甘肃检察机关移动侦协网应用

　　一、项目背景

　　2023年，最高检要求全国检察机关与公安机关建立侦监协作配合办公室（简称“侦协办”）机制，同时要求将检察工作网延伸到侦协办应用场景当中。甘肃省检察院结合最高检发布的《检察工作网安全保障系统建设指导意见》（高检技﹝2018﹞62号）文件要求，对检察工作网接入侦协办提出了两种方案：

　　方案一（有线接入方式）：该方式需在满足信息系统等级保护的前提，在所有侦协办点位接入网络，并配备相应的网络安全防护设备，投资金额巨大，项目实施周期较长。

　　方案二（“移动侦协网”应用方式）：依托已建成的甘肃省检察机关移动检务管控平台，建设甘肃检察机关移动检务一体化信息平台，通过5G移动专网技术，拨号到专用VPDN，在安全管控准入后，接入到检察工作网。以应用服务总线的方式，向用户提供办公、办案等应用服务。该方案全省三级院投入资金量较小、实施周期短、拓展性强。

　　经对比研判，甘肃省检察院决定采用“移动侦协网”应用方式在全省检察机关推进检察工作网接入侦协办。

　　二、平台组网及安全防护方案

　　图1-平台组网及安全防护网络拓扑图

　　甘肃检察机关移动检务一体化信息平台组网方案总体分为三部分，包括电信VPDN专线、移动检务平台安全接入和移动检务平台等保体系。根据分区分域原则，方案包括移动终端区、移动通信网区、移动接入边界防护区、隔离交换区、检察院工作网区内部应用及防护区等功能区。具体如下：

　　1.接入终端区

　　平台支持基于5G通信技术的移动终端和和信创电脑的灵活接入，满足不少于3000业务并发访问需求，实现合法终端用户安全接入到移动检务平台。

　　2.移动通信网区

　　检察院移动终端用户拨号到专用VPDN，经电信提供的虚拟专用私网利用传输专线连到检察院防火墙，经过移动接入服务器认证后，利用所分配的IP地址进行安全连接。

　　3.移动检务平台安全接入

　　移动检务平台安全接入部分包括移动接入区、隔离交换区。

　　1）移动接入边界防护区

　　在移动接入区部署2台下一代防火墙，作为移动检务平台出口设备，实现对源/目标地址、协议类型、源/目标端口以及网络协议等的访问控制，并具备防病毒、入侵防御、僵尸网络防护等安全能力。

　　主机网络接入控制系统：用于管理、控制和保护网络中的主机设备，确保只有经过授权且符合安全策略的主机设备才能接入网络。

　　空中发证系统：负责采集用户终端信息、发起证书操作请求、解析证书操作响应和调用密码模块，实现移动办公证书的各项管理功能。

　　身份认证系统：提供对数字证书的审核、签发、管理、撤销等，并实现网关接入认证和相关的配置管理等。

　　终端安全管理平台：实现终端资产管理、终端管控、应用分发、消息推送、双系统管理、外部接口等功能。

　　移动VPN安全接入网关：串联部署在移动接入区，建立安全通信链路，实现各种业务的远程处理和数据交换。

　　移动接入区交换机：实现数据存储转发，包括业务数据和管理数据。

　　2) 隔离交换区

　　在隔离交换区串联部署1套数据应用安全访问控制系统，包括1台前置机、1台后置机。在安全隔离区隔离网闸的配合下，完成移动应用服务器和检察院工作网的安全数据交换。

　　4.检察院工作网内部应用防护区

　　终端安全管理系统EDR：包括管理平台、PC端、服务器端三部分，实现主机漏洞扫描、补丁修复、资产盘点、文件监控、攻击防护、恶意文件检测等。

　　基线核查系统：具备系统漏扫、WEB漏扫能力及安全分析能力。

　　数据行为分析系统：数据行为分析系统基于全网数据流量，实现数据库审计分析、数据库访问关系可视、数据库攻击威胁分析等功能。

　　网络分析溯源系统：对移动检务平台的运行状态和用户行为进行实时监视，通过服务监控、进程监控、操作监控等方式对其进行内容记录，确保发生安全事件时及时溯源取证，降低安全事件影响。

　　全流量威胁分析系统：对镜像过来的原始流量信息进行深度还原、存储、查询和分析，基于检测技术、机器学习、威胁情报等分析技术，及时发现移动检务平台相关网络安全威胁风险，通报预警等。

　　运维安全管理系统：实现运维审计功能。

　　5.基于服务总线的WEB服务管理

　　服务总线作为甘肃省检察机关移动检务一体化信息平台的核心服务组件，实现WEB端应用运行所需信息资源进行统一注册、审核、发布、授权、查询、认证、调用、更新和下线等全生命周期管理。总线与网络接入控制、移动安全接入、授权访问服务、网络隔离交换与访问控制等基础安全技术联动，保障应用的接入和运行安全，接受平台集中管理控制。

　　统一资源作为总线服务的前端服务，提供对业务服务、侦协网数据服务、通用组件服务的统一管理，提供服务协议的转换，服务目录的注册、检索与展示，服务申请审批、授权、访问控制和监控，提供系统运行监控可视化展示等管理能力。

　　三、平台功能实现介绍

　　1.终端接入

　　如下图所示，信创终端依托于5G移动专网（VPDN专网），通过VPN数字证书拨号完成与侦协网的互联。

　　图2 - 5G CPE网关及VPN数字证书实图
       

　　图3-信创终端联网示意图

　　2.登录全国检察业务应用系统2.0界面

　　图4-用户登陆界面

　　3.工作界面

　　下图为用户登录后的工作界面。

　　图5-用户登陆后的工作界面

　　四、主机监控与审计

　　通过主机监控与审计系统实现对终端设备、进程、服务、运维等安全要素的监控，从终端基础安全、运行安全、应用行为安全、数据出口安全多维度保证内部数据安全，实现终端系统的全面安全防护和加固，保障内部网络安全。

　　图6-主机监控与审计界面

　　五、基于服务总线的WEB用户管理及资源调度服务界面

　　服务总线作为甘肃省人民检察院移动检务应用支撑核心服务组件，实现移动WEB应用运行所需信息资源进行统一注册、审核、发布、授权、查询、认证、调用、更新和下线等全生命周期管理。总线与网络接入控制、移动安全接入、授权访问服务、网络隔离交换与访问控制等基础安全技术联动，保障应用的接入和运行安全，接受平台集中管理控制。

　　图7-主机监控与审计界面

　　六、结束语

　　甘肃检察机关移动侦协网应用，符合国家和最高检信息化标准规范体系，具有信息化安全保障体系和信息化运行维护体系。甘肃省人民检察院在践行 “科学化、智能化、人性化”智慧检务建设理念的探索实践又迈出了一大步，不仅可以大幅降低全省各级检察机关数智化投入，同时创新了的办公办案方式，提高了甘肃检察机关的整体服务水平。

　　该平台的建设实现了包括移动终端、信创电脑的多种类型终端的灵活接入；在满足全省三级检察干警移动办公办案的同时，保障了检务移动终端及信息安全管控，确保了移动终端接入的合规性。该平台已经在全省120个侦协办试点应用，平台运行安全、稳定、可靠，工作人员感知良好；平台建设打破了检察办公办案场景限制，创新了工作模式，提升办案时效，为着力推进甘肃检察业务数字化增添了浓重的一笔。

　　责任编辑：广汉