吳志會(huì) 高彩艷

1. 赤峰林西縣人民法院 內(nèi)蒙古 赤峰 025250；2. 鄂爾多斯市鄂托克前旗人民法院 內(nèi)蒙古 鄂爾多斯 016200

1 法院網(wǎng)絡(luò)信息安全的現(xiàn)狀

1.1 時(shí)代呼聲

信息化是一場(chǎng)人民法院深刻的自我革命，法院網(wǎng)絡(luò)規(guī)模的發(fā)展壯大是信息化建設(shè)的必然成果，也是信息化發(fā)展的必經(jīng)之路?；ヂ?lián)互通意味著網(wǎng)絡(luò)的拓展性強(qiáng)，開放的范圍在變大，同時(shí)網(wǎng)絡(luò)的安全性問題也會(huì)越來(lái)越暴露出來(lái)。

1.2 法院網(wǎng)絡(luò)信息安全現(xiàn)狀

“網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷?！?/p>

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，都是在攻擊與防御的過程中不斷發(fā)展和完善。近年來(lái)，網(wǎng)絡(luò)攻擊事件不斷發(fā)生，法院系統(tǒng)的網(wǎng)絡(luò)也無(wú)法幸免，遭受到不同程度的破壞。例如勒索病毒事件，影響了法院專網(wǎng)的正常運(yùn)行，部分?jǐn)?shù)據(jù)被加密，內(nèi)部網(wǎng)絡(luò)終端上的敏感信息泄漏到互聯(lián)網(wǎng)事件；區(qū)域性的網(wǎng)絡(luò)藍(lán)屏事件；ARP攻擊；FLOOD攻擊事件等，讓我們看到了網(wǎng)絡(luò)的薄弱環(huán)節(jié)，恰恰也是這些缺陷的暴露，讓我們從警醒中補(bǔ)齊短板，為網(wǎng)絡(luò)應(yīng)用提供相對(duì)安全的環(huán)境[1]。

2 網(wǎng)絡(luò)安全探索

2.1 邊界網(wǎng)絡(luò)的訪問控制策略

對(duì)于法院業(yè)務(wù)專網(wǎng)的服務(wù)性端口開放，并不是開放的越多越好，授權(quán)指定的服務(wù)端口和訪問范圍可以增強(qiáng)系統(tǒng)的安全性，反之會(huì)有無(wú)限的風(fēng)險(xiǎn)隱患。例如2017年全球爆發(fā)了勒索病毒，在短時(shí)間內(nèi)蔓延到全球各部門、各行業(yè)、各領(lǐng)域。此病毒通過系統(tǒng)上的漏洞或開放的端口進(jìn)行攻擊，其常用端口為135、137、138、139、445。為了保證病毒爆發(fā)期間，數(shù)據(jù)的安全性，完整性和不被破壞性，網(wǎng)絡(luò)安全公司建議關(guān)閉上述端口，給缺陷系統(tǒng)打上補(bǔ)丁，這樣可以防止病毒快速傳播。

另外可以通過誘餌原理，制作一些欺騙性的目標(biāo)將病毒誤導(dǎo)，真正的重要數(shù)據(jù)資源進(jìn)行保護(hù)。此處須強(qiáng)調(diào)，防病毒是維護(hù)數(shù)據(jù)安全的重要手段，但數(shù)據(jù)備份業(yè)務(wù)也不絕可以輕視，從備份的目標(biāo)上看，無(wú)論是數(shù)據(jù)庫(kù)備份還是實(shí)體的備份；從備份的地域上看，無(wú)論是同城備份還是異地備份，都有數(shù)不盡的益處，這些都是有很多案例可查，此處不做詳細(xì)論證。

2.2 內(nèi)外網(wǎng)準(zhǔn)入機(jī)制

（1）對(duì)內(nèi)網(wǎng)訪問的機(jī)制。對(duì)于內(nèi)網(wǎng)而言，如何限制非法外聯(lián)設(shè)備，有效的保證合法環(huán)境的整體運(yùn)行，需要見招拆招，逐一破解。通常情況下我們的法院專網(wǎng)使用靜態(tài)指定IP較多，雖然前期配置有點(diǎn)費(fèi)人力，但安全管控方面顯得特別有優(yōu)勢(shì)，易于關(guān)聯(lián)到用戶層面。動(dòng)態(tài)分配IP(DHCP)的方案較少，IP資源能夠充分的利用，然而用戶使用的IP會(huì)因?yàn)樽饧s期的變化而變化，故障或安全定位到用戶層面較難。對(duì)于外來(lái)的接入設(shè)備管控，基于IP與MAC地址的綁定是最常用的方式，眾所周知MAC地址具有唯一性，經(jīng)過綁定后，實(shí)現(xiàn)的網(wǎng)絡(luò)的認(rèn)證和準(zhǔn)入功能更安全。

