【智慧法院】安全解决方案—安盟信息

　　1 概述

　　1.1 背景

　　当前，随着经济全球化和社会信息化的深入发展，信息科技对人类文明进步已经产生并将继续发挥重大促进作用。以习近平同志为核心的党中央站在党和国家事业发展全局的高度，提出实施网络强国战略、“互联网+”行动计划、国家大数据战略等一系列重大决策部署，为我国信息科技发展指明了方向和道路。，中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》，将建设“智慧法院”列入国家信息化发展战略，充分体现了党中央对人民法院信息化建设的重视、关心和支持。近年来，人民法院大力推进信息化建设，推动审判执行工作发生深刻变革。实践证明，没有信息化就没有人民法院工作现代化，当前要紧紧围绕人民法院信息化3.0版建设目标，积极推动人民法院信息化建设转型升级，加快建设“智慧法院”，以信息化推进人民法院审判体系和审判能力现代化，服务国家治理体系和治理能力现代化。

　　智慧法院是依托现代人工智能，围绕司法为民、公正司法，坚持司法规律、体制改革与技术变革相融合，以高度信息化方式支持司法审判、诉讼服务和司法管理，实现全业务网上办理、全流程依法公开、全方位智能服务的人民法院组织、建设、运行和管理形态。

　　1.2 目前建设现状

　　1、以顶层设计与地方创新相结合的推进模式为基本路径。一方面，由最高人民法院从顶层设计进行统一安排部署，以保障四级法院网络全联通、业务全覆盖、系统全融合、数据全共享。另一方面，各地法院结合自身实际探索出了诸多新型成果，如重庆市高级人民法院数据“云中心”、上海市第二中级人民法院C2J（Court to Judge）法官智能辅助办案系统等。

　　2、以对内优化审判和对外提升公信为主要导向。通过信息化手段，对内规范审判管理流程、提升审判执行能力、提高审判工作质效，对外深化司法公开、改善诉讼服务水平、提升司法公信力，是法院信息化建设的主要目的。对内服务机制的健全为对外服务功能的发挥提供了有力支撑；对外服务机制的完善倒逼对内服务机制提档升级。

　　3、以构建广范围覆盖的信息化平台为重要内容。全国法院系统政务网站、司法公开平台涉及审判权运行、审判管理、诉讼服务、司法公开等各个方面，基本实现了各类平台从无到有的转变——最高人民法院搭建了全国统一的中国审判流程信息公开网、中国裁判文书网、中国执行信息公开网等。各级法院建立了公众服务网、审判管理系统、微博、微信、APP等。

　　1.3 存在的问题

　　1、移动存储设备的违规接入、滥用。移动存储设备的广泛应用，方便了工作人员文件流转，大大提高了工作效率，但是没有授权而直接将各类计算机和移动设备接入内网或者在各台计算机之间滥用移动设备，尤其是有病毒木马的U盘、移动硬盘，这样很可能会造成在内网传播病毒、移植木马、造成内网信息安全漏洞和泄露内网机密等严重后果，对内网安全造成严重破坏。

　　2、外部网站攻击。网络关键基础设施安全问题关系到国家稳定、经济命脉和个人切身利益。由于法院审判资源的特殊性，造成国内外不法分子利用互联网核心技术大肆攻击法院内网，窃取审判秘密。

　　3、制度建设未同步。习近平总书记指出，网络安全和信息化建设是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。当前，全国法院都在积极开展智慧法院建设，充分运用新技术新应用改变传统法院诉讼模式，为群众提供公正、高效、便捷的现代化诉讼服务。然而，人民法院在智慧法院建设的过程中，过多的倾向于利用互联网新技术创新诉讼服务方式，完善各项司法为民便民利民措施，而忽视了网络安全保密工作，致使制度建设未同步。

　　2 智慧法院信息安全体系的挑战

　　信息安全体系是保障信息网络、系统、内容被合法用户安全使用，并禁止非法用户、攻击者和黑客使用、偷盗、破坏这些资源的一系列设备、技术、法规、政策的总称。一般而言信息安全体系由五个层次组成，由内到外依次是：安全素养、法规政策、管理制度、安全技术、物理屏障。

　　2.1 信息介质管理上的挑战

　　智慧法院具有移动性特点，具有大量可移动的感知设备、用户终端，这将给信息介质管理带来新的挑战。

　　智慧法院中的移动设备和终端计算能力其自身防御能力较弱，感染病毒和受到攻击的几率大大增加，通过移动设备和终端设备传输到法院网络的可能性极大给法院自身的网络和数据带来了极大的威胁。

