浙江省高级人民法院—基于大数据分析的安全管理技术支撑平台

　　一、 项目背景

　　随着浙江省法院系统电子政务广域网络平台的搭建，内部网络信息安全日益成为信息化健康发展首要考虑的重要问题。目前浙江省法院系统广域网络系统是基于计算机、网络通信、信息处理技术、网络安全管理技术，并融入已建成的浙江省高级人民法院信息系统，组成了一个高性能、大容量、高带宽、集高院、中院、基层三级网络的信息处理系统平台。

　　内网信息平台上传输的信息包括图形信息、文档信息、数字法庭音视频信息等各种数据信息，这些数据信息是法院的机密信息，网上失密、泄密、窃密及传播有害信息的事件屡有发生，一旦网络中传输的用户信息被恶意窃取并篡改，对于法院政务造成的损失是不可估量的。因此对于这种跨区域性的网络系统，数据信息安全的实施更是显得迫在眉睫。

　　这些内网计算机使用中的安全隐患，时刻威胁着法院内网的正常运行，内网涉密信息外泄的安全隐患也越来越严重。面对如上问题，省高院结合法院行业实际情况拟建一套基于大数据分析的内网安全管理技术支撑平台，实现高院、中院、基层院三级联动，遵循网络防护和客户端防护并重理念，基于“客户端状态及行为监控”的技术，针对网络安全管理人员在网络管理、客户端管理过程中所面临的种种问题提供解决方案，强化对终端的管理控制。从源头上杜绝泄密情况的发生。

　　二、 项目建设总体思路

　　2.1 系统建设要求

　　浙江省高级人民法院的内网是基于省、市、区县的三级网络结构。从全省统一管理的全局出发，本系统提供了多级级联模式的管理架构，用来满足上级对非本地局域网内的下级的管理。平台部署采取多级系统模式，上级可直接对下级终端进行统一策略管理，同时下级会将本级的统计和报警信息日志上报给上级管理系统，从而上级管理人员能对下级的网络安全状况完全掌握。

　　

　　浙江省高院内网安全管理技术支撑平台建设目标图

　　1、坚持规范安全管理与安全技术相结合的原则。有机融合网络安全的组织保障工作机制、日常巡检工作机制、违规查处工作机制、安全通报工作机制、应急响应工作机制等各项机制建设要求及处事流程，做好省、市数据整合，实现全省安全管理信息的共享和安全处置工作的协调。

　　2、系统监测技术做到标准化、网络化、自动化、智能化。信息网络安全技术的创新应用达到国内信息安全领先水平。

　　3、系统建设遵循开放性设计思想。落实科学发展观，以人为本，安全管理为核心，安全技术为保证。计算机使用单位和个人，都有保护计算机信息系统和信息安全的责任和义务，平台面向全省法院干警和安全管理人员，每个人都是安全主体，每个使用人员都要参与到安全管理当中，做好安全工作。

　　4、系统采取模块化架构，具有扩展性。采用统一开放的数据接入协议、接口，可以根据法院系统发展的需要，便于增加新的模块，便于功能扩展。

　　5、系统管理架构应以B/S方式实现。Web展示层采用Ajax等Web2.0技术，支持B/S模式管理，界面友好，支持基于Web的图形用户界面（GUI），简化配置与使用，能直观方式显示信息。

　　6、实现安全管理的可控、可管。对存在严重违规行为并影响信息与网络安全的事件，可实施对设备的即时阻断，保障浙江省法院系统电子政务广域网安全。

　　7、系统和当前已有的应用系统无任何兼容性问题，实现无缝衔接，不能影响当前已有应用。

　　8、省高级人民法院内网安全管理技术支撑平台建设与各市中级人民法院内网安全管理技术支撑平台有机融合，形成监测、预警、通报、处置、考核等工作内容和工作流程，实现统一平台多级管理机制。

　　9、系统数据和应用要可靠、稳定安全。提供完善的数据加密、用户权限管理、日志跟踪、分析预警机制，确保系统自身安全。

　　10、系统功能的实现不能改变现有网络状况，不能改变网络的原有结构、配置。

　　11、系统可以实现工作流程。通过各个模块、子系统功能和级联架构的实现，充分体现安全管理的工作流程。

　　12、区县人民法院应部署内网安全管理技术支撑平台服务器，如暂未部署，各市中级人民法院能够实现对其辖区内区县人民法院进行监管。

　　2.2 设计指导思想

　　（1）充分根据浙江省人民法院的要求与精神，建立网站、边界、敏感信息、移动存储介质使用、漏洞病毒状况等网络安全风险和事件的监测、预警、通报、查处、报告的过程，落实网络安全的组织保障、日常巡检、违规查处、安全通报、应急响应等工作机制，实现信息与网络安全管理的工作流程。

