• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      人民法院網(wǎng)絡(luò)架構(gòu)安全體系建設(shè)的分析

      2022-12-06 23:12:21許潔
      關(guān)鍵詞:人民法院防火墻架構(gòu)

      ◆許潔

      人民法院網(wǎng)絡(luò)架構(gòu)安全體系建設(shè)的分析

      ◆許潔

      (江蘇領(lǐng)航服務(wù)外包有限公司 江蘇 210031)

      本文通過詳細(xì)介紹人民法院五大網(wǎng)系的基礎(chǔ)架構(gòu)建設(shè)和網(wǎng)絡(luò)通信安全及應(yīng)對策略,對人民法院網(wǎng)絡(luò)架構(gòu)安全體系建設(shè)情況進(jìn)行深入分析,并總結(jié)歸納了當(dāng)前系統(tǒng)建設(shè)的問題,針對相應(yīng)問題提出了下一步發(fā)展的建議,旨在對人民法院信息化安全建設(shè)貢獻(xiàn)一份薄力。

      人民法院五大網(wǎng)系;WAF;IDS;IPS;AIP

      近年來,為提高人民法院辦公辦案效率,國家加強人民法院信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)和應(yīng)用,逐步形成了以辦公內(nèi)網(wǎng)、法院專網(wǎng)、外部專網(wǎng)、互聯(lián)網(wǎng)和涉密內(nèi)網(wǎng)等人民法院五大網(wǎng)系為基礎(chǔ)的全國法院網(wǎng)絡(luò)體系。信息網(wǎng)絡(luò)系統(tǒng)的推廣提升法院辦公辦案效率的同時,網(wǎng)絡(luò)信息的安全保障問題也面臨著前所未有的考驗。司法過程中的案件信息、行政信息、個人信息等數(shù)據(jù)泄露,將帶來非常嚴(yán)重的社會影響,甚至?xí)绊懛ㄖ紊鐣慕ㄔO(shè)進(jìn)程。本文通過討論人民法院信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施架構(gòu)的特點,分析人民法院對網(wǎng)絡(luò)安全的需求,并進(jìn)一步提出了人民法院信息系統(tǒng)網(wǎng)絡(luò)安全的應(yīng)用策略。

      1 基礎(chǔ)架構(gòu)安全策略

      基礎(chǔ)架構(gòu)體系的安全,也即物理環(huán)境的安全,是整個安全防護(hù)體系的基礎(chǔ)。我們在架設(shè)網(wǎng)絡(luò)時,一定要選擇可靠易控的點位。除了要進(jìn)行合理劃區(qū),從建設(shè)前期就要規(guī)劃清晰點位布控以外,還要重點考慮機房物理安全、終端安全、物理鏈路的安全等問題。

      (1)合理劃區(qū)

      在平面設(shè)計階段,合理考慮涉密區(qū)、辦公區(qū)、對外開放區(qū)的布設(shè)。涉密點位應(yīng)充分滿足相關(guān)的保密要求,有條件的法院,在設(shè)計階段還可以考慮將審理委員會議室等涉密場所的墻體內(nèi)隱藏布設(shè)金屬殼體,將其設(shè)計為屏蔽箱體。而對公眾開放的訴訟服務(wù)中心,隨著“兩個一站式”的深入推廣,應(yīng)合理布設(shè)無線接入點設(shè)施,既要做到全覆蓋,又要減少過渡冗余帶來的串?dāng)_。

      (2)機房物理安全環(huán)境

      機房位置要選擇防潮、防水、抗震、抗風(fēng)的環(huán)境,配備避雷裝置、溫濕度控制系統(tǒng)、防火材料及設(shè)施,還應(yīng)增設(shè)電子門禁系統(tǒng)、全覆蓋的監(jiān)控系統(tǒng),從物理層面進(jìn)行訪問控制;同時對主要的部位要增設(shè)報警系統(tǒng),合理進(jìn)行線纜隱藏等防盜、防破壞設(shè)計;布設(shè)必要的電磁防護(hù)措施,避免五大網(wǎng)系相互之間的串?dāng)_,并防止數(shù)據(jù)的泄露。

      (3)終端保護(hù)

      根據(jù)設(shè)備不同的用途,按照相關(guān)要求做到嚴(yán)格的物理防護(hù)。嚴(yán)格區(qū)分內(nèi)外網(wǎng)設(shè)備,內(nèi)網(wǎng)及涉密終端從物理層禁用USB等傳輸接口,涉密終端還要確保終端環(huán)境和配件的安全。曾有通過電源線從隔離的電腦中竊取數(shù)據(jù)的電力線載波通信案例,利用電線來傳輸數(shù)據(jù)和媒體信號,方式極其隱蔽[1]。因此,對于涉密終端,應(yīng)嚴(yán)格評估并控制環(huán)境安全,進(jìn)行全方位的物理隔離,比如采取安裝紅黑電源隔離插座、配備國家保密局頒發(fā)資質(zhì)證書的信號干擾器等措施。

