2023·智慧检务篇 | 创新方案之“贵阳市检察院网络安全运营解决方案”

　　为深化政法智能化建设，加强“智慧治理”“智慧法院”“智慧检务”“智慧警务”“智慧司法”等信息平台建设，深入实施大数据战略，实现科技创新成果同政法工作深度融合。法制日报社已连续举办了六届“政法智能化建设技术装备及成果展”。

　　作为装备展配套活动，法制日报社于去年3月继续举办了2023政法智能化建设创新案例及论文征集宣传活动，活动征集了“智慧治理”“智慧法院”“智慧检务”“智慧警务”“智慧司法”创新案例、方案、产品、论文，2023年6月25日结果揭晓发布。入选的各类创新案例、方案、产品、论文在2023年7月10日至11日举办的成果展上进行了集中展示，并已编辑整理成册——《2023政法智能化建设创新案例及论文汇编》。

　　该汇编分为智慧治理篇、智慧法院篇、智慧检务篇、智慧警务篇、智慧司法篇五个篇章，为政法信息化、智能化建设提供及时、准确、 实用的资讯信息与经验观点。

　　应广大读者要求，我们特开辟专栏，分别将部分创新案例、创新方案、创新产品、创新论文进行展示，敬请关注！

　　以下推出的是《智慧检务篇 | 创新方案之“贵阳市检察院网络安全运营解决方案”》

　　贵阳市检察院网络安全运营解决方案

　　奇安信网神信息技术（北京）股份有限公司

　　一、适用业务

　　检察院互联网侧网络安全监测能力薄弱，为确保“智慧检务”相关业务推进，为贵阳市检察院提供全天候全流量的网络安全监测服务。该方案适用于检察院互联网侧业务系统安全建设。

　　二、系统架构

　　采集网络流量和检测威胁数据。通过在网络的多个位置合理部署网络数据传感器（探针），采集和检测全面的网络流量和威胁数据，并通过SD-WAN打通的网络隧道将流量日志发送至安全运营中心，进行威胁感知分析，掌握全网网络安全情况。实现了7×24小时的网络安全高级威胁发现、威胁预警与处置建议。

　　三、核心技术

　　通过未知威胁检测技术，基于网络流量，运用海量威胁情报、威胁检测引擎、流量分析引擎、机器学习引擎和文件虚拟执行等技术，进行深度分析检测，高效、精准发现网络中的已知、未知和APT攻等威胁行为。

　　采用基于ATT&CK模型的威胁溯源，利用大数据对流量日志进行分析，从攻击链的维度对告警进行深度关联分析，以受害主机为线索溯源分析，将威胁攻击全过程进行多维度的展示呈现。

　　通过可视化的安全运营，将安全能力建设和已有安全能力转变为安全效果，实现了以数据分析为核心的可视化安全运营，对网络流量中的攻击行为进行实时监测、分析与研判，对受害目标和攻击源头进行精准定位，实现威胁入侵途径回溯。通过持续运营，形成事件报告、事件深度分析报告、运营周报、运营月报、漏洞预警报告、漏洞修复指导等。通过“数据+工具+人”的安全运营模式，从源头上解决网络流量中的安全威胁，实现“主动防御、精准防护、联防联控”。

　　四、创新点

　　将传统的网络安全建设模式转向安全服务模式，以平台化和服务化的方式为贵阳市检察院提供7*24小时实时网络安全监测、分析、预警的服务。同时基于客户实网存在的安全防御缺陷或不足提供防御性解决方案，并联动态势感知与服务平台实现基于大数据、威胁情报的新一代网络安全防御解决方案。

　　五、可解决问题

　　（一） 缺乏网络安全管理人员无法掌握单位当前的网络安全状况，管理人员无法有效、及时的发现真正的安全威胁，并进行处置，更难应对国家主管部门网安、网信的检查通报。通过全流量精准威胁检测和安全可视化，帮助用户快速定位真正的威胁，同时优化现有的传统威胁检测手段，减少告警的误报和冗余情况。

　　（二）专业网络安全技术人才缺乏，制约安全工作的开展，即使当前已经部署部分安全防护产品，安全运营工作无法有效开展，通过平台化、服务化的方式为客户提供网络安全监测能力，快速解决网络安全威胁。

　　（三）面对今天勒索黑产团伙、国家网络战的新形势背景之下，依靠单设备、单组织已经很难应对，本地建设一套实战型的网络安全态势感知需要花数十万的经费，通过服务化的方式实现安全建设降本增效。

　　六、应用成效

　　贵阳市检察院对业务系统及网络现状进行了充分的调研和评估，与奇安信公司共同梳理和论证可行性，结合安全服务的落地，达到如下效果：

　　（一）构建监测、预警、通报、处置、反馈为一体的闭环管理系统

　　通过统一安全监测分析能力和运营服务能力中心，以SaaS的形式对贵阳市检察院提供安全态势分析和服务能力输出。通过运营平台已有的大数据采集、处理、分析和整体态势感知优势，为贵阳市检察院提供精准安全监测与预警通报服务。及时有效发现了大量互联网安全隐患并进行预警，提供安全加固措施与整改建议，有效帮助提升了贵阳市检察院安全防御能力建设指导。

　　（二）全面检测，及时发现高级威胁

　　传统的威胁检测手段由于使用特征库匹配，所以检测维度比较单一，导致经常会出现大量误报的情况。每天数以千条甚至上万条告警极大的增加了安全管理和运营人员的工作负担，安全管理和运营人员每天疲于处置冗余和误报告警，根本无法及时关注真正有价值的告警信息。此次通过检测引擎、威胁情报、场景化检测规则、机器学习和关联规则等多个维度进行威胁的研判，帮助用户快速定位真正的威胁，同时优化现有的传统威胁检测手段，减少告警的误报和冗余情况，将威胁告警数量控制在人工可分析的数量级。

　　（三）安全运营，切实提高整体防御能力

　　通过专业安全运营人员与平台相结合，可以协助用户更好的运用平台工具实现安全目标，快速发现安全威胁、分析问题、确诊问题、协调各类资源解决问题，支撑用户持续优化安全体系。同时支撑用户完善覆盖监测、预警、分析及应急处置全业务流程的网络安全运营体系，提高整体安全运营技术能力，实现网络安全管理有事件无事故。

　　（四）降本增效，以最少的投资实现最大化的安全监测能力

　　传统建设一套网络安全态势感知系统需要花费几十万资金，如今通过服务化的方式仅花费数万元，既可实现对单位网络安全的精细化监测，同时能够帮助用户单位达到降本增效的辅助作用。

　　七、可复制推广性

　　该方案主要针对互联网侧网络安全监测防护，从使用的情况看可进一步推广使用：

　　（一）通过使用该系统，可以解决用户缺乏安全专业人员的困境，高效快速实现对互联网的监测及防护。

　　（二）通过该建设模式可为客户节省大量建设资金，达到降本增效。

　　（三）技术成熟可复制，无推广障碍。

　　项目规划之初，项目组结合全国类似项目建设经验，进行了调研、学习，了解了各地检察院业务现状及体系建设情况，方案设计时在充分考虑本地检察院业务的基础上，亦考虑到外地检察院的可扩展性，因此该方案具有可复制推广的特点。

　　责任编辑：晓莉