智慧监狱背景下网络安全体系建设的几点思考

　　摘要：智慧监狱以数据为中心，网络、云计算、人工智能等信息技术与监管改造工作深度融合，带来了监管改造工作效率和质量的巨大提升。随之而来的网络安全风险不容忽视。本文简要分析了智慧监狱建设中面临的网络安全挑战，并对此过程中建设网络安全体系，提升网络安全防护能力提出建议。

　　关键词：智慧监狱网络安全 风险 措施

　　近年来，在司法部“数字法治、智慧司法”信息化体系建设引领下，全国监狱系统“智慧监狱”建设迅速推进、成效显著。智慧监狱通过将人工智能、云计算、物联网、区块链等新一代信息技术应用于监狱管理和执法工作中，形成关于监狱运行状态的智能感知、移动处理、态势分析、事件预警，为坚守安全底线、监狱精细化管理、提高教育改造质量、解放警力“赋能”。与此同时，信息技术的应用也为监狱安全带来新的风险，通过笔者多年探索和实践，当前监狱信息化建设的背景下，网络安全已经成为维护监狱安全稳定的一项重要而紧迫的议题。

　　一、智慧监狱下安全的内涵

　　安全是监狱履行惩罚与改造罪犯职能的基础和前提，监狱安全稳定事关国家安全政权安全，事关人民群众对安居乐业、和谐有序美好生活的向往。在实际监狱工作中，监狱安全的概念分为广义的安全和狭义的安全。广义的安全涵盖了监狱工作方方面面的安全，包括监管安全、生产安全、队伍安全、交通安全等。狭义的安全主要是指监管安全，也是监狱各项工作中的重中之重。

　　近年来，习近平总书记深刻指出“没有网络安全就没有国家安全，没有信息化就没有现代化”，网络安全是总体国家安全的重要组成部分。网络安全（cybersecurity）主要是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力[1]。

　　随着智慧监狱建设，以及监狱安防网络、大数据平台、物联网感知体系、数据资源交换共享体系的深度应用，监狱信息网络不断趋于复杂化、集成化，基于网络的智能化自动化一站式安防管控广泛应用，数据资源深度融合开放共享，甚至实际监狱业务工作方式也因之发生变革。在此背景下，网络安全正深刻影响着监狱安全，具体表现为：传统的网络安全威胁对基于网络和数据的业务模式产生直接影响；智能终端设备的应用，为安防设施的可靠性、可控性带来隐患；业务数据的融合共享，在不被妥善保护的情况下可能造成数据信息的泄露与篡改；业务应用不断增加的复杂性必然降低系统的稳定性可靠性，对监狱持续稳定开展业务工作带来一定隐患。在智慧监狱背景下，网络安全与监管安全互相渗透、互为依存，使得监狱安全有了更加广泛的内涵。笔者认为，当前监狱安全的概念，必然由传统意义上的监管安全和新的网络安全共同构成，缺一不可。对此北京监狱系统明确提出了“没有信息安全就没有监管安全”的理念，将网络安全纳入监狱安全的总体框架中，网络安全体系建设也成为智慧监狱建设中一项重要任务。

　　二、智慧监狱建设中网络安全形势分析

　　（一）智慧监狱建设现状

　　随着全国智慧监狱建设深入推进，按照《智慧监狱技术规范》等标准，基础网络、云平台、信息资源库等基础设施不断升级，覆盖安防、执法、改造、办公等立体化全覆盖的应用支撑体系基本建成，统一办公门户、统一管控平台等高度集成的监狱管理全流程服务平台逐步完善，达到标准规范科学统一、数据信息全面准确、业务应用灵活普及、研判预警指挥高效的效果，为监狱管理和罪犯改造提质增效，打好坚实基础。