　　2.2 信息安全技术上的挑战

　　信息安全技术发展至今大致经历了两个阶段；在单机时代基于机器隔离的信息安全技术为主，在网络时代以基于用户认证的信息安全技术为主。前者通过将计算机置于隔离的安全环境之中，防止非法用户使用计算机；后者通过帐号和密码来确认用户身份，使得只有特定用户才能进入网络系统。这类技术包括硬件防火墙、软件防火墙、杀毒软件、主动防御、漏洞扫描和动态补丁等等。尽管这两种技术手段各异，但无论是隔离机器还是隔离网络，它们都属于“封闭”导向的信息安全技术。显然，传统的封闭式信息安全管理技术，无法适应智慧法院开放式的信息环境。

　　智慧法院中的很多信息网络是需要开放式的，系统是协同的，不同网络和系统之间需要互联互通，不断地进行信息传递和交换，传统信息安全技术那种“非友即敌”式的简单判断模式显然已无法适用通过协同业务网系统窃取产品机密，是这些企业普遍面临的信息安全技术难题。

　　2.3 信息管理制度上的挑战

　　在传统的信息环境之中，信息安全管理制度主要是对外的，以防范黑客、非法入侵等外部威胁。但在智慧法院环境中，来自IT服务商内部的信息安全威胁越来越严重。根据一份针对网络安全的专项调查结果，目前超过85%的信息安全威胁来自公司内部，而由内部人员泄密导致的金额损失是黑客造成损失的16倍。国家计算机应急响应中心发布的数据也显示，在所有的计算机安全事件中，约有52%是人为因素造成的，技术错误和机构内部人员作案各占10%，仅有3%左右是由外部不法人员的攻击造成。同时，企事业核心数据的流失实际上有80%左右源于企业内部人员的不正当行为，而只有20%来自外部的侵犯。

　　3 安全需求分析

　　实现人民法院工作信息化的全面提升，更大程度上实现司法审判职能的网络化、移动化，全国各级人民法院都在建立法院移动服务平台系统，来实现当事人足不出户，利用电脑以及智能手机等平台，通过简单操作，就能与法院沟通、联系并处理相关诉讼事项，极大地方便了人民群众。但是任然存在如下的风险。

　　1）法院移动服务平台系统是由安全要求极高的法院业务专网的移动服务内网平台和外网受理平台组成，两个平台之间需要实时传输业务请求与回复。服务平台的法院业务专网内部审批系统与部署于移动互联网端的外部受理系统进行实时数据交互、协同办公，就必须互联,此举易造成感染病毒、木马攻击、敏感信息外泻等安全事件。

　　出于对案件信息的保密性、审理的公平性出发，法院移动服务平台的应用必须保障数据安全，移动服务平台系统绝不可以被病毒感染、木马控制，不允许任何敏感数据的非法外泄。

　　

1. ）内部人员运维风险：误操作导致关键应用服务的异常甚至宕机；违规操作导致敏感信息泄露；恶意操作导致系统上的敏感数据信息被篡改和破坏。无法有效监控原厂商和代维厂商的维护操作；无法有效取证和举证维护过程中出现的问题和责任。

    

   　　

          3）外网服务平台非法访问风险：由于法院审判资源的特殊性，造成国内外不法分子利用互联网核心技术大肆攻击法院内网，窃取审判秘密。因此需要在外网对外服务平台上建立一套防范手段，阻止不法分子攻击法院网络。

 

　　4 方案设计依据

　　4.1 设计依据

　　1、 《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）

　　2、 《信息安全等级保护管理办法》（公通字〔2007〕43号)

　　3、 《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）

　　4、 《党政机关门户网站系统安全等级保护基本要求》

　　5、 《信息安全技术信息系统安全等级保护基本要求》

　　6、 《信息安全技术信息系统等级保护安全设计技术要求》

　　7、 《信息安全技术信息系统安全等级保护定级指南》

　　8、 《信息安全技术信息系统安全等级保护实施指南》

　　9、 《信息安全技术信息系统安全等级保护测评要求》

　　10、 《信息系统安全等级测评报告》

　　11、 《信息安全技术网络基础安全技术要求》

　　12、 《信息安全技术信息系统安全通用技术要求（技术类）》

　　13、 《信息安全技术信息系统物理安全技术要求（技术类）》

　　14、 《信息安全技术信息系统安全管理要求（管理类）》

　　15、 《信息安全技术信息系统安全等级保护体系框架》

　　16、 《信息安全技术信息系统安全等级保护基本模型》

　　17、 《信息安全技术信息系统安全等级保护基本配置》

　　4.2 设计原则

　　安全性原则：信息通信安全是保障生产安全密不可分的一部分，信息通信安全防护应当围绕生产安全这个核心，为安全生产服务。

　　易用原则：信息安全是一门专业性很高的科学，但是在工业生产现场，员工通常不具备这类非生产业务的专业性太强的知识。因此在方案设计与防护产品选用上都应当坚持易用性原则，最大化降低现场工作人员的工作难度。

