李洪濤

摘要：隨著信息技術(shù)的飛速發(fā)展，在給我們提供工作便利的同時(shí)也帶來(lái)了巨大的風(fēng)險(xiǎn)。人民法院由于其審判工作的特殊性，對(duì)網(wǎng)絡(luò)安全提出了較高的要求。在信息化建設(shè)的前期，我們更多的關(guān)注點(diǎn)在基礎(chǔ)網(wǎng)絡(luò)建設(shè)、信息系統(tǒng)建設(shè)等解決工作實(shí)際問(wèn)題的層面，隨著信息化建設(shè)的逐步深入，敵對(duì)勢(shì)力利用網(wǎng)絡(luò)滲透的事件越來(lái)越多，網(wǎng)絡(luò)安全越來(lái)越成為我們工作的重心。本文主要根據(jù)作者經(jīng)驗(yàn)，從法院外網(wǎng)安全風(fēng)險(xiǎn)、法院內(nèi)網(wǎng)安全風(fēng)險(xiǎn)及移動(dòng)辦公時(shí)代法院的安全風(fēng)險(xiǎn)三個(gè)方面對(duì)省級(jí)法院的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)做初步探討。

關(guān)鍵詞：安全風(fēng)險(xiǎn) 法院信息安全

1 法院外網(wǎng)主要安全風(fēng)險(xiǎn)及對(duì)策

1.1 拒絕服務(wù)攻擊導(dǎo)致的訪問(wèn)風(fēng)險(xiǎn)

隨著最高院對(duì)司法公開(kāi)工作的不斷深入，各級(jí)法院越來(lái)越依賴互聯(lián)網(wǎng)來(lái)聯(lián)系廣大人民群眾。越來(lái)越多的信息通過(guò)互聯(lián)網(wǎng)發(fā)布，越來(lái)越多的工作通過(guò)互聯(lián)網(wǎng)來(lái)實(shí)現(xiàn)。這就使得我們面臨越來(lái)越多的外部威脅，我們經(jīng)常會(huì)聽(tīng)到網(wǎng)站無(wú)法訪問(wèn)、服務(wù)器宕機(jī)等說(shuō)法，導(dǎo)致這一類問(wèn)題的重要原因就是拒絕服務(wù)攻擊。

拒絕服務(wù)攻擊共分為三種類型：DoS攻擊、DDOS攻擊和DRDoS攻擊，DoS是拒絕服務(wù)的簡(jiǎn)寫(xiě)；DDOS是分布式拒絕服務(wù)的簡(jiǎn)寫(xiě)；而DRDoS是分布反射式拒絕服務(wù)的簡(jiǎn)寫(xiě)。這三種攻擊均是利用了TCP協(xié)議三次握手的原理，所以對(duì)它們的防御辦法總體而言也是相似的。

就目前技術(shù)發(fā)展來(lái)講，抵御拒絕服務(wù)攻擊還比較難。這種攻擊是利用了TCP/IP協(xié)議原理的漏洞，除非我們采用其他協(xié)議，另辟蹊徑。不過(guò)這并不就表示我們無(wú)法抵御DDOS攻擊，首先，通過(guò)正確的配置可以大大減少遭受DDOS的攻擊可能性；其次，確保服務(wù)器是最新的版本，并及時(shí)為系統(tǒng)更新補(bǔ)??；再者，通過(guò)關(guān)閉不必要的服務(wù)端口，來(lái)降低遭受攻擊的可能性；另外，限制同時(shí)打開(kāi)的SYN半連接數(shù)目，縮短SYN半連接的time out 時(shí)間等。

目前，由于拒絕服務(wù)攻擊非常猖獗，除了正確配置服務(wù)器設(shè)備、系統(tǒng)等方式，有必要使用相關(guān)抗拒絕服務(wù)專業(yè)設(shè)備來(lái)保護(hù)我們的服務(wù)，在網(wǎng)絡(luò)出現(xiàn)異常流量時(shí)采取流量牽引、流量清洗等方式保證正常訪問(wèn)。

