摘要

        根据最高人民法院对全国系统信息化建设的总体规划和总体要求，全省三级法院将完成高级法院、中级法院和基层法院的计算机局域网和广域网建设。各级法院的局域网，为以审判为主的法院各项工作提供了审判流程管理，审判辅助管理，司法统计管理，办公和司法行政管理等功能。随着局域网体系的逐步形成，以及三级网络的互联互通，逐步实现各类信息交换与资源共享，远程调档取证以及异地诉讼办案等功能，提供了基于IP方式，集数据、音频、视频三网融合的信息传输功能。

        不同安全级别的网络进行网络互联即产生了网络边界。边界完整性保护即防止来自网络外界的人员非法访问到内部网络，保证网络的逻辑隔离或物理隔离措施的有效性。对边界完整性的危险主要为终端层面和网络层面两大类。保护网络边界完整性对于网络正常运行的重要性，与保护边境安全对于国家安全的重要性类似。从风险评估角度,网络边界完整性得不到有效保护,网络边界一旦被破坏，在网络边界防护上的巨大投入（包括防火墙、UTM、入侵防御（IPS）、入侵检测（IDS）、上网行为审计、安全隔离与交换系统系统等）和努力将化为乌有，由此引发的核心数据外泄、甚至网络瘫痪的代价将是巨大的。

        本文基于法院业务专网所面临的各方面边界完整性威胁，详细介绍应对各类威胁应采取的相关措施，最后介绍若边界完整性不慎被破坏采取的相关安全措施。

        关键词：法院业务专网、边界完整性、非法外联、非法内联、安全隔离。

        基于终端的边界完整性防护

        终端非法外联防护

        内网合规终端的非法外联可能导致终端上敏感文件的泄露，甚至出现以单台终端为跳板入侵这个法院业务专网的情况出现。内网终端非法外联途径主要包含：多网卡连接不同网络（如法院业务专网和政务网）、私接wifi、蓝牙连接、手机USB共享网络等。

        对于内网终端的非法外联防护重点在于使用终端安全管理系统实现对终端合规情况和具备网络连接能力设备的管控，只允许合规终端启用单张物理网卡连接法院业务专网，禁用其他全部网络连接设备。

        终端非法内联防护

        终端非法内联即通过各类途径将外部终端接入法院业务专网，基于法院业务专网特点，非法内联途径主要有基于PC终端信息点的非法接入和基于视频终端信息点的非法接入。

        针对终端非法内联的防护重点在于使用终端安全管理系统实现法院业务专网所有接入终端的准入控制，基于终端MAC地址、IP地址、配置合规情况进行综合判断，通过与接入层交换机联动实现对不合规终端的入网进行阻断。同时将交换机未使用端口进行关闭，加强接入交换机物理环境安全管理，防止恶意人员接触接入层交换机。

        法院业务专网同时接入有视频终端，部分视频终端物理环境不可控（如围墙上部署的视频终端），且视频终端为哑终端，无法安装内网安全管理系统客户端软件，基于内网安全管理系统的准入控制只能对视频终端的MAC地址、IP地址进行检查。而MAC地址和IP地址很容易被伪造，从而绕过内网安全管理系统的准入控制机制。所以针对法院业务专网视频终端信息点的非法接入需要在准入控制的基础上加强防护措施。

        对于基于视频终端信息点的非法接入防护重点在于识别视频终端设备和视频流量，在视频终端接入信息点上只允许视频终端接入，在视频数据传输链路上只允许视频流量通过。视频安全防护系统可基于国际标准视频协议onvif和国标视频协议GB28181，识别视频终端硬件特征码和视频终端行为基线，通过MAC地址、IP地址、硬件特征码和视频终端行为基线的绑定，实现视频终端的准入，同时在视频传输链路上只允许视频数据传输，阻断其他数据流量，避免非法终端通过视频终端信息点的接入。

        基于网络的边界完整性防护

        由于业务开展需要法院业务专网需要与其他网络进行信息交换，如移动办公需求需要实现与运营商移动专网的信息交换、执行查控需求需要实现与外部专网（政务网）的信息交换。在不同网络边界部署数据交互产品不当，就有可能让其他网络终端访问到法院专网，造成法院业务专网边界完整性的破坏。

