安恒信息智慧監(jiān)獄網(wǎng)絡安全解決方案

且恒信息

DAS-security更全卬匡

杭州安恒信息技術股份有限公司

二。二四年H^一月

使用說明

一、方案的使用說明

1、方案主要適用于監(jiān)獄行業(yè)

2、方案主要適用于技術中心方案編制

3、方案的清單和拓撲按照實際情況精簡

4、搜索文中XX標識的內(nèi)容，進行替換

二、文檔控制

序號名稱修改時間修改人備注

杭州安恒信息智慧

1監(jiān)獄網(wǎng)絡安全解決2019.12.16袁新平無

方案

目錄

第一章項目概述............................................................1

1.1項目背景...........................................................................1

1.2項目設計依據(jù).......................................................................2

1.3項目建設目標、內(nèi)容、建設周期.......................................................4

1.3.1建設目標.......................................................................4

1.3.2建設內(nèi)容.......................................................................4

1.3.3建設周期.......................................................................5

1.4主要結論與建議.....................................................................5

第二章項目建設必要性、可行性..............................................6

2.1項目建設必要性.....................................................................6

2.2項目建設可行性.....................................................................7

第三章項目需求分析........................................................8

3.1安全現(xiàn)狀..........................................................................8

3.2存在問題...........................................................................8

3.2.1數(shù)據(jù)泄露，篡改................................................................8

3.2.2系統(tǒng)漏洞.......................................................................9

3.2.3攻擊入侵.......................................................................9

3.2.4物聯(lián)網(wǎng)風險..................................................................9

3.2.5人力匱乏......................................................................10

3.2.6意識淡薄......................................................................10

3.3需求分析..........................................................................10

第四章智慧監(jiān)獄三級等保建設方案...........................................12

4.1建設原則和策略...................................................................12

4.2總體設計方案.....................................................................12

4.2.1左側(cè)：安全管理體系...........................................................15

4.2.2中間：安全技術體系............................................................15

4.2.3右側(cè)：安全運營體系............................................................15

4.2.4頂層：安全技術管理中心........................................................15

4.3總體建設拓撲......................................................................16

4.3.1聯(lián)網(wǎng)區(qū)........................................................................16

4.3.2數(shù)據(jù)中心區(qū)....................................................................17

4.3.3特別用戶區(qū)....................................................................17

4.3.4普迪用戶區(qū)....................................................................18

4.3.5外網(wǎng)辦公區(qū)....................................................................18

4.3.6安防設施區(qū)....................................................................18

4.3.7運維管理區(qū)....................................................................19

4.4方案優(yōu)勢..........................................................................20

4.4.1滿足等級保護技術規(guī)范要求......................................................20

4.4.2維護監(jiān)獄的形象和聲譽..........................................................20

杭州安恒信息技術股份有限公司

第一章項目概述

1.1項目背景

2018年4月，習近平總書記在全國網(wǎng)絡安全和信息化工作會議

上發(fā)表重要講話，系統(tǒng)闡述了網(wǎng)信事業(yè)發(fā)展觀、安全觀、治理觀等網(wǎng)

絡強國戰(zhàn)略思想，吹響了建設網(wǎng)絡強國的時代號角。2018年7月，

司法部召開網(wǎng)絡安全和信息化工作電視電話會議，做出了加快建設

“數(shù)字法治、智慧司法”的重大決策，研究制定了《“數(shù)字法治、智

慧司法“信息化體系建設指導意見》。11月，司法部印發(fā)《關于加

快推進“智慧監(jiān)獄”建設的實施意見》，明確了“智慧監(jiān)獄”建設的

總體目標、重點任務、實施步驟。12月司法部發(fā)布了《智慧監(jiān)猶技

術規(guī)范》，為全系統(tǒng)實施“智慧監(jiān)獄”建設制定了可行的操作手冊。

“智慧監(jiān)獄”是“數(shù)字法治、智慧司法”信息化體系建設中不可

或缺的重要組成部分，其主要內(nèi)容是在現(xiàn)有監(jiān)獄信息化建設基礎上,

充分運用大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等現(xiàn)代科技手段，將現(xiàn)有信息技

術與監(jiān)獄各項業(yè)務融合，最大限度地匯聚整合、感測分析監(jiān)管改造信

息資源和社會信息資源，從而對監(jiān)獄工作各項需求做出智慧判斷和響

應。建設“智慧監(jiān)獄”的主要意義在于：

（一）是適應新時代監(jiān)獄發(fā)展的需要

時代飛速發(fā)展，科技創(chuàng)新日新月異。以往的指導思想、管理理念、

管理模式難以適應當前監(jiān)獄工作發(fā)展形勢的需要。監(jiān)獄工作應主動適

用改革發(fā)展需要，大力開展以監(jiān)獄信息化、智能化建設為主的“智慧

監(jiān)獄”建設實踐探索，在現(xiàn)有信息化基礎上，打破原有格局，實現(xiàn)深

度的數(shù)據(jù)融合、流程融合、模型融合，突出強化信息技術在安全防范

杭州安恒信息技術股份有限公司

中的支撐保障作用，構筑人防、物防、技防、聯(lián)防一體運行格局，使

監(jiān)獄工作從信息化向智慧化跨越發(fā)展。

（二）是踐行“五大改造”理念的需要

“五大改造”理念的提出，確立了罪犯改造質(zhì)量標準。建設“智

慧監(jiān)獄”就是要堅決貫徹落實“堅守安全底線，踐行改造宗旨”的指

導思想，緊緊圍繞監(jiān)獄安全這個根本，全面梳理監(jiān)管安全風險點，形

成風險分析體系，運用大數(shù)據(jù)，智能風險，動態(tài)跟蹤，確保監(jiān)獄安全

風險防范始終處于可控狀態(tài)。

（三）是構建平安監(jiān)獄的需要

面對復雜的監(jiān)管形勢，監(jiān)管壓力凸顯。新時代監(jiān)獄工作要牢固樹

立安全首位意識，堅持把監(jiān)管安全作為“智慧監(jiān)獄”的生命線，加強

“智慧監(jiān)獄”建設，建立健全智慧安全防控系統(tǒng)，加快信息化技術在

罪犯改造工作中應用，不斷提升監(jiān)獄工作現(xiàn)代化水平，為構建平安監(jiān)

