为深化政法智能化建设,加强“智慧政务”、“智慧法庭”、“智慧检察”、“智慧警务”、“智慧司法”等信息平台建设,深入实施大数据战略,实现科技创新成果与政法工作深度融合。 法制日报已连续举办六届“政法智能建设技术装备及成果展”。
作为装备展的配套活动,法制日报今年3月继续举办2023年政法智慧建设创新案例暨论文征集活动。 活动征集“智慧政务”“智慧法庭”“智慧检察官”“智慧警察”“智慧司法”创新案例、方案、产品、论文,结果将于6月25日公布。各入选创新案例方案、产品、论文在7月10日至11日举办的成果展上展出,并已编集成册——《2023年政法智能化建设创新案例及论文集》。
汇编分为五个章节:智慧治理、智慧法庭、智慧检察官、智慧警察、智慧司法。 为政法信息化、智能化建设提供及时、准确、实用的信息和经验。
应广大读者的要求,我们专门开设了专栏,展示一些创新案例、创新解决方案、创新产品、创新论文。 敬请期待!
以下为《智慧法院篇|创新产品“法院主动防御安全管理平台”》
法院主动防御安全管理平台
北京明朝万达科技有限公司
1、平台适用业务
结合全国法院整体网络安全和信息安全情况,发现法院终端侧管理存在以下风险场景:
私人使用移动存储设备传输数据
法院中存在一些利用移动存储设备复制专用网络中计算机数据的案件。 这种行为往往会造成敏感数据有意或无意的流出或者病毒流入私网,对私网的安全造成相当大的威胁。 。
非法外展活动频发
用户获取互联网接入条件的方式多种多样,导致互联网与法院专网频繁交叉使用,法院专网的网络安全难以保障。 同时,这种非法外展操作很难用管理系统来控制,产生不必要的后果只能通过基层检查来获得,无法做到“事前应对”。
资产信息统计薄弱
一些地方单位资产分布信息尚未明确,需要统计的信息往往需要人工统计,通过层层审批、上报资产上报。 这种方法不仅费时费力,而且降低了工作效率。 同时,当出现异常问题时,无法快速响应,给日常运维管理带来不便,更容易造成“由小变大”的异常问题。
用手机截图或拍摄电脑屏幕可能导致敏感数据泄露
私网中的数据目前缺乏控制截图或手机照片的功能。 敏感数据可以通过截图或手机照片传输到外部网络。 然而,我们无法追踪数据流出的计算机,也没有技术手段来定位它。
机密文件有意无意地传输到专用网络
涉密文件的管理和使用有专门的管理规定和使用方法。 然而,有时机密文件会被有意或无意地传输到专用网络。 因此,为了保证机密文件的安全、合规管理,我们需要切实可行的方法。 管理。
2、平台核心功能
构建主动防御安全管理平台,涵盖硬件、网络、软件和应用,实现系统的实时洞察、实时监控和实时管理,从两用情况的实时控制到实时监控时刻终端安全管理洞察,实现智能安全运营。 核心功能如下:
违规外展检测
业务服务器和违规外联检测服务器分别部署在专网和互联网上,终端安装违规外联客户端。 终端一旦接入互联网,就会产生一系列日志,同时上报给业务服务器和违规外联检测服务器;
图1 违规外链双重检测上报机制
非法外展后网络被封锁
非法外展事件发生后,我们总是事后处理主动防御软件有哪些,但我们往往无法知道事件发生期间是否发生了数据丢失或病毒入侵。 为了防止非法外联事件造成不可挽回的后果,我们使用非法外联拦截能力。 违规外部连接可立即被屏蔽; 非法外部连接拦截能力支持非法外部连接发生后自动断网、自动网络恢复和手动网络恢复。
图2 非法外网拦截
移动存储设备管理
移动存储介质管理系统对计算机客户端移动存储设备进行管理,实现对U盘、移动硬盘等移动存储设备的完整生命周期(注册、授权、使用、挂失、注销)管理和控制。不仅保证了计算机移动存储设备的正常使用,还能有效防止因随意使用移动存储设备而带来的数据泄露等安全风险。
图3 U盘管理与控制
资产发现和收集
系统中的资产发现功能支持客户端自动发现和服务器手动扫描。 客户端自动发现可以发现当前客户端所在IP地址段全网段的设备信息; 服务器手动扫描可以指定扫描的地址段,也可以全量扫描; 可以实现对系统检测到的客户的实时洞察和实时监控。
图 4 资产发现扫描
周边控制
管理员可以设置外设管理和控制策略,对常见类型的终端外设进行禁用和控制。 支持管理和控制的外设类型包括:通用串行控制器、网络适配器、DVD/CDROM 驱动器、磁盘驱动器、蓝牙设备、PCMCIA 卡、智能卡读卡器、指纹设备、便携式设备、成像设备和 SD 控制器。 另外,对于不常用的外设,可以通过在系统外部设备资源库配置中定义设备关键字(设备类型或驱动程序)来禁用外设控制功能。
图5 外设管控
3. 平台适用技术
系统可提供通用接口,与法院业务系统及各平台无缝对接。 部署方式灵活,无特殊部署环境要求主动防御软件有哪些,安全可靠。
服务器运行环境
支持Linux操作系统,以及国产统一信息系统和银河麒麟系统。
客户端运行环境
支持Windows 7-10全系列系统,支持国产统一通信系统和银河麒麟系统(arm、mips、amd)和Linux操作系统。
4、平台优势
普遍性
主动防御安全管理平台全面解决了主院与分院分开建设、信息隔离的问题。 同时,平台采用B/S+C/S架构,实现操作简单、部署高效、复制推广能力强,平台可用性高。 、兼容性强的特点。
多场景覆盖能力
平台可以根据不同的政治法律结构分配不同的账户权限、制定不同的执行策略、指定不同的人员、展示不同级别的内容;
产品易用性
服务器界面简洁易操作、易于使用、易于维护、可视化部署;
客户端支持静默推送、指定用户/组织结构推送、用户侧无感知升级。
系统兼容性
20M简单客户端,无感知部署,资源占用极低,低端终端运行流畅,广泛覆盖国产系统和Windows系统。
5、平台创新
P2P高效批量客户端升级
在大量客户端升级过程中,为了保证网络带宽占用低、升级速度快,采用客户端向服务器请求升级包的方式; 服务器判断请求升级的客户端所在网段的其他客户端是否升级成功。 如果是,则向请求客户端所在网段请求升级成功客户端的IP地址,否则直接将升级包发送给请求客户端; 如果请求客户端收到返回的IP地址,就会以P2P的方式发送给该返回的IP地址对应的客户端。 客户端请求升级包,否则接收服务器返回的升级包。
双客户端报告和双服务器验证
为了保证客户端数据上报的容错性、高效性和稳定性,采用双上报、双服务器接收、合并验证的方式保证数据不丢失,并采用相互验证的方式保证非法外联数据的准确性。
6、平台价值
通过主动防御安全管理平台的建设,从无到有地实现了用户侧网络访问管理和控制的过程。 同时,该平台也可以作为用户数据保护的有力起点。
实现法院专网与其他网络之间的非法对外联系监控、阻断的全流程管理,并采用其他终端管理方式解决终端数据安全; 针对法院专网需求提供全场景、全流程解决方案,解决数据安全风险问题,进一步控制数据泄露; 通过数据可视化,用户可以一图尽览,更直观地展示安全事件分布和设备资产状况。