　　统一性原则：信息安全涵盖的范围很广泛，大的分类有终端安全、数据安全、网络安全、物理安全等。电力生产网作为一个小的网络生态环境，其安全的保障必须通过统一的规划与设计，不产生防护短板，才能有效的保护生产安全。

　　可持续性原则：信息安全属于生产安全的一部分，与生产安全一样，贯穿于电力生产企业的整个生命周期。因此对信息安全的管理也必须是完整的、可持续的，不是一劳永逸的。

　　5 总体设计方案

　　5.1 信息安全服务方法论

　　根据法院的业务安全需求，以等级保护为基础，以风险管理为核心，设计全方位的信息安全保障体系，最终实现风险可控。建立起动态的、系统的、全员参与的信息安全保障体系，用最低的成本达到可接受的信息安全防护。首先，确定信息安全建设目标为风险可控，然后参考定级指南、基本要求、设计要求、实施指南、测评指南等标准并借鉴信息安全领域多年的最佳实践经验，使自身的信息安全水平获得整体提升。最终通过管理体系、技术体系和运维体系的建设，实现风险可控。在日常的信息安全管理、建设、运维工作中利用PDCA模型（Plan-Do-Check-Act，规划—实施—监查—改善），不断积累风险管理知识库、信息安全知识库和运维知识库，以保障自身的安全防护能力。

　　通过风险管理方法论实现：

　　1、一个核心目标：通过信息安全建设达到风险可控。

　　2、三个保障体系：从管理、技术和运维三个方面保障法院信息系统安全、稳定、高效的运行。

　　（1）安全管理保障体系：信息安全组织、运维、技术体系标准化、制度化后形成的一整套法院对信息安全的管理规定。此部分内容包括建立法院网络与信息安全管理办法，描述对法院信息资产进行有效管理的方法，规定人员安全操作流程与规范，制定系统配置规格、使用策略等。

　　（2）安全技术保障体系：综合利用各种成熟的信息安全技术与产品，采用一个中心、三重防御的原则，结合等级保护与风险管理的核心思想，实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。

　　（3）安全运维保障体系：在信息安全管理体系规范和指导下，通过安全运行管理，规范运行管理、安全监控、事件处理、变更管理过程，及时、准确、快速地处理安全问题，保障法院信息系统的稳定可靠运行。

　　3、五个等保标准：

　　（1）依据《信息系统安全等级保护定级指南》确定防护级别；

　　（2）依据《信息系统安全等级保护技术设计要求》进行技术体系设计；

　　（3）依据《基本要求》明确不同级别控制措施；

　　（4）依据《信息系统安全等级保护实施指南》指导安全整改建设；

　　（5）依据《信息系统安全等级保护测评准则》是否达到要求。

　　4、三套知识库：信息安全知识库、风险管理知识库、运维知识库。知识经验的总结、维护和共享是提高员工信息安全、风险管理、运维技能水平，增强凝聚力的重要手段，也是把宝贵的经验、教训逐步沉淀、固化的重要方式。

　　5.2 安全策略总体框架

　　法院信息系统安全策略设计框架如下图所示：

　　法院信息系统安全策略设计框架是将等级保护基本要求的实际需求充分融合，坚持管理和技术并重的原则，将信息安全技术措施和信息安全管理措施有机结合，建立信息系统综合防护体系，形成法院信息系统总体安全策略，提高信息系统整体安全保护能力。

　　结合法院信息系统安全防护需求，安全计算环境安全策略、安全区域边界安全策略、安全通信网络安全策略的内容应包含身份认证、访问控制、入侵防范、恶意代码防范、安全审计和安全管理等方面，并通过安全设备（网闸、防火墙、IDS等）实现安全策略落地执行。集中安全管控策略主要实现法院信息系统中涉及的网络设备、安全设备、主机设备等进行集中事件管理、策略下发等，并通过对安全事件的采集、分析和归并，对安全事件进行统一展示和威胁响应，并通过安全管理系统、资源监控系统和等级保护管理平台等设备实现策略的落地执行、检测。