　　（2）浙江省法院内网信息安全管理技术支撑平台必须和当前已有安全系统，应用系统无任何兼容性问题，实现无缝衔接，不影响已有的当前应用。

　　（3）浙江省法院内网信息安全管理技术支撑平台能形成监测、预警、通报、报告等工作内容和工作流程，实现统一平台管理，支持多级管理机制。

　　（4）浙江省高院内网信息安全管理技术支撑平台能实现与下级法院内网信息安全管理技术支撑平台无缝衔接，实现统一软件接口，统一策略，统一管理，确保系统运行的一致性。

　　2.3 设计原则

　　（1）技术和管理相结合的原则

　　（2）统一规划和建设、分步实施原则

　　（3）分域/分级保护和责任明确原则

　　（4）易操作性原则

　　（5）可扩展性原则

　　（6）适度安全原则

　　2.4 用户的特点

　　1、最终用户

　　本软件的最终用户包括：浙江省高级人民法院及各级地方法院的广大工作人员、系统管理人员以及相关领导。

　　上述各类人员（角色）其工作时间、受教育程度、计算机操作水平各不相同，以下就各类角色分别进行论述。

　　（1）广大司法工作人员

　　职责或目标：使用安全管理技术支撑平台得到所需的安全服务和安全相关信息，学习信息安全政策和知识，增强安全防范意识，保护计算机信息系统和信息安全，做好安全工作。

　　相关经验：熟练使用计算机。

　　（2）系统管理人员

　　职责或目标：1）及时了解系统运行信息，规避风险，确保系统正常运行；

　　 2）整理并分析系统运行的统计数据。

　　相关经验：1）熟悉计算机硬件系统、网络系统；

　　 2）熟悉系统相关的运维知识。

　　（3）相关领导

　　职责或目标：1）为相关工作的开展提供支持；

　　 2）通过统计报表掌握相关产品的质量、服务等信息。

　　相关经验：1）具有一定的计算机操作经验；

　　 2）精于管理之道。

　　2、使用频度

　　广大法律工作者：每天

　　系统管理员：每天

　　相关领导：每周

　　三、 需求分析

　　3.1 总体需求

　　浙江省法院内网信息安全管理技术支撑平台将根据浙江省法院系统电子政务广域网的发展及法院内网安全监管的实际需求，确保以下安全管理目标的顺利实现，从而形成可靠的安全管理保障体系，进一步强化浙江省法院系统电子政务广域网的保密安全监管、边界安全管理、网站安全管理、移动存储介质安全管理等工作，有效提升浙江省法院系统电子政务广域网信息安全管理水平，确保浙江省法院系统电子政务广域网安全、可靠的运行。

　　1、实现浙江省法院系统电子政务广域网安全的有效管理。进一步完善组织保障、日常巡检、安全预警、安全通报、违规查处、应急响应等安全工作机制，明确浙江省法院系统电子政务广域网安全管理工作流程。

　　2、实现浙江省法院系统电子政务广域网计算机设备统一安全管理。按照积极防御、综合防范、突出重点的方针，对浙江省法院系统电子政务广域网全程全网实时有效地安全监控，事前对安全事件进行预警预测，为查处浙江省法院系统电子政务广域网上各类违规行为工作提供依据。

　　3、实现全员参与安全防范。为各部门各单位提供安全信息的良好平台，利用该平台及时公布信息与网络安全的有关信息，宣传信息安全政策和知识，增强浙江省法院工作人员安全防范意识。

　　4、实现指导、督促、检查全省各地建立健全信息与网络安全防范工作。落实“三方责任”，实现信息与网络安全共享，共同应对信息与网络安全挑战，确保浙江省法院系统电子政务广域网安全稳定。

　　5、实现对突发安全事件的监测、预警、通报、查处和报告管理流程。通过有效的实时监测，及时发现浙江省法院系统电子政务广域网上的安全事件，根据统一的策略，逐级预警，自动通报。明确各级职责，及时查处，逐级上报审核。

　　6、实现对浙江省法院系统电子政务广域网计算机敏感信息检查。按照设定的敏感信息检查策略进行自动化、网络化检查，及时发现浙江省法院系统电子政务广域网计算机上的敏感信息，准确定位相关单位、部门、使用人等，确保法院重要敏感信息的安全。

　　7、实现对内网网站的智能发现定位、登记注册管理。加强对浙江省法院系统电子政务广域网内网站的技术监测、审计能力，从源头上解决浙江省法院系统电子政务广域网上出现的违规网站和违规内容问题。

　　8、实现对浙江省法院系统电子政务广域网边界安全的技术监测及注册管理，杜绝在浙江省法院系统电子政务广域网中私设子网以及与其他网络非法相连。

　　9、实现对浙江省法院系统电子政务广域网移动存储介质使用安全的监测和管理，杜绝移动存储介质违规使用情况。

　　10、实现对浙江省法院系统电子政务广域网内聊天工具、网络游戏、P2P下载等各种违规网络使用及资源占用行为的监测和管理，提高网络使用效率。

　　11、实现对网内病毒的监测预警。提高对病毒事件早预防、早发现、早报警的能力。

　　12、实现对浙江省法院各部门详细、量化的网络安全工作考核依据及方法。覆盖注册率、病毒流行状况、预警通报等内容，以此衡量各级法院在信息与网络安全日常巡检、违规查处、应急响应上的工作水平。

　　13、利用有效的信息安全管理技术手段，构建浙江省法院系统电子政务广域网分级管理、逐级审核的严密安全预警防范系统，形成高效的浙江省法院系统电子政务广域网安全管理和应急处理工作机制。

　　3.2 功能性需求

　　安全管理技术支撑平台软件需实现全省法院专网信息与网络安全风险的有效管控，在安全技术的基础上实现安全管理的信息化。安全管理技术支撑平台包含完善组织保障、日常巡检、安全预警、违规查处、应急响应等安全工作机制，实现全员参与的安全管理模式，落实安全管理的“三方责任”。

　　基本需求：

　　1、将各安全系统纳入到了统一的监管体系，形成完整的安全服务体系，能够采用云计算机技术对大量分散的各类安全事件进行汇总、过滤、管理分析、响应和处理，将终端安全管理和网络安全管理结合，从而形成统一的安全决策综合系统。

