● 最高人民检察院、中共中央党校  金鸿浩

习近平总书记多次指出“没有网络安全就没有国家安全”。根据网络安全工作的新形势、新变化、新要求,十八大以来,最高人民检察院在党中央、国务院、中央网信领导小组领导和支持下,从顶层设计、平台建设、安全检查、队伍培育等多方面,多策并举,加强网络安全建设,取得了良好成效。

“智慧检务”网络安全的顶层设计

早在2006年5月,最高人民检察院印发《关于明确检察机关信息网络安全和保密工作分工的通知》,明确“检察机关信息网络安全工作由各级检察院技术信息部门负责管理。最高检技术信息中心负责制定全国检察机关信息网络安全管理规范,指导地方各级检察院技术信息部门做好信息网络安全工作,并具体负责管理最高检机关局域网及一级专线网的信息网络安全工作。地方各级检察院技术信息部门负责本院信息网络安全系统及设备的建设、运行维护、安全检查等方面的管理工作”。

2014年6月,最高人民检察院办公厅印发《关于加强检察机关互联网站安全管理的意见》,要求各级检察机关加强网络安全管理,切实加强组织领导、网站管理、安全防护、安全通报、培训检查。2017年12月,最高人民检察院明确要求,“积极推进电子认证、网络监管等基础设施建设,打破‘打补丁’式的安全技术研发惯性思维,持续提高关键信息基础设施安全保障能力,提升检察人员网络安全风险意识,构建分层级的检察机关信息化安全防护体系”。

为加强网络安全统一管理,2014年7月,最高人民检察院将原信息化领导小组更名为网络安全和信息化领导小组。2016年8月,最高人民检察院技术信息中心新设检察信息化部门,专门负责全国检察机关网络和信息安全工作,组织落实国家有关信息安全政策与法规。

“智慧检务”网络安全的平台建设

2016年,最高人民检察院依托电子检务工程,启动网络平台和安全平台项目建设,其中,安全平台主要针对最高人民检察院办公(办案)区网络安全需求,升级部署满足国家分级保护和等级保护要求的防火墙、漏洞扫描系统、入侵检测系统、流量控制系统、网络安全审计系统、网络版杀毒软件等安全设备。2017年6月,项目初验完成并投入使用。

在最高人民检察院的指导下,2016年,河南省检察院建立了全国检察机关第一个基于全流量回溯分析的“网络安全风险预警平台”,该平台集成大容量存储的高性能数据包采集和智能分析功能,分布部署在检察网络的关键节点,可对网络通信数据包进行高性能实时智能分析,快速精确地发现已知安全威胁,并对未知的网络安全威胁进行查找和预防,而且,可以通过丰富的可视化展示界面,从多个维度展示全省检察机关总体网络安全态势,实现对全省三级检察机关内网网络安全风险的统一防控。

为落实最高人民检察院提出的“系统不瘫、业务不停、网络不断、数据不丢”的工作要求,2014年,贵州省检察院经反复论证,在省检察院和遵义市检察院同步进行双中心建设,实现了“两地三中心”运行模式,并建立了规范的应急响应机制,成为全国检察机关第一家完整实现系统容灾的单位。2017年,陕西省检察院建立了应用级异地灾备中心,对省检察院的核心业务平台(办案系统)和非核心业务平台(门户、办公等)的业务应用服务器进行一对一的应用级容灾。当发生灾难时,系统可以根据策略进行自动、半自动或者手动的方式切换到容灾站点,即可直接的接管所有应用,无需任何恢复动作。

“智慧检务”网络安全的安全检查

“一分部署,九分落实”。最高人民检察院张军检察长也多次指出,要“加强网络信息安全技术保障,确保检察网络安全运行”。近年来,最高人民检察院网信办以网络安全检查工作为抓手,加强关键信息基础设施及重点网站网络安全风险排查。