1.2 Web應(yīng)用攻擊風(fēng)險(xiǎn)

在Web技術(shù)飛速演變發(fā)展的今天，法院越來(lái)越多應(yīng)用程序都是Web形式提供給用戶。Web應(yīng)用系統(tǒng)是由操作系統(tǒng)和web應(yīng)用程序組成的。開(kāi)發(fā)人員所接受的安全培訓(xùn)無(wú)法跟上Web應(yīng)用程序和服務(wù)的快速發(fā)展，導(dǎo)致Web安全風(fēng)險(xiǎn)達(dá)到前所未有的高度。程序員在開(kāi)發(fā)應(yīng)用程序時(shí)不了解其中的安全風(fēng)險(xiǎn)，而且大部分程序員都沒(méi)有接受過(guò)安全編碼的培訓(xùn)，很少能考慮到安全缺陷可能會(huì)導(dǎo)致的災(zāi)難性后果。Web應(yīng)用的大多數(shù)安全問(wèn)題可以歸納為三類：①服務(wù)器開(kāi)放了不應(yīng)該向用戶開(kāi)發(fā)的服務(wù)端口，導(dǎo)致安全風(fēng)險(xiǎn)。②服務(wù)器對(duì)數(shù)據(jù)的存放未進(jìn)行加密或者正確地權(quán)限管理，導(dǎo)致敏感信息容易被非法用戶獲取。③服務(wù)器被非法用戶進(jìn)行讀寫(xiě)，導(dǎo)致受到攻擊。

如何避免這類風(fēng)險(xiǎn)，需要一套系統(tǒng)的解決辦法。首先由于我們使用了大量的Web應(yīng)用系統(tǒng)，而且很多都年代久遠(yuǎn)，保證此類系統(tǒng)安全的主要辦法是在Web服務(wù)前端放置專業(yè)的Web應(yīng)用防火墻，避免黑客針對(duì)Web應(yīng)用系統(tǒng)特性做針對(duì)性攻擊；其次對(duì)于新近開(kāi)發(fā)或采購(gòu)的Web應(yīng)用系統(tǒng)，除了要采取上述措施，還應(yīng)該在系統(tǒng)上線前對(duì)Web應(yīng)用系統(tǒng)存在的安全風(fēng)險(xiǎn)進(jìn)行代碼級(jí)的風(fēng)險(xiǎn)評(píng)估。

1.3 病毒、蠕蟲(chóng)傳播風(fēng)險(xiǎn)

自從計(jì)算機(jī)技術(shù)的出現(xiàn)，病毒風(fēng)險(xiǎn)應(yīng)運(yùn)而生，目前計(jì)算機(jī)病毒的形式多樣，其破壞力也極強(qiáng)。病毒就可以利用網(wǎng)絡(luò)，感染所有聯(lián)網(wǎng)的電腦，被感染的電腦會(huì)面臨數(shù)據(jù)丟失或被竊取，服務(wù)器也無(wú)法正常運(yùn)行，給單位和國(guó)家造成了巨大的損失。

防范病毒入侵的關(guān)鍵是網(wǎng)絡(luò)的管理。據(jù)調(diào)查，用戶自身是導(dǎo)致大多數(shù)機(jī)關(guān)辦公系統(tǒng)感染病毒的根本。有些用戶的電腦中未安裝合理的殺毒軟件就會(huì)給病毒入侵提供機(jī)會(huì)，所以在辦公系統(tǒng)中務(wù)必要使用廣域網(wǎng)和局域網(wǎng)全面的殺毒產(chǎn)品，規(guī)范安裝殺毒軟件。

另外，為了避免病毒在網(wǎng)絡(luò)內(nèi)的傳播，導(dǎo)致大面積的病毒爆發(fā)，我們應(yīng)該選用防病毒網(wǎng)管，部署在核心交換機(jī)前端。這樣對(duì)網(wǎng)絡(luò)中的病毒情況就能做到實(shí)時(shí)的了解和處理。

2 法院內(nèi)網(wǎng)主要安全風(fēng)險(xiǎn)及對(duì)策

2.1 終端管理安全風(fēng)險(xiǎn)

法院內(nèi)網(wǎng)擁有較大規(guī)模的計(jì)算機(jī)區(qū)域，內(nèi)部運(yùn)行著大量的終端設(shè)備、服務(wù)器等。終端設(shè)備的安全管理成為網(wǎng)絡(luò)管理人員最為棘手的問(wèn)題之一。要想管理好終端設(shè)備、服務(wù)好機(jī)關(guān)各處室，本文推薦兩個(gè)程度的管理辦法。①較為寬松的管理辦法是利用Windows的域的概念，將終端加入管理域，用戶使用普通用戶身份進(jìn)行操作。這樣可以限制使用者在終端上安裝大部分非必要軟件，同時(shí)能夠和WSUS聯(lián)動(dòng)，安裝客戶端補(bǔ)丁等。②如果要嚴(yán)格限制U盤(pán)的使用、防止非法接入等，應(yīng)該選用一款終端安全管理軟件。

2.2 內(nèi)網(wǎng)行為審計(jì)安全風(fēng)險(xiǎn)

