一、方案背景 
    人民法院根据法律规定负责辖区内的刑事、民事、经济、知识产权、行政和执行等案件的审判工作。根据高法信息化建设工作要求，大量的应用系统需要在网络中畅通运行，网络信息承载量不断增大。为了保证高法信息网络安全稳定地运行，必须对信息网络资源进行优化配置；必须增强网络系统中核心服务器的底层安全；必须规范运维及其他相关人员的操作权限；确保核心数据资产的保密性、可用性、完整性。
目前高级高法政法网络已经覆盖到所有基层单位，应用已经在网络平台上大规模开展，并不断增加，日常工作对网络的依赖性日益增加，因此，确保高法信息系统的安全，保障数据的机密性、可用性工作显得尤为重要。 
    网络应用给人们带来了无尽的好处，更方便了高法系统各项日常工作的开展。但随着网络应用扩大网络安全风险也变得更加严重和复杂。高法系统的各种关键数据和办公系统已经离不开日益先进的网络系统。一旦网络出现安全问题，对于高法系统这种要害部门来说其危害将是无法估量的。
二、安全需求分析 
    服务器对病毒木马等恶意程序免疫能力低下 
    高法的网络为了给广大人民群众提供服务,与互联网存在多处网络边界,而且随着高法信息系统的不断发展建设,本身网络范围也日益扩大,无法避免来自互联网或业务系统网络中病毒和木马等恶意程序的困扰，出现过由于病毒在内网泛滥而导致的信息系统中断等情况。传统杀毒软件“特征库”的查杀方式，已很难跟上病毒增长的速度，而且随着病毒技术的发展，很多病毒利用现在操作系统底层安全性不足的缺陷，已经深入到系统内核层，这不仅增加了查杀的难度，甚至出现杀毒软件自身被病毒从底层破坏，数据资产被病毒木马任意支配的情况。 
    信息系统底层安全不足 
    目前高法系统普遍使用的是国际通用的主流商业服务器操作系统，这些操作系统在TECSE（橘皮书）标准中，都属于C2级操作系统，本身不具备完善安全防护功能，在传统的安全意识中，应用系统的底层安全往往是给服务器安装补丁以及进行一些手工加固，没有对系统本身保护的产品和措施，那么如果采用来自应用层的攻击，且进行包重组技术，完全有可能绕过，由于是应用层攻击，防火墙无法控制，那么这种攻击行为可以直接顺利进入高法内网任何一台服务器，而对于杀毒软件来说，由于高法内网与互联网隔离，病毒库等关键组件无法及时更新，而且攻击者只需要稍微对攻击的特征代码进行修改，也有可能逃避杀毒软件的查杀。 
    完善、加强管理制度需求 
    高法系统各个部门之间合理的职能划分，是实现信息系统高效、安全运行的制度保障。 
    在现有的高法系统职能划分中，高法系统相关职能部门负责数据采集、发布、更新工作，而保障业务信息系统的安全运维工作是由在信息中心指导下的厂商现场专人维护完成。现在行业内的计算机系统基本上都是以厂商现场专人维护方式，因此对于本系统应用的服务器系统，存在服务器厂商、数据库厂商、应用系统厂商三方共同维护的问题，各厂商从分清责任考虑都仅对自己责任范围内负责，然而我们面临的问题是，三方在分清责任的同时，却并没有规范各自的权限。 

    信息保密性和完整性需求 
    由于高法系统存储着涉及国家安全和法律公正等重要信息，极容易遭到专业黑客和境外敌对势力的渗透攻击，所以对信息系统的保密性和完整性有着极高的要求。各级人民高法门户网站是司法机关面向社会的重要窗口，对提高司法效率，降低成本，保障广大人民群众合法权益，具有十分重要的意义和作用。 
    一旦系统遭到非法入侵，如果不能在最短的时间内将系统恢复正常，并采取相应安全措施防止类似事件的再次发生，必将给高法系统造成经济和声誉上的重大损失。

(责任编辑：adminadmin2008)