獄做出新貢獻。

在司法部制定的《關于加快推進“智慧監(jiān)獄”建設的實施意見》

中明確提出要構建統(tǒng)一的安全保障體系，確保監(jiān)獄系統(tǒng)的信息網(wǎng)絡和

信息系統(tǒng)中的信息資源免受各種類型的威脅、干擾和破壞。按照國家

信息安全等級保護和涉密信息分級保護的要求以及其他相關的標準

規(guī)范，建立高標準的信息安全防護體系，落實安全責任，確保“智慧

監(jiān)獄”全流程信息安全可控。

1.2項目設計依據(jù)

本次規(guī)劃參考以下政策文件和國內(nèi)信息安全標準：

司法部關于印發(fā)《全國司法行政系統(tǒng)信息化建設規(guī)劃》的通知（司

發(fā)通［20011095號）

2

杭州安恒信息技術股份有限公司

司法部關于印發(fā)《全國監(jiān)獄信息化建設規(guī)劃》的通知(司發(fā)通

[2008]124號)

司法部關于印發(fā)《全國司法行政信息化建設規(guī)劃》的通知(司發(fā)

通[2013114號)

司法部關于印發(fā)《關于加快推進“智慧監(jiān)獄”建設的實施意見》

的通知

《關于加強公共安全監(jiān)控建設聯(lián)網(wǎng)應用工作的若干意見》(發(fā)改

高技(2015)996號)

《全國司法行政系統(tǒng)網(wǎng)絡平臺技術規(guī)范》(SF/T0012-2017)

《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術要求》(GB35114-2017)

《監(jiān)獄安全防范信息系統(tǒng)建設規(guī)范》(DB33/T2115-2018)

《監(jiān)獄網(wǎng)絡信息系統(tǒng)建設規(guī)范》(DB33/T2016-2018)

《智慧監(jiān)獄技術規(guī)范》(SF/T0028-2018)

《信息安全技術網(wǎng)絡安全等級保護基本要求》(GB/T

22239-2019)

《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》(GB/T

25070-2019)

《信息安全技術網(wǎng)絡安全等級保護測評要求》(GB/T

28448-2019)

《“數(shù)字法治、智慧司法”信息化體系建設指導意見》

《“數(shù)字法治、智慧司法”信息化體系建設實施方案》

《國務院關于印發(fā)“十三五”國家信息化規(guī)劃的通知》(國發(fā)(2016)

73號)

《中華人民共和國網(wǎng)絡安全法》

《信息安全技術大數(shù)據(jù)安全管理指南》(國標征求意見稿)

3

杭州安恒信息技術股份有限公司

《信息安全技術大數(shù)據(jù)服務安全能力要求》(GB/T35274-2017)

《信息安全技術數(shù)據(jù)安全能力成熟度模型》(國標送審稿)

《信息安全技術云計算服務安全指南》(GB/T31167-2014)

IS0/IEC27001：2013信息安全管理體系要求

1.3項目建設目標、內(nèi)容、建設周期

L3.1建設目標

本次項目以保障集獄政管理、教育改造、刑罰執(zhí)行、生活衛(wèi)生、

安全生產(chǎn)、智能安防、隊伍建設為一體的應用系統(tǒng)安全為核心，構建

統(tǒng)一的安全保障體系，確保監(jiān)獄系統(tǒng)的信息網(wǎng)絡和信息系統(tǒng)中的信息

資源免受各種類型的威脅、干擾和破壞，是智慧監(jiān)獄建設的重中之重。

安恒信息提供從咨詢規(guī)劃到部署實施的全面等保三級解決方案。針對

網(wǎng)絡分區(qū)建設提供全方位的網(wǎng)絡安全部署方案，實現(xiàn)網(wǎng)絡安全的態(tài)勢

感知、主動防御；通過物聯(lián)網(wǎng)安全解決方案，解決視頻監(jiān)控、物聯(lián)網(wǎng)

設備安全問題，有效防止終端仿冒等安全問題，實現(xiàn)物聯(lián)網(wǎng)安全。

L3.2建設內(nèi)容

根據(jù)《智慧監(jiān)獄技術規(guī)范》要求，智慧監(jiān)獄非涉密信息系統(tǒng)信息

安全應符合GB/T22239等級保護第三級的規(guī)定，涉密信息系統(tǒng)應該符

合分級保護的要求。信息安全應建立技術服務管理平臺，實現(xiàn)對購買

的社會化服務全流程監(jiān)管和服務內(nèi)容知識庫管理。

建立全域動態(tài)監(jiān)測、分析和預警機制，建立應急響應技術服務保

障專家?guī)欤ㄆ谘菥殹?/p>

總體建設內(nèi)容包括三級等級保護建設、物聯(lián)網(wǎng)安全建設、監(jiān)猶數(shù)

據(jù)中心超融合建設、安全運營。

4

杭州安恒信息技術股份有限公司

L3.3建設周期

本期項目建設周期預計為2019年12月-2022年12月。2019年

12月-2020年12月進行三級等級保護體系建設；2021年01月-2021

年12月進行物聯(lián)網(wǎng)安全建設；2022年1月-2022年12月進行安全運

營體系建設。

1.4主要結論與建議

本項目是利用云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)安全等相關技

術，通過彈性計算資源及大數(shù)據(jù)分析能力，結合人工智能數(shù)據(jù)算法,

實現(xiàn)對智慧監(jiān)獄安全態(tài)勢的可見、可感、可知，通過對安全管控對象

的數(shù)據(jù)態(tài)勢、攻擊態(tài)勢、事件態(tài)勢等進行綜合分析，并對發(fā)現(xiàn)的安全

威脅進行提前預警和處置，實現(xiàn)對安全管控對象安全建設的可知、可

管、可控。智慧監(jiān)獄安全防護體系的建設，將大大提升監(jiān)獄信息網(wǎng)絡

和信息系統(tǒng)的安全防護水平，保障智慧監(jiān)獄業(yè)務的順利開展，助力數(shù)