　　2、通过对终端系统的综合安全管理，实现基于终端计算机的实时响应和反向控制，及时切断安全威胁的事件源，要求采用终端云安全技术，支持未来可能的海量终端安全事件的标准化采集和分布式处理。

　　3、能够对终端的网络接入控制、运行维护管理、补丁分发管理、移动存储管理，以及安全审计管理等方面实施有效的管控，同时能够采集、分析终端计算机、网络设备、安全设备和主机设备所产生的事件信息。

　　4、能够具备统一的安全预警和展现发布平台，实现对全网终端计算机、关键设备资产的统计分析、安全事件预警通告、安全公告和安全制度的统一发布。

　　5、采用B/S管理模式，具备多级级联管理功能。

　　6、具备对管理员分权限管理，支持不同的操作员具有不同的数据访问权限和功能操作权限；并能够对用户的登陆IP，登陆次数，有效时间等进行控制。

　　7、具备良好的系统安全性，系统各组件之间采用加密方式进行数据传输。

　　8、除硬件设备外，其它所有功能要求在同一个安全管理系统实现。

　　3.3 非功能需求

　　3.3.1 性能需求

　　系统首先考虑全省法院系统18000多个终端及相关安全设备的综合监管需求，系统最终可平滑扩展至满足全省5年内网络发展、设备扩充的安全监管需求。

　　系统能够存储全省36个月的历史监管数据，能够支持未来5年的业务发展。36个月以外的数据提供永久脱线查询。

　　历史报表的存储：能够支持所有时间段的历史报表，以便分析和决策支持。

　　系统能在各种性能水平上工作，能够应付应用对效率的要求。

　　系统满足日常交互性操作响应在5秒之内，复杂性操作响应时间在10秒以内。

　　系统能支持省高院、市中院以及区县地方法院等的并发使用，连接的增加不能明显降低系统的响应时间。

　　3.3.2 安全性需求

　　系统支持定期备份和手工备份、具有系统故障和异常告警功能、权限管理、数据传输、处理应有检验、核对功能和较强的纠错功能。

　　系统的用户管理、权限管理应充分利用操作系统和数据库的安全性；系统运行时须有完整的日志记录。

　　提供系统关键服务模块的运行记录，提供分析报告，以便及时审查日志文件，分析告警信息，掌握运行状况，对系统可能发生的故障做好应急方案；

　　提供统一有效的安全措施来进行权限限制，防止内部人员误操作或越权，每一个环节必须进行安全性检查，不能越权访问。对每次用户登录要求进行日志记录。

　　数据产生：数据应该无岐义，没有二义性；系统应该通过事务保证数据的完整性，一致性。

　　数据访问：具备严格的管理员分级制度，防止不合法操作。对关键数据采用访问权限限制，并加密保存。

　　数据传送：关键数据在传输过程中，必须加密传送，以保证信息的安全。

　　数据存取和备份：可提供各种方式、各种介质的数据备份功能。各种原始监管数据均应合理转存、各种过程业务数据应保留备份、操作系统、数据库应定期备份。

　　系统在设计上充分考虑冗余和备份，保证系统数据的安全性、可靠性和数据传输的服务质量。

　　充分利用主机、网络以及数据库管理系统提供的安全保障机制，确保系统数据的绝对安全。

　　3.3.3 易用性需求

　　只需很少地培训，安全管理员就能使用系统和它的主要功能特性，系统应该被设计成与其目标使用者的业务技术水平进行匹配。

　　当用户做一些处理时间较长的操作时，能给出提示信息提醒用户。在返回数据量过大导致响应时间过长时，能提供部分响应，例如分页取数据等，减少操作人员等待的时间。

　　界面要简洁、清晰、柔和、美观、大方，操作简单方便。

　　3.3.4 可用性需求

　　系统设计要求核心服务模块具有极高的运行质量，能够一天24小时连续不间断工作。在出现故障的时候，必须能够及时提供应急措施，以确保整个安全监管工作的不中断。

　　3.3.5 可靠性需求

　　系统运行中的可靠性依赖于主机系统、网络系统、数据库系统等的可靠性。因此，系统中各模块所应用的主要监管技术必须是成熟的、可靠的，并加以全面的监视和控制，而且充分考虑异常时的应变与容错能力。

　　在系统开发中要充分利用数据库的安全机制和错误恢复机制，保证数据的准确性和完整性。

　　3.3.6 可扩展性需求

　　系统在设计中不仅应考虑目前监管的需求，更应充分考虑未来不断增加的安全风险的监管需求，同时也要考虑与行政管理体制的配合和协调。系统规模具有可调性，可以逐渐增大；新的软件模块即插即用，新功能、新业务的增加能够在不影响系统运行的情况下实现。系统要具备逐步升级能力的结构，并采用模块化结构设计。

　　3.3.7 可伸缩性需求

　　系统在性能上必须能容易且有效地伸缩以满足监管需求增长的需求。

　　系统任意模块更新加载时不影响监管系统运转和服务。

　　个别服务模块或子系统的故障不影响整体系统的运行。

　　3.3.8 可移植性需求

　　可移植性包括硬件平台的移植、软件平台的移植。

　　系统的安全监测服务（客户端）应能适应不同操作系统。

　　3.3.9 可管理性需求

　　系统必须能被配置、部署、监测和优化以确保其在预定地环境中工作良好。

　　系统需支持完成监管需求和系统正常运行本身要求而必须具有的功能，这些功能包括但不限于联机帮助、数据管理、用户管理、安管信息维护、智能升级等。

　　系统应该包括数据备份、数据恢复、日志管理、垃圾数据清除等基本功能。

　　

