关于法院网络信息安全的探索

2021-12-25吴志会高彩艳

科学与信息化 2021年3期

关键词：补丁端口备份

吴志会高彩艳

1. 赤峰林西县人民法院内蒙古赤峰 025250；2. 鄂尔多斯市鄂托克前旗人民法院内蒙古鄂尔多斯 016200

1 法院网络信息安全的现状

1.1 时代呼声

信息化是一场人民法院深刻的自我革命，法院网络规模的发展壮大是信息化建设的必然成果，也是信息化发展的必经之路。互联互通意味着网络的拓展性强，开放的范围在变大，同时网络的安全性问题也会越来越暴露出来。

1.2 法院网络信息安全现状

“网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。”

网络安全是一个系统的工程，都是在攻击与防御的过程中不断发展和完善。近年来，网络攻击事件不断发生，法院系统的网络也无法幸免，遭受到不同程度的破坏。例如勒索病毒事件，影响了法院专网的正常运行，部分数据被加密，内部网络终端上的敏感信息泄漏到互联网事件；区域性的网络蓝屏事件；ARP攻击；FLOOD攻击事件等，让我们看到了网络的薄弱环节，恰恰也是这些缺陷的暴露，让我们从警醒中补齐短板，为网络应用提供相对安全的环境[1]。

2 网络安全探索

2.1 边界网络的访问控制策略

对于法院业务专网的服务性端口开放，并不是开放的越多越好，授权指定的服务端口和访问范围可以增强系统的安全性，反之会有无限的风险隐患。例如2017年全球爆发了勒索病毒，在短时间内蔓延到全球各部门、各行业、各领域。此病毒通过系统上的漏洞或开放的端口进行攻击，其常用端口为135、137、138、139、445。为了保证病毒爆发期间，数据的安全性，完整性和不被破坏性，网络安全公司建议关闭上述端口，给缺陷系统打上补丁，这样可以防止病毒快速传播。

另外可以通过诱饵原理，制作一些欺骗性的目标将病毒误导，真正的重要数据资源进行保护。此处须强调，防病毒是维护数据安全的重要手段，但数据备份业务也不绝可以轻视，从备份的目标上看，无论是数据库备份还是实体的备份；从备份的地域上看，无论是同城备份还是异地备份，都有数不尽的益处，这些都是有很多案例可查，此处不做详细论证。

2.2 内外网准入机制

（1）对内网访问的机制。对于内网而言，如何限制非法外联设备，有效的保证合法环境的整体运行，需要见招拆招，逐一破解。通常情况下我们的法院专网使用静态指定IP较多，虽然前期配置有点费人力，但安全管控方面显得特别有优势，易于关联到用户层面。动态分配IP(DHCP)的方案较少，IP资源能够充分的利用，然而用户使用的IP会因为租约期的变化而变化，故障或安全定位到用户层面较难。对于外来的接入设备管控，基于IP与MAC地址的绑定是最常用的方式，众所周知MAC地址具有唯一性，经过绑定后，实现的网络的认证和准入功能更安全。

（2）对外网的访问机制。通常情况下，专用内网终端存有一定数量的不对外公开的信息，如果该类设备没有做好控制，通过非法外联将会造成敏感信息的外泄。

（3）非专业设备的接入管理。对于傻瓜式的交换设备及带有NAT功能的路由器慎用，傻瓜式的交换设备只具有数据的转发功能，如果不慎将多种网络的网线接入同一设备，可以实现数据的转发功能，同理，带有NAT功能路由器将多个网络的网线接入到LAN口上，也会轻松实现非法连接，使用抓包工具能查到不同网络环境的信息共存，建议该类设备不用或者少用。

（4）U盘管控。U盘自从诞生之日起，以高速快捷传递信息，成为日常利用率最高的转储工具。因此禁止将U盘等移动存储介质接入到涉密网络，是势在必行的强制性工作。

（5）补丁分发，自动后台安装。对于任何系统，都没有绝对的安全，在攻与防的博弈较量中发现漏洞及潜在的风险，开发者才会编制相应的补丁系统去完善。补丁分发系统不断的升级，现已经具备在线检测、自动分发及后台安装的功能[2]。

3 网络虚拟化方案

随着虚拟化技术的发展成熟，网络虚拟化也不断登上历史的舞台，而且展现出物理网络无法比拟的优越性。

3.1 网络结构更加优化

虚拟化设计增加网络可靠性、降低网络组网复杂度，功能丰富的虚拟化平台将复杂的物理环境，转化为直观感受的图形界面。在应用环境中，我们可以将多台性能一致的物理交换设备，通过硬件线缆连接，在统一虚拟化平台下集中管理，实现“多虚一”的方案，极大的简化工作量，而且降低维护成本，此场景多用于接入网环境；我们也可以将一台性能超强的物理交换机虚拟成多台逻辑交换机的“一虚多”方案，减少重复购置成本，同时在节能减排和提高设备的利用率方面展现极强的优势，此处多用于汇聚层交换网络。