 分享隔离 3G/4G WIFI APN/VPDN 移动网络 移动数据安全管理 移动设备管控 自动化封装服务 企业应用商店 设备管理 外设控制 应用控制 网络控制 推送服务 IM 消息审计 地理围栏 时间围栏 远程控制 合规性检查 LDAP/Radius/CA 认证 应 用 服 务 身份认证 SSL VPN 安全接入 单点登录 安全审计 统一认证与安全接入 IPSec VPN 组网 移动终端安全 + 传输加密安全 + 应用与设备安全管控 智慧移动安全解决方案 -- 检务通安全接入解决方案 检务应用 • OA • 法律法规 • 日志考核 应用商店 检务工作网 检务应用 个人应用 检务应用 服务器 互联网 个人应用 服务器 事务应用 • 公务派车 • 食堂点餐 • 微信、 QQ 等即时通讯  互联网与工作网隔离检查  个人域与检务工作域隔离，一机两 用  检务应用自适应检查  使用同一认证的应用只需登录一次 检务 工作网 互联网 检务应用分 类在工作域 自动 判别 网络 环境 智慧移动安全解决方案 -- 检务通安全接入解决方案 方案优势 客户价值 移动数据高安全 最大限度降低检察业务移动化数据泄密风险 移动设备与应用高度兼容 检务通应用与数据安全快速部署 安全的移动应用管理与分发 安全的检务通应用轻松全员推广与覆盖 与个人域应用一致的移动业务体验 干警移动化高满意度，高使用率 Internet 个人域 工作域 : 全方位隔离 明文传输 SSL 全程加 密 服务器隐藏，数据封闭保护 智慧移动安全解决方案 -- 检务通安全接入解决方案 方案背景： 随着移动互联浪潮的高速发 展，越来越多的移动设备开始进入 政务办公环境中。如今检察系统人 员随时随地的远程安全接入内部系 统资源，需实现反贪 OA 系统移动 办公和系统资源的共享，提高资源 的利用率，保障现有反贪 OA 系统 接入的认证安全、数据传输安全、 终端访问安全以及对应用访问审计 安全。 智慧移动安全解决方案 -- 典型案例 客户名称 中华人民共和国最高人民检察院 广西自治区人民检察院 河南省人民检察院 河北省人民检察院 新疆维吾尔自治区人民检察院 山东省人民检察院 北京市人民检察院 贵州省人民检察院 市级检察院… 智慧移动安全解决方案 -- 典型案例 2016 年，深信服以年度“企业移动化管理 (EMM) 行业解决方案”，获得移动 智能终端峰会“墨提斯奖” 。 物理和环境安全 网络和通信安全 虚拟化安全 节点和计算安全 应用和数据安全 以等保云安全草案三级为标准，分层治理全方位解决云安全问题 表：云计算系统与传统信息系统保护对象差异 检务云安全解决方案 -- 云环境下的合规安全应对思路 云安全服务平台（安全 AppStore ） 安全接入 运维审计 日志审计 WEB 防护 行为审计 数据库审计 EDR 管理 僵尸主机发现 应用负载均衡 专享安全资源 安全管理 安全接入 WEB 防护 数据库审计 EDR 管理 僵尸主机发现 应用负载均衡 专享安全资源 安全管理 等保三级 安全保护模板 等保二级 安全保护模板 安全接入 WEB 防护 EDR 管理 专享安全资源 安全管理 其他区域 安全保护模板 整体边界安全 抗 DDoS 、 NGFW 、负载均衡 核心交换 流量编排 最高检 市检院 IDC 出口 三级系统区 二级系统区 物理环境、云环境 三级系统区 VM 杀软 | EDR VM 杀软 | EDR 两法衔接等… 数据库（ DB ） VM 杀软 | EDR VM 杀软 | EDR 执行管理系统 .. 数据库（ DB ） VM 杀软 | EDR VM 杀软 | EDR 诉讼服务 （ WEB ） 数据库（ DB ） 微 隔 离 微 隔 离 微 隔 离 其他设施 检务云安全解决方案—云上业务等级保护安全加固 按需选取／统一分析 僵尸网 络检测 分 支 / 移 动接入 数据库 审计 安全 堡垒机 安全资源池 丰富安全能力 开放性生态 恶意代 码防护 入侵检测 可视 可控 微隔离 端点 安全 关联 分析 弹性扩展 集群异构 统一管理平台 统一安全展示 平台安全按需索取 平台内部安全展现 / 控制 计算资源 虚拟服务器 虚拟存储 虚拟交换 业 务 云 平 台 网络资源 存储资源 软件定义安全平台 云管平台 检务云安全解决方案—云安全服务平台特色优势 云安全生态 云安全资源池 云计算平台应提供开放接口或开放性安全服务，允许云租户接入第三方安全产品或在云平 台选择第三方安全服务。 ---- 《云等保》 检务云安全解决方案—携手优秀友商，共筑生态平台 像交付计算、存储资源一 样按需交付安全 检务云安全解决方案—安全资源云化，随时按需交付 安全合规 服务化交付 平台解耦 快速上线 开放合作 生态运营 方案目标与定位 检察工作网 互联网 / 移 动互联网 XXXX DMZ 区 管理区 潜伏威胁 新技术 : 大数据、机器学习、行为分析 1 、潜伏威胁探针、 日志采集 2 、检院网络安全态势 感知平台 黑客成功入侵了， 你还不知道？ 