　　四、 项目总体架构及技术解决方案

　　远望内网安全管理技术支撑平台，集成了各类信息安全监管、分析技术，实现了对网络边界安全、保密安全、网站安全、主机基础安全，以及各类威胁信息安全的违规行为、资源占用行为等，有效地监测、处置和管理。同时结合工作流技术，实现了“监测、警示、处置、反馈、考核”五位一体安全管理工作模式；建立起长效化的信息安全管理工作机制并将其日常化、常态化；实现了信息安全管理工作的信息化、网络化。

　　远望安全管理技术支撑平台可以给省高院安全管理带来以下“八个转变”：

　　一是从管理理念上，实现从“单纯的防护”向“管理、监控、防护、服务相结合”的转变。

　　传统的安全管理以注重对安全风险的防护为主；现在通过安全管理技术支撑平台的建设，实现了“监测、警示、处置、反馈、考核”五位一体的安全管理，将业务管理、工作流程、应急响应和安全技术应用结合为一体，建立以安全目标为导向、管理为核心、安全策略为途径的整体安全管理框架；平台除了实现有效的安全监管外，还提供给管理者和终端应用者如安全评估、智能修复（防护）、工具下载、补丁更新等服务内容。

　　二是从管理模式上，实现由“多系统分散管理”到“全面集中统一管理”的转变。

　　安全管理的工作范围很广，不仅包括设备的运行安全、还包括网络边界安全、信息保密安全、应用行为安全、移动存储安全、网站安全、基础安全等。传统的安全管理模式多是面向安全设备的、局部性的、孤岛式的安全防护，安全监管大多都是分散进行的，要全面了解一个系统的安防情况非常困难；现在通过安全管理技术支撑平台建设，集成了各类安全监管技术，集中监测、展示和处置各类安全风险和事件，统一掌控全网安全态势，建立起覆盖全网的、全面的、统一的综合安全管理体系，实现对人、技术、流程的全局规划、统一管理。

　　三是从管理时间空间上，实现从“非常态化检查”向“日常化、常态化、网络化监管”的转变。

　　目前的安全管理工作，由于缺乏对全网络全程监管的技术手段，过分依赖于定期或不定期的安全检查（抽查）来发现、处置安全风险和事件，安全监管的全面性和实效性难以得到保障，存在“短板”；现在通过安全管理技术支撑平台，可以实现安全风险和事件的日常化监测和管理，实现对信息网络全程全网的实时监管，实时查、随时查、全面查，及时发现并处置各种安全事件和风险。

　　四是从管理责任上，实现从“孤掌难鸣，有令难行”向“齐抓共管，有法可依”的转变。

　　以前安全管理仅仅是信息安全部门的职责，其力量薄弱，各项管理规章制度难于落实，很多基层组织更缺少专职管理人员，安全管理工作无人抓；现在通过安全管理技术支撑平台建设，建立起完善的安全管理组织机构，明确三方责任，推动领导者重视安全管理，更让全体网络使用者都参与到安全管理中，提升全员的安全意识，将安全管理制度以信息化的手段落实并真正细化执行。平台具备多通道消息推送技术，当安全风险和事件发生时，除第一时间提醒管理员外，还会通知当事人（设备使用人、管理人等），共同处置。另外，平台具备的安全监管相关宣传、教育类信息模块，能进一步提高全员的安全意识，规范应用行为。

　　五是在管理策略水平上，实现由“各行其是、各地为政”向“标准化管理”的转变。

　　安全管理技术支撑平台依据各类安全监管的法律、法规和文件，采用了专家型知识库技术来定义各类安全风险和事件，摆脱了对管理员技能水平的依赖，同时也支持全网统一的事件处置标准和流程，实现了管理的公平公正。

　　六是在安防管控对象上，实现了由“注重防外”向“内外兼防”的转变。

　　以前在信息化建设中注重针对外部入侵等的安全防范，而容易忽视内部人员违规使用网络、有意或无意泄密等带来的安全问题；现在通过安全管理技术支撑平台建设，强化了对内部人员的监控防范和行为审计，监控各类设备非法接入和外联行为，对设备敏感信息的自动扫描，做到对内部和外部风险全面监管，可有效威慑及避免内部人员恶意或无意操作，尤其是涉密信息的外泄行为。

　　七是在安防监管模式上，实现了由“被动防范，事后查处”向“源头管理，事先预防”的转变。

　　以前安全管理部门对网络底数不清，也缺乏技术手段发现网络中到底存在哪些安全事件和风险，只能在问题发生后被动追查原因和责任；现在通过安全管理技术支撑平台，安全管理中心可以全面清晰掌握网络状况，事先发现各类安全事件和风险隐患，发现违规边界、网站等潜在威胁源头，平台支持预警、通报等同行政管理结合的处置方式，同时支持智能化分级处置，结合量化考核和统计分析，提高各级管理者的工作积极性、改变以往下级管理员“被动挨板”的局面，实现主动管理，防护工作的主动性和成效明显增强。

　　八是在管理处置流程上，实现由“人工式处置”向“自动化处置”的转变。

　　以往对安全事件只能采用人工方式处置，效率较低，安全管理技术支撑平台采用各类安全防护技术，支持对安全风险和事件的自动化防护、处置，达到了“第一时间发现、第一时间处置”的管理成效，满足了应急响应的要求，提高了安全监管的工作效率，减轻了管理员的工作量。

　　4.1 安全管理技术支撑平台总体介绍

　　远望安全管理技术支撑平台是融业务管理（规范、组织、培训、服务）、工作流程、应急响应（预警、查处、通报、报告）和安全技术应用（监测、发现、处置）为一体的内网安全管理技术支撑平台。

