近年来,人民检察院深入推进信息化建设,积极开展安全移动检务平台建设工作,力求逐步实现检务工作移动化、无纸化、可视化信息管理。随着移动检务平台的深度应用,检察机关工作人员可以随时实现公文审批、上传下达、现场执法等工作,极大提高了工作效率。
由于检察机关的特殊性,执法人员经常需要借助互联网、移动专网,通过执法终端、智能终端等设备与检察工作网连通,进行现场执法办案、侦查取证、远程接访、案件监督等系列工作。然而这种“移动办公”的地点较为分散,使得网络边界不断扩大,信息安全问题也逐渐显现,“移动办公”的安全性面临巨大挑战。
检察移动办公的安全风险
Ø 各类网络互通困难
检察机关日常办公网络为检察工作网,而现有的移动应用基本运行于互联网或者VPN专网中,通过手持执法终端、个人终端等进行连接,各类网络难以互通,存在VPN接入方式稳定性差,操作繁琐、策略控制粗糙等问题。
Ø 各类终端接入复杂
检察机关接入移动办公的终端多种多样,难以确保接入网络环境、个人设备环境的安全性。为保护检察数据安全,某些检察院引入了智能终端双系统方案,无法做到个人系统与工作系统间的灵活切换,给执法人员带来极大不便。
Ø 存在数据泄露隐患
检察机关远程办公时常会处理一些敏感数据,如卷宗、涉案财务等数据,此时,终端网络环境及不安全的系统环境可能存在数据泄露隐患。
Ø 数据资源权限使用问题
检察机关移动办公场景中存在办公人员身份、远程办公场所网络(互联网、移动专网)、使用终端类型(个人PC、执法终端、移动智能终端等)等多种因素,需要综合考虑制定灵活动态的安全访问策略,按需分配检察数据资源访问权限。
网御星云检察移动办公安全解决方案
由于新冠疫情的风险加持,检察机关移动办公需求骤增,全面考虑移动办公潜在的安全隐患,提升检察机关整体安全防护能力刻不容缓。
网御星云基于零信任理念,遵循《中华人民共和国数据安全法》、等保2.0、《电子政务移动办公系统安全技术规范》(征求意见稿)等相关法律法规标准要求,提出了检察移动办公零信任安全解决方案,助力检察机关形成可信、可管、可控的动态安全保障。
检察移动办公零信任安全解决方案架构图
网御星云检察移动办公零信任安全解决方案从身份、网络、权限、传输、终端等多维度构建安全防护体系,重点关注数据安全,从数据明文储存、明文传输、公私数据混合等方面增强移动办公系统应对数据泄露的能力。解决方案核心思路如下:
移动办公终端安全管控
网御星云针对检察机关人员的移动办公需求,采用终端安全管控技术,通过检察警务号码(SIM)、特种设备标识、注册设备指纹等身份信息进行登录系统认证,确保实名访问检察业务应用。接入的设备按类别分为PC客户端、专业警用终端、智能终端等三类泛终端,并分别进行合规检测,合规设备准许放行接入网络,不合规设备禁止接入并提示整改。对于接入PC端的设备,可进行移动介质管理、违规外联管理、补丁安全管理、终端操作审计,并对智能终端进行设备环境检查、设备应用管理、设备沙箱管理,保障用户终端接入设备安全。
智能移动终端安全沙箱技术
对移动办公执法人员处理查看敏感资料的行为应进行严格把控,确保数据的安全性。针对此类情形,网御星云创新性的采用安全沙箱技术,利用虚拟化引擎,通过在移动终端中创建虚拟空间,在虚拟空间中运行移动办公应用,确保移动终端的数据只能由沙箱外部单向进入沙箱中的APP应用并加密存储,隔离沙箱外部应用风险,确保沙箱内部数据安全,既保障了检察数据安全,也避免了传统双系统方式的困扰。
基于零信任的动态可信业务安全访问技术
网御星云基于零信任的动态可信业务安全访问控制能力,帮助检察机关信息化管理人员按照环境、终端和人员角色等进行细粒度场景组合,实现统一身份认证管理精细化、动态化的授权能力,解决接入设备身份安全的问题,确保外部访问人员和设备身份安全可信。通过终端安全管控,建立端到端的数据加密传输通道,有效提升数据传输全流程安全保障能力,保障移动端安全可信接入。
构建检察工作网安全防护边界
为了充分利用移动互联网价值,提高检察工作效率,检察工作网需要与移动专网进行对接。为此,网御星云按照《检察工作网边界安全接入平台建设管理规范》(高检技[2019]26号),建立了检察工作网边界安全接入平台,在保障检查工作网安全的同时,助力检察机关实现外部非涉密网络数据共享,确保业务协同,安全稳定。
网御星云聚焦检察移动办公应用场景,解决方案涵盖云、网、边、端的移动办公安全技术框架,并融入零信任、移动终端安全和移动安全沙箱等安全新技术,重点解决检察移动办公系统安全、通信安全、接入安全、应用安全和数据安全等问题,助力检察机关多种业务场景实现全方位安全防护,为全面提升检察能力现代化贡献智慧与力量。