我們?cè)诤秃芏嘈畔⒒ぷ髡哒劦絻?nèi)網(wǎng)行為審計(jì)時(shí)，經(jīng)常會(huì)聽(tīng)到一個(gè)觀點(diǎn)，利用網(wǎng)絡(luò)的都是內(nèi)部人，不會(huì)有安全問(wèn)題。但實(shí)際情況是，大部分的網(wǎng)絡(luò)安全事件都和內(nèi)部人員或多或少有所關(guān)聯(lián)。當(dāng)然，這些“關(guān)聯(lián)”中既有主觀意愿上的，也有客觀環(huán)境下的。

如何利用內(nèi)網(wǎng)行為審計(jì)設(shè)備，來(lái)約束網(wǎng)絡(luò)內(nèi)部用戶的行為是一個(gè)大的課題。把握住行為信息收集的度，控制好審計(jì)的范圍和權(quán)限，便可以很大程度地避免一些審計(jì)帶來(lái)的風(fēng)險(xiǎn)，同時(shí)兼顧個(gè)人隱私。審計(jì)作為一種手段，我們應(yīng)該明確，審計(jì)的目的是為了安全，有效地審計(jì)可以讓網(wǎng)絡(luò)內(nèi)部操作可視化，以期達(dá)到隨時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)新的安全風(fēng)險(xiǎn)，進(jìn)而不斷調(diào)整網(wǎng)絡(luò)的安全策略，應(yīng)對(duì)技術(shù)發(fā)展帶來(lái)的風(fēng)險(xiǎn)，實(shí)現(xiàn)最大限度的安全。

2.3 系統(tǒng)漏洞安全風(fēng)險(xiǎn)

不管是什么操作系統(tǒng)都會(huì)存在一定的缺陷，所以我們應(yīng)對(duì)其定期的打補(bǔ)丁、修漏洞。系統(tǒng)出現(xiàn)漏洞也是導(dǎo)致黑客入侵的主要因素。很多軟件由于設(shè)計(jì)和研發(fā)的不

完善，都會(huì)留下漏洞。一般情況下，這個(gè)漏洞是不為人知的。但是一旦暴露就會(huì)被黑客所利用，給整個(gè)網(wǎng)絡(luò)帶來(lái)風(fēng)險(xiǎn)。

筆者通過(guò)對(duì)相關(guān)文獻(xiàn)的深入研究和分析，為提高網(wǎng)絡(luò)安全性，必須從上述網(wǎng)絡(luò)安全隱患的角度出發(fā)，提出相應(yīng)的網(wǎng)絡(luò)安全策略，有效地對(duì)其進(jìn)行解決和防范。

目前來(lái)講主要的漏洞風(fēng)險(xiǎn)處理辦法有兩個(gè)：①利用相關(guān)的漏洞管理工具，對(duì)網(wǎng)絡(luò)中的設(shè)備漏洞、系統(tǒng)漏洞等進(jìn)行定期的漏洞發(fā)現(xiàn)，同時(shí)進(jìn)行漏洞的管理。②利用入侵防御設(shè)備，建立虛擬補(bǔ)丁功能。入侵防御是根據(jù)黑客的攻擊特點(diǎn)，建立攻擊特征庫(kù)，對(duì)攻擊行為做出判斷后進(jìn)行有效阻止。

2.4 安全域訪問(wèn)控制風(fēng)險(xiǎn)

法院內(nèi)網(wǎng)是相對(duì)封閉的網(wǎng)絡(luò)，在法院信息化建設(shè)初期，由于資源有限，在安全建設(shè)上考慮相對(duì)簡(jiǎn)單。隨著信息化建設(shè)的進(jìn)一步推進(jìn)，考慮到整個(gè)網(wǎng)絡(luò)相對(duì)龐大，歷史的經(jīng)驗(yàn)告訴我們，堡壘都是從內(nèi)部攻破的。通過(guò)安全域的劃分，將整個(gè)網(wǎng)絡(luò)按照服務(wù)功能、使用對(duì)象等劃分成若干個(gè)安全域進(jìn)行有效管理。本文主要采取圖示形式，詳解省法院安全域的劃分。

3 移動(dòng)辦公時(shí)代的安全風(fēng)險(xiǎn)及對(duì)策

隨著信息技術(shù)日新月異的發(fā)展，移動(dòng)辦公時(shí)代悄然來(lái)臨。在給我們提供巨大便利的同時(shí)，也產(chǎn)生了許多不可預(yù)知的風(fēng)險(xiǎn)。