（2）對(duì)外網(wǎng)的訪問機(jī)制。通常情況下，專用內(nèi)網(wǎng)終端存有一定數(shù)量的不對(duì)外公開的信息，如果該類設(shè)備沒有做好控制，通過非法外聯(lián)將會(huì)造成敏感信息的外泄。

（3）非專業(yè)設(shè)備的接入管理。對(duì)于傻瓜式的交換設(shè)備及帶有NAT功能的路由器慎用，傻瓜式的交換設(shè)備只具有數(shù)據(jù)的轉(zhuǎn)發(fā)功能，如果不慎將多種網(wǎng)絡(luò)的網(wǎng)線接入同一設(shè)備，可以實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)功能，同理，帶有NAT功能路由器將多個(gè)網(wǎng)絡(luò)的網(wǎng)線接入到LAN口上，也會(huì)輕松實(shí)現(xiàn)非法連接，使用抓包工具能查到不同網(wǎng)絡(luò)環(huán)境的信息共存，建議該類設(shè)備不用或者少用。

（4）U盤管控。U盤自從誕生之日起，以高速快捷傳遞信息，成為日常利用率最高的轉(zhuǎn)儲(chǔ)工具。因此禁止將U盤等移動(dòng)存儲(chǔ)介質(zhì)接入到涉密網(wǎng)絡(luò)，是勢(shì)在必行的強(qiáng)制性工作。

（5）補(bǔ)丁分發(fā)，自動(dòng)后臺(tái)安裝。對(duì)于任何系統(tǒng)，都沒有絕對(duì)的安全，在攻與防的博弈較量中發(fā)現(xiàn)漏洞及潛在的風(fēng)險(xiǎn)，開發(fā)者才會(huì)編制相應(yīng)的補(bǔ)丁系統(tǒng)去完善。補(bǔ)丁分發(fā)系統(tǒng)不斷的升級(jí)，現(xiàn)已經(jīng)具備在線檢測(cè)、自動(dòng)分發(fā)及后臺(tái)安裝的功能[2]。

3 網(wǎng)絡(luò)虛擬化方案

隨著虛擬化技術(shù)的發(fā)展成熟，網(wǎng)絡(luò)虛擬化也不斷登上歷史的舞臺(tái)，而且展現(xiàn)出物理網(wǎng)絡(luò)無(wú)法比擬的優(yōu)越性。

3.1 網(wǎng)絡(luò)結(jié)構(gòu)更加優(yōu)化

虛擬化設(shè)計(jì)增加網(wǎng)絡(luò)可靠性、降低網(wǎng)絡(luò)組網(wǎng)復(fù)雜度，功能豐富的虛擬化平臺(tái)將復(fù)雜的物理環(huán)境，轉(zhuǎn)化為直觀感受的圖形界面。在應(yīng)用環(huán)境中，我們可以將多臺(tái)性能一致的物理交換設(shè)備，通過硬件線纜連接，在統(tǒng)一虛擬化平臺(tái)下集中管理，實(shí)現(xiàn)“多虛一”的方案，極大的簡(jiǎn)化工作量，而且降低維護(hù)成本，此場(chǎng)景多用于接入網(wǎng)環(huán)境；我們也可以將一臺(tái)性能超強(qiáng)的物理交換機(jī)虛擬成多臺(tái)邏輯交換機(jī)的“一虛多”方案，減少重復(fù)購(gòu)置成本，同時(shí)在節(jié)能減排和提高設(shè)備的利用率方面展現(xiàn)極強(qiáng)的優(yōu)勢(shì)，此處多用于匯聚層交換網(wǎng)絡(luò)。

3.2 網(wǎng)絡(luò)安全性能提升

如何有效保證業(yè)務(wù)環(huán)境相對(duì)穩(wěn)定，最大限度減少外界干擾，虛擬化的網(wǎng)絡(luò)環(huán)境里提供豐富的功能，支持的攻擊防范包括防DDoS攻擊（ICMP Flood攻擊、SYN FLOOD攻擊）、IP欺騙攻擊、Land攻擊、Ping of Death攻擊（大數(shù)據(jù)包畸形攻擊）等。

4 未來(lái)展望

智能終端大規(guī)模普及，在自媒體時(shí)代，微信、微博成為最常見的網(wǎng)絡(luò)應(yīng)用，法院利用這些新的技術(shù)，大幅度提高干警工作效率。同時(shí)，云計(jì)算、移動(dòng)計(jì)算等新技術(shù)面對(duì)新一代威脅，傳統(tǒng)技術(shù)已很難見效。