字法治、智慧司法偉大目標實現(xiàn)。

XX智慧監(jiān)獄安全保障體系項目建設，政策要求明確、社會需求

迫切、目標清晰，需求完整、技術基本可行，且XX監(jiān)獄信息化基礎

較好，希望盡早得到批準與實施。

5

杭州安恒信息技術股份有限公司

第二章項目建設必要性、可行性

2.1項目建設必要性

1.履行《網(wǎng)絡安全法》的需要

《網(wǎng)絡安全法》第三十一條規(guī)定，國家對公共通信和信息服務、

能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域,

以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家

安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保

護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安

全保護辦法由國務院制定。

智慧監(jiān)獄信息安全根據(jù)網(wǎng)絡安全法規(guī)定應該按照等級保護第三

級的規(guī)定來建設安全防護體系。

2.解決智慧監(jiān)獄新技術應用帶來的風險

智慧監(jiān)獄場景中會充分運用大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等現(xiàn)代科

技手段，將現(xiàn)代信息技術與監(jiān)獄各項業(yè)務融合，最大限度地匯聚整合、

感測分析監(jiān)管改造信息資源和社會信息資源，從而對監(jiān)獄工作的各項

需求作出智慧判斷響應。最終建成標準規(guī)范科學統(tǒng)一、數(shù)據(jù)信息全面

準確、業(yè)務應用靈活普及、研判預警智慧高效的“智慧監(jiān)獄”，為不

斷提高我國監(jiān)獄管理水平和罪犯改造質(zhì)量，打好堅實基礎。

現(xiàn)代科技手段的運用同時也會帶來一些新的安全風險，因此需要

建設全面有深度的安全防護體系，包括物理安全、網(wǎng)絡安全、主機安

全、應用安全、物聯(lián)網(wǎng)安全、數(shù)據(jù)安全和安全管理，為智慧監(jiān)獄信息

系統(tǒng)安全防護提供有力技術支持。通過采用多層次、多方面的技術手

段和方法，實現(xiàn)全面的防護、檢測、響應等安全保障措施，確保智慧

監(jiān)獄體系整體具備安全防護、監(jiān)控管理、測試評估、應急響應等能力。

6

杭州安恒信息技術股份有限公司

2.2項目建設可行性

1.政策指引

《中華人民共加國網(wǎng)絡安全法》第二十九條明確，“國家支持網(wǎng)

絡運營者之間在網(wǎng)絡安全信息收集、分析、通報和應急處置等方面進

行合作，提高網(wǎng)絡運營者的安全保障能力。有關行業(yè)組織建立健全本

行業(yè)的網(wǎng)絡安全保護規(guī)范和協(xié)助機制，加強網(wǎng)絡安全風險的分析評

估。”

2.技術可行性分析

本項目采用技術成熟可行，技術整合路徑合理。將目前先進的網(wǎng)

絡安全態(tài)勢感知技術、爬蟲技術、自動化滲透測試技術以及安全評價

技術，安全大數(shù)據(jù)分析技術以及數(shù)據(jù)安全保護技術進行了整合，并通

過這些技術對各類數(shù)據(jù)支撐和業(yè)務系統(tǒng)提供安全態(tài)勢感知、安全防護、

安全檢查、漏洞掃描、APT未知威脅預警、自動化滲透測試、重大事

件預警等功能，實現(xiàn)對安全態(tài)勢的可見、可感、可知，并對發(fā)現(xiàn)的安

全威脅進行提前預警和處置，實現(xiàn)智慧監(jiān)獄信息系統(tǒng)安全建設的可知、

可管、可控。

3.經(jīng)濟可行性分析

本項目規(guī)模適中、投資合理，且項目建設符合XX智慧監(jiān)獄建設

發(fā)展的需要。

4.人員可行性分析

監(jiān)獄行業(yè)一直面臨安全人才缺乏的問題，通過安全運營賦能，項

目將建立一只熟悉業(yè)務、善于管理、精通信息化技術的隊伍。在項目

實施后充分考慮項目的運營工作及售后保障工作，確保平臺建設的可

用性，通過不斷的持續(xù)改進，進一步提升安全管控體系的運營效率，

完善安全管控功能C

7

杭州安恒信息技術股份有限公司

第三章項目需求分析

3.1安全現(xiàn)狀

隨著科技的不斷發(fā)展以及信息化程度的不斷提高，監(jiān)獄信息安

全所面臨的外部威脅也越來越嚴重。監(jiān)獄信息安全所面臨的外部威脅

主要集中在以下幾個方面：

（1）計算機病毒、黑客入侵等外部威脅，一些國家或個人利用

監(jiān)獄信息管理系統(tǒng)存在的漏洞或是在計算機或是通信設備上所留下

的后門實行未經(jīng)授權的侵入從而盜取監(jiān)獄信息。

（2）內(nèi)部的攻擊或是在系統(tǒng)中傳播不良信息。一些監(jiān)獄機構、

部門對于監(jiān)獄信息并未引起足夠的重視，安全保密意識和對于監(jiān)獄信

息的安全保密措施都相對缺乏，甚至于一些監(jiān)獄對于監(jiān)獄信息并未采

取任何防護措施，使其極易遭到竊取和破壞。

3.2存在問題

智慧監(jiān)獄的建設將物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新一代

信息技術與監(jiān)獄各項業(yè)務深度融合，形成了標準規(guī)范科學統(tǒng)一、數(shù)據(jù)

信息全面準確、業(yè)務應用靈活普及、研判預警智慧高效的應用體系。

新技術的應用帶來了便利和效率，同時也引入了諸多信息安全風險。

信息安全風險主要由脆弱性和威脅構成，人員和系統(tǒng)的脆弱性包括安

全意識薄弱、系統(tǒng)漏洞等。威脅包括造成各種危害后果的攻擊和入侵。

3.2.1數(shù)據(jù)泄露與篡改

智慧監(jiān)獄建設最重要的目標即是利用大數(shù)據(jù)技術完成數(shù)據(jù)共享、

整合、分析，連通監(jiān)獄各子系統(tǒng)以綜合保障監(jiān)獄監(jiān)管安全。數(shù)據(jù)需要

8

杭州安恒信息技術股份有限公司

在各子系統(tǒng)間連貫性的傳遞，給數(shù)據(jù)安全性帶來極大的隱患。因信息

系統(tǒng)漏洞或內(nèi)部惡意操作等原因造成的數(shù)據(jù)泄露事件頻繁發(fā)生。數(shù)據(jù)