3.1 移動(dòng)辦公數(shù)據(jù)傳輸風(fēng)險(xiǎn)

由于提供移動(dòng)辦公的應(yīng)用服務(wù)器和法院內(nèi)網(wǎng)不可避免的要進(jìn)行數(shù)據(jù)交互，如何確保移動(dòng)辦公，同時(shí)確保線路不被利用，成為內(nèi)網(wǎng)安全的突破口是我們面臨的非常大的挑戰(zhàn)。

在構(gòu)建移動(dòng)辦公系統(tǒng)時(shí)，我們一定要同步構(gòu)建內(nèi)外網(wǎng)的信息交互方式。目前行業(yè)內(nèi)成熟的解決方案主要有兩種，一種是使用安全隔離與信息交互設(shè)備（網(wǎng)閘），另外一種是采用公安部研究所研發(fā)的網(wǎng)絡(luò)邊界接入設(shè)備。兩種方案實(shí)現(xiàn)原理類似。

由于移動(dòng)設(shè)備采用的是無(wú)線接入，信號(hào)是暴露在開(kāi)放空間的，因此采用原有的明文信息傳遞是非常危險(xiǎn)的，必須對(duì)信息進(jìn)行加密，確保信息不被外界獲取，或者即使獲取了也無(wú)法進(jìn)行破譯，VPN設(shè)備在移動(dòng)辦公解決方案中就成為不可缺少部分。

3.2 移動(dòng)客戶端身份認(rèn)證風(fēng)險(xiǎn)

由于移動(dòng)設(shè)備無(wú)論何時(shí)何地均能接入網(wǎng)絡(luò)，移動(dòng)設(shè)備的使用者是否為合法授權(quán)者變得不可知，這就給移動(dòng)辦公增添了更大的風(fēng)險(xiǎn)。加強(qiáng)身份認(rèn)證，是解決這個(gè)問(wèn)題的唯一辦法。目前來(lái)講采用雙因子認(rèn)證是比較高效的解決辦法，雙因子認(rèn)證（2FA）是指除密碼外，結(jié)合實(shí)物如：令牌、指紋、裸眼紅外等，兩種認(rèn)證條件對(duì)用戶進(jìn)行身份認(rèn)證的辦法。

3.3 客戶端應(yīng)用程序安全

為了方便使用，目前，大部分客戶端應(yīng)用程序使用移動(dòng)應(yīng)用程序（APP），目前主流的移動(dòng)應(yīng)用主要基于Android、IOS、Win8這三個(gè)開(kāi)發(fā)平臺(tái)，由于IOS是不對(duì)外公開(kāi)代碼，所以安全性相對(duì)較高。目前我們?cè)谝苿?dòng)應(yīng)用領(lǐng)域，主要面臨的風(fēng)險(xiǎn)是基于Android平臺(tái)開(kāi)發(fā)的客戶端。此類風(fēng)險(xiǎn)主要分為兩種：①發(fā)布在互聯(lián)網(wǎng)上的客戶端程序有被篡改的可能；②網(wǎng)絡(luò)上會(huì)發(fā)布仿真度非常高的移動(dòng)客戶端程序。

要規(guī)避客戶端應(yīng)用程序安全風(fēng)險(xiǎn)，需根據(jù)風(fēng)險(xiǎn)源制定相應(yīng)的策略。對(duì)客戶端程序被篡改的風(fēng)險(xiǎn)，目前行業(yè)內(nèi)最有效的做法是對(duì)客戶端應(yīng)用程序核心代碼進(jìn)行加密處理，使不能被反編譯，避免被篡改。針對(duì)網(wǎng)絡(luò)上的發(fā)布仿真度非常高的客戶端（釣魚(yú)性移動(dòng)客戶端），只能采取發(fā)布渠道檢測(cè)方式進(jìn)行處理，目前業(yè)界已有相應(yīng)的專業(yè)服務(wù)，主要針對(duì)主流的APP發(fā)布平臺(tái)進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，隨時(shí)獲取網(wǎng)絡(luò)上發(fā)布的仿真應(yīng)用，并提供釣魚(yú)性移動(dòng)客戶端的關(guān)閉業(yè)務(wù)。

參考文獻(xiàn)：

[1]雷公武.DDOS攻擊及其防御策略研究[J].計(jì)算機(jī)應(yīng)用技術(shù)，2014.

[2]許曉馮.Web應(yīng)用系統(tǒng)的安全威脅及其防[J].信息化研究，2009.

[3]馮登國(guó).網(wǎng)絡(luò)安全原理與技術(shù)[M].科學(xué)出版社，2003.