        根据最高法2017年4月20日发布的《中华人民共和国法院行业标准——安全隔离与信息交换平台建设要求》（FYB/T53001-2017）要求，法院业务专网与移动专网、外部专网、互联网进行数据交换推荐使用单向光闸产品进行网络隔离。基于上述推荐标准的要求，使用隔离安全性高于单向光闸的单向光盘摆渡机和影像识别单向信息传输系统也可满足安全隔离与信息交换的要求。

        单向光闸

        单向光闸主要由源主机、接收主机和分光器三部分组成。源主机主要用来从源端采集数据，目标主机用来向目标端装载数据，分光器为无源设备。

        单向光闸主要采用分光镜像的原理，通过分光器将发送主机上的数据镜像到目标主机上，实现数据的单向传输，且接收主机没有回路。单向光闸的分光反馈馈和数据确认机制（数据签名和收发确认校验）保证了数据传输的正确性和完整性。

        如图所示，单向光闸主要由源主机、目标主机和分光器构成。分光器是组成光通道网络的一个组件，是一个连接光缆终端设备(OLT)和光接收节点（ONU）的无源设备，它的功能是分发下行数据。分光器带有一个上行光接口，和若干个下行光接口，从上行光接口过来的光信号被分配到所有的下行光接口传输出去。

        源主机上有两个光通道网卡，目标主机上有一个光通道网卡；分光器的输入端和源主机的一个光卡（称为发送光卡）的输出端用一条单向光纤连接，使光信号可以从发送网卡的发送端发射到分光器的输入端。

        源主机的另一个网卡（称为接收光卡）的输入端和分光器的一个分光输出端连接，接收光卡的输出端与发送光卡的输入端相连接。分光器的另一个输出和目标主机上的光通道网卡（称为目标光卡）的输入端一一相连。

        源主机上运行两个进程：发送进程和接收进程。发送进程通过发送光卡发送数据包。这些数据包被发送光卡转换成光信号，从发送光卡的输出端发出。而这一光信号被分光器分成2束与接收到的光信号相同的光信号。其中一束光信号被源主机的接收光卡接收；另外一束光信号被目标主机的目标光卡接收。

        在目标主机上安装有光通道网卡，其接受端与分光器的输出端连接，从而可以收到来自分光器的光信号。这些光信号来自分光器输入的光信号的分光，所以其内容与源主机上发送光卡的输出端发送的内容是一致的。目标主机上的目标接收进程将光通道网卡上的接收到的光信号还原为数据块，并组装成与源端一致的数据，从而实现单向的数据传输。

        对于内外网双向数据交互需求，可采用两台单向光闸分别作为数据出入的唯一连接通道。

        单向光闸不仅实现了法院业务专网与其它网络的数据交互，而且杜绝了所有网络连接通过单向光闸建立的可能性，从物理隔离层面保障了法院业务专网边界完整性。

        单向光盘摆渡机

        单向光盘摆渡机是一种以光盘作为数据载体，通过刻录光盘这一模拟手工拷贝的方式，自动进行离线式数据交换的隔离交换系统。它由主控服务器（主控机）、隔离光盘库、受控服务器（受控机）三部分组成。

        主控服务器通过网线和专用SATA数据线与隔离光盘库相连，SATA线连接刻录光驱，网线连接隔离光盘库的控制口，通过指令控制隔离光盘库，实现光盘刻录、光盘摆渡和光盘回收；受控服务器仅通过专用SATA数据线与隔离光盘库的只读光驱连接，当监测到只读光驱中放入了光盘后，自动读取光盘中的数据。受控机无法对隔离光盘库进行任何控制操作；隔离光盘库无任何操作系统，只有固化后的光盘库调度控制软件；主控服务器的数据通过隔离光盘库的刻录光驱刻盘，通过隔离光盘库的机械臂将刻录好的光盘摆渡到只读光驱，受控服务器从只读光驱进行数据的读取与分发。受控服务器连接的是只读光驱，在物理层面保证了数据传输的单向性，同时单向光盘摆渡机的物理隔离交换机制也实现了其他网络无法对法院业务专网发起访问连接，保障了法院业务专网的边界完整性。