　　以北京监狱系统为例，通过几年的实践，初步实现了“高集成、高共享、高效能”、“大平台、大数据、大协同”、“一体化、智能化、移动化”的建设成效。建成了包括互联网、监狱内网在内的一套万兆主干网，保障各类数据安全传输；建立了汇聚首都监狱系统数据资源的PB级数据资源中心，实现数据资源的汇聚、治理、共享和利用，建成以来实现了28256数据项自动汇聚，其中结构化数据中手工录入数据占比从原来的70%降为6.4%；应用人工智能、视频融合、通讯融合、物联网技术将硬件设施、安防技防设备、网络资源等进行整合，打造了大门科技一体化、智能安防、监舍一体化终端等局部集成平台；将42个业务应用系统整合到智慧安防、智慧执法、智慧教育、智慧队建、智慧保障五大智慧体系，打造了业务全覆盖的综合管控平台。建立了由民警执法终端、医疗终端、罪犯采买终端组成的智慧移动体系。

　　2019年以来，北京监狱戒毒系统先后有7个监狱和1个戒毒所通过司法部“智慧监狱”“智慧戒毒”考核验收，其中6个监狱荣获“智慧监狱”示范单位。“智脑”应用系统在2019年司法部“数字法治 智慧司法”信息化优秀示范案例大比武活动中以总分第一的成绩获得了一等奖；移动警务应用系统、狱付宝综合帐务系统以及今天推广的智能安防平台分别获得2019、2020和2021年的全国政法智能化建设“智慧司法”十大创新案例。

　　（二）网络安全要素分析

　　网络安全（cybersecurity）主要是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力[1]。当前所说的网络安全涵盖了物理安全、通信网络安全、主机安全、系统安全、数据安全、安全管理、安全建设、安全运维等方面。

　　对于监狱信息化，网络安全面临的风险既有传统意义的威胁，如物理安全、通信网络安全、主机安全等，还有监狱特殊条件带来的挑战。以下针对智慧监狱建设面临的安全挑战进行分析。

　　1.安全区域边界

　　随着智慧监狱的建设，数据通信网络趋于复杂，以北京监狱系统为例，监狱系统办公网络要接入市政务网络，部分要接入外部数据专网，各监狱网络要接入市局办公网络。在实现系统内各单位间互联互通的同时，监狱网络可能会受到来自外部网络的攻击、恶意代码等威胁。同时，不同安全区域间，访问控制规则的不当设置，可能带来不安全的跨越边界的访问和数据流，造成信息的泄露、篡改、不可控等后果。

　　2.智能终端接入

　　智慧监狱建设中，各类智能终端设备得到广泛应用，如数字摄像头、计算机、平板电脑、移动执法终端、触控一体机、智能手环、安防设备等。此类终端数量大、种类多，粗略估算一个监狱的终端数量万台左右，管理复杂度高。同时，在接入监狱网络时，终端本身安全能力参差不齐，存在安全漏洞和不可控性，易受攻击的终端可能使信息网络遭受非法访问和恶意代码的威胁；终端的未授权使用和接入，将导致网络的未授权访问，从而对信息网络带来极大威胁。

　　3.业务系统

　　在业务系统设计开发过程中，忽略安全方面的设计，造成信息系统出现信息泄露、被注入等风险漏洞；业务系统依托的操作系统、中间件因版本较老或不当配置，导致漏洞被发现和利用；传输、计算、存储环境未实施有效的安全策略，而无法对网络攻击进行防御；一些业务系统性能和稳定性不高，可能出现服务中断的问题。

　　4.恶意代码

　　监狱内使用的各类脆弱的终端可能成为恶意代码的突破口，从而对监狱网络造成危害。监狱内网比较封闭的环境下，不当使用计算机、移动存储介质等设备，例如计算机和移动存储设备在内外网混用，为恶意代码的传播提供了主要途径，特别是勒索病毒、远控木马等，对数据信息的安全造成严重威胁。