      (4)物理鏈路保障

      重要鏈路應(yīng)有保活措施。根據(jù)庭審公開的要求,如無特殊情況的案件,均需在中國庭審公開網(wǎng)上進(jìn)行案件審理直播,這就要求我們的科技法庭能滿足不斷電、不斷網(wǎng)的要求。雙路供電+UPS電池的組合可確保電源供應(yīng);選擇兩家不同的優(yōu)質(zhì)運營商作為主備份鏈路,確保不斷網(wǎng)。

      建設(shè)災(zāi)備機房,提升安全可靠性。一般情況下,綜合考慮數(shù)據(jù)安全和建設(shè)成本,我們會在物理地域相近但不相同的兩地建立兩個相互獨立運行的數(shù)據(jù)機房,主備機房具備基本等同的業(yè)務(wù)處理能力并通過高速鏈路實時同步數(shù)據(jù),日常情況下可同時分擔(dān)業(yè)務(wù)及管理系統(tǒng)的運行,并可切換運行[2],而意外發(fā)生時則由主機房無縫切換至災(zāi)備機房,保持業(yè)務(wù)連續(xù)運行。

      2 網(wǎng)絡(luò)通信安全策略

      網(wǎng)絡(luò)信道往往是泄密的重要渠道,因此網(wǎng)絡(luò)通信安全同樣至關(guān)重要。當(dāng)前全國司法審判信息資源庫已逐步實現(xiàn)了案件、人事、財務(wù)、政務(wù)等數(shù)據(jù)的一體化,形成司法大數(shù)據(jù)知識庫。司法大數(shù)據(jù)中包含了大量的個人信息、民商事信息甚至國家秘密,一旦泄露,后果不堪設(shè)想。我們既不能因噎廢食,更不能坐以待斃??刹捎萌缦氯N技術(shù)手段提升網(wǎng)絡(luò)通信安全:一是防火墻技術(shù),二是系統(tǒng)漏洞檢測及防范技術(shù);三是入侵檢測及防范技術(shù)。

      (1)防火墻技術(shù)

      防火墻技術(shù)是網(wǎng)絡(luò)層面的防護(hù),嚴(yán)格把控不同網(wǎng)絡(luò)間的信息交互,為人民法院五大網(wǎng)系筑起第一道安全堡壘。針對不同的需求,采用硬件、軟件以及軟硬件結(jié)合的防火墻,實現(xiàn)不同信任域之間高可靠性和高安全性的數(shù)據(jù)傳輸。

      在防火墻應(yīng)用部署上,一般采用網(wǎng)絡(luò)部署和分布式部署方式相結(jié)合的方式。整體架構(gòu)采用分布式,將對應(yīng)策略的防火墻部署在五大網(wǎng)系的邊界和網(wǎng)絡(luò)關(guān)鍵節(jié)點的主機、服務(wù)器等處,由安全策略管理服務(wù)器定義整體安全策略,并由分布域網(wǎng)絡(luò)中的各防火墻端點來具體執(zhí)行,從架構(gòu)層面實現(xiàn)人民法院五大網(wǎng)系的安全控制,有效避免性能瓶頸和單點失效隱患,可靈活便捷地實現(xiàn)整體防護(hù)。在辦公內(nèi)網(wǎng)、法院專網(wǎng)和涉密內(nèi)網(wǎng)的端點處,采用屏蔽子網(wǎng)型防火墻部署技術(shù),使用兩個包過濾路由器,直接構(gòu)建被隔離子網(wǎng)的緩沖帶,控制外部網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入子網(wǎng),不得穿過屏蔽子網(wǎng)直接通信,采用多重過濾和隔離機制,將屏蔽子網(wǎng)設(shè)置成隔離區(qū),可抵抗雙向攻擊。在外部專網(wǎng)和互聯(lián)網(wǎng)的端點處,采用雙穴堡壘主機型防火墻部署技術(shù),用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻,有利于留痕辦公的系統(tǒng)日志維護(hù)。

