本帖最后由 新手668511 于 2020-8-31 21:20 编辑
第1章 行业背景介绍监狱是国家的刑罚执行机关,以改造人、造就人为目标,将罪犯改造成为守法公民,达到预防和减少犯罪的目的。目前我国共有680余家隶属于某公司的监狱,分布在全国32个省份、直辖市及自治区。每个省份的某公司拥有本省监狱行业的最高管理权及指挥权,而各省监狱又可分为省属监狱及市属监狱。长期以来,监狱工作以提高罪犯改造质量为中心,积极探索形式多样、内容丰富的改造罪犯方法,取得了显著的成效。新的历史时期,针对罪犯这个特殊群体,在传统的三大改造手段基础上,构建“五大改造”新布局,即政治改造、监管改造、教育改造、文化改造和劳动改造,是遵循罪犯改造的规律,着眼于提高罪犯改造质量、维护社会和谐稳定的大胆探索和实践,为新时代监狱工作改革发展指明了方向,明确了路径,提供了基本遵循。 近两年由于“智慧监狱”建设,监狱行业信息化发展迅速,在智慧司法的新时代洪流中,随着监狱业务的多样化、数据立体化、决策复杂化,对信息化的要求越来越高,监狱行业的关注点从“筑垒高墙”到“智慧研判”发生了翻天覆地的变化。 监狱行业主要有六大业务:狱政管理、刑罚执行、教育改造、劳动改造、生活卫生、狱内侦察,又统称为监狱统一业务平台。 狱政管理主要业务是指导罪犯的收监和收押调遣工作;组织指导全省监狱监管安全工作;负责对罪犯的分管分押和罪犯调配工作;组织指导对全省罪犯的考核和分级管理工作;负责全省狱内狱情调研工作;指导全省监狱的狱内侦查工作;指导全省重点罪犯的管理工作;负责全省监狱*看押的协调工作;指导全省罪犯档案管理工作;负责全省监狱监管装备、监控设备及警械、警具、枪支弹药的计划编制、申报、采购、发放和管理工作。 刑罚执行主要是指导全省监狱依法执行刑罚;指导罪犯申诉、控告、检举的处理工作;指导全省监狱罪犯减刑、假释工作‘负责死缓、无期徒刑罪犯减刑审核呈报工作;负责全省罪犯暂予监外执行(保外就医)的审批工作;负责省出监监狱和出监监区罪犯调训的管理工作;指导和管理全省罪犯释放工作。 教育改造是管理、指导、考核罪犯教育改造工作;管理、指导全省“法轮功”罪犯及其他邪教类罪犯的教育转化工作;负责全省罪犯职业培训工作;指导全省罪犯入监和出监教育、警示教育、社会帮教、心理矫治工作;指导全省监狱监区文化建设、监狱特殊学校的办学工作;管理、审批全省狱内宣传、采访、报道工作。 劳动改造旨在研究制定罪犯劳动改造的政策、规章、制度;管理、指导、考核全省监狱罪犯劳动改造工作;协调监狱和监狱企业关于罪犯劳动改造工作中的问题;组织省直监狱水利建设和防汛抗灾工作;会同有关部门协调管理省直监狱农业综合开发、农村饮用水安全工程建设、土地整治、国土资源利用和环境保护工作。 生活卫生是指导全省监狱罪犯的生活管理、医疗、卫生防疫及劳动保护工作;检查、督促罪犯生活卫生经费的落实;指导全省监狱医院、卫生所、防疫站、物资供应站的业务工作;负责监狱囚被服、医疗设备的计划编制以及购置、制作、发放和管理工作。 狱内侦察主要是通过狱内侦查人员的实地调查研究,搜集狱内犯情和案情的最新资料;对狱内犯情和案情的综合分析,做出相应的处置;对确认的危险分子进行不间断的控制。对于有现实危险的罪犯,可以按规定使用戒具和隔离设施进行控制。定期检查和不定期检查相结合、全面检查和重点检查相结合的方式对监狱的警戒设施、监管设施、罪犯的活动场所等进行安全检查,以确保上述部位和场所的安全。 第2章 项目背景某公司目前通过政务外网访问某公司上的应用众多,各类应用对链路带宽的要求较高,而链路带宽总是有限,P2P等流量对网速造成的影响比较明显,需对链路带宽进行有效分配和管理,保证重要业务的链路使用不受影响。除此之外,某公司缺乏对用户行为进行监控的有效工具,当网络安全事件发生时,无法提供有效的可追查数据。系统对终端用户计算机上存储的信息没有监控与审计,一旦数据被窃取,将导致严重的损失。同时依据《网络安全法》第二十一条规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月,当前也无法满足要求。 