　　5.人的因素

　　监狱业务系统大多运行在较为封闭的内部网络，使用人员多为非计算机技术专业的监狱民警。民警安全意识淡薄是造成安全问题的重要原因。特别是民警个人的账号密码保管缺位，大量使用弱口令，极易遭受弱口令攻击、社会工程学等攻击；一些使用人员交叉共享账号，造成权责不清，发生安全事件后追溯困难。同时，考虑监狱的使用环境，一些终端设备由服刑人员在受控条件下使用，进行正常改造活动，但在实际中可能出现服刑人员使用设备不受控，或非法接触使用其他智能设备的情况，这些终端在接入网络后，都可能成为服刑人员，特别是有一定信息技术技能的人，入侵信息系统的工具，甚至可以合法的身份进入网络系统，降低入侵的难度，这无疑对监狱网络信息系统的机密性、完整性、可用性、可控性带来严重威胁。

　　6.安全建设和运维

　　监狱的信息化建设，通常着重考虑、设计、实现系统的功能、性能需求，而面对相对封闭的内部网络环境和相对安全的内部服务对象，或出于建设资金限制，可能忽视安全方面的要求。如缺乏必要的安全设计、安全测试验收，留下安全隐患。运维中，特别是对网络和系统的运维权责不清，不安全配置，可能出现非授权更改数据、账户管理缺位，高权账户被滥用等风险。

　　三、智慧监狱中网络安全体系建设

　　（一）总体思路

　　夯实安全技术体系，不断提高安全技术体系的防护能力。以安全通信网络、安全区域边界、安全计算环境为重点构建技术防御体系。同时关注云平台安全防护和大数据全生命周期的安全保障，为云计算基础架构、大数据平台及各类应用系统提供持续安全技术保障；建成安全管理体系，为整个安全工作管理和开展提供指导依据和指导；建立安全运行体系，贯彻安全运行闭环管理，落实基于数据分析为核心的安全运行理念，逐步实现安全运行服务的标准化和常态化。

　　（二）若干建议

　　1.完善的顶层设计

　　网络安全体系建设是一项系统性工程，特别是在智慧监狱建设中，涉及到业务、数据、应用、技术设施、管理等各方面、各层次众多要素。为了集中有限资源，高效实现安全目标，安全建设定要做好完善的顶层设计，顶层设计要由省级以上监狱管理机关制定，从全局角度确定监狱系统网络安全的总体策略、总体目标和原则，对传输网络、计算环境、应用系统、数据资源等要素进行合理全面的风险分析和安全规划，建立监狱网络安全体系的四梁八柱。

　　2.必要的技术保障

　　（1）安全域

　　安全域由安全保护对象中安全计算环境和安全区域边界综合组成，根据安全域可以把保护对象进行进一步的划分，同时使整个网络逻辑结构更加清晰。整体考虑，对系统安全区域进行划分设计，对于外部接入网络需进行实时监控，加强对不同等级区域的安全防护，形成重要资源重点保护的策略。可将监狱网络划分为核心交换区、数据服务区、重要应用区、安全管理区、外部网络接入区、用户区等逻辑安全区域。区域边界通过防火墙（含防病毒）、安全审计设备实现对边界的访问控制、恶意代码防护，保证网络系统的持续、稳定、可靠运行。在重要应用区域网络边界部署防火墙（含防病毒功能）、入侵防御、数据审计、数据防泄漏设备，提供访问控制、入侵防范、恶意代码防护等功能。特别要注重服刑人员作为用户接入的网络，应尽可能与民警执法办公的网络隔离，视业务需要保持最小可控的数据交互，并着重加强网络边界的防护。强化对接入设备的验证检测，部署安全准入设备，防止网络资源收到非法终端接入所引起的各种威胁，在有效管理用户和终端接入行为的同时，需采用技术手段保障终端入网的安全可信，同时达到了规范化地管理计算机终端的目的。

　　（2）通信网络安全

　　在通讯网络安全配置中合理规划网络路由的设置，并对网络流量进行有效控制，同时对通信线路和设备的状态进行监控。采用符合国家密码管理要求的密码技术，传输中采用加密传输协议进行数据传输，从而实现数据的保密性和完整性保护。