泄露已經(jīng)成為信息安全事件占比最多的一個分類。智慧監(jiān)獄的信息系

統(tǒng)需要與互聯(lián)網(wǎng)進行數(shù)據(jù)交換，用戶身份遠比封閉內(nèi)網(wǎng)環(huán)境復雜，數(shù)

據(jù)泄露的風險也最突出。

另外一個是數(shù)據(jù)篡改，國外發(fā)生過一例監(jiān)獄系統(tǒng)入侵事件，黑客

入侵監(jiān)獄系統(tǒng)后，篡改數(shù)據(jù)，希望盡早讓自己的朋友得到釋放。

3.2.2系統(tǒng)漏洞

智慧監(jiān)獄會上線一些新的業(yè)務系統(tǒng)，由于開發(fā)過程缺少安全設計

和安全規(guī)范的約束，導致業(yè)務系統(tǒng)自身存在各種漏洞和配置錯誤，攻

擊者可以利用這些漏洞，遠程入侵到各種業(yè)務系統(tǒng)中并潛伏下來，長

期獲取敏感數(shù)據(jù)或直接進行破壞業(yè)務系統(tǒng)的活動，擾亂正常的監(jiān)猶工

作。

3.2.3攻擊入侵

攻擊者可以在不入侵到系統(tǒng)內(nèi)部的情況下，通過控制的僵尸主機

向目標系統(tǒng)發(fā)起大規(guī)模的攻擊，大幅降低信息系統(tǒng)的可用性，從而干

擾正常的監(jiān)獄工作C

3.2.4物聯(lián)網(wǎng)風險

智慧監(jiān)獄會大量使用物聯(lián)網(wǎng)設備，比如視頻終端，很多地方攝像

頭是接入到網(wǎng)絡，網(wǎng)絡的接入點遍及各個地方，如果這個點有惡意的

破壞者，通過這個點直接入侵整個監(jiān)控網(wǎng)絡，甚至拿下監(jiān)控網(wǎng)絡的控

制權限，將對社會安定起到反作用。

9

杭州安恒信息技術股份有限公司

3.2.5人力匱乏

絕大部分單位部門都沒有配備足夠的信息安全管理人員，專業(yè)人

力資源不足的問題非常嚴重。因此導致安全管理工作的覆蓋不到位,

存在管理盲區(qū)。

3.2.6意識淡薄

相對于金融、通訊等信息通信技術應用相對成熟的行業(yè)，監(jiān)狀部

門的核心業(yè)務與信息通訊技術距離較遠，人員的安全意識相對比較薄

弱。有些情況下，個人信息終端既用于處理公務，又用于私人事務。

3.3需求分析

1.加強監(jiān)獄等級保護建設

參考等級保護2.0新標準三級保護要求，以等級保護合規(guī)建設為

抓手，建立監(jiān)測、預警、防范機制，加強對關鍵目標管控、風險識別

的能力水平，從技術防御和管理機制兩個方面建設等級保護體系。

2.建立健全數(shù)據(jù)生命周期安全保障機制

聚焦數(shù)據(jù)本身，結合智慧監(jiān)獄數(shù)據(jù)的生命周期進行安全技術保障

體系設計，通過利用從數(shù)據(jù)采集/產(chǎn)生、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)

處理到數(shù)據(jù)銷毀全生命周期的安全技術控制措施，實現(xiàn)數(shù)據(jù)生命周期

的安全保障。同時，利用安全監(jiān)管措施將數(shù)據(jù)生命周期各個階段的安

全保障工作和執(zhí)行情況監(jiān)管起來，確保安全策略在技術環(huán)節(jié)得到正確

的執(zhí)行，規(guī)章制度在技術層面得到有效的支撐和體現(xiàn)。

3.構建全省網(wǎng)絡安全運營監(jiān)管機制

省監(jiān)獄管理局指導全省監(jiān)獄工作的改革，指導全省現(xiàn)代化文明監(jiān)

獄創(chuàng)建工作。根據(jù)《中華人民共和國網(wǎng)絡安全法》的相關要求，為積

10

杭州安恒信息技術股份有限公司

極落實網(wǎng)絡運營者主體的安全管理責任要求，加快XX省監(jiān)獄系統(tǒng)安

全協(xié)作機制建設，需建立跨監(jiān)獄協(xié)同運營的管控平臺，實現(xiàn)全省監(jiān)獄

系統(tǒng)在網(wǎng)絡安全上的協(xié)作與互通，建立健全全省網(wǎng)絡安全監(jiān)測預警、

信息通報、應急處置、追蹤溯源等相關機制。

11

杭州安恒信息技術股份有限公司

第四章智慧監(jiān)獄三級等保建設方案

4.1建設原則和策略

厲行節(jié)約原則：在安全防護系統(tǒng)建設過程中，要盡量利用現(xiàn)有的

信息系統(tǒng)、網(wǎng)絡基礎設施、安全監(jiān)控數(shù)據(jù)等，綜合考慮對已有資源的

共享和利用，避免重復建設和浪費。

標準規(guī)劃原則：在方案設計和設備選型方面遵循國家以及行業(yè)內(nèi)