除此之外,受新冠肺炎疫情影响,为了降低病毒传染率,在疫情期间需要减少人员流动,此需求对于监狱行业更为明显,为此需要采用一种安全的监狱会见方式。同时需保证传输过程中的数据安全,并且不会发生内外网数据泄密的情况。 第3章 需求调研(1)对某公司的上网进行流量控制,保障核心业务的带宽,解决业务高峰期带宽资源紧张的问题。 (2)对某公司的上网进行行为管控,对于用户的上网记录进行日志审计。且需要满足《网络安全法》要求的网络日志存储6个月以上的要求,合法合规 (3)监狱服刑人员使用钉钉和家人进行视频会见,与家属进行视频时不得使用其他互联网应用,仅能操作钉钉应用,视频时使用电脑不得与本地系统进行通信。 (4)现网改造仍需保障教育子网、政务网、互联网逻辑隔离,且满足等保三级要求。 第4章 方案规划4.1 实施拓扑 4.2 方案规划(1)在某公司政务外网出口链路双机网桥部署2台上网行为管理,用来对某公司的上网进行流量控制和行为管控,保障核心业务的带宽,解决业务高峰期带宽资源紧张的问题,对于用户的上网记录进行日志审计。 (2)通过在某公司与下属监狱等单位政务外网出口处串接部署流控和行为管理设备,一是通过接入设备的物理地址绑定、用户名密码认证等方式,实现针对接入人员政务外网访问的有效身份认证;二是通过设备内置的识别库以及带宽管理策略,识别应用流量并对链路带宽进行合理的分配;三是通过汇集流控和行为管理设备中的相关数据,传输至旁路部署的上网行为分析系统,进行数据分析,直观展示互联网链路带宽的利用情况,为链路带宽扩容决策和带宽管理提供有效数据支撑。保证网络带宽满足业务高峰期需要,满足等保中“边界防护”“网络架构”“访问控制”、“入侵防范”“个人信息保护”等相关要求。 (3)实现动态流量控制,识别网内的应用流量,对现有的带宽进行合理的分配;建设上网行为分析系统,进行数据分析,直观展示链路带宽的利用情况,保障核心业务的带宽,解决业务高峰期带宽资源紧张的问题,对于用户的上网记录进行日志审计,满足《网络安全法》要求的网络日志存储6个月以上的要求,合法合规。 第5章 上网行为管理的配置内容根据前期对需求解读出来后,制定的解决方案,在设备上完成对应功能的配置。下面以每个需求为小节进行配置说明。 5.1 设备功能配置5.1.1 高可用配置步骤: 1、使用“系统管理员”权限账号登录上网行为管理web控制台界面,点击【系统管理】-【网络配置】-【高可用性】,选择主备模式。 2、进入【基本配置】,配置HA口、共享密钥、监测网口组的配置。 3、进入【检测方式】,点击新增,完成双机切换条件组配置,包括“心跳超时时间”、“ARP探测”和“ICMP探测”等。 4、如下图所示,可在首页系统状态处查看双机状态。 5.1.2 流量控制配置步骤: 1、点击【流量管理】-【线路带宽配置】,配置线路的上行、下行带宽。 2、同时在【流量管理】-【通道配置】界面,勾选启用流量管理系统。 3、点击【新增通道】,新增通道,并配置适用对象、适用应用,对重要业务系统做带宽保障,保证在业务高峰期,整体带宽使用率不超过70%。 5.1.3 上网行为管理配置步骤: 1、使用“系统管理员”权限账号登录上网行为管理界面,点击【用户认证与管理】-【用户认证】,配置用户认证策略,实现所有用户必须通过认证才能访问外部网络。 2、点击【策略管理】-【上网策略】,配置上网权限策略,实现基于应用协议和应用内容的访问控制。 5.1.4 上网行为审计配置步骤: 1、点击【策略管理】-【上网策略】,新增“上网审计策略”,勾选“应用审计”、“流量与上网时长审计”、“网页内容审计”,配置审计对象以及适用对象等。 5.1.5 上网安全配置步骤: 1、使用“安全管理员”权限账号登录上网行为管理web控制台界面,点击【系统管理】-【系统配置】-【授权信息】确认“上网安全授权”序列号有效。 2、使用“安全管理员”权限账号登录上网行为管理web控制台界面, (1)点击【上网安全】-【安全能力】-【安全配置】-【僵尸主机检测】,启用僵尸网络接入设置,处置动作支持“告警通知”、“阻断恶意链接”、“冻结源IP”。 (2)点击【上网安全】-【安全能力】-【安全配置】-【防内网dos攻击】,启用防内网dos攻击接入设置,支持“SYN泛洪”、“UDP泛洪”、“ICMP泛洪”检测方式,处置动作支持“告警通知”、“封锁攻击”。 (3)点击【上网安全】-【安全能力】-【安全配置】-【恶意链接】,启用恶意链接接入设置,处置动作支持“告警通知”、“阻断恶意链接”。 (4)点击【上网安全】-【安全能力】-【安全配置】-【SAVE杀毒】,启用SAVE杀毒检测,支持“HTTP/HTTPS下载杀毒”、“FTP下载杀毒”、“POP3/IMAP杀毒”、“SMTP杀毒”检测方式,处置动作支持“告警通知”。 3、使用“安全管理员”权限账号登录上网行为管理web控制台界面,点击【系统管理】-【系统配置】-【系统更新】-【规则库升级】,查看规则库的更新情况,主要比对各规则库“当前版本”的时候是否已更新到“最新版本”显示的时间。 5.2 设备安全环境5.2.1 身份鉴别&访问控制配置步骤: 1、按照实际需求设置管理员账号,密码需要符合一定复杂强度,并设置定期更换密码的天数; 2、设置控制台登录超时时间; 3、登录失败策略系统内置策略为登录失败冻结1分钟; 4、按照三权分立原则,设置三权管理员,对不同管理员设置不同权限; 5、启用双因素认证(采用的方式是“账号密码认证+USB-key认证”方式); (1)管理员电脑安装驱动,生成USB-key: (2)使用“超级管理员”新建管理员账号,绑定USB-key,且认证方式选择“账号密码认证+USB-key认证”: (3)使用sj账号和U-key成功登陆控制台: 6、重命名或删除默认账户,修改默认账户的默认口令;
7、及时删除或停用多余的、过期的账户,避免共享账户的存在 5.2.2 入侵防范配置步骤: 1、设置管理员的允许登陆IP地址范围; 5.2.3 数据备份恢复配置步骤: 1、使用“系统管理员”权限账号登录上网行为管理web控制台界面,点击【系统管理;】-【系统配置】-【配置备份与恢复】,在该界面点击“下载配置”按钮,可以把上网行为管理当前的配置备份到本机,其中管理员的口令加密存储。 5.3 安全审计配置步骤: 1、在【系统管理】-【系统配置】-【日志中心配置】里设置日志保留天数在180天以上; 2、如果用户处有日志审计设备或者syslog日志服务器,优先选择通过syslog将日志同步到日志审计设备或者syslog日志服务器上。在【系统管理】-【高级配置】-【外部syslog设置】启用外部syslog,并配置syslog服务器IP地址以及日志内容; 如果用户处没有日志审计设备或者syslog日志服务器,则可以通过部署外置数据中心来存储日志。在【系统管理】-【日志中心配置】-【外置日志中心同步策略】里新增外置日志中心的同步策略,包括外置日志中心IP地址、同步策略名称、接入密钥等。 第6章 价值呈现1.配置顺利完成后,测试客户业务正常运行无问题,双机切换测试高可用正常 2. 流控、认证、审计等各个模块正常,日志记录正常。 3.对客户运维人员进行产品使用以及日常运维培训,并向领导进行产品汇报。 第7章 项目总结1. 项目前期需做充足准备工作 (1)由于监狱行业特殊性,在项目前期需要和市场端频繁沟通,充分了解项目背景,并通过客户端沟通深入挖掘客户需求,以充分体现产品价值。 (2)在对现网做任何变动(特别是影响业务,以及涉密相关)前,需要和领导汇报,征得客户领导同意后再进行操作。 (3)在项目实施前,需要了解客户现网情况,提前确认方案可行性,并二次确认客户需求,以免造成交付问题。 2. 项目交付过程中,实时保持和客户沟通,让客户了解项目进度,及时同步给对应市场,针对客户问题,第一时间确认,内部沟通一致后,给出最佳解决方案,并向客户进行简单汇报 3. 项目交付完毕后,将相关文档传递给客户,并针对客户不通群体进行不同的价值呈现,对运维人员进行产品使用和日常运维培训,并向领导进行汇报。 |