　　远望内网安全管理技术支撑平台，实现了信息与网络安全风险的有效管控，其核心思想是在安全技术的基础上实现安全管理的信息化。安全管理技术支撑平台包含完善组织保障、日常巡检、安全预警、违规查处、应急响应等安全工作机制，实现全员参与的安全管理模式，落实安全管理的“三方责任”。

　　1．巩固网络安全基础

　　安全管理技术支撑平台主要对网络边界安全、保密安全、网站安全、主机基础安全，以及各类威胁信息安全的违规行为、资源占用行为等进行实时监测。其中基础安全包括未安装杀毒软件监测、系统异常账户监测、未打补丁设备监测、服务器漏洞监测；CPU内存异常监测、网络流量异常监测、可疑网络连接监测等。通过全面有效的基础安全监测和管理，达到“强身健体”、“垒高墙”的安全管理目的。

　　2. 合理控制网络资源

　　安全管理技术支撑平台在网络中能够智能监测网络中存在的BT等相关P2P下载工具、流媒体、网络游戏等一些严重占用网络带宽资源的软件应用。也可以通过有效的综合流量监管，来合理分配和控制网络带宽，从而有效利用资源。

　　3. 有效遏制违规行为

　　以网络应用行为监测和控制为主要手段，进行网络应用行为智能分析，对不规范的网络应用行为进行有效监管，保障网络文化健康发展。通过详尽的应用程序和网站访问记录，形成统计报表，并以邮件等方式及时向管理者报告。通过禁用网站、禁用应用程序、禁用设备等功能，对不良网络行为进行事前控制。

　　4. 解决了信息与网络安全突出的重点问题

　　边界发现和防护、内网网站发现和网站漏洞、涉密信息移动存储介质等安全现象基本得到控制。

　　通过网站注册管理。用于实现对内网内网站的登记、注册管理，通过技术的手段来检查和审计内网网站网上的内容，有效搜索、定位、统计内网上的网站，杜绝违规、违法网站的存在。

　　涉密信息通过策略设定进行搜索，对局域网中非涉密电脑中是否存在涉密信息进行扫描，当发现有违规时，及时产生预警或通报信息。

　　移动存储介质管理。对移动存储介质的注册、识别与使用控制。其基本功能包括移动存储介质申请注册，移动存储介质使用行为的检测与控制，对违规行为进行相应的阻断、预警、通报整改流程等，实施内网信息与网络安全防护措施，并提升对网络安全威胁的预防能力。

　　5.建立有效机制和科学的管理流程

　　在有效的安全技术基础上实现科学的有效的管理信息化，形成上下级联，全程全网，全员参与，共同管理的局面。

　　6. 建立日常化、常态化的等保管理系统

　　信息安全等级保护管理系统依靠信息系统的自动发现与审核、等级保护备案、整改检查的维护更新，对全网信息系统名称、访问地址、系统分类、系统描述、相关单位、等保等级、评测机构及时间等信息进行统一管理，并通过自动检查的方式监测信息系统基础安全与事件，实现信息系统安全等级保护工作的日常化、常态化、长效化。

　　4.2 安全管理技术支撑平台总体架构设计

　　4.2.1 系统总体设计布局

　　本设计方案以全省法院系统为基础，信息与网络安全管理分省高院、地市级法院、区县级法院三级管理平台级联架构为总体设计布局，如图所示：

　　

　　浙江省高院内网安全管理技术支撑平台负责浙江省高级人民法院的信息与网络安全管理，同时通过与各地市法院管理平台、区县法院管理平台的逐级级联，实现对各地市、区县信息与网络安全防范工作的指导、督促、检查，以及全省法院系统信息与网络安全状况的有效监测。

　　在省高院管理平台设计时充分考虑到全省三级级联的统一架构管理实现方式和各下级平台自由扩充功能的模块化设计。省高院安全管理技术支撑平台除了对浙江省高级人民法院局域网进行管理的功能外，还保留与下级平台级联的接口，负责与下级平台数据的上传与下发。根据需要，平台也可进行四级或更多级的级联管理。

　　系统部署图如下：

　　

　　如以上部署图所示：

　　首先，系统在平台服务器端部署软件运行环境

　　（1）操作系统环境：微软Windows Server 2003 服务器操作系统；

　　（2）数据库环境: SQL Server2005 数据库；

　　（3）浏览器兼容环境: 微软IE核心，IE6.0版本以上浏览器；

　　（4）平台运行环境: WebLogic Server中间件；

　　 JRE（Jave相关程序运行环境）；

　　其次，在客户端PC安装终端监测服务。

　　系统通过浙江省法院系统电子政务广域网平台网页部分作为人机交互界面，有着良好的可读性与操作性。

　　4.2.2 安全管理技术支撑平台主要模块及功能

　　浙江省高院内网安全管理技术支撑平台分平台展示页面和后台管理模块两大部分。

　　4.2.2.1 平台展示页面功能模块

　　安全管理技术支撑平台展示页面包含如下系统模块：

　　（1）安全规范模块

　　安全规范模块用于发布和管理相关的规章、制度、宣传、培训、最新动态等信息，使网络使用人员及时了解完整详细的安全管理内容。

　　（2）安全组织模块

　　分级、分类地管理信息与网络安全的组织机构和人员信息，支持全网智能分发和同步；

　　（3）安全预警模块

　　以技术手段自动监测基础安全状况和安全违规行为，实时监测评估浙江省法院系统电子政务广域网的各项安全指标参数，为用户提供实时详细的安全评估数据，掌握浙江省法院系统电子政务广域网内设备运行的安全状况。

