一、项目概况
随着国际形式的发展以及信息安全问题的日益突出,信息安全已上升至国家战略层面,党政、公检法系统国产化替代已成为大势所趋,势在必行,铁西区人民法院已经逐步将Windows终端更换为信创终端。铁西区法院的国产终端共500余台,分布在办公、检查、审判庭等职能部门,这些国产化终端给法院的安全管控带来巨大的困难和挑战。尤其是对USB外设的管控,之前还处于空白状态,可能出现随意插入U盘、移动硬盘、智能手机等USB存储设备,拷贝信创终端机密文件的风险。同时,信创终端是禁止连接外网的,如果在信创终端私自接入无线WIFI或无线网络接收器通过手机热点联网,就会带来巨大的安全隐患。所以如何管控国产化终端的USB外设和避免违规外联,是目前铁西区人民法院需要面临和解决的重要问题之一。
二、实施方案
2.1 整体部署图
2.2 服务器部署
2.3 客户端部署
三、建立组织架构
铁西区人民法院内设政治处、监察室、办公室、研究室、审管办、民事审判第一庭、民事审判第二庭、民事审判第三庭、民事审判第四庭(劳动争议)、小额速裁庭、刑事审判庭、未成年人案件综合审判庭、行政审判庭、审判监督庭、执行局(执行一庭、执行二庭、裁决庭)、诉讼服务中心(立案庭)、司法警察大队共19个职能部门。我们在内控王管理端按照职能部门对终端进行分组,并按照房间号和使用人编辑终端的基本信息,方便管理人员对终端的识别以及之后根据需要统一施加策略。
四、策略设置
4.1 外设管理策略
针对公共区域,比如调解室,因为外来人员也可以接触到信创终端,所以对带存储功能的USB外设(U盘、移动硬盘、智能手机、刻录光驱)是严禁使用的,同时WIFI、蓝牙等有通讯功能的外设要禁止掉,打印机也是禁用的。在设置策略时,对公共区域的终端施加了禁用USB存储、禁用智能手机、禁用WIFI、禁用蓝牙、禁用光驱和禁用打印机的策略。
针对办公区域和办案区域,比如办公室、研究室、审判庭等部门的信创终端,有打印和资料导入的需求,所以保留了打印机和光驱,禁用了U盘、移动硬盘、智能手机和蓝牙设备,避免内部重要资料的流失。同时禁止了随身WIFI来规避通过WIFI进行违规外来操作带来的风险。除此之外,还设置了USB审计,记录所有违规插入USB存储设备的操作并告警,可以做到日后溯源有据可查。
4.2 违规外联策略
因为违规外联行为不仅带来巨大的安全风险而且是严重的安全事故,所以不管是公共区域、办公区域还是办案区域的所有信创终端统一执行阻断并告警策略。实现国产终端发出外联数据包之前进行阻断的效果,并在外联的客户端弹出提示告警信息。
五、实施效果
铁西区人民法院在部署了内控王信创终端安全管理系统之后,对国产终端的外设使用和违规外联行为实行了针对性的有效管理。
5.1 外设管理
1. 禁止使用任何带有存储功能(U盘、移动硬盘、智能手机)和通讯功能(蓝牙、WIFI)的USB外设,但不影响其他usb设备正常使用(CA锁、USB
键盘鼠标等),保护法院内部资料的安全。
2. 一旦插入U盘、移动硬盘等外设,内控王客户端在阻断设备加载的同时会弹出告警提示,清晰明了。
3. USB审计日志详细记录信创终端违规插入USB外设的信息,包括U盘详情、插入时间、部门、用户等信息,做到有据可查。
5.2 违规外联
1. 内控王客户端在信创终端的驱动层进行过滤拦截,无论终端通过无线WIFI连接手机热点联网,还是通过代理服务器方式联网,内控王客户端都会
在外网数据包发出前进行拦截,彻底避免了违规外联事件的发生。
2. 内控王客户端阻断违规外联行为的同时,还会在终端弹出告警提示框。
3. 违规外联告警日志详细记录发生违规外联终端的信息,包括用户名、部门、IP、时间等信息,为日后溯源提供数据支持。
|
