智慧监狱如何搭起一道网络安全的高墙？

在“数字法治、智慧司法”信息化体系建设中，不可或缺的重要组成部分就是“智慧监狱”。而智慧监狱建设最重要的目标，就是利用大数据技术完成监狱管理数据共享、整合、分析。这些隐私数据会在省内各监狱的子系统间连贯性地传递和交换，因此很容易被黑客盯上，造成敏感数据泄露、重要安防及管理信息系统被破坏，甚至黑客还可能利用监狱信息系统攻击与其有强关联的政法委、司法厅的关键信息系统，可以说整个政法体系都会因此受到牵连。

由此可以看出，政法专网是“全省一张网”，要想保证政法专网的网络安全，必须要让这张网全面可视，下到各地市监狱，上到省监狱管理局，再到省政法委、司法局等相关单位。“在政法专网下，全省监狱网络威胁可视，不发生重大网络安全事故，保证各业务系统安全运行，保护好各项业务的数据资产安全，是省监狱管理局作为政府单位维护国家声望应尽的职责。”某省监狱管理局网络安全部门负责人讲到。

多年来，某省监狱工作一直走在全国前列，被司法部命名的智慧监狱数量全国遥遥领先，而这些成绩离不开信息技术的引领和支撑，更离不开该省监狱管理局在全省监狱网络威胁全面感知、协同联动、闭环管理等方面的深入探索。

2022年，某省监狱管理局与奇安信达成合作，建立政府和监狱网络安全共享体系，共同让省智慧监狱工作更安全。奇安信天眼系统作为该省监狱管理局的安全态势感知工具，提供了对监狱信息基础网络全网安全态势集中监测的能力，省监狱管理局实现对地市20余个监狱全量数据及省政务云司法专区流量的采集和集中存储，在此基础上对数据进行综合处理和关联分析，最终以可视化的方式为该省监狱管理局展示面向全网业务资产防护的安全态势，帮助其有效感知更加高级的网络安全隐患和威胁，有效保障某省智慧监狱信息系统、网络和业务的正常运转。

同时，针对省地市监狱产生海量网络告警难以高效监测和处置的问题，省监狱管理局还部署了天眼实战化防御指挥系统，有效降低工作人员的运维压力，提升威胁事件处置能力和监狱工作智慧化水平。

网络安全是智慧监狱的生命线

随着智慧监狱建设进程的推进，监狱应用向着智能化方向发展，监狱计算机网络也向复杂化、集成化发展，这也使得该省监狱的网络安全问题更加突出。

首先，在监狱的各类业务系统中，会包含大量敏感的关押犯人身份信息、狱警身份信息、应急指挥信息、监管及刑罚执行等信息，这些重要信息在存储、传输与共享过程中，很容易被黑客篡改、破坏或勒索，导致监狱业务系统无法正常运转，发生数据泄露，给监狱造成重大的损失，甚至有可能对狱警人身安全产生一定威胁，或者造成犯人之间的勾结、暴动、越狱等，严重影响社会稳定。

其次，省政法委、省司法厅、监狱管理局共同推进监狱管理和改革工作，因此会有一定的衔接合作，尤其是在政务系统的使用中，各单位的数据不可避免的会进行共享和交互，以实现监狱管理的协同和统一。例如，在罪犯执行死刑前，省监狱管理局、省政法委、省司法厅之间需要协调具体的时间和方式等问题。在研究监狱设施、管理模式、人员培训等方面的监狱改革方案时，他们之间的数据也会有一定的关联汇聚。这也是“智慧监狱”以云存储或者物理存储形式建立的“监狱-省级-部级”三级数据中心，全面推动监狱管理能力系统升级的重要体现。

而正是基于监狱、政法、司法的强关联，黑客一旦入侵监狱系统，那么省政法系统、司法系统也都会受到影响。

例如，黑客利用监狱管理系统中的权限，获取政法委或司法厅等系统的访问权限，然后进行攻击或窃取敏感信息。或者，黑客通过社交工程攻击手段，获取政法委或司法厅等系统的用户账号和密码，从而进一步实施攻击。

以上威胁和损失，对于监狱、政法委、司法厅和整个社会来说，都具有极大的影响，可以说“网络安全就是智慧监狱的生命线”。因此，构建统一而主动的网络安全保障体系，确保“智慧监狱”全网威胁可见、可知、可控尤为重要。司法部在2018年制定的《关于加快推进“智慧监狱”建设的实施意见》中也明确提出要构建统一的安全保障体系，确保监狱系统的信息网络和信息系统中的信息资源免受各种类型的威胁、干扰和破坏，确保“智慧监狱”全流程信息安全可控。

省智慧监狱网络安全提质

面临三重掣肘

随着智慧监狱业务的不断拓展，该省监狱管理局在全面推进信息化应用建设的同时，由于各地市监狱信息化建设发展不均衡、水平不一，导致面对新一代复杂高级的网络攻击时，现有的监测预警和防御能力明显不足，网络安全问题日益突出，主要体现在以下几个方面。

首先，由于该省监狱管理局没有实现对20余个地市监狱进行统一的网络威胁监测、分析、处置，导致各监狱内部安全风险数据相对割裂，信息互通性不强，不能形成合力应对高级威胁。