　　1）对所辖区域内网络安全状况进行实时监测；

　　2）对所辖区域内主机运行的安全状况进行实时监测；

　　3）对所辖区域内主机系统的安全状况进行实时监测；

　　4）实时监测所辖区域内的网络边界，包括合法边界的使用情况及存在的非法边界统计等信息；

　　5）监测、检查浙江省法院系统电子政务广域网内计算机上所存放的敏感信息；

　　6）对所辖区域浙江省法院系统电子政务广域网内网站进行技术监测与审计；

　　7）对网络病毒的流行状况、计算机中病毒的详细信息进行监测。

　　8）实现对所辖区域内主机存在弱口令情况的检测，包括计算机IP地址、弱口令帐户名、总数等。

　　（4）安全通报模块

　　根据设定的管理策略对各类安全事件自动通报，或手工通报特定安全事件；对通报回执单，根据设定的管理策略进行自动或人工审核，支持符合行政管理架构的逐级审核模式。

　　（5）应急响应模块

　　应对网络安全大面积、灾难性的意外事件发生所作出的准备与发生后的措施。包括安全组织、应急预案、技术支持、技术方案的管理与发布。

　　1）对不同等级、不同优先级的安全事件制定相应的应急预案程序，确定不同等级事件的响应和处置范围、程度以及适用的管理制度，说明应急预案启动的条件，发生安全事件后要采取的流程和措施；

　　2）对于应该启动应急预案的安全事件按照应急预案响应机制进行安全事件处置。对未知安全事件的处置，应根据安全事件的等级，制定安全事件处置方案；

　　3）实现安全组织管理名单的更新和管理；

　　4）实现各类应急预案的更新和管理；

　　5）实现技术支持单位信息的更新和管理；

　　6）实现各类事件处理技术方案的更新和管理。

　　（6）安全服务模块

　　为整个网络的安全运行提供支持服务。

　　1）实现补丁下载，可按照操作系统、语言、补丁关键字查询；

　　2）实现病毒库下载；

　　3）实现安全工具下载；

　　4）实现安全相关表格下载；

　　5）安全培训相关知识发布；。

　　（7）决策分析模块

　　生成浙江省法院系统电子政务广域网软硬件相关安全信息及安全报警通报的统计数据，作为安全管理人员决策依据。按照区域、事件分析安全事件、安全预警、安全通报、安全趋势、安全防护等信息。分析周期可灵活设置，并采用图表结合的方式直观展现分析结果；

　　（8）相关链接模块

　　可支持与其他相关业务系统的链接。

　　4.2.2.2 平台后台管理模块

　　安全管理技术支撑平台后台管理包含如下系统模块：

 

　　（1）监管中心模块

　　监管中心模块包含监管中心展示功能、管理中心功能和安全监管功能。

　　1）监管中心展示：

　　Ø 实时预警信息展示

　　Ø 实时通报信息展示

　　Ø 安全事件监测信息展示

　　2）管理中心：

　　Ø 名单管理——设置各类安全事件的黑、白名单

　　Ø 系统运维管理

　　Ø 手动预警通报

　　Ø 网络应用管理

　　3）安全监管：

　　Ø 违规行为监管

　　Ø 基础安全监管

　　Ø 重要事件监管

　　Ø 运行安全监管

　　Ø 安全检查

　　（2）配置中心模块

　　配置中心模块包括系统配置、管理策略配置、监测策略配置、人员管理、功能管理模块。

　　用于设置系统监测评估的分析策略、预警通报等处置的管理策略和系统运行的相关环境参数。能够对安全预警通报的种类和级别进行管理策略设置、系统监测评估的分析策略、违规阻断工作方式及参数等进行配置；策略配置信息的修改能立刻反映到各个功能模块的运行过程及页面显示内容当中。

　　1）系统配置：

　　Ø 系统基本配置

　　Ø 区域配置

　　Ø 部门、分组配置

　　Ø 管理通知配置

　　Ø 接入控制配置

　　Ø 注册配置

　　2）管理策略配置：

　　Ø 事件处置策略

　　Ø 事件防护策略

　　Ø 事件上报策略

　　Ø 事件通知策略

　　Ø 回执审核

　　Ø 黑白名单审核

　　3）监测策略配置：

　　Ø 事件监测策略配置

　　Ø 审计策略配置

　　Ø 策略分发配置

　　4）人员管理：

　　Ø 组织管理

　　Ø 应急响应用户管理

　　5）功能管理：

　　Ø 网管协助

　　Ø 补丁测试及分发管理

　　Ø 网络接入控制

　　Ø 光盘刻录审计

　　（3）查询统计模块

　　查询统计模块包括查询中心和统计中心。

　　1）查询中心：

　　Ø 各类设备信息查询

　　Ø 各类审计信息查询

　　2）统计中心：

　　Ø 各类设备数据统计

　　Ø 各类监管数据统计

　　Ø 各类决策数据统计

　　（4）安全服务模块

　　安全服务模块包括规范中心、服务中心、应急中心、服务配置。

　　1）规范中心：各类安全规范信息发布

　　2）服务中心：

　　Ø 实现补丁下载。可按照操作系统、语言、补丁关键字查询。

　　Ø 实现病毒库下载。

　　Ø 实现安全工具下载。

　　Ø 实现安全相关表格下载

　　3）应急中心：应急预案信息发布

　　4）服务配置：

　　Ø 菜单管理

　　Ø 系统运维管理

　　（5）安全审计模块

　　Ø 系统管理员

　　Ø 权限管理审计

　　Ø 日常操作审计

　　4.3 平台核心功能

　　4.3.1 网络资产发现识别

　　网络资产发现与识别功能主要实现资产可视化，即“摸清家底”。通过部署相关系统，可自动获取目标用户的硬件资产、软件资产和信息资产等。能够自动发现管理域内的IP设备、应用系统、网站及IP设备上开启或运行的应用程序、服务、端口，识别IP设备的类型，如通用计算机、服务器、网关、音视频设备、安全设备等。