的相關標準，嚴格按照有關程序組織項目建設，在平臺后期擴容建設

中做到項目有章可循。

重點保護原則：根據(jù)信息系統(tǒng)的重要程度、業(yè)務特點，實現(xiàn)不同

強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務或重要數(shù)據(jù)資產(chǎn)的

信息系統(tǒng)。

技術先進原則：平臺設計立足先進技術，采用先進的系統(tǒng)結構、

開放的體系架構，使系統(tǒng)在一個周期內(nèi)保持技術領先水平，具備長足

的發(fā)展能力，以適應未來網(wǎng)絡技術和安全技術的發(fā)展和系統(tǒng)使用的科

學性。

風險管理原則：進行安全風險管理，確認可能影響信息系統(tǒng)的安

全風險，正確的識別風險、合理的管理風險，并讓信息系統(tǒng)的安全風

險降低到可以接受的水平以內(nèi)。

4.2總體設計方案

在等保1.0推進過程中，企事業(yè)單位常根據(jù)自身情況，以單個信

息系統(tǒng)的等保建設進行規(guī)劃，缺乏整體安全管理理念，在實際的建設

過程中，存在重復建設，部分關鍵技術缺失，安全運維能力滯后等問

12

杭州安恒信息技術股份有限公司

題。本期智慧監(jiān)獄信息系統(tǒng)的等保建設，安恒信息以等保2.0“一個

中心三重防御”的保障理念，根據(jù)安恒多年網(wǎng)絡安全保障經(jīng)驗，提出

等保2.0安全保障體系方案，重點突出以安全管理中心建設，引入整

體安全運營理念，整合推進客戶技術體系及管理體系的完善，推進甲

方與安全廠商安全能力融合，以切實經(jīng)驗助力企業(yè)安全運營，構建優(yōu)

化以安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境的多重防御架構，

提供持續(xù)覆蓋企事業(yè)單位整體安全防護的安全能力。根據(jù)安全保障體

系的設計思路，安全域保護的設計與實施通過以下步驟進行：

＞安全域設計：通過分析系統(tǒng)業(yè)務流程、功能模塊，根據(jù)安全

域劃分原見設計系統(tǒng)安全域架構。通過安全域設計將系統(tǒng)分

解為多個層次，為下一步安全保障體系框架設計提供基礎框

架；

＞安全保障體系框架設計：根據(jù)安全域框架，設計系統(tǒng)各個層

次的安全保障體系框架（包括策略、組織、技術和運作），各

層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架;

＞確定安全域安全要求：參照國家相關等級保護安全要求，設

計等級安全指標庫。通過安全域適用安全等級選擇方法確定

系統(tǒng)各區(qū)域等級，明確各安全域/需采用的安全指標；

＞評估現(xiàn)狀：根據(jù)各區(qū)域安全要求確定各安全等級的評估內(nèi)容，

根據(jù)國家相關風險評估方法，對系統(tǒng)各層次安全域進行有針

對性的風險評估。通過風險評估，可以明確各層次安全域相

13

杭州安恒信息技術股份有限公司

應等級的安全差距，為下一步安全技術解決方案設計和安全

管理建設提供依據(jù);

＞安全技術解決方案設計：針對安全要求，建立安全技術措施

庫。通過風險評估結果，設計系統(tǒng)安全技術解決方案;

＞安全管理建設：針對安全要求，建立安全管理措施庫。通過

風險評估結果，進行安全管理建設。

通過如上步驟，信息系統(tǒng)安全可以形成整體的安全保障體系，同

時根據(jù)安全技術建設和安全管理建設，保障系統(tǒng)整體的安全。

推進能力融合.助力安全管理、優(yōu)構多重防御

智

救

技

安

態(tài)

通

應

?

安

修

育

術

全

勢

全

急

報

脅

分

培

檢

可

監(jiān)

情

安全運營能力?處?

析

訓

消

控

滿

報

■■知

安全技術體系

6wax員

圖1智慧監(jiān)獄安全保障體系總體框架

14

杭州安恒信息技術股份有限公司

4.2.1左側(cè)：安全管理體系

該側(cè)內(nèi)容主要有五個模塊組成，主要進行了制度體系的建設，本

期根據(jù)監(jiān)獄信息網(wǎng)絡體系的特征，進行了安全管理制度、安全管理機

構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理的建設，形成管理

上的安全保障。

4.2.2中間：安全技術體系

安全技術體系主要分為四大模塊組成，主要進行安全計算環(huán)境、

安全通信網(wǎng)絡、安全區(qū)域邊界和安全物理環(huán)境四個方面組成，分拆具

體網(wǎng)絡架構，實現(xiàn)設備的建設。

4.2.3右側(cè)：安全運營體系

右側(cè)的內(nèi)容主要是運營體系模塊，與安全管理體系共同形成了等

級保護2.0的安全管理，主要包含資產(chǎn)梳理、安全漏洞檢查、協(xié)助安

全加固、應急響應、安全咨詢等多個內(nèi)容。

4.2.4頂層：安全技術管理中心

技術管理中心是安全技術體系的重要組成部分，本期通過對于整

體內(nèi)容的管理，進行總體態(tài)勢的感知，管理中心主要包含日志審計、

運維審計以及態(tài)勢感知中心，多個平臺的聯(lián)動，統(tǒng)一實現(xiàn)整體安全的

綜合技術管理。

15

杭州安恒信息技術股份有限公司

4.3總體建設拓撲

m

專有云

N0

-WF.NGFWm

?網(wǎng)

AF據(jù)

--加

庫

數(shù)

0火

卬

據(jù)

區(qū)

地

-防

計

M0庫

-數(shù)

_?審

米

特

別視頻準入引擎

滑

區(qū)

二

匐6?

，物聯(lián)網(wǎng)安全心前端IPC

雪

漕

皿安防設施區(qū)

日志審計DPI物聯(lián)網(wǎng)監(jiān)測

渭

才

畫同圓

區(qū)

運維審計APT遠程評估

大數(shù)據(jù)等保工具箱EDR中心

運維管理區(qū)

圖2智慧監(jiān)獄安全拓撲圖

4.3.1聯(lián)網(wǎng)區(qū)

聯(lián)網(wǎng)區(qū)負責接入政務部門專網(wǎng)/自建專網(wǎng)的邊界連接，以及專有

云平臺服務，聯(lián)網(wǎng)區(qū)應部署NGFTV,開啟防病毒、IPS等特征庫。

產(chǎn)品名稱部署位置用途

實現(xiàn)不同區(qū)域間安全訪問、控制隔離；

NGFW聯(lián)網(wǎng)區(qū)出口

實現(xiàn)傳輸鏈路病毒入侵、攻擊入侵防護等。

16

杭州安恒信息技術股份有限公司

4.42數(shù)據(jù)中心區(qū)