　　5.3 物理安全建议方案

　　根据等级保护三级对物理安全的具体技术要求，具体物理安全建议方案应考虑以下章节内容。

　　5.3.1 物理位置的选择

　　a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

　　b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

　　5.3.2 物理访问控制

　　a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

　　b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

　　c) 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

　　d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

　　5.3.3 防盗窃防破坏

　　a) 应将主要设备放置在机房内；

　　b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记；

　　c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

　　d) 应对介质分类标识，存储在介质库或档案室中；

　　e) 应利用光、电等技术设置机房防盗报警系统；

　　f) 应对机房设置监控报警系统。

　　5.3.4 防雷击

　　a) 机房建筑应设置避雷装置；

　　b) 应设置防雷保安器，防止感应雷；

　　c) 机房应设置交流电源地线。

　　5.3.5 防火

　　a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

　　b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

　　c) 机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

　　5.3.6 防水和防潮

　　a) 水管安装，不得穿过机房屋顶和活动地板下；

　　b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

　　c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

　　d) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

　　5.3.7 防静电

　　a) 主要设备应采用必要的接地防静电措施；

　　b) 机房应采用防静电地板。

　　5.3.8 温湿度控制

　　机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

　　5.3.9 电力供应

　　a) 应在机房供电线路上配置稳压器和过电压防护设备；

　　b) 应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；

　　c) 应设置冗余或并行的电力电缆线路为计算机系统供电；

　　d) 应建立备用供电系统。

　　5.3.10 电磁防护

　　a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；

　　b) 电源线和通信线缆应隔离铺设，避免互相干扰；

　　c) 应对关键设备和磁介质实施电磁屏蔽。

　　5.4 计算环境安全设计

　　5.4.1 身份鉴别

　　身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：

　　主机身份鉴别：

　　为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括：

　　l 对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性。

　　l 根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度不少于8位并定期更换；

　　l 启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。

　　l 远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。

　　l 对主机管理员登录进行双因素认证方式，采用USB key+密码进行身份鉴别

　　应用身份鉴别：

　　为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括：

　　对登录用户进行身份标识和鉴别，且保证用户名的唯一性。

　　根据基本要求配置用户名/口令，必须具备一定的复杂度；口令必须具备采用3种以上字符、长度不少于8位并定期更换；

　　启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。

　　应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。

　　对于三级系统，要求对用户进行两种或两种以上组合的鉴别技术，因此可采用双因素认证（USB key+密码）或者构建PKI体系，采用CA证书的方式进行身份鉴别。

　　5.4.2 访问控制

　　三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现：在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；自主访问操作应包括对客体的创建、读、写、修改和删除等。强制访问控制实现：在对安全管理员进行严格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级。

　　由此主要控制的是对应用系统的文件、数据库等资源的访问，避免越权非法使用。采用的措施主要包括：

　　启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对应用系统的访问，特别是文件操作、数据库访问等，控制粒度主体为用户级、客体为文件或数据库表级。

　　权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成相互制约的关系。

　　账号管理：严格限制默认账户的访问权限，重命名默认账户，修改默认口令；及时删除多余的、过期的账户，避免共享账户的存在。

　　访问控制的实现主要采取两种方式：采用安全操作系统，或对操作系统进行安全增强改造，且使用效果要达到以上要求。

　　5.4.3 系统安全审计

　　在法院信息网网中，已经部署了网络行为审计系统，能够针对网络中的网络行为进行审计，但对于应用系统以及重要的数据库合规操作行为没有有效的审计手段，系统审计包含主机审计和应用审计两个层面：

　　主机审计：

　　需要在网络中部署终端管理系统，启用主机审计功能，或部署主机审计系统，实现对主机监控、审计和系统管理等功能。

　　监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。

　　审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户和数据库用户；内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、修改或覆盖等。同时，根据记录的数据进行统计分析，生成详细的审计报表，

　　系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。

　　应用审计：

　　应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结合，此审计功能应与应用系统统一开发。

　　应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。

　　在法院信息网中部署数据库审计系统对用户行为、用户事件及系统状态加以审计，范围覆盖到每个用户，从而把握数据库系统的整体安全。

　　应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。

　　5.4.4 入侵防范

　　针对入侵防范主要体现在主机及网络两个层面。

　　针对主机的入侵防范，可以从多个角度进行处理：

　　l 部署入侵检测系统可以起到防范针对主机的入侵行为；

　　l 漏洞扫描进行系统安全性检测；

　　l 部署终端管理系统，开启补丁分发功能模块及时进行系统补丁升级；

　　l 操作系统的安装遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等；

　　l 另外根据系统类型进行其它安全配置的加固处理。

　　针对网络入侵防范，可通过部署网络入侵检测系统来实现。将网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。

　　5.4.5 软件容错

　　软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计，包括：

　　提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；

　　具备自保护功能，在故障发生时，应用系统应能够自动保存当前所有状态，确保系统能够进行恢复。

　　5.4.6 备份与恢复

　　备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。

　　数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择，而已成为必然的趋势。

　　数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能，易于管理，广泛的设备兼容性和较高的可靠性，以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能，其中包括联机备份应用系统和数据文件，先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网（SAN）的支持等。

