安盟信息法院办公专网专项整治工作安全整改方案

　　一、“专项整治工作”背景

　　2018年8月22日，法院专网发生大规模“勒索病毒”攻击事件。攻击范围包括最高人民法院和六个省的100多家法院，被攻击主机数量达到数百台，涉及业务系统200多个，受损数据项2亿多条，受损数据容量超过200T，无法还原的数据项达2000多万条，无法恢复的数据容量超过100T。

　　事件发生后，最高人民法院院领导批示“抓紧通报各地，排查整治，加强管理。杜绝类似安全事件发生，决定针对本次安全事件暴露出的安全隐患和问题，在全国法院开展有针对性的法院专网信息安全专项整治工作。

　　二、最高法政策要求

　　2018年根据“《最高人民法院关于开展全国法院办公专网信息安全专项整治工作的通知（法[2018]295号）》”，法院办公专网与移动专网、外部专网、互联网进行数据交换须使用单向光导技术产品进行隔离，加强专网整体安全建设。

　　2020年最高法《安全隔离与信息交换平台建设要求》（FYB/T53001 -2020）、《安全隔离与信息交换平台使用和管理要求》（FYB/T59006 -2020）要求，法院信息系统与其他信息系统之间应采用单向光导技术构建隔离交换传输通道。

　　三、问题分析

　　在此次“勒索病毒”攻击事件中暴露出普遍存在的安全问题如下：

　　（一）安全防护能力不足

　　1.跨网信息交换不合规

　　与互联网的信息交换通道未按规定采用基于单向光通信技术的安全隔离和信息平台系统。

　　2.安全边界防护不到位

　　专网外侧防火墙未设置任何策略或策略过粗，无法起到防护作用。

　　3.运维操作未集中监管

　　各法院受损系统的维护操作未利用堡垒机等运维工具维护操作及集中管理。

　　（二）安全监测措施缺乏

　　1.安全监测预警能力不足

　　对于端口扫描和远程异常登录等高危行为没有及时发现和预警的能力。

　　2.运行日志的审计不到位

　　日志缺少集中备份处理，给事后分析带来了困难。

　　四、整改方案设计

　　根据“2020年最高法《安全隔离与信息交换平台建设要求》（FYB/T53001 -2020）、《安全隔离与信息交换平台使用和管理要求》（FYB/T59006 -2020）”及勒索病毒特点整改方案设计如下：

　　安盟华御数据交换平台、请求服务平台、视频交换平台均采用双重安全防护机制，平台由内交换主机、单向光闸和外交换主机组成。实现数据的光信号单向传输的同时建立可信连接，实现源身份权限鉴别、安全审计，病毒、木马文件格式等安全检查。能够隔离各种未知的蠕虫、现有的勒索病毒及勒索病毒变种，使其无法传播到法院办公专网。

　　（一）安盟华御数据交换平台

　　文件和数据库交互业务中单向导入应用，需在法院办公专网边界处部署一套安盟华御数据交换单向导入平台。若实现反方向法院办公专网数据导出，需部署安盟华御数据交换导出平台。两平台独立运行，互不干涉，保证数据单向无反馈传输。

　　（二）安盟华御请求服务平台

　　法院服务数据交互业务，需部署一套安盟华御请求服务平台（采用两台单向光闸），安盟华御请求服务平台的内（外）交换主机，完成基于Web Service接口的数据抽取与转发、设备认证、格式检查、内容过滤、安全审计等安全功能。单向光闸实现内部协议封装，以信息摆渡的方式实现单向数据传输。

　　（三）安盟华御视频交换平台

　　针对法院音视频交换业务（如庭审直播、视频会议等），部署一套安盟华御视频交换平台（采用两台单向光闸），安盟华御视频交换平台的内交换主机、外交换主机，实现与音视频系统对接和设备认证、格式检查等安全功能。单向光闸通过内部协议封装，以信息摆渡的方式实现单向无反馈传输，且符合GB/T 28181技术规范，保障RTSP、RTMP、H.323等协议的音视频系统的单向传输。

　　（四）安盟华御文件坝交换平台

　　安盟华御文件坝交换平台深度集成文件云管理系统、单向光闸、数据泄露防护（DLP）、防病毒（AV）多种网络安全技术。其中文件云系统、DLP、防病毒的软件系统采用虚拟化技术预置，可按需选择启用。

　　用户可通过终端（APP/Windows客户端/WEB等）进行文件的流转，满足出差、在家、远程办公的同时做到了文件安全流转实现真正隔离、深度管控。

　　（五）安盟华御入侵检测系统

　　在法院办公专网安全管理中心部署安盟华御入侵检测系统，快速识别异常扫描事件、外部攻击及入侵事件等，并进行实时报警。

　　（六）安盟华御堡垒机

　　通过在法院办公专网安全管理中心部署安盟华御堡垒机，实现对运维人员的系统登录授权、系统密码代维、操作指令限制、操作全程录屏审计功能。

　　（七） 安盟华御安全管理平台

　　在法院办公专网安全管理中心部署安盟华御安全管理平台，对全网设备、主机、系统的日志进行统一收集，进行不间断综合安全事件关联分析，形成一体化安全管控功能界面，多视角、多层次展现态势感知视图。

　　（八）终端管理

　　通过部署终端管理系统，对输入输出接口进行控制，阻止不明程序运行，限制未授权移动存储介质访问等，有效提高法院办公专网的综合“免疫”能力。

　　五、方案收益

　　1.符合最高法《安全隔离与信息交换平台建设要求》（FYB/T53001 -2020）、《安全隔离与信息交换平台使用和管理要求》（FYB/T59006 -2020）的要求。

　　2.符合“《最高人民法院关于开展全国法院办公专网信息安全专项整治工作的通知（法[2018]295号）》”的要求。

　　3.屏蔽现有的勒索病毒、勒索病毒变种无法传播到法院内网。同时最大程度上确保法院专网的业务正常运行。

　　4.提高法院办公专网与其它网络的数据交换效率及便利性。

　　六、典型用户

　　四川省高级人民法院

　　河北省石家庄市中级人民法院

　　山西省大同市中级人民法院

　　安徽省滁州市中级人民法院

　　广东省广州市中级人民法院

　　广东省深圳市南山区人民法院

　　河北省张家口市中级人民法院

　　江苏省镇江市京口区人民法院

　　南通市崇川区人民法院

　　责任编辑：广汉