數(shù)據(jù)中心區(qū)負責提供全網(wǎng)各類計算、存儲、數(shù)據(jù)、網(wǎng)絡架構、安

全體系和系統(tǒng)與業(yè)務應用等資源的私有云服務。數(shù)據(jù)中心區(qū)部署WAF、

NGFW、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫審計、主機安全管理系統(tǒng)等。

產(chǎn)品名稱部署位置用途

對Web服務器進行應用層的安全防護，

WAF數(shù)據(jù)中心區(qū)Web服務器前端可有效攔截SQL注入、XSS、頁面篡改、

數(shù)據(jù)泄露等常見的Web應用攻擊行為。

實現(xiàn)不同區(qū)域間安全訪問、控制隔離；

NGFW數(shù)據(jù)中心區(qū)與核心交換區(qū)之間實現(xiàn)傳輸鏈路病毒入侵、攻擊入侵防護

等。

主機安全終端防病毒、系統(tǒng)漏洞修復、網(wǎng)絳安全

服務器終端上

管理系統(tǒng)隔離。

以攻擊防護和敏感數(shù)據(jù)保護為核心的

數(shù)據(jù)庫防串接在數(shù)據(jù)二心區(qū)與核心交換專業(yè)級數(shù)據(jù)庫安全防護設備，可以實現(xiàn)

火墻區(qū)之間對數(shù)據(jù)庫服務器從系統(tǒng)層面、網(wǎng)絡層

面、數(shù)據(jù)庫三維一體的立體安全防護。

數(shù)據(jù)庫審旁掛在數(shù)據(jù)口心區(qū)接入交換機發(fā)現(xiàn)各種利用數(shù)據(jù)庫漏洞發(fā)起的攻擊事件

計上和違規(guī)操作。

4.3.3特別用戶區(qū)

特別用戶區(qū)獨立組網(wǎng)且具有安全隔離與信息交換邊界，負責接入

罪犯使用的各種智能終端，特別用戶區(qū)部署網(wǎng)閘、主機安全管理系統(tǒng)。

產(chǎn)品名稱部署位置用途

特別用戶區(qū)與核心交實現(xiàn)不同業(yè)務網(wǎng)絡間數(shù)據(jù)安全可信交換、數(shù)據(jù)

網(wǎng)閘

換區(qū)之間擺渡。

主機安全

PC終端上終端防病毒、系統(tǒng)漏洞修復、網(wǎng)絡安全隔離。

管理系統(tǒng)

17

杭州安恒信息技術股份有限公司

4.3.4普通用戶區(qū)

普通用戶區(qū)負責接入監(jiān)獄民警職工等所有認證用戶使用的各類

智能終端，普通用戶區(qū)部署NGFW、主機安全管理系統(tǒng)。

產(chǎn)品名稱部署位置用途

普通用戶區(qū)與核心交實現(xiàn)不同區(qū)域間安全訪問、控制隔離；實現(xiàn)傳

NGFW

換區(qū)之間輸鏈路病毒入侵、攻擊入侵防護等。

主機安全

PC終端上終端防病毒、系統(tǒng)漏洞修復、網(wǎng)絡安全隔離。

管理系統(tǒng)

4.3.5外網(wǎng)辦公區(qū)

外網(wǎng)辦公區(qū)獨立組網(wǎng)且具有安全隔離與信息交換邊界，負責接入

監(jiān)獄外網(wǎng)中所有用戶的智能終端，并通過政務外網(wǎng)連接司法公有云和

政務云服務。外網(wǎng)辦公區(qū)部署網(wǎng)閘、NGFW、主機安全管理系統(tǒng)。

產(chǎn)品名稱部署位置用途

外網(wǎng)辦公區(qū)與核心交實現(xiàn)不同區(qū)域間安全訪問、控制隔離；實現(xiàn)傳

NGFW

換區(qū)之間輸鏈路病毒入侵、攻擊入侵防護等。

主機安全

PC/服務器終端上終端防病毒、系統(tǒng)漏洞修復、網(wǎng)絡安全隔離。

管理系統(tǒng)

外網(wǎng)辦公區(qū)與核心交實現(xiàn)不同業(yè)務網(wǎng)絡間數(shù)據(jù)安全可信交換、數(shù)據(jù)

網(wǎng)閘

換區(qū)之間擺渡。

4.3.6安防設施區(qū)

安防設施區(qū)負責接入監(jiān)管安防前端基礎設施及提供安仝防范終

端采集和管控服務，安防設施區(qū)部署NGFW、視頻準入引擎、物聯(lián)網(wǎng)

安全心。

產(chǎn)品名稱部署位置用途

物聯(lián)網(wǎng)安全心攝像頭系統(tǒng)內(nèi)增強攝像頭系統(tǒng)安全、視頻數(shù)據(jù)加密防護，

18

杭州安恒信息技術股份有限公司

感知惡意病毒入侵事件。

安防設施區(qū)與核心交實現(xiàn)不同區(qū)域間安全訪問、控制隔離；實現(xiàn)

NGFW

換區(qū)之間傳輸鏈路病毒入侵、攻擊入侵防護等。

匯聚交換與核心交換防止非法接入、非法仿冒的終端接入網(wǎng)絡，

視頻準入網(wǎng)關

之間保障攝像頭安全接入。

4.3.7運維管理區(qū)

運維管理區(qū)負責對整個監(jiān)獄的安全狀況進行統(tǒng)一運維管理，部署

設備如下:

產(chǎn)品名稱部署位置用途

實現(xiàn)對用戶運維操作進行集中管理，對身

堡壘機運維管理區(qū)份、訪問、權限、審計進行控制，降低運維

操作風險。

所有的日志信息收集到平臺中，實現(xiàn)信息資

日志審計運維管理區(qū)產(chǎn)的統(tǒng)一管理、監(jiān)控資產(chǎn)的運行狀況，協(xié)助

用戶全面審計信息系統(tǒng)整體安全狀況。

針對應用區(qū)重要業(yè)務系統(tǒng)進行實時安全掃

漏洞掃描運維管理區(qū)描，漏洞風險精準定位，幫助用戶充分了解

業(yè)務系統(tǒng)存在的安全隱患。

可接收安全監(jiān)測平臺、物聯(lián)網(wǎng)安全心、DPI

物聯(lián)網(wǎng)安全等引擎數(shù)據(jù)，結合威脅情報分析，實現(xiàn)整網(wǎng)

運維管理區(qū)

態(tài)勢感知安全威脅實時可查、可查，同時通報預警，

及時處置管控。

針對弱點探測、滲透入侵、獲取權限、命令

與控制、數(shù)據(jù)盜取整個APT攻擊鏈中的攻擊

APT運維管理區(qū)

行為進行安全檢測，發(fā)現(xiàn)流量中已知和未知

威脅事件.

