省級法院網絡安全風險點及對策初探

李洪濤

摘要：隨著信息技術的飛速發展，在給我們提供工作便利的同時也帶來了巨大的風險。人民法院由于其審判工作的特殊性，對網絡安全提出了較高的要求。在信息化建設的前期，我們更多的關注點在基礎網絡建設、信息系統建設等解決工作實際問題的層面，隨著信息化建設的逐步深入，敵對勢力利用網絡滲透的事件越來越多，網絡安全越來越成為我們工作的重心。本文主要根據作者經驗，從法院外網安全風險、法院內網安全風險及移動辦公時代法院的安全風險三個方面對省級法院的網絡安全風險點做初步探討。

關鍵詞：安全風險 法院信息安全

1 法院外網主要安全風險及對策

1.1 拒絕服務攻擊導致的訪問風險

隨著最高院對司法公開工作的不斷深入，各級法院越來越依賴互聯網來聯系廣大人民群眾。越來越多的信息通過互聯網發布，越來越多的工作通過互聯網來實現。這就使得我們面臨越來越多的外部威脅，我們經常會聽到網站無法訪問、服務器宕機等說法，導致這一類問題的重要原因就是拒絕服務攻擊。

拒絕服務攻擊共分為三種類型：DoS攻擊、DDOS攻擊和DRDoS攻擊，DoS是拒絕服務的簡寫；DDOS是分布式拒絕服務的簡寫；而DRDoS是分布反射式拒絕服務的簡寫。這三種攻擊均是利用了TCP協議三次握手的原理，所以對它們的防御辦法總體而言也是相似的。

就目前技術發展來講，抵御拒絕服務攻擊還比較難。這種攻擊是利用了TCP/IP協議原理的漏洞，除非我們采用其他協議，另辟蹊徑。不過這并不就表示我們無法抵御DDOS攻擊，首先，通過正確的配置可以大大減少遭受DDOS的攻擊可能性；其次，確保服務器是最新的版本，并及時為系統更新補??；再者，通過關閉不必要的服務端口，來降低遭受攻擊的可能性；另外，限制同時打開的SYN半連接數目，縮短SYN半連接的time out 時間等。

目前，由于拒絕服務攻擊非常猖獗，除了正確配置服務器設備、系統等方式，有必要使用相關抗拒絕服務專業設備來保護我們的服務，在網絡出現異常流量時采取流量牽引、流量清洗等方式保證正常訪問。

1.2 Web應用攻擊風險

在Web技術飛速演變發展的今天，法院越來越多應用程序都是Web形式提供給用戶。Web應用系統是由操作系統和web應用程序組成的。開發人員所接受的安全培訓無法跟上Web應用程序和服務的快速發展，導致Web安全風險達到前所未有的高度。程序員在開發應用程序時不了解其中的安全風險，而且大部分程序員都沒有接受過安全編碼的培訓，很少能考慮到安全缺陷可能會導致的災難性后果。Web應用的大多數安全問題可以歸納為三類：①服務器開放了不應該向用戶開發的服務端口，導致安全風險。②服務器對數據的存放未進行加密或者正確地權限管理，導致敏感信息容易被非法用戶獲取。③服務器被非法用戶進行讀寫，導致受到攻擊。

如何避免這類風險，需要一套系統的解決辦法。首先由于我們使用了大量的Web應用系統，而且很多都年代久遠，保證此類系統安全的主要辦法是在Web服務前端放置專業的Web應用防火墻，避免黑客針對Web應用系統特性做針對性攻擊；其次對于新近開發或采購的Web應用系統，除了要采取上述措施，還應該在系統上線前對Web應用系統存在的安全風險進行代碼級的風險評估。

1.3 病毒、蠕蟲傳播風險

自從計算機技術的出現，病毒風險應運而生，目前計算機病毒的形式多樣，其破壞力也極強。病毒就可以利用網絡，感染所有聯網的電腦，被感染的電腦會面臨數據丟失或被竊取，服務器也無法正常運行，給單位和國家造成了巨大的損失。

防范病毒入侵的關鍵是網絡的管理。據調查，用戶自身是導致大多數機關辦公系統感染病毒的根本。有些用戶的電腦中未安裝合理的殺毒軟件就會給病毒入侵提供機會，所以在辦公系統中務必要使用廣域網和局域網全面的殺毒產品，規范安裝殺毒軟件。

另外，為了避免病毒在網絡內的傳播，導致大面積的病毒爆發，我們應該選用防病毒網管，部署在核心交換機前端。這樣對網絡中的病毒情況就能做到實時的了解和處理。

2 法院內網主要安全風險及對策

2.1 終端管理安全風險

法院內網擁有較大規模的計算機區域，內部運行著大量的終端設備、服務器等。終端設備的安全管理成為網絡管理人員最為棘手的問題之一。要想管理好終端設備、服務好機關各處室，本文推薦兩個程度的管理辦法。①較為寬松的管理辦法是利用Windows的域的概念，將終端加入管理域，用戶使用普通用戶身份進行操作。這樣可以限制使用者在終端上安裝大部分非必要軟件，同時能夠和WSUS聯動，安裝客戶端補丁等。②如果要嚴格限制U盤的使用、防止非法接入等，應該選用一款終端安全管理軟件。