　　网络资产发现与识别功能包括发现与识别两部分：发现模块通过客户端、网关、主动扫描等多种技术手段收集资产信息，包括设备启用的端口、端口协议、端口服务、服务名称、服务版本号，HTTP服务可获取部署的网站URL、网站标题、网站内容，设备的网卡地址、网卡厂商，交换机设备可获取端口列表、VLAN列表、路由表、ARP表、CPU/内存状态、厂商型号等更多内容。识别模块基于收集的信息进行分析，可自定义分类、模型条件，根据分析模型识别资产类别。

　　4.3.2 边界风险全面发现

　　边界风险全量采集就是要全面“认清边界风险”，主要内容包括：一是内外网违规互联事件采集。通过流量采集分析、协议内容解析、实时监听等新型技术，能够自动发现管理域内同时连接内网和互联网的设备，上报设备内网IP地址、互联网出口IP地址、外联时间和外联时访问的内网应用系统，可追溯外联前3天内的应用系统访问日志，并能在外联服务器上取证。二是网络边界点发现。包括：①NAT边界，可以自动发现管理域内的子网，包括带NAT功能的路由器、NAT代理、虚拟机等各种子网，上报其边界点IP和下属设备的信息。②接入网闸。自动发现管理域内部署的网闸，同时上报网闸管理端的IP地址、生产厂商等信息。③移动设备接入。自动发现管理域内的移动设备接入行为，上报设备的IP地址、操作系统、厂商类型。三是边界备案。对自动发现上报的边界点进行人工备案管理，包括完善其边界基础信息，明确其责任人、责任部门，用途、类型；通过人工报备方式对已知边界进行人工备案管理，录入信息包括：边界点IP地址、责任人、联系电话、所属部门、用途。

　　4.3.3 行为审计全量采集

　　具有全量采集审计终端行为数据的能力，包括应用访问、数据库访问、打印、刻录、移动介质使用、文件操作、屏幕截屏、屏幕拍照等终端行为。

　　终端应用行为审计。深度分析终端用户访问应用系统行为数据，包括所有 HTTP 和 HTTPS 请求和响应数据。识别应用访客信息，包括终端设备责任人和数字证书责任人信息，作为数据应用安全监测基础数据的一部分。内建数据智能识别引擎，可自定义关键字识别规则。

　　数据库访问行为审计。能够识别网络中数据库服务器、访客信息，作为安全基础数据的一部分；能够识别违规连接数据库行为、违规远程拷贝数据库文件、访问敏感数据行为等异常行为，在监测到以上行为时，在告知安全管理员的同时，也可通过终端提醒、短信通知、通信中断乃至强制锁屏关机等措施警示终端操作者。

　　打印行为审计。①能够管控打印范围，可划分网络中可打印的终端设备IP范围，也可以设定打印前需要插入数字证书或者输入制定密码，用于管控打印行为，阻止非法打印。当不满足以上设定时，禁止打印。②可获取打印信息，对合规打印内容进行敏感信息检查，可发现并记录以下信息：终端IP、MAC、打印时间、打印文档标题、关键字等信息。③支持数据流转取证，当发现打印内容中涉及的关键字来源于应用系统访问时，将打印内容上传到本系统服务器，作为判断业务数据是否正常使用的证据凭证。

　　刻录行为审计。①能够管控刻录范围，可划分可刻录的终端设备IP范围，也可以设定刻录前需要插入数字证书或者输入制定密码，用于管控刻录行为，阻止非法刻录。当不满足以上设定时，禁止刻录。②可获取刻录信息，对合规刻录内容进行敏感信息检查，可发现并记录以下信息：终端IP、MAC、打印时间、刻录文档源路径、关键字等信息。③支持数据流转取证，当发现刻录文件中涉及的关键字来源于应用系统访问时，将刻录源文件上传到本系统服务器，作为判断业务数据是否正常使用的证据凭证。

　　移动介质使用行为审计。①移动介质使用管控，对专网所有计算机的USB端口进行管理，支持对手机、MP3等多媒体设备接入的管控，从而实现对使用存储介质的行为管控，杜绝未注册存储介质违规在专网设备使用；可划分可使用移动介质的终端设备IP范围，也可以设定使用移动介质前需要插入数字证书或者输入制定密码，用于管控使用移动介质行为。当不满足以上设定时，禁止使用移动介质。②可获取移动介质使用信息，对拷贝到移动介质中的文件内容进行敏感信息检查，可发现并记录以下信息：终端IP、MAC、打印时间、拷贝到移动介质的文件源路径、关键字等。③当发现拷贝到移动介质中的文件中涉及的关键字来源于应用系统访问时，将该文件上传到本系统服务器，作为判断业务数据是否正常使用的证据凭证。