通過鏡像核心交換機流量，對全流量行為進

DPI運維管理區(qū)

行審計分所。

整網(wǎng)攝像頭資產(chǎn)盤點，攝像頭資產(chǎn)安全狀態(tài)

物聯(lián)網(wǎng)監(jiān)測運維管理區(qū)監(jiān)控，非法接入、仿冒行為監(jiān)控，數(shù)據(jù)報表

導出。

大數(shù)據(jù)平臺運維管理區(qū)以“AI驅(qū)動安全”為核心理念，集成超大規(guī)

19

杭州安恒信息技術股份有限公司

模存查、大數(shù)據(jù)實時智能分析、用戶行為

(UEBA)分析、多維態(tài)勢安全視圖、企業(yè)安

全聯(lián)動閉環(huán)等安全模塊。具備全網(wǎng)流量處

理、異構數(shù)據(jù)集成、核心數(shù)據(jù)安全分析、辦

公應用安全威脅挖掘等前沿大數(shù)據(jù)智能安

全威脅挖掘分析與預警管控能力。擁有

1500+安全規(guī)則模型與50+智能安全分析場

景。為企業(yè)用戶提供全局態(tài)勢感知和業(yè)務不

間斷穩(wěn)定運行安全保障。

EDR管理中實現(xiàn)對終端安全管理系統(tǒng)的統(tǒng)一管理和策

運維管理區(qū)