2.2 內網行為審計安全風險

我們在和很多信息化工作者談到內網行為審計時，經常會聽到一個觀點，利用網絡的都是內部人，不會有安全問題。但實際情況是，大部分的網絡安全事件都和內部人員或多或少有所關聯。當然，這些“關聯”中既有主觀意愿上的，也有客觀環境下的。

如何利用內網行為審計設備，來約束網絡內部用戶的行為是一個大的課題。把握住行為信息收集的度，控制好審計的范圍和權限，便可以很大程度地避免一些審計帶來的風險，同時兼顧個人隱私。審計作為一種手段，我們應該明確，審計的目的是為了安全，有效地審計可以讓網絡內部操作可視化，以期達到隨時發現網絡中出現新的安全風險，進而不斷調整網絡的安全策略，應對技術發展帶來的風險，實現最大限度的安全。

2.3 系統漏洞安全風險

不管是什么操作系統都會存在一定的缺陷，所以我們應對其定期的打補丁、修漏洞。系統出現漏洞也是導致黑客入侵的主要因素。很多軟件由于設計和研發的不

完善，都會留下漏洞。一般情況下，這個漏洞是不為人知的。但是一旦暴露就會被黑客所利用，給整個網絡帶來風險。

筆者通過對相關文獻的深入研究和分析，為提高網絡安全性，必須從上述網絡安全隱患的角度出發，提出相應的網絡安全策略，有效地對其進行解決和防范。

目前來講主要的漏洞風險處理辦法有兩個：①利用相關的漏洞管理工具，對網絡中的設備漏洞、系統漏洞等進行定期的漏洞發現，同時進行漏洞的管理。②利用入侵防御設備，建立虛擬補丁功能。入侵防御是根據黑客的攻擊特點，建立攻擊特征庫，對攻擊行為做出判斷后進行有效阻止。

2.4 安全域訪問控制風險

法院內網是相對封閉的網絡，在法院信息化建設初期，由于資源有限，在安全建設上考慮相對簡單。隨著信息化建設的進一步推進，考慮到整個網絡相對龐大，歷史的經驗告訴我們，堡壘都是從內部攻破的。通過安全域的劃分，將整個網絡按照服務功能、使用對象等劃分成若干個安全域進行有效管理。本文主要采取圖示形式，詳解省法院安全域的劃分。

3 移動辦公時代的安全風險及對策

隨著信息技術日新月異的發展，移動辦公時代悄然來臨。在給我們提供巨大便利的同時，也產生了許多不可預知的風險。

3.1 移動辦公數據傳輸風險

由于提供移動辦公的應用服務器和法院內網不可避免的要進行數據交互，如何確保移動辦公，同時確保線路不被利用，成為內網安全的突破口是我們面臨的非常大的挑戰。

在構建移動辦公系統時，我們一定要同步構建內外網的信息交互方式。目前行業內成熟的解決方案主要有兩種，一種是使用安全隔離與信息交互設備（網閘），另外一種是采用公安部研究所研發的網絡邊界接入設備。兩種方案實現原理類似。

由于移動設備采用的是無線接入，信號是暴露在開放空間的，因此采用原有的明文信息傳遞是非常危險的，必須對信息進行加密，確保信息不被外界獲取，或者即使獲取了也無法進行破譯，VPN設備在移動辦公解決方案中就成為不可缺少部分。

3.2 移動客戶端身份認證風險

由于移動設備無論何時何地均能接入網絡，移動設備的使用者是否為合法授權者變得不可知，這就給移動辦公增添了更大的風險。加強身份認證，是解決這個問題的唯一辦法。目前來講采用雙因子認證是比較高效的解決辦法，雙因子認證（2FA）是指除密碼外，結合實物如：令牌、指紋、裸眼紅外等，兩種認證條件對用戶進行身份認證的辦法。

3.3 客戶端應用程序安全

為了方便使用，目前，大部分客戶端應用程序使用移動應用程序（APP），目前主流的移動應用主要基于Android、IOS、Win8這三個開發平臺，由于IOS是不對外公開代碼，所以安全性相對較高。目前我們在移動應用領域，主要面臨的風險是基于Android平臺開發的客戶端。此類風險主要分為兩種：①發布在互聯網上的客戶端程序有被篡改的可能；②網絡上會發布仿真度非常高的移動客戶端程序。

要規避客戶端應用程序安全風險，需根據風險源制定相應的策略。對客戶端程序被篡改的風險，目前行業內最有效的做法是對客戶端應用程序核心代碼進行加密處理，使不能被反編譯，避免被篡改。針對網絡上的發布仿真度非常高的客戶端（釣魚性移動客戶端），只能采取發布渠道檢測方式進行處理，目前業界已有相應的專業服務，主要針對主流的APP發布平臺進行動態監測，隨時獲取網絡上發布的仿真應用，并提供釣魚性移動客戶端的關閉業務。

參考文獻：

[1]雷公武.DDOS攻擊及其防御策略研究[J].計算機應用技術，2014.

[2]許曉馮.Web應用系統的安全威脅及其防[J].信息化研究，2009.

[3]馮登國.網絡安全原理與技術[M].科學出版社，2003.