        单向光盘摆渡机与单向光闸相比，具备隔离安全性更高的优势，但其信息交换速率和时延明显高于单向光闸，无法满足吞吐量较大和实时性较高的业务信息交换环境。

        影像识别单向信息传输系统

        影像识别单向信息传输系统是一套独立的物理设备，它由外网主机（编码端）、内网主机（解码端）、单向物理隔离通道三个部件组成。

        内网主机与外网主机是两套独立的工业级主机，各自都拥有CPU、存储、总线和操作系统，在两套主机之间除了单向物理隔离通道外并不存在任何直接或间接的联系。外网主机负责处理外部网的协议阻断、数据剥离、图像编码等工作。内网主机负责负责图像解码、数据校正（容错处理）、协议封装等工作。

        单向物理隔离通道是通过二维码隔离通道实现，由液晶显示屏和高速摄像机组成，是影像识别单向信息传输系统的核心部分。显示屏与外网主机相连，高速摄像机与内网主机相连。外网主机将数据进行二维码编码后，在显示屏上显示。内网主机通过高速摄像机拍摄图像并进行解码，再将数据转发出去。单向物理隔离通道没有任何物理的连接，保证了内外网之间传输数据的物理隔离与阻断。

        影像识别单向信息传输系统与单向光闸相比，具备隔离安全性更高的优势，其传输时延略高于单向光闸，信息交换速率低于单向光闸，主要用户对隔离安全性较高、时延要求较高且信息交换量较少的业务环境。

        边界完整性检测

        2016年4月19号习近平总书记《在网络安全和信息化工作座谈会上的讲话》（简称419讲话）中提出“网络安全是相对的而不是绝对的”。同样边界完整性的保护也是相对的，没有绝对的边界完整性，要立足实际网络情况保障边界完整性，避免不计成本追求绝对的边界完整性。

        笔者基于投资回报比和实际网络情况建立的适度边界完整性防护措施是有可能被打破的，所以除了部署边界完整性的保护措施，还应部署边界完整性的检测措施，在边界完整性被破坏时能进行及时告警，甚至实现违规行为阻断。进行边界完整性检测措施的部署，相比不断增强边界完整性防护措施，投资回报比更高，且实现了边界完整性破坏行为的事中阻断和事后溯源。

        边界完整性检测系统

        边界完整性检测系统通过旁路扫描技术可实时检测网络中私自扩展的网络（即私建网中网）、网络中私自接入的无线AP与随身Wifi设备、网络中以NAT方式私自接入的路由设备、网络中双网卡之间的网络共享、网络中私自接入的BYOD设备（智能手机、平板等设备）、通过智能手机（USB共享网络或WIFI热点方式）等破坏边界完整性行为的检测。

        基于旁路扫描技术的边界完整检测，无需在终端上部署客户端，部署使用方便，同时可弥补终端安全管理系统客户端安装率过低，导致防护能力不足的缺陷。

        边界完整性检测系统通过SNMP协议调用交换机信息，可实现违规终端的快速定位和阻断，能够将违规终端自动定位到所连接的交换机端口，并可根据管理需要对违规设备进行阻断控制，快速将违规设备从网络中进行隔离。

        结语

        本文详细介绍了法院业务专网边界完整性所面临的各方面威胁和对应的安全防护措施，同时基于“网络安全是相对的而不是绝对的”理念，介绍了边界完整性破坏行为出现时的安全措施，实现事前预防、事中阻断、事后溯源的全过程防护。

        参考文献

        [1]中华人民共和国最高人民法院.《中华人民共和国法院行业标准——安全隔离与信息交换平台建设要求》（FYB/T53001-2017）

        [2]习近平.《在网络安全和信息化工作座谈会上的讲话》

        [3]公安部信息安全等级保护评估中心.《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）

        [4]公安部计算机信息系统安全产品质量监督检验中心.《信息安全技术信息系统安全审计产品技术要求和测试评价方法》（GB/T20945-2013）

        [5]中国信息安全认证中心.《数据单向传输产品安全技术要求》（ISCCC-TR-025-2013）

        [6]中国信息安全产品测评认证中心.《信息安全技术网络和终端设备隔离部件安全技术要求》（GB/T20279—2006）

        （作者单位：福建省三明市中级人民法院）