检察机关网络安全事件应急处置探讨

时间:2022-08-12 03:41:55

检察机关网络安全事件应急处置探讨

摘要:现代检务工作对网络的依赖程度越来越高,网络安全与应急处置在检察机关信息化发展中变得尤为重要。深化全省检察机关网络安全顶层设计,加强网络信息安全技术保障,关系到全省检察网络能否安全运行,也是“科技强检”与“智慧检务”工作顺利推进的重要保障。本文首先对当前检察机关网络安全面临的形势与挑战进行了系统分析,然后从处理流程、技术短板及政企协同三方面提出了河北省检察机关网络安全探索的实践建议。

关键词:检察机关;网络安全;应急处置

1前言

中华人民共和国人民检察院是国家的法律监督机关,依据宪法履行法律监督职能,全面监督各方正确履行法律职责,维护社会公平正义、维护社会和谐稳定。党的十八大以来,以同志为核心的党中央高度重视网络安全和信息化工作,提出了一系列新思想、新理论、新论断、新战略。网络系统作为检察机关日常工作的必要手段,安全保障问题也成了检察机关面临的一项巨大挑战;检察机关统一业务应用2.0系统向工作网迁移后,要更加着重强化网络安全应急体制的建设,提升应急处置能力,做到关口前移,防患于未然。十三五期间,政法机关深入学习贯彻同志关于建设网络强国的重要思想,针对政法智能化和网络安全作出一系列战略部署;最高检要求全国检察机关“加强网络信息安全技术保障,确保检察网络安全运行”,检察工作网按照国家等保2.0三级防护标准进行建设,并且加强不同网络之间的安全边界防护,建设安全管理和态势感知中心。河北省人民检察院把智慧检务建设摆在突出位置,根据本省检察机关网络与信息化工作的新形势、新任务、新挑战,坚持网络安全建设与信息化应用同步规划、同步建设、同步运行,深化顶层设计,着力构建全省检察机关网络安全事件的检测与响应体系,健全河北省检察机关网络安全事件应急处置能力,进一步保障检察机关执法力度与办案质量相统一,推动检察工作健康协调发展。

2检察机关网络安全面临的形势与挑战

2.1外部威胁变化快,安全攻防不对等

安全事件频发的本质在于攻守双方形势不对等,防守在明、攻击在暗,一次成功的黑客攻击,攻击方可以做到速战速决,启动时间集中在秒级、分钟级,而且攻击时间不可预测。反而防守方四面布防,应急响应时间却集中在天级、周级。在防护、检测、响应的防护体系中,传统的防御手段一般集中在边界防护,是一种被动式的事中防护,缺乏对网络安全事件的风险洞悉手段,对于未知威胁和新型威胁的应对处置能力不足。当前,以防护为核心的应急机制已不适应迅速、高效的应急处置需求,无法有效应对形势多变的外部威胁,全省检察机关整体攻防矛盾日益突出。

2.2防护体系薄弱,处置效率不高

依托电子检务工程和统一业务应用2.0系统配套设施建设,检察工作网部署了一系列安全设备,但是设备之间功能割裂缺乏联动(图1):一方面,大量的安全日志分散在各台设备之间,相关人员难以从专业的角度对海量告警进行关联分析,举证信息少,安全事件溯源难度大;另一方面,安全设备之间的孤立也造成了处置效率的低下,响应过程过度依赖于人工处置,不仅手段单一难落地,处置结果也无法及时反馈,难以评估和把控整体效果。因此,传统的头痛医头、脚痛医脚的安全防御手段不仅无法应对如今的高级威胁,也无法满足高效响应处置的需求;需要转变过去单一设备、单一方法、仅关注防御的建设手段,在根本上解决安全事件溯源分析难、处置效率低的困局。

2.3技术力量分散,安全各自为战

无论是省院,或是各地市及区县检察院,网络安全处于一种各自为战的状态,没有形成相互协同、信息共享的防御体系。上级检察院对辖区的基层院安全状况无法做到全局可视,当某处发生安全事件,停留在群发风险预警的初始阶段,既无法准确定位到具体的风险点,整体处置能力也难以保障。如何将各级单位人才、设备、情报进行整合成为当前检察机关网络安全工作的重中之重,因此亟须探究一种更加有效的工作方式,贯通各级响应通道,整合全网技术资源,最终实现省院总体调度、网络整体控制、预警上通下达、威胁情报共享、资源能力复用的高效应急处置体系。