其次，基于“全省一盘棋”的政务数据共享模式，该省各地市监狱与省政法委、司法厅的部分司法数据已经在云端实现了汇聚和共享，但这部分来自省政务云司法专区的流量和攻击行为并不可视，很容易被攻击者利用这些通信流量进行内部渗透或者隐蔽攻击。

最后，在信息安全事件发生时，省监狱管理局难以对全网威胁进行串联分析，难以对网络安全事件的攻击源、攻击路径、攻击手段进行全方位的掌控，难以提出针对性的应急处置方案和实施方法，只能通过拔线、断网、停用系统等被动方式处置。

由此可以看出，该省监狱管理局亟需建立一套“全面感知、协同联动、高效智能”的网络安全主动防护和管理体系，尽快提升20余个地市监狱在网络威胁检测发现、溯源取证、事件处置方面的能力，保障省监狱体系下各业务系统安全稳定运行，政务数据流转、存储安全。

智慧监狱网络威胁实现

全面感知、联动处置

基于该省各地市监狱的网络安全现状，省监狱管理局和网络威胁检测与响应领域的龙头产品奇安信天眼达成合作。

在该省20余个地市监狱，通过将天眼流量传感器设备部署到各地市监狱，把各地监狱政法专网的流量日志和告警日志，全部上传到省监狱管理局的天眼分析平台进行统一监测和分析。分析人员也可以通过天眼分析平台查看各地市监狱各自的安全态势。

在省监狱管理局内，通过部署天眼分析平台，既可以实时监测省监狱管理局内天眼探针所上传的异常网络流量，还能监测到各地市监狱天眼探针分别上传的异常流量，保证全面掌控总局和20余个地市监狱的威胁情况。同时，天眼分析平台还能对部署在省政务云政法专区的天眼云探针所上传的网络流量进行监测，保证及时发现政法委、司法厅及监狱共用的政务云系统中的数据调用、传输和存储安全。

最终，部署在省监狱管理局内的天眼分析平台，作为安全运维的“二级管理中心”，将各处的网络威胁告警统一汇总，上传至“一级管理中心”天眼实战化防御指挥平台，一键将全网真实告警转化为安全事件，并提交给安全人员进行专业分析、研判，实现安全事件工单化处理流程，提高安全处理效率和管理水平。

另外，部署在省监狱管理局内的天眼分析平台，还将全部的威胁信息和告警信息发送至同样部署在省监狱管理局的终端安全管理中心，然后通过将策略对应下发到具体的地市监狱终端安全客户端，对受到威胁的终端进行隔离、查杀、加固和修复等，防止威胁向其他终端扩散和传播。

全域智慧监狱网络安全

实现“五提升”

“部署天眼威胁监测与分析平台、天眼实战化防御指挥平台后的效果是显而易见的，可以说，现在省监狱管理总局真正构建了一套网络威胁实时监测、分析溯源、响应处置的主动防护体系，全省分支监狱在网络威胁防御水平上实现了‘五个提升’。”该省监狱管理局网络安全部门相关负责人介绍。

一是全网威胁可视能力提升。省监狱管理总局对下属20余个地市监狱及省政务云司法专区的全网威胁情况进行了实时监测，可以清晰准确知悉分支威胁状况，并形成数据互通的合力，发现威胁及时进行通报和防范，快速做好威胁处置工作。

二是溯源分析能力提升。天眼通过自动化分析引擎和可视化威胁狩猎手段，可以发现攻击者是谁，使用了什么技术手段，在政法专网中进行到什么攻击环节，在哪些监狱窃取了什么信息等，来主动发现网络攻击，提升威胁溯源能力。

三是响应处置能力提升。天眼分析平台通过与终端EDR设备联动，能快速定位感染主机在哪些分支监狱的什么部门内，并及时进行阻断，提升省监狱管理局对网络攻击的响应能力和速度。

四是安全事件处理效率提升。20多个分支监狱每天产生的告警上千万条，如何高效处置这些告警同样是个难题。实战化防御指挥平台与天眼分析平台进行联动，可针对不同告警事件调用预置的处置流程，自动化完成威胁闭环处置，缩短告警事件分散处理的流程链长。

五是重大事件期间安全运行能力提升。通过对智慧监狱网络进行安全加固建设，有效保障单位系统的信息安全，在满足国家、行业主管机构的监管要求的同时，也保证了国家重大活动或事件期间的应用系统安全。

后记

智慧监狱作为监狱信息化建设的新阶段，更好地发挥监狱的行政效能，提高罪犯改造质量，是全面落实总体国家安全观的重要体现。其中，网络安全作为智慧监狱的底板工程，是智慧监狱发挥智慧管理的基础，因此，监狱监管机构高度重视网络安全问题，加强网络安全保障工作，以确保监狱的信息系统和网络应用的安全性和可靠性，同时保护罪犯、狱警的隐私数据安全，维护社会稳定。

奇安信天眼作为网络威胁检测与响应领域的龙头产品，为各行业企业客户提供专业的集网络威胁检测、响应、溯源、预警为一体化的解决方案。未来，天眼也将继续在智慧监狱网络防御上积极探索，帮助客户构建符合监狱需求的网络安全态势感知与防护管理体系，实现真正的主动防御，最大限度地保障监狱业务系统安全正常运转，为智慧监狱信息化应用保驾护航。