　　本地完全数据备份至少每天一次，且备份介质需要场外存放。

　　提供能异地数据备份功能，利用通信网络将关键数据定时批量传送至异地备用场地。

　　对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足不间断系统运行的需要。

　　5.4.7 资源控制

　　为保证法院的应用系统正常的为用户提供服务，必须进行资源控制，否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标，包括：

　　l 会话自动结束：当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够及时检测并自动结束会话，释放资源；

　　l 会话限制：对应用系统的最大并发会话连接数进行限制，对一个时间段内可能的并发会话连接数进行限制，同时对单个帐户的多重并发会话进行限制，设定相关阈值，保证系统可用性。

　　l 登陆条件限制：通过设定终端接入方式、网络地址范围等条件限制终端登录。

　　l 超时锁定：根据安全策略设置登录终端的操作超时锁定。

　　l 用户可用资源阈值：限制单个用户对系统资源的最大或最小使用限度，保障正常合理的资源占用。

　　l 对重要服务器的资源进行监视，包括CPU、硬盘、内存等。

　　l 对系统的服务水平降低到预先规定的最小值进行检测和报警。

　　l 提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

　　应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。

　　5.4.8 客体安全重用

　　为实现客体的安全重用，及时清除剩余信息存储空间，应通过对操作系统及数据库系统进行安全加固配置，使得操作系统和数据库系统具备及时清除剩余信息的功能，从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间（内存、硬盘）被及时释放或再分配给其他用户前得到完全清除。

　　5.4.9 抗抵赖

　　解决系统抗抵赖特性最有效的方法就是采用数字签名技术，通过数字签名及签名验证技术，可以判断数据的发送方是真实存在的用户。数字签名是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性同时，通过对签名的验证，可以判断数据在传输过程中是否被更改。从而，可以实现数据的发送方不能对发送的数据进行抵赖，发送的数据是完整的，实现系统的抗抵赖性和完整性需求。

　　5.5 区域边界安全设计

　　5.5.1 边界访问控制

　　部署边界访问控制设备可以对所有流经边界的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。

　　5.5.2 应用防护

　　由于各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐。

　　部署应用防护系统设备，能加强站点系统抗WEB攻击的能力，有效防范恶意用户对网厅的攻击如。

　　5.5.3 边界完整性检查

　　边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。通过部署终端管理系统可以实现这一目标。

　　终端管理系统其中一个重要功能模块就是非法外联控制，探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。

　　l 终端非法外联行为监控

　　可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非法外联行为，可以记录日志并产生报警信息。

　　l 终端非法外联行为管理

　　可以禁止终端与没有通过系统授权许可的终端进行通信，禁止拨号上网行为。

　　5.5.4 边界入侵防御和恶意代码防护

　　在各区域边界，入侵者可以利用多种入侵手段，如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等等获取系统权限，进入系统内部。

　　在网络边界部署入侵防护系统，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。

　　在网络边界部署应用防护系统开启IPS功能，在内网服务器和终端上部署反病毒软件对夹杂在网络交换数据中的各类网络病毒进行过滤，阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他传播到内部其他安全域中。

　　5.6 通信网络安全设计

　　5.6.1 网络结构安全

　　网络结构的安全是网络安全的前提和基础，对于法院信息网，选用主要网络设备时需要考虑业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。

　　5.6.2 网络安全审计

　　网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。在服务器区交换机处并接部署网络安全审计系统，形成对网络数据的流量监测并进行相应安全审计。

　　5.6.3 网络设备防护

　　为提高网络设备的自身安全性，保障各种网络应用的正常运行，对网络设备需要进行一系列的加固措施，包括：

　　l 对登录网络设备的用户进行身份鉴别，用户名必须唯一；

　　l 对网络设备的管理员登录地址进行限制；

　　l 身份鉴别信息具有不易被冒用的特点，口令设置需3种以上字符、长度不少于8位，并定期更换；

　　l 具有登录失败处理功能，失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；

　　l 启用SSH等管理方式，加密管理数据，防止被网络窃听。

　　5.7 不同等级系统互联互通

　　在明确等级划分之后，不同等级的系统间面临着互联互通的问题，系统间需要进行数据交换。《安全等级保护实施指南》指出，不同安全等级的业务系统之间可以根据业务需要进行互联互通。