      針對防火墻的攻擊防范應(yīng)從多層次入手。硬件層面可采用ASCI、FPGA、NP或多核架構(gòu);軟件層面采用分權(quán)分域管理、采用最小特權(quán)策略(按需開放端口等)、細(xì)粒度訪問控制;系統(tǒng)層面采用非Windows系統(tǒng)(可考慮國產(chǎn)操作系統(tǒng)),減少對外提供的數(shù)據(jù)管理接口,嚴(yán)格按需開放API。

      (2)系統(tǒng)漏洞檢測及防范技術(shù)

      使用漏洞掃描器,再通過主機、數(shù)據(jù)庫、網(wǎng)絡(luò)、WEB四層面的漏洞檢測,使用圖論、攻擊樹、可生存性等分析法,利用Nmap、NGS Squirrel、Satan、ISS Internet Scanner、Burp Suite等工具,全面分析系統(tǒng)漏洞,并在此基礎(chǔ)上制定合理的防范攻擊技術(shù)。

      Web應(yīng)用防火墻(WAF)技術(shù),是從應(yīng)用層對網(wǎng)絡(luò)實施保護(hù)的策略。開放式Web應(yīng)用程序安全項目OWASP TOP 10 2017中詳細(xì)介紹了最新的應(yīng)用安全漏洞及對應(yīng)的防范措施。Web2.0架構(gòu)中HTTP/HTTPS應(yīng)用的安全威脅,越來越多地充斥在網(wǎng)絡(luò)環(huán)境中,為了使人民法院網(wǎng)絡(luò)更加安全地服務(wù)為民,應(yīng)盡量靠近服務(wù)器端部署WAF。

      (3)入侵檢測及防范技術(shù)

      入侵檢測系統(tǒng)(IDS)是守護(hù)網(wǎng)絡(luò)空間安全的雷達(dá)。一些黑客組織,善于應(yīng)用高級可持續(xù)威脅攻擊(APT),最終達(dá)到控制子系統(tǒng)、竊取情報等目的。攻擊者通過精心制作木馬病毒,利用看起來是健康安全的文件來實現(xiàn)木馬攻擊,或者直接利用合法網(wǎng)站的漏洞進(jìn)行攻擊。應(yīng)綜合考慮攻擊系統(tǒng)的生成原理、傳播機制、觸發(fā)機制、隱藏手段以及破壞影響,通過主機、網(wǎng)絡(luò)、其他等安全數(shù)據(jù)采集,利用統(tǒng)計、模式匹配、協(xié)議解析、數(shù)據(jù)關(guān)聯(lián)等技術(shù)手段,分析并檢測入侵信息,并及時作出響應(yīng)處理。

      入侵防御系統(tǒng)(IPS)是在檢測發(fā)現(xiàn)網(wǎng)絡(luò)入侵后,能自動丟棄入侵報文或者阻斷攻擊源[3],從根本上避免攻擊行為的保護(hù)策略。一般情況下,采用應(yīng)用入侵防護(hù)(AIP),在網(wǎng)絡(luò)鏈路上配置安全策略[4],于應(yīng)用服務(wù)器之前實現(xiàn)對網(wǎng)絡(luò)服務(wù)器的安全保障。

      3 問題及建議

      (1)被動防御為主,智能程度亟待加強

      當(dāng)下,人民法院網(wǎng)絡(luò)安全系統(tǒng)建立在被動防御架構(gòu)基礎(chǔ)上,對經(jīng)驗已知的攻擊和威脅有效,但應(yīng)對未知入侵攻擊的能力不足。由于主動防御能力不足,雖然人民群眾對“一站式”服務(wù)和公開司法的要求越來越高,為確保網(wǎng)絡(luò)安全,法院系統(tǒng)的開放程度跟需求相比仍處于滯后狀態(tài)。

      (2)缺乏完善的頂層設(shè)計

      由于缺乏完善整體規(guī)劃,全國各級法院分開探索,內(nèi)部工作平臺和審判類業(yè)務(wù)百花齊放,拉動智慧司法前進(jìn)的同時,也造成了互聯(lián)互通的障礙。過多的API接口的暴露也加重網(wǎng)絡(luò)信息安全的負(fù)擔(dān)。建議最高人民法院加強頂層設(shè)計和規(guī)劃,指導(dǎo)和完善法院網(wǎng)絡(luò)安全建設(shè)。

