法院主动防御管理平台案例汇编

　　一、平台适用业务

　　结合全国法院总体网络安全与信息安全的情况，发现法院终端侧管理存在以下风险场景：

　　私自使用移动存储设备传输数据

　　法院中存在个别使用移动存储设备进行专网内计算机数据拷贝的行为，往往因为该行为造成有意或者无意的敏感数据流出或者病毒流入专网内的情况，对专网的安全造成了不小的威胁。

　　违规外联行为发生较多

　　用户通过多种方式取得互联网访问条件，导致互联网与法院专网交叉使用频繁，法院专网的网络安全难以保障。同时这种违规外联操作的行为，使用管理制度难以约束，产生的不必要后果，只能通过基层检查的方式获取，无法实现“事前响应”；

　　资产信息统计乏力

　　一些地方单位资产分布信息尚未明确，对需要统计的信息往往需要手动统计，经过层层审批、上报等方式，对资产进行上报工作。此种办法不仅费时费力，降低了工作效率，同时在发生异常问题时，无法快速反应，给日常运维管理工作带来不便，更容易出现“以小变大”的异常问题。

　　截图或者手机拍摄计算机屏幕造成敏感数据外泄

　　专网中数据目前缺乏管控截图或者手机拍照的管控，可以通过截图或者手机拍照的方式将敏感数据流转至外网中，而我们无法追溯数据流出的计算机，也没有技术手段定位。

　　保密文件有意或者无意的流转到专网中

　　保密文件的管理和文件的使用是有专项的管理条例和使用方式，但是存在保密文件有意或者无意的流转到专网的情况，因此为了确保保密文件的安全合规管理，我们需要切实可用的方式管理。

　　二、平台核心功能

　　主动防御安全管理平台建设，覆盖硬件、网络、软件到应用的主动防御安全管理平台，实现系统的实时洞察、实时监控、实时管理，从对一机两用情况实时管控，到终端安全管理的实时洞察，从而实现安全运行的智能化。核心功能如下：

　　违规外联检测

　　专网和互联网分别部署业务服务器与违规外联检测服务器，终端安装违规外联客户端，终端一旦出现和互联网联通情况，都会生成系列日志，同时上报至业务服务器和违规外联检测服务器；

　　图 违规外联双检测上报机制

　　违规外联后网络阻断

　　发生违规外联事件后，我们总是事后处置，但是事中是否发生了数据丢失，病毒入侵往往我们无从得知，为了防止违规外联事件造成无法逆转的后果，使用违规外联阻断能力即可在第一时间将违规外联事件阻断；违规外联阻断能力支持违规外联事件发生后自动断网，到时自动恢复网络和手动恢复网络两种方式。

　　图 违规外联网络阻断

　　移动存储设备管理

　　移动存储介质管理系统针对计算机客户端移动存储设备进行管理，实现了U盘、移动硬盘等移动存储设备完整的生命周期（注册、授权、使用、挂失、注销）管理与管控，既保证了计算机移动存储设备的正常使用，又能有效防止随意使用移动存储设备造成的资料外泄等安全隐患。

　　图 U盘管控

　　资产发现采集

　　系统中资产发现功能支持客户端自动发现以及服务端手动扫描，客户端自动发现可发现当前客户端所在IP地址段的全网段设备信息；服务端手动扫描可指定地址段扫描，或者全量扫描；可实现对系统检测到的客户端进行实时洞察，实时监控。

　　图 资产发现扫描

　　外设管控

　　管理员可通过设置外设管控策略，以实现对终端常见类型外设的禁用控制功能。支持管控的外设类型包括：通用串行控制器、网络适配器、DVD/CDROM驱动器、磁盘驱动器、蓝牙设备、PCMCIA卡、智能卡读卡器、指纹设备、便携设备、图像设备、SD控制器。另外，对于非常用外设，可通过在系统外部设备资源库配置中定义设备关键字（设备类型或驱动）来对外设进行禁止管控功能。

　　图 外设管控

　　三、平台适用技术

　　系统可提供通用接口，与法院业务系统及各平台无缝对接，且部署方式灵活，无特殊部署环境要求，安全可靠。

　　服务器运行环境

　　支持Linux操作系统，以及国产化统信系统和银河麒麟系统；

　　客户端运行环境

　　支持Windows7-10全系列系统，支持国产化统信系统和银河麒麟系统（arm、mips、amd）以及Linux操作系统。

　　四、平台优势

　　可推广性

　　主动防御安全管理平台充分解决总院-分院单独建设，信息孤岛情况，同时平台采用B/S+C/S架构，实现了简单操作，高效部署，强复制推广能力，同时平台具备高易用性，强兼容性特点。

　　多场景覆盖能力

　　平台可按照不同政法架构体系，分配不同账号权限，制定不同执行策略，指定不同人员，展示不同程度内容；

　　产品易用性

　　服务端界面简单易操作，使用简单便捷，维护简单可视化部署；

　　客户端支持静默推送，指定用户/组织架构推送，同时用户侧无感知升级；

　　系统兼容性

　　20M简易客户端，无感知部署，占用极低资源，低配终端平稳运行，国产化系统和windows系统覆盖范围广泛。

　　五、平台创新性

　　P2P高效批量客户端升级

　　在大量客户端升级过程中，为了确保较低的占用网络带宽和快速的升级，使用客户端向服务器请求升级包；服务器判断请求升级客户端所在网段是否有其他客户端已经升级成功，如果是则向请求客户端所在网段请求升级成功客户端的IP地址，否则直接向请求客户端发送升级包；如果请求客户端接收到返回的IP地址，则以P2P的方式向返回的IP地址对应的客户端请求升级包，否则接收服务器返回的升级包。

　　客户端双重上报，双服务器校验

　　为了确保客户端数据上报的容错性和高效稳定，采用双重上报，双服务器接收，合并验证的方式，确保数据不缺失，互相验证来保证违规外联的数据准确性。

　　六、平台价值

　　通过主动防御安全管理平台的建设实现了用户侧网络接入管控从无到有的过程，同时平台也可作为用户在数据保护上强有力的抓手。

　　实现了对法院专网和其他网络间的违规外联监测加阻断的全流程管理，同时使用其他终端管理手段解决终端数据安全；提供了法院专网需求的全场景、全流程解决方案，解决数据安全风险问题，对数据防泄漏作出进一步的管控；通过数据可视化，带给用户一图看全景享受，更直观展现安全事件分布，以及设备资产状况。

　　责任编辑：广汉