　　不同安全等级的系统互联互通，应遵循以下原则：

　　l 不同等级安全域互联后各级系统须能够满足本级各项基本技术要求，高安全等级的系统要充分考虑引入低安全等级系统后带来的风险，不能因为互联而无法达到相应的基本要求，破坏本等级的安全边界。

　　l 互联手段中重点是互联边界应采取相应的边界保护、访问控制等安全措施，防止高等级系统的安全受低等级系统的影响。

　　根据系统业务要求和安全保护要求，制定相应的互联互通安全策略，包括访问控制策略和数据交换策略等，严格控制数据在不同等级之间的流动。

　　5.8 产品部署

　　5.8.1 安全拓扑示意图

　　5.8.2 内网与外网安全隔离

　　5.8.2.1 单项网闸部署

　　5.8.2.1.1 部署说明

　　部署两套安盟华御单向光闸产品，针对法院外网受理平台应用需求制定并执行安全策略，实现法院业务专网服务器与对外外网受理服务器之间的数据安全交换，同时确保法院内网外网服务平台与Internet的高安全隔离，保证法院内网数据不外泻。将外网服务器的业务数据与内网的数据服务器中的业务数据进行数据库同步。

　　安盟华御单向光闸在保证网络安全的同时，实现定时抽取内外网数据库和文件的增量更新同步，确保外网受理服务平台内外网数据的一致性。

　　安盟华御单向光闸产品的工作原则是没有被明确指出的可以通过的数据一律不予摆渡，所以将安盟华御单向光闸部署于对外服务平台网络与法院内网之间，需要定制专用的允许交换数据的安全策略才可实现系统业务数据的安全同步。

　　第一步：采用两个单向传输数据（内->外）/（外到内）的单向光闸通道。目的是只允许系统业务数据的单向摆渡，不被黑客、木马反向穿透。

　　第二步：定制交换数据的对象。目的是只允许点（外网服务器）对点（内网数据服务器）的单向数据交换。其他试图穿过单向光闸的交互类应用信息一律丢弃。

　　第三步：定制数据传输应用，通过选用设备内部的主动业务数据摆渡引擎，将会使设备只允许业务数据被摆渡，自身不提供服务端口，所有试图通过网络端口交换的数据一律丢弃。

　　第四步：将安全通道与规则元素绑定、组合为一条综合安全保障策略，应用到单向光闸设备中。安盟华御单向光闸设备开始通过指定的单向安全通道为法院业务专网和对外微信服务系统之间交换数据。

　　5.8.2.1.2 实现功能

　　安盟华御单向光闸产品结合自身产品的优点针对法院网络环境的特点制定相应的安全策略，以确保法院服务平台受理与Internet安全隔离的同时，实现由法院业务专网的服务器与对外微信受理平台服务器的安全的数据双单向交换。

　　部署安盟华御单向光闸产品后可以从OSI的各个层次上保护法院业务专网，形成一整套统一的安全防御体系。

　　

面临的威胁	安盟华御单向光闸的处理及结果
物理层窃听、攻击、干扰	物理通路的切断使之无法实施
链路、网络及通讯层威胁	物理通路的切断使之上的协议终止，相应的攻击行为无法奏效
应用攻击（CC、溢出、越权访问等）	由于物理通路的切断、单向控制及其之上的协议的终止，使此类攻击行为无法进入法院业务内网（安全域）。   　　 专有定制的主动数据摆渡模块提供，使对单向光闸的非安全域一端的处理单元的攻击行为无法奏效。即便是最糟糕的情况出现，将外网端的处理单元攻陷，其攻击者也无法通过不受任何一端控制的安全通道进入电子政务专网（安全域），这是单主机类安全产品无法做到的。
数据（敏感关键字、病毒、木马等）	专业定制的应用数据处理模块。木马病毒等文件信息根本不会被该应用模块处理，无法被单向光闸摆渡，更不可能反向穿透单向光闸

        5.8.3 网络出口安全

 

　　网络出口是指企事业单位网络与外部网络（如互联网、教育网、银行专网）连接的网络边界区域，其范围一般是指从企事业单位网络核心交换到连接外部网络边界的部分，一个单位可能存在一个或多个网络出口。

　　网络出口是一个单位网络连接外界网络的纽带，是对外提供服务的窗口，面对的环境非常复杂，变化多端，此网络区域面临的安全风险最大，需要重点保护。

　　5.8.3.1 应用防护系统部署

　　5.8.3.1.1 部署说明

　　外网受理服务平台：外网受理服务平台边界部署一台应用防护系统，以及业务专网边界部署一台应用防护系统对访问进行细颗粒度(基于源、目的IP、源、目的端口、协议、时间等)的访问控制，服务器只开放业务需要的端口，其他流量一律阻断，避免无关端口被黑客利用，造成数据泄密。

　　华御应用防护系统集成了病毒过滤、入侵检测和防御、Web安全和垃圾邮件过滤。高性能的架构设计和针对不同安全和应用的优化，保障了华御应用防护系统在不出现明显的性能妥协的前提下，以最高的性价比，充分满足客户一站式安全的需求。对于不断变化的安全形势，配备了强大的安全服务团队，以维护不断变化的病毒库、攻击特征库，为客户的网络提供全方位、实时的保驾护航。