　　（3）计算环境安全

　　计算环境安全是实现纵深防御的重要环境，是保障监狱业务安全的核心区域。计算环境涉及的设备类型众多，安全策略复杂，包括对操作系统、数据库及服务进行漏洞修补和安全加固，对关键业务的访问建立严格的身份鉴别、访问控制、安全审计、恶意代码防范措施；对整个网络所有主机进行有效的移动存储介质管控。最大限度解决计算环境涉及的操作系统、数据库系统、应用服务、网络协议的安全问题，解决黑客入侵、非法访问、系统缺陷、病毒等安全隐患。同时需要对重要的数据的传输与存储采取加密的方式，并建立灾备中心，确保数据的完整性与可用性。在监狱环境下，要重点解决服刑人员使用网络智能终端的问题，对可以使用的终端进行安全策略的严格限定，始其操作权限达到最小化。

　　（4）安全运行管理中心

　　面对智慧监狱中规模庞大的信息化资产，需建立统一的安全运行管理中心，对全网的资产、事件、日志进行统一的监测、预警、分析和响应，掌控全网信息资产安全状况和态势，及时发现和处置安全事件。

　　3.有效的安全管理

　　网络安全中，人的因素是主要因素，因此有“三分技术，七分管理”的说法。任何技术措施的有效实施均依赖于有效的管理。在智慧监狱背景下的安全管理，主要可以由建立管理制度体系、强化安全意识教育、强化专业队伍建设等方面加以保障。

　　（1）建立管理制度体系

　　依照监狱实际，明确本单位安全工作的总体目标、范围、原则和整体框架，建立完善的网络安全管理和保障组织机构，明确职责和工作范围，对安全管理工作中的各环节各方面建立全面的制度和操作规程，如人员管理、网络管理、应用系统管理、介质管理、建设管理、运维管理、数据安全管理等，并及时更新修订。智慧监狱建设中需要注意的是网络安全管理制度必须同监管安全实际相结合，充分评估监狱条件下信息化的附加风险，针对服刑人员的管控建立安全管理制度。以北京监狱系统为例，近年来，不断建立健全制度保障，陆续出台了《信息化项目全流程管理办法》《信息化运维工作管理办法》等多项制度文件，对安全管理各个方面进行了规范。

　　（2）建立长效运行的安全管理机制。在各项管理制度执行过程中，要建立完善的管理机制，保障制度权威性有效性。监狱系统各网络安全责任主体要常态化开展网络安全自查检查，及时发现消除隐患。参与智慧监狱建设使用管理维护的各个方面力量，要厘清责任，明确权限，建、管、用、维协调发力，共保安全。

　　（3）强化安全意识教育

　　监狱系统要灵活运用各种宣传教育方式，如制度宣讲、基础知识讲解、案例分析等，增强民警的网络安全意识，使每名民警特别是各级领导干部进一步认识网络安全的重要性，澄清模糊认识，纠正错误观念，熟悉网络安全日常基本防护措施，立足本职，身体力行，严格执行网络安全管理制度和规范，自觉维护网络安全。

　　（4）加强队伍专业化建设

　　引进与培养相结合，加强监狱民警信息化队伍建设，特别是安全管理队伍建设。加大信息化专门人才引进力度，并以业务培训、上挂下炼、横向交流、高校进修等形式，加大监狱现有信息化人员培养力度，提高网络安全队伍专业素质。同时，充分调动社会力量，以民警为主，社会力量为辅，增强监狱网络安全日常运维和应急保障能力。

　　结语

　　智慧监狱建设在驱动监狱传统工作模式转型、提升管理效能、保障监狱安全、解放警力等方面发挥了重要作用。但与此同时，也不可避免地带来了网络安全方面的问题和隐患。智慧监狱建设，定要注重安全建设，强化安全技术防范，完善管理制度体系，增强安全意识，构建整体有效的网络安全防范体系，才能最大限度的保障智慧监狱发挥应有效能。

　　责任编辑：广汉