一方面,做好最高人民检察院本级网络安全检查工作。以关键信息基础设施和大数据安全保护为重点,排查网络安全风险、隐患和突出问题,堵塞网络安全漏洞,进一步提高各单位网络安全防护意识和综合防护能力,坚决防范网络攻击窃密和重大网络安全事件事故。检查内容主要包括最高人民检察院各部门、直属事业单位主办或开设互联网信息系统情况、网络安全工作开展情况、网络安全责任制落实情况,关键岗位人员设置情况,等级保护制度落实情况,网站安全防护情况,安全管理制度制定和落实情况,网站日常监测、预警和应急预案情况等。

另一方面,做好全国检察机关网络安全检查工作。2010年,最高人民检察院政治部、技术信息中心印发《关于进一步加强互联网站信息安全工作的通知》,组织进行全国检察机关互联网站及其相关应用安全的专项抽查,并对检查中发现的问题进行通报,对管理制度、技术措施存在重大安全隐患的,将责令先关停、后限期整改,待评测、验收合格后方可对外提供服务。

近年来,最高人民检察院网信办每年印发《关于开展检察机关网络安全检查的通知》,重点对各级检察机关贯彻落实《网络安全法》情况、网络安全保障工作情况、网络安全工作经费保障情况、网络安全等级保护制度落实情况、网络安全管理制度制定和执行情况、网络安全检查工作开展情况、互联网信息系统安全防护情况、重要数据保护情况、开展网络安全监测和预警情况、网络安全应急预案和开展演练情况、网络安全宣传培训情况等方面进行检查。

2017年8月至9月,最高人民检察院还组织开展了检察机关移动应用系统安全检测活动,对各级检察院移动应用系统进行安全评估(包括安全检测、风险评估和漏洞扫描等3大类46项评估内容,详见下表),排查安全隐患,提升各级检察院移动应用系统安全度。

“智慧检务”网络安全的队伍培育

人才是网络安全事业成败的关键因素。最高人民检察院高度重视网络安全人才培育,2007年9月,最高人民检察院技术信息中心在黑龙江省哈尔滨市举办了首期全国检察机关网络安全管理培训班,主要结合检察机关网络的实际情况,培训信息安全基础理论、防病毒理论与实务、应用服务器安全防范技术、数据安全、密码技术、防火墙技术、入侵检测技术、漏洞扫描技术等理论知识和实务技能。近年来,又多次在国家检察官学院及分院举办全国检察机关网络安全专项培训班,主要面向各省级院网络安全主管部门负责人、网络安全管理员,培训网络安全风险与形势,网络安全政策要求、管理标准和技术问题等知识。

各地检察机关通过业务竞赛、选拔赛、集中培训等多种形式,进一步加强检察机关技术信息队伍专业化建设,促进网络安全工作持续健康发展。2016年,最高人民检察院政治部和技术信息中心,联合举办了“第一届全国检察机关网络安全业务竞赛”。2018年6月,最高人民检察院政治部制定了《检察机关岗位素能基本标准(续编)》,确定检察技术和信息化岗位素能标准,其中,检察技术信息化五个岗位的“信息化岗”三项能力要求中,就有“安全管理能力”的专门要求。

简而言之,网络安全是一件久久为功、极端重要的日常工作。未来,检察机关将按照智慧检务“科学化、智能化、人性化”建设原则,根据《全国检察机关智慧检务行动指南(2018-2020年)》部署,重点抓好三项工作:第一,升级检察内网安全防护设备,完善检察工作网物理安全、通信保障、入侵防御、边界防护等基础安全防护措施,提升检察网络信息基础设施安全防护能力。第二,加强检察机关互联网门户网站和“三微一端”的安全防护和监测。第三,升级完善检察网络安全管理平台,加快建设网络安全接入和交换平台,建设完善检察网络信任服务体系。探索建设移动接入平台,实现移动办公终端的安全接入。将信息安全贯穿智慧检务建设始终。

(本文系最高人民检察院检察理论研究课题“智慧检务战略和检察科技创新应用研究”[GJ2018D55]、最高人民检察院技术信息中心“智慧检务理论体系研究”课题的阶段性成果,刊登于《中国信息安全》杂志2019年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。