　　安盟华御应用防护系统继承了传统防火墙的优秀品质，能够适应各种复杂的网络环境，同时通过单次解析引擎、应用可视化引擎、灰度威胁关联分析引擎三大创新引擎技术，提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护，形成2-7层一体化安全防护解决方案。

　　5.8.3.1.2 实现功能

　　a) 对关键业务服务器进行访问控制，对无关流量进行阻断，增强服务器安全性。

　　b) 对所有服务器区访问进行日志审计，方便事后审计及故障定位。

　　c) 开启IPS功能，对入侵行为进行防护。避免黑客攻击。

　　5.8.3.2 入侵检测系统

　　5.8.3.2.1 部署说明

　　在法院服务平台核心区部署一台入侵检测系统，根据网络中的应用设置相应的防护策略（在实施过程中与用户沟通后设置），通用的状况下IDS的安全策略开启，防止外界的攻击和威胁。

　　安盟IDS作为一种在线部署的产品，通过准确监测网络异常流量，自动应对各类攻击流量，及时将安全威胁阻隔在企业网络外部。入侵检测产品弥补了防火墙、入侵防御等产品的不足，提供全面的、动态的、深度的、安全检测，为企业提供了一个全新的网络风险管理解决方案。

　　5.8.3.2.2 实现功能

　　l 防范网络攻击事件策略

　　配置入侵检测系统采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效防止各种攻击和欺骗。针对端口扫描类、木马后门、缓冲区溢出、IP碎片攻击等，入侵检测系统可通过与防火墙的联动进行阻断。

　　l 网络行为检测策略

　　综合使用细粒度检测技术、协议分析技术、误用检测技术、协议异常检测等技术，对网络重要区域内部基于TCP/IP的各种网络行为进行实时检测，有效防止各种攻击和欺骗。

　　l 蠕虫检测策略

　　实时跟踪当前最新的蠕虫事件，针对当前已经发现的蠕虫及时的提供相关的事件规则。存在漏洞但是还未发现相关蠕虫事件的，通过分析其相关漏洞提供相关的入侵事件规则，最大限度地解决络网络蠕虫发现滞后问题。

　　l 监控管理策略

　　入侵检测系统提供人性化的控制台，提供初次安装探测器向导、探测器高级配置向导、报表定制向导等，易于用户使用。一站式管理结构，简化了配置流程。强大的日志报表功能，用户可定制查询和报表。

　　l 异常报警策略

　　入侵检测系统通过报警类型的制定，明确哪类事件，通过什么样的方式，进行报警，可以选择的包括声音、电子邮件、消息以及与防火墙联动。

　　l 升级策略

　　入侵检测系统内置的检测库是决定系统检测能力的关键因素，因此必须进行定期的升级，确保入侵检测库的完整性和有效性。

　　l 实时会话监控策略

　　部署的入侵检测系统，配置实时会话监控共策略，实时监控用户网络重要区域的当前TCP会话并根据需要进行切断、保存会话内容。

　　l 网络流量统计策略

　　对网络引擎监控的网段做流量统计功能，以图形化和数字结合的方式显示。可以分不同的引擎、不同的源、目的地址查看TCP 连接数目，网络字节流量统计，网络报文数据包数，会话连接数统计等多种统计信息。

　　l 自身安全性策略

　　部署在用户网络重要区域的入侵检测系统，还将开启自身保护策略，采用stealth技术，有效地防止暴露入侵检测系统的存在，控制台引擎间的通讯采用SSL加密认证，从而有效地保护了入侵检测系统自身的安全性。

　　5.8.4 安全管理区

　　5.8.4.1 运维管理部署

　　5.8.4.1.1 部署说明

　　堡垒主机部署在及法院业务专网和外网受理服务平台安全运维区域，通过交换机的访问控制策略限定只能由堡垒主机内控管理平台直接访问服务器的远程维护端口。维护人员对法院网络设备、安全设备和服务器系统进行远程维护时，首先以 WEB 方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。

　　安盟华御堡垒机系统提供远程运维管理所需要的集中身份认证、集中访问授权、集中访问管理、集中操作审计，以及简化操作和管理的单点登陆等功能的一款信息安全产品。

　　安盟华御堡垒机系统扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此安盟华御堡垒机系统能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为并记录详细信息。

　　安盟华御堡垒机系统具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来；具备审计回放功能，能够模拟用户的在线操作过程，丰富和完善了网络的安盟华御审计功能。安盟华御堡垒机系统能够在自身记录审计信息的同时在外部某台计算机上做存储备份，可以极大增强审计信息的安全性，保证审计人员有据可查。