　　截屏审计。可以对用户屏幕截图时进行审计，并对截图中的数据识别，发现敏感信息或用户设置的关键词。

　　屏幕水印。可以显示文本水印、二维码水印、点阵水印等。文本水印支持用户自定义，在终端使用数字证书时，支持显示数字证书责任人信息；点阵水印支持将显示的点阵转换为终端信息。水印可配置在开机时即显示或在满足条件时显示，此处条件为访问特定的应用系统、编辑文档等场景。

　　4.3.4 数据流转轨迹研判

　　通过对大量信息泄露事件的研究，我们发现，其中最主要的泄密途径是泄密用户从应用系统或数据库服务器中获取大量业务数据后，将这些业务数据转存到文件中，而后将这些文件泄露给社会上的非授权组织及个人。数据流转轨迹研判为解决以上泄密途径提供强有力的技术支撑，可在以上行为发生的第一时间，将各种离散的终端行为数据进行关联分析，不但能够解析出业务数据在单台终端设备上从获取数据到流出数据的完整路径轨迹，还能进一步解析出业务数据在整个专网中所有终端设备的停留时间和停留途径。

　　单终端数据流转轨迹。数据流转轨迹研判，首先需发现业务数据在单台终端设备上从获取数据到流出数据的完整路径轨迹。以上路径起始点为获取应用系统或数据库的业务数据，中间过程为将以上业务数据在本地以文件形式存储，结束点为将以上业务数据或关联文件通过打印、刻录、拷贝到移动介质等途径从本地设备流出。

　　

　　全网数据流转轨迹。在解析出单台终端设备业务数据流转轨迹后，此时已知晓可疑文件信息，再比对这份文件在内网其他终端设备的流入信息；当文件流入其他终端设备时，在流入的那台终端设备内继续分析文件的流转轨迹，直到这份文件或这份文件相关联的其他文件从该台终端设备再次流出。重复以上步骤后，可知晓业务数据在整个网络中所有终端设备的停留时间和停留途径。

　　

　　4.3.5 行为告警模型分析

　　行为告警模型分析包括应用异常行为告警、数据库异常访问告警和信息流出告警。

　　应用异常行为告警。主要包括：①频繁访问。当一个数字证书或一台终端设备在访问应用系统的过程中，查询次数或者查询关键字总数超过规定阈值时产生告警。②下班访问异常。当一个数字证书或一台终端设备在非工作时间内访问应用系统，且查询次数或者查询关键字总数超过规定阈值时产生告警。③敏感词访问。当一个数字证书或一台终端设备在应用系统中访问敏感词汇时产生告警。④法警查法警。当一个法警在应用系统中查询了其它法警信息，且查询的法警数量超过规定阈值时产生告警。越权访问。当一个数字证书或一台终端设备访问其所属部门不常访问的应用系统，且查询次数或者查询关键字总数超过规定阈值时产生告警。⑤协辅人员违规查询。当一个协辅人员所属的数字证书查询的应用系统归属业务类型超过规定阈值时产生告警。

　　数据库异常告警。主要包括：①违规访问。当一台终端设备访问其归属责任人不具备访问权限的数据库服务器时产生告警。②远程数据库文件拷贝。当一台终端设备远程登录到数据库服务器，且从该服务器上拷贝数据库文件到本地终端时产生告警。③敏感词访问。当一个数字证书或一台终端设备在操作数据库过程中访问了敏感词汇时产生告警。

　　信息流出告警主要包括敏感词语流出—打印、刻录、移动介质流出。当一个数字证书或一台终端设备将应用系统中查询到的关键字内容保存到本地，并最终将关键字内容通过打印、刻录、拷贝到移动介质等行为流转出去时产生告警。

　　4.3.6 终端准入严格控制

　　终端准入严格控制功能集业务流程管理（注册、审核、反馈、处理）和准入控制技术应用（监测、发现、控制）于一体，建立完善的终端准入安全管控系统，其核心思想是在安全准入控制技术的基础上实现终端接入安全管理的信息化。

　　终端准入严格控制功能基于在核心交换机上旁路部署准入控制网关设备，对通过核心交换机的数据包进行特征分析和身份认证，对不符身份认证和安全要求的接入终端设备限制其访问内部合法的网路资源，并且对应强制跳转到隔离区注册和修复区修复。

　　4.3.7 综合平台统一管控

　　多维统计分析。一是能对各类资产、风险事件、运行指标、业务处理等进行统计分析，实现按时间、IP地址、行政区域、单位部门、事件类型、告警级别、设备状态等进行综合数据统计、查询，能够形成各类统计报表和综合性安全报告，为安全管理提供决策依据。二是可实现多维度分析展示，通过多角度展示终端、应用系统、数字证书的统计分析结果，如应用系统在某段时间的访问排名；某区域内应用系统访问情况统计；某指定IP、数字证书及人名在某段时间内的行为统计等。

　　实时运行监测。提供除自身系统以外，包括对下级平台、接入的安全系统、其他核心服务设备/系统进行运行监测，监测其建设情况、网络状态、运行有效性等。为系统管理员提供全面、直观的运维监管数据，辅助其及时处理运维异常事件，保障核心安全服务运行正常。

　　业务流程处理。提供签到、告警、流程等业务方式，辅助用户完成日常的管理工作，便捷管理工作，提升工作效率；联动各类各级用户，协同处理安全事件或异常告警。同时可根据不同行业及单位部门不同的管理需求提供灵活的流程自定义配置，有效支撑用户的安全管理工作。

　　4.3.8 安全态势可视展现

　　安全态势可视化展示主要由三个视图组成，分别是综合态势视图、资产监测视图和风险监测视图，用于展示信息网络当前的网络安全状态，实现对全网安全状态的日常化、常态化、网络化监测。

编辑：广翰楼