威胁情报 全面发现检院体系 各种潜伏威胁 • 通过检察机关网络安全态势感知系统建设，能够对检院已经部署的基础设施、业务应用、数据资源、安全 系统等设备或系统进行集中监管，实现安全威胁和态势的统一掌控，对可能存在的安全威胁进行预警监测， 并能够评估检察工作网的安全状态。 总体设计思路 数据来源 智能分析 安全可视 协同响应 主动提取有效数据 内部联动设备 外部威胁情报 第三方日志设备 基于 AI 、大数据技术 能够不依赖规则检测 低概率安全威胁 基于业务维度的可视化 增加全网可视能力 减少运维工作量 一键处置 实现自动化协同联动 处置大半安全威胁 更多更准确的数据来源  每天几十 G 威胁情报（ Virustotal 、 CNVD 、 CNNVD 等）  基于客户网络态势推送精准可落地的 威胁情报  标准 syslog 格式汇聚多厂商安全产品 ③ 威胁情报、异构数据辅助  在内部关键节点部署探针，主动提取信息 包括会话元数据、协议元数据等。如 HTTP 协议， 主要 25 个关键字段，包括 uesr- agent 、 cookie 、 host 、 refer 等。 ① 全流量数据包 访问控制安全类子系统、终端安全防护类子 系统、网络攻击防护类子系统、网络漏洞评 估类子系统、网络安全审计与分析类子系统、 网络防毒类子系统、网络安全传输类子系统 广泛精准的 数据来源 ② 日志、状态数据提取 更智能的安全检测技术 时间序列分析 二类分类 多类分类 聚类 离群点检测 深度学习 DNS 放大攻击检测 扫描检测 流量查毒 异常行为检测 Webshell 检测 僵尸网络检测 规则 特征 挖矿病毒检测 恶意 URL 检测 十八年应用层深度内 容检测技术积累 十二年应用层安全创 新经验特征库 最新研发机器学习引擎： HTTPflow 、 DNSFlow 、 NETFlow 、 SMBFlow 、 SMTPFlow 分析引 擎 精准的基础数据 + 专业的规则特征库 + 创新 AI& 机器学习引擎 更全面的安全可视能力 可 视 的 深 度 可视的广度 Ip 地址、 端口、协议 用户可视 应用可视 深度内容 可视 风险 行为可视 看清流量 南北、东西 向攻击链可 视 业 务 链 可 视 全 局 安 全 可 视 看清攻击 看清业务风险 看清全局安全 内容可视 传统安全厂商局限性 更高效的协同运维响应  检院互联网 / 移动网络区域： 1 ）、结合威胁情 报、云端检测与服务能力； 2 ）、识别用户身 份，封堵后进行页面提醒  检察工作网／外部专网区： 1 ）、感知平台与防 火墙联动，自动阻断威胁源； 2 ）、内网中病 毒、木马终端隔离； 3 ）、端点执行扫描、查杀 等动作  结合高级人工服务：安全应急响应，解析网络 威胁现状和威胁，并给出安全建设建议 联动响应防护，更高效 服 务 器 区 探针 STA 办 公 终 端 区 探针 STA 安全感知系统 SIS EDR 插件 EDR 插件 EDR 插件 用户识别与提醒 端点联动 自动阻断 云端联动 深信服 安全云 下一代防火墙 上网行为管理 总体逻辑架构图 监 测 平 台 监测对象 监 测 内 容 数 据 分 析 交互 展示 网络设备、安全设备、应 用系统、数据库、终端系 统等七大类接口 检察工作网 外部专网 移动专网 基础支撑系统 业务系统 其他系统 网 络 监 测 业 务 监 测 设备 \ 系统配 置 系统运行 状态 病毒与木马 数据交换 网站安全 设备状态 异常流量 监测 DDOS 攻击 网络链路 互联网行为 设备故障 脆弱性监测 运维审计 认证与授权 监测 ……. 综合监管数据集中存储、转发 综合日志 整体安全 态势 访问关系 可视 失陷主机 可视 失陷用户 分析 互联网行为 分析 流量监测 运维监测 状态信息 监测 …… 资产 事件 风险 状态 合规 脆弱性 流量 态势 检院 领导 技术处 主管 维护人员 审计人员 业务部门 …… 数据存储 任务调度 数据计算 MapReduce Spark DAG MLLib SQL 标准制度 等级保护 信息安全体系 信息技术基础 架构库 人民检察院规 范 ……. 互联网 其他专网 采集接口 检务安全态势感知平台解决方案—安全可视 业务维度可视 攻击链可视 详细举证 影响面分析 检务安全态势感知平台解决方案—安全可视 智慧云 IT 解决方案 业务扩容困难 资源未能充分 利用 新业务上线缓慢 运维管理困难、异构 现象严重 突发业务访问 缺乏保障手段 云内安全防护手段缺失 检务云平台解决方案—传统 IT 架构面临的挑战 • 基于超融合架构打造 的极简数据中心； • 全面兼容互联网、