　　5.8.4.1.2 实现功能

　　堡垒主机一般使用应用代理的方式旁路部署在网络上，用户通过本系统访问被管资源，用户的所有访问行为都在监视和控制之下，访问记录经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统整体安全状况的全面审计。

　　5.8.5 安全管理平台设计

　　在法院信息系统内网分别部署安全管理系统，实现安全设备统一管理、事件查看等部署安全管理平台系统，可以对支撑系统所包含的设施做集中监控，便于围绕采集系统的安全事件做集中预警，便于制定统一的安全策略并分发部署，将处理结果逐渐形成安全知识库。

　　5.8.5.1 安全集中统一监控

　　实现信息的共享和标准化可以对管理的各种安全设备进行监控，包括防火墙、IDS、网闸等。系统能够查看各类设备的基本信息，能够对安全设备进行详细的监控。系统能够对不同设备进行集中监控，并允许管理员登录到设备的web 页面进行直接的管理。

　　集中监控中心可视化体系，帮助建立全面覆盖信息系统的监测中心，系统管理员能对安全事件做出快速、准确的安全告警及预警判断。实现对信息系统安全动态的快速掌握，以及安全管理过程中的事前预警、事发时快速定位。

　　5.8.5.2 安全事件统一管理

　　系统管理员通过收集业务网和互联网中各种不同安全设备的日志、告警信息，并存储到数据库，形成了通常所说的事件。在处理海量安全事件的过程中采用了先进的事件整合和归并技术。系统通过多种标准的方式采集网络中各类安全事件，并对采集到的事件执行标准化、过滤、归并等事件处理过程，根据预先定义的分类规则对事件进行归纳分类，并同时存储到事件数据库中进行数据保全。平台提供事件过滤、归并、监视、事件浏览等功能，用户可以分析和处理网络中的各类安全事件。当发现入侵行为时，平台能迅速采取合理的应对措施，动态实现对安全策略的调整，保障网络的安全运行。

　　支持主要的日志收集方式：syslog、snmp trap、文件、数据库、消息以及其它api。对于syslog、snmp trap 日志支持flexer方式收集，通过标记语言的方式实现，可以快速支持，并且不需要修改程序代码。

　　事件与资产的关联：平台的核心是资产管理，通过将事件与资产的关联处理，

　　可以实现事件设备源与资产的关联，事件的产生源与资产的关联，事件的影响目标与资产的关联。

　　归并处理：更加设置的归并规则，将大量的重复事件归并为一条，并记录发生次数，归并的同时可以选择是否丢弃归并前的事件。

　　5.8.5.3 安全日志统一审计

　　在安全管理区采用安全管理平台对网络审计系统、IDS系统、IPS系统和漏洞扫描系统以及堡垒主机等审计信息和日志进行管理。

　　安全审计员经过堡垒机登录的鉴别方式获得安全审计员权限后，通过安全审计界面，对业务网和互联网信息系统中的审计信息和日志信息进行核查和管理。

　　5.8.5.4 安全事件统一预警

　　安全管理员在安全管理监控系统统一界面对安全事件进行集中预警功能，可对预警事件进行实时监控、查询。并提供用户自定义预警信息设置和发布，使全体须知用户及时及时了解预警信息。

　　在出现安全事件预警后需要对事件进行及时的处理，可订制的安全事件工作处理流程管理系统，将安全管理工作以任务和工作单的方式完成，在处理过程中电子化的流程自动流转，无需人工干预，缩短了流程周期，减少人工错误，实现对安全问题处理工作中的各个环节追踪、监督和审计。

　　安全事件预案管理系统根据应急预案提取信息要素，将预防、准备、响应、恢复四个阶段以及每项任务的资源进行配置，通过的安全建模工具加载数据生成指挥体系和任务列表，为实现快速响应提供支持。

　　5.8.5.5 安全策略统一管理

　　通过安全管理平台采集、归并后，支撑实现了安全策略管理的可配置化、自动化、科学化的管理转变，并提供了安全策略制订、执行、监督、分析、优化的全生命周期管理。

　　通过积累可以逐渐建立安全知识库管理框架，安全管理员可以在日常管理和事件处理过程中不断积累各种经验，逐步充实知识条目，以便将来出现同类问题时，可以得到快速的帮助。

　　6 方案价值

　　Ø 风险（需求）、成本（投入）及效果（收益）相平衡的原则

　　Ø 综合性、整体性、一致性原则；

　　Ø 可扩展、可发展性原则，所选产品具有可扩展性，以减少用户后期投资；

　　Ø 对服务器进行安全防护，以保护数据；

　　Ø 可保障移动办公终端到内网的传输安全；以防止被非法监听。

　　通过对网络连接状况和异常的监视，了解网络系统的状况，如果系统出现异常能够马上发现问题。

编辑：广翰楼