3河北省检察机关网络安全探索实践

3.1完善制度优化处置流程

发生安全事件后,快速、精确的响应能够极大地降低安全事件所带来的损失,所以高效的应急处置流程是整体网络安全体系的最后一道防线。省院在应急处置流程方面不断完善相关制度,出台全省检察机关网络安全事件应急预案,逐步改变单位间威胁情报孤立、设备间防护能力分散的现状。(1)与最高检、省委网信办、省公安厅应用处置进行对接,建立健全分级预警和事件处置响应机制;根据网络安全事件等级对特别重大、重大、较大和一般网络安全事件采取不同的响应措施,调动不同的技术力量。(2)确定职责合理分工,明确各级检察院党组的网络安全责任;统筹协调办公室、宣传、培训、案管、督察、保障和技术部门,对各部门任务进行分工以划定责任边界;建立网络安全事前、事中、事后的预警、评估、处置和追责的全周期的响应覆盖,形成技术支撑、舆情引导、影响评估及事件处置的全方位共同协调的工作新机制。(3)通过搭建成熟、标准的流程工单系统实现预警信息的快速通报和问题的快速处置;工单系统将各单位的信息打通,在全省检查工作网实时通报重要安全事件,预警最新安全威胁;既保证了消息上通下达的效率,又实现了工单处理过程的记录和追踪查看,从而让全省检察机关的应急处置流程真正有效的运转起来。

3.2人机结合补齐技术短板

网络安全最应该专人负责,各类人员各司其职,但是检察机关员额制改革后,技术维护人员往往身兼数职,技术全能一个多用已成为机关现实,人员有限又要承担所有跟信息化相关的大量管理工作,精力和专业程度难以有效保障,缺乏真正能研判事件、验证漏洞的高端技术人员。对于各类设备的安全日志看不懂、不会用,无法站在更高视角进行全局关联分析,安全工作力不从心。要改变困局,就要首先解决“感知”层面和“处置”层面的技术壁垒,通过专业的设备平台弥补技术力量不足。让检察信息技术部门率先实现自动化,通过技术平台构建安全工作人员的能力基线,补齐建立安全大数据处理、分析能力和高效协同响应能力,既要保证对网络安全威胁的有效检测,又要降低安全运维工作的复杂程度。另外,在应用技术平台处置网络安全事件和应急响应工作中,应重点关注以下几点核心要素:(1)数据来源。安全分析是以大数据为基础,因此在数据来源方面,要应用态势感知设备平台主动全面采集有效数据,避免过度依赖外部威胁情报或内部网络设备的异构、或误报的数据。(2)智能分析。设备平台充分融合大数据、机器学习和人工智能技术,解决基于静态特征库的安全检测能力不足的问题(IPS、IDS类),能够不依赖静态特征和规则,精准发现未知变种威胁。(3)安全可视。要摆脱碎片化、基于威胁事件的简单的数据表格化,更多的基于业务去看威胁和威胁的影响面,在宏观上能为决策提供依据,在微观上能促进简单有效的运维。(4)协同响应。在响应处置方面,在部署设备平台时尽可能实现与边界和终端上的安全软硬件联动,自动化处置解决大部分安全问题。针对更为复杂的网络安全事件,由现场和远程专家保障团队统一解决。

3.3政企协同构建技术支撑后盾

2019年,河北省院通过与安全企业合作,以购买社会服务形式建立机关网络安全常态运维团队,通过调动三级检察机关技术干警进行安全管理,安排专业网络工程师驻场运维,拉通安全专家后台保障,构建全省网络安全技术支撑力量。根据上级要求和实际情况设定年度网络安全保障目标,每年对安全服务内容弹性调整,达到了实时监测网络安全状态、定期进行渗透测试、重点时期开展专业保障的多层次安全覆盖,逐步完善全省检察机关“设备+技术”、“人防+技防”、“指挥+保障”的人机结合应急管理体系。随着检察机关基础网络建设的进一步深化以及检察信息化应用工作的大力推进,加强和完善检查工作网安全规划和建设已经成为当务之急。紧抓信息化建设带来的机遇,也要创新应对网络信息安全带来的挑战,我们需要通过专业设备全流量关联分析检测,掌握全省检察机关整体安全态势;通过人工智能引擎精准检测未知病毒,有效抵御未知变种威胁;通过全省安全数据整合与安全情报互通,实现风险通报预警和处置进度的反馈。在网络安全应急处置层面,不断地通过人员、技术和流程三个维度的理念创新,来构建整个检察机关网络安全事件应急处置的方针策略。

参考文献:

[1]王永民,刘波.简论检察机关的网络安全建设[J].人民检察,2004(1):73-73.

[2]文莉.当前检察机关信息化建设的几点思考[J].中国检察官,2007(07):36-37.

[3]牟义军,邢晓辉.基于Internet的网络信息安全隐患及其对策[J].人民检察,2003(11):60-61.

作者:崔永波 潘东雷 单位:河北省人民检察院 深信服科技股份有限公司