      (3)涉密內(nèi)網(wǎng)和辦公內(nèi)網(wǎng)邊界模糊

      缺乏科學(xué)界定的網(wǎng)絡(luò)劃分,部分干警對所處理信息應(yīng)歸屬網(wǎng)絡(luò)認(rèn)知不足,存在誤用、混用網(wǎng)絡(luò)現(xiàn)象,造成數(shù)據(jù)泄露。新建涉密網(wǎng)絡(luò)、部署涉密應(yīng)用的法院,應(yīng)依據(jù)安全保密管理制度,落實涉密信息系統(tǒng)分級保護(hù)制度和國家電子政務(wù)內(nèi)網(wǎng)相關(guān)標(biāo)準(zhǔn)規(guī)范要求,依據(jù)相關(guān)保密標(biāo)準(zhǔn)開展分級保護(hù)測評和安全防護(hù)整改工作。對涉密數(shù)據(jù)嚴(yán)格從基礎(chǔ)設(shè)施、人員管理、網(wǎng)絡(luò)安全等各層面進(jìn)行嚴(yán)格把控。

      (4)專業(yè)人才隊伍需進(jìn)一步強化

      目前,既熟悉法院信息業(yè)務(wù),又熟悉信息化專業(yè)知識的人才非常稀缺,人民法院信息化人才隊伍相對薄弱。有的法院運維技術(shù)人員甚至管理人員非自有人力,人才管控處于被動,運維人員的安全防線處于薄弱環(huán)節(jié)。下一步應(yīng)加強法院信息化及網(wǎng)絡(luò)安全人才培養(yǎng),為信息化建設(shè)持續(xù)發(fā)展提供有力支撐。

      4 總結(jié)

      目前人民法院信息系統(tǒng)主要是以被動防御體系為主建設(shè)的,下一步需要加強主動防御體系的建設(shè)及網(wǎng)絡(luò)安全智能分析與反制技術(shù),建議使用國產(chǎn)操作系統(tǒng),加大探索量子密碼、區(qū)塊鏈等新興技術(shù)的投入,從頂層統(tǒng)籌規(guī)劃、指導(dǎo)建設(shè),創(chuàng)建更加安全的網(wǎng)絡(luò)環(huán)境。與此同時,還應(yīng)重視人的因素,加強全員的網(wǎng)絡(luò)安全教育,提升涉密人員的專業(yè)素養(yǎng),從技術(shù)和管理雙層面共同發(fā)力,讓司法更加便捷、有效、安全地服務(wù)為民。

      [1]GuriM,Zadov B,Bykhovsky D,et al. PowerHammer:Exfiltrating Data from Air-Gapped Computers through Power Lines[J]. IEEE Transactions on Information Forensics and Security,2018,PP(99).

      [2]張嵩. 云計算在人力資源社會保障多數(shù)據(jù)中心容災(zāi)業(yè)務(wù)中的設(shè)計[J]. 信息系統(tǒng)工程,2012(009):33-35.

      [3]李夢鈺. 基于Snort的入侵防御系統(tǒng)的設(shè)計與實現(xiàn)[D]. 西安電子科技大學(xué),2016.

      [4]沈萍. 動態(tài)防御系統(tǒng)的研究與實現(xiàn)[D]. 電子科技大學(xué),2006.

      猜你喜歡
      人民法院防火墻架構(gòu)
      基于FPGA的RNN硬件加速架構(gòu)
      滄州市運河區(qū)人民法院以黨建促隊建、促審判
      功能架構(gòu)在電子電氣架構(gòu)開發(fā)中的應(yīng)用和實踐
      汽車工程(2021年12期)2021-03-08 02:34:30
      高邑縣人民法院 7天成功調(diào)解17個案件
      公民與法治(2020年7期)2020-03-11 15:35:08
      構(gòu)建防控金融風(fēng)險“防火墻”
      LSN DCI EVPN VxLAN組網(wǎng)架構(gòu)研究及實現(xiàn)
      安平縣人民法院:知行合一踐行“兩學(xué)一做”
      以仲裁的視角看人民法院“審執(zhí)分離”的體制改革
      仲裁研究(2015年4期)2015-04-17 02:56:30
      一種基于FPGA+ARM架構(gòu)的μPMU實現(xiàn)
      下一代防火墻要做的十件事
      自動化博覽(2014年6期)2014-02-28 22:32:13
      康马县| 屯留县| 西安市| 新邵县| 台中县| 镇坪县| 突泉县| 临颍县| 泗洪县| 河池市| 清河县| 安平县| 恩施市| 肥城市| 洪雅县| 昌黎县| 内乡县| 旬邑县| 绥滨县| 罗城| 陈巴尔虎旗| 翼城县| 紫金县| 平顶山市| 科尔| 广宗县| 瑞昌市| 成安县| 禄丰县| 吴堡县| 福建省| 双流县| 鄂尔多斯市| 安国市| 铁岭市| 石景山区| 合山市| 灯塔市| 山东省| 濮阳市| 丹凤县|