關于法院網絡信息安全的探索

吳志會 高彩艷

1. 赤峰林西縣人民法院 內蒙古 赤峰 025250；2. 鄂爾多斯市鄂托克前旗人民法院 內蒙古 鄂爾多斯 016200

1 法院網絡信息安全的現狀

1.1 時代呼聲

信息化是一場人民法院深刻的自我革命，法院網絡規模的發展壯大是信息化建設的必然成果，也是信息化發展的必經之路。互聯互通意味著網絡的拓展性強，開放的范圍在變大，同時網絡的安全性問題也會越來越暴露出來。

1.2 法院網絡信息安全現狀

“網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷?！?/p>

網絡安全是一個系統的工程，都是在攻擊與防御的過程中不斷發展和完善。近年來，網絡攻擊事件不斷發生，法院系統的網絡也無法幸免，遭受到不同程度的破壞。例如勒索病毒事件，影響了法院專網的正常運行，部分數據被加密，內部網絡終端上的敏感信息泄漏到互聯網事件；區域性的網絡藍屏事件；ARP攻擊；FLOOD攻擊事件等，讓我們看到了網絡的薄弱環節，恰恰也是這些缺陷的暴露，讓我們從警醒中補齊短板，為網絡應用提供相對安全的環境[1]。

2 網絡安全探索

2.1 邊界網絡的訪問控制策略

對于法院業務專網的服務性端口開放，并不是開放的越多越好，授權指定的服務端口和訪問范圍可以增強系統的安全性，反之會有無限的風險隱患。例如2017年全球爆發了勒索病毒，在短時間內蔓延到全球各部門、各行業、各領域。此病毒通過系統上的漏洞或開放的端口進行攻擊，其常用端口為135、137、138、139、445。為了保證病毒爆發期間，數據的安全性，完整性和不被破壞性，網絡安全公司建議關閉上述端口，給缺陷系統打上補丁，這樣可以防止病毒快速傳播。

另外可以通過誘餌原理，制作一些欺騙性的目標將病毒誤導，真正的重要數據資源進行保護。此處須強調，防病毒是維護數據安全的重要手段，但數據備份業務也不絕可以輕視，從備份的目標上看，無論是數據庫備份還是實體的備份；從備份的地域上看，無論是同城備份還是異地備份，都有數不盡的益處，這些都是有很多案例可查，此處不做詳細論證。

2.2 內外網準入機制

（1）對內網訪問的機制。對于內網而言，如何限制非法外聯設備，有效的保證合法環境的整體運行，需要見招拆招，逐一破解。通常情況下我們的法院專網使用靜態指定IP較多，雖然前期配置有點費人力，但安全管控方面顯得特別有優勢，易于關聯到用戶層面。動態分配IP(DHCP)的方案較少，IP資源能夠充分的利用，然而用戶使用的IP會因為租約期的變化而變化，故障或安全定位到用戶層面較難。對于外來的接入設備管控，基于IP與MAC地址的綁定是最常用的方式，眾所周知MAC地址具有唯一性，經過綁定后，實現的網絡的認證和準入功能更安全。

（2）對外網的訪問機制。通常情況下，專用內網終端存有一定數量的不對外公開的信息，如果該類設備沒有做好控制，通過非法外聯將會造成敏感信息的外泄。

（3）非專業設備的接入管理。對于傻瓜式的交換設備及帶有NAT功能的路由器慎用，傻瓜式的交換設備只具有數據的轉發功能，如果不慎將多種網絡的網線接入同一設備，可以實現數據的轉發功能，同理，帶有NAT功能路由器將多個網絡的網線接入到LAN口上，也會輕松實現非法連接，使用抓包工具能查到不同網絡環境的信息共存，建議該類設備不用或者少用。

（4）U盤管控。U盤自從誕生之日起，以高速快捷傳遞信息，成為日常利用率最高的轉儲工具。因此禁止將U盤等移動存儲介質接入到涉密網絡，是勢在必行的強制性工作。

（5）補丁分發，自動后臺安裝。對于任何系統，都沒有絕對的安全，在攻與防的博弈較量中發現漏洞及潛在的風險，開發者才會編制相應的補丁系統去完善。補丁分發系統不斷的升級，現已經具備在線檢測、自動分發及后臺安裝的功能[2]。

3 網絡虛擬化方案

隨著虛擬化技術的發展成熟，網絡虛擬化也不斷登上歷史的舞臺，而且展現出物理網絡無法比擬的優越性。

3.1 網絡結構更加優化

虛擬化設計增加網絡可靠性、降低網絡組網復雜度，功能豐富的虛擬化平臺將復雜的物理環境，轉化為直觀感受的圖形界面。在應用環境中，我們可以將多臺性能一致的物理交換設備，通過硬件線纜連接，在統一虛擬化平臺下集中管理，實現“多虛一”的方案，極大的簡化工作量，而且降低維護成本，此場景多用于接入網環境；我們也可以將一臺性能超強的物理交換機虛擬成多臺邏輯交換機的“一虛多”方案，減少重復購置成本，同時在節能減排和提高設備的利用率方面展現極強的優勢，此處多用于匯聚層交換網絡。

3.2 網絡安全性能提升

如何有效保證業務環境相對穩定，最大限度減少外界干擾，虛擬化的網絡環境里提供豐富的功能，支持的攻擊防范包括防DDoS攻擊（ICMP Flood攻擊、SYN FLOOD攻擊）、IP欺騙攻擊、Land攻擊、Ping of Death攻擊（大數據包畸形攻擊）等。

4 未來展望

智能終端大規模普及，在自媒體時代，微信、微博成為最常見的網絡應用，法院利用這些新的技術，大幅度提高干警工作效率。同時，云計算、移動計算等新技術面對新一代威脅，傳統技術已很難見效。