心略下發(fā)。

4.4方案優(yōu)勢

4.4.1滿足等級保護技術規(guī)范要求

通過本項目建設符合等級保護相關要求的安全防護措施，形戌檢

測、防護、響應和恢復的保障體系，從而建立有針對性的合規(guī)性安全

保障體系框架和安全防護措施。

4.4.2維護監(jiān)獄的形象和聲譽

監(jiān)獄網(wǎng)絡安全事關監(jiān)獄形象和聲譽，甚至可能引起社會不穩(wěn)定事

件，通過智慧監(jiān)獄等級保護建設安全防護體系，保證監(jiān)獄不出現(xiàn)網(wǎng)絡

安全事件，維護監(jiān)獄的形象和聲譽。

4.4.3重大事件期間安全運行

通過對智慧監(jiān)獄網(wǎng)絡進行安全加固建設，并在運維階段加強信息

安全管理，可有效保障單位系統(tǒng)的信息安全，滿足國家、行業(yè)主管機

20

杭州安恒信息技術股份有限公司

構的監(jiān)管要求；保證重大事件（例如峰會、國慶）期間的應用系統(tǒng)安

全，維護監(jiān)獄的形象和聲譽。

21

杭州安恒信息技術股份有限公司

第五章監(jiān)獄管理局安全監(jiān)管方案

5.1構建思路

采用分級部署方案，各監(jiān)獄已經(jīng)部署了大數(shù)據(jù)態(tài)勢感知平臺和

EDR管控中心，各監(jiān)獄的大數(shù)據(jù)平臺將告警數(shù)據(jù)上傳到監(jiān)獄管理局的

大數(shù)據(jù)平臺，監(jiān)獄管理局進行統(tǒng)一的安全監(jiān)管和全局態(tài)勢感知。監(jiān)獄

管理局EDR管控中心進行全省監(jiān)獄系統(tǒng)的安全策略統(tǒng)一下發(fā)。通過等

保工具箱對全省監(jiān)獄系統(tǒng)三級等保建設情況進行檢查。

5.2建設拓撲

圖3監(jiān)獄管理局安全監(jiān)管拓撲圖

＞通過對全省監(jiān)獄系統(tǒng)網(wǎng)絡中系統(tǒng)、主機、網(wǎng)絡、服務數(shù)據(jù)采

集，進行多源異構網(wǎng)絡數(shù)據(jù)的處理，通過數(shù)據(jù)融合，生戌綜

22

杭州安恒信息技術股份有限公司

合的、全局網(wǎng)絡安全態(tài)勢圖，進行多視圖、多角度、多尺度

的可視化顯示，為用戶決策提供支持和保障。

＞通過等保工具箱對各監(jiān)獄進行等級保護工作檢查，行使監(jiān)獄

管理局安全監(jiān)管檢查職能；

＞全省終端管控系統(tǒng)策略一體化，服務器、PC和虛擬機等終端

安裝了客戶端軟件后，上傳病毒木馬、違規(guī)外聯(lián)、安全配置

等威脅信息到監(jiān)獄管理局管理控制中心。用戶在管理控制中

心可以看到所有安裝了客戶端軟傷的主機，包括服務器、PC

和虛擬機的安全態(tài)勢，并進行統(tǒng)一任務下發(fā)，策略配置。

5.3方案優(yōu)勢

5.3.1全方位感知

該系統(tǒng)的建設，可以全方位管理、監(jiān)督、預警、防范各類信息安

全事件的發(fā)生，能感知全省監(jiān)獄系統(tǒng)信息安全的態(tài)勢，幫助監(jiān)獄管理

局掌握當前形式下的安全形勢、安全問題與各地的安全水平，做到信

息安全建設心中有數(shù)、保障有度、行動有據(jù)、管理有法、防范有措。

5.3.2促進規(guī)范落地

等級保護工具箱為監(jiān)獄管理局提供了有力的合規(guī)檢查工具，等保

工具箱具有規(guī)范檢查、工具調(diào)用、結果展示等功能，集成定制有專門

的安全檢查工具，提供專業(yè)檢查知識和檢查方法，提高網(wǎng)絡安全檢查

的常態(tài)化、標準化和規(guī)范化水平，促進各監(jiān)獄等保工作落地。

23

杭州安恒信息技術股份有限公司

5.3.3動態(tài)保障體系

通過大數(shù)據(jù)態(tài)勢感知等新技術應用，協(xié)助客戶建立感知預警、主

動防護、全面監(jiān)測、應急處置的動態(tài)保障體系，提供豐富多樣的取證

手段與詳盡的專家知識庫，以滿足不同場景下對應急處置工具以及相

關知識的需求，實現(xiàn)了網(wǎng)絡安全事件的取證溯源、指導快速恢復。

24

杭州安恒信息技術股份有限公司

第六章安全運營方案

安恒信息AICSO安全運營平臺是服務與產(chǎn)品的結合，以數(shù)據(jù)和情

報驅(qū)動，基于自適應安全架構進行環(huán)境和態(tài)勢感知，通過技術、流程、

人有機結合完成安仝運營。通過一個平臺整合分散的安仝數(shù)據(jù)并進行

分析，以可視化的形式、在無需考慮數(shù)據(jù)存儲位置的情況下實現(xiàn)數(shù)據(jù)

之間的連接，完成綜合分析。同時提供信息安全事件自動化分析處理、

智能應急響應、安全專家決策輔助、專業(yè)的安全服務團隊等支撐，解

決信息安全應急響應滯后、一線安全服務人員效率低、專家級安全服

務成本過高等安全服務中常見的迫切問題，將信息安全服務做到自動

化感知、智能分析、應急響應、輔助決策，提供一站式解決方案。并

提供云上SaaS服務、異地聯(lián)合運營(Saa5+EPaaS)、本部署運營服

務(laaS+EPaaS+SsaS)三種服務模式。

6.1安全運營中心服務范圍

AICSO安全運營平臺包括資產(chǎn)管理模塊、業(yè)務管理模塊、監(jiān)控展

示模塊、數(shù)據(jù)分析模塊、策略配置模塊、知識管理模塊、項目管理模

塊、用戶管理模塊、設備與工具集成管理模塊、平臺維護管理模塊十

大功能模塊，提供運營管理、安全服務業(yè)務、漏洞管理、網(wǎng)絡管理、

事件/流量監(jiān)控、安全預警風險管理、應急響應管理七大核心服務，

并與AiLPHA大數(shù)據(jù)智能安全平臺、玄武盾、天池、先知四大產(chǎn)品聯(lián)

動，為用戶提供了一個指揮、分析、智能、協(xié)調(diào)的安全運營平臺。

25

杭州安恒信息技術股份有限公司

6.L1運營管理

平臺嚴密監(jiān)控、切實防范大規(guī)模掃描行為和網(wǎng)絡攻擊。平臺監(jiān)控

保障重點信息系統(tǒng)的網(wǎng)絡安全，實現(xiàn)安全事件的預警、檢測、響應、

取證。按照“統(tǒng)一規(guī)劃、分級部署、協(xié)同共享”的原則，建設形成多

級互聯(lián)互通的通報平臺，構建覆蓋全網(wǎng)的網(wǎng)絡安全健康感知、安全監(jiān)

測和通報預警體系,為用戶提供運營管理支撐、部分場景運維自動化

工具支撐、異地人員能力支撐。同時提供項目管理，為項目經(jīng)理提供

工作計劃、資源排期、項目報告、資產(chǎn)、數(shù)據(jù)分析、管理維度自定義

等管理功能，實現(xiàn)流程標準化，并可從項目、資產(chǎn)、人員等維度分析

資源利用情況，提高項目集管理效率，并且結合完備的項目管理知識

體系和方法論可幫助優(yōu)化任職資格體系建立崗位晉升階梯；輔助完成

服務工程三級的評審工作；并輔助員工進行職業(yè)生涯規(guī)劃。

6.1.2安全服務業(yè)務

基于平臺的業(yè)務流程管理能力，結合專業(yè)的安全服務團隊為用戶

提供提供漏洞掃描、安全配置檢查、安全設備日志分析、網(wǎng)絡架構分

析、滲透測試、代碼審計、協(xié)助加固、回歸測試、應急響應、安全培

訓、安全外包、安全監(jiān)測等服務。AICSO安全運營平臺是一個從管理

到技術，再從技術到管理的全方位流程管理平臺，包括流程引擎、集

成引擎、規(guī)則引擎、報表引擎、流程門戶、移動接入等，通信息孤島，

26

杭州安恒信息技術股份有限公司

實現(xiàn)松耦合的邏輯或者數(shù)據(jù)集成，解決了重復錄入造成的數(shù)據(jù)錯誤或

缺失、效率低下問題，降低管理成本。

6.L3漏洞管理

包括漏洞信息采集、漏洞分析、漏洞維度監(jiān)控展示、漏洞派單及

處理結果跟蹤、漏洞檢查報告、漏洞庫。漏洞采集支持直接對接漏洞

掃描器的掃描結果和人工按模板導入規(guī)范的漏洞數(shù)據(jù)。漏洞分析包括

歸并分析多次掃描結果、與資產(chǎn)、業(yè)務關聯(lián)分析風險、判斷優(yōu)先級等，

基于漏洞分析結果，生成漏洞維度監(jiān)控大屏、自動派單并自動生成漏

洞檢查報告。漏洞維度監(jiān)控大屏展示最脆弱的資產(chǎn)排名、漏洞嚴重

程度排名、最新掃描結果、歷史掃描情況等，漏洞派單支持自動派單

和人工派單，并提供進度跟蹤。并將每次的漏洞掃描結果都收入漏洞

庫。

6.L4網(wǎng)絡管理能力

包括拓撲監(jiān)控、網(wǎng)元監(jiān)控、數(shù)據(jù)庫監(jiān)控等。網(wǎng)絡管理自動發(fā)現(xiàn)整

個網(wǎng)絡（局域網(wǎng)和廣域網(wǎng)）的拓撲結構，對取得的網(wǎng)絡拓撲結構通過

圖形方式展現(xiàn)，并在拓撲圖上顯示故障、告警信息，并可展示拓撲圖

中網(wǎng)絡設備、安全設備、主機等的cpu、內(nèi)存、延時等狀態(tài)信息及端

口流量信息。支持對數(shù)據(jù)