以诚为本赢在信誉9001cc(中国)有限公司

项目背景（jǐng）

法院信息（xī）系（xì）统勒索病毒防（fáng）护: 距2017年（nián）5月12日WannaCry的（de）大爆发已过去两年多（duō）了，但勒索病毒的威胁却从来不曾远离，反而呈现愈（yù）演愈烈之势，传播方式（shì）更多元，病毒更新迭代加快，勒（lè）索（suǒ）病毒俨然（rán）成为近两年（nián）来最严（yán）峻的（de）网络安全威胁之（zhī）一。中铁以诚为本赢在信誉9001cc和信安（ān）通过对（duì）WannaCry变种跟踪及（jí）在信息安全行业的（de）技术积累（lèi），针对WannaCry病毒攻（gōng）击制作了安全防护指南。

现状分析

称WannaCry为勒（lè）索病（bìng）毒，不如叫勒索蠕虫，WannaCry主（zhǔ）要以（yǐ）邮（yóu）件、程序木马、网页挂马的形式进行（háng）传播，它能传（chuán）播自（zì）身的某（mǒu）些部分或自（zì）身功能的拷贝到计算机系统（tǒng）中，传播（bō）速（sù）度极快！

勒索病毒（dú）的攻击方式从原来的广撒网（wǎng）转向为定（dìng）向攻击（jī）高（gāo）价值目标，从对（duì）个人（rén）客户（hù）的攻击转移到对政府机构、重要行业、重（chóng）要制造业等攻击（jī）的演（yǎn）变。当前，对勒索病毒的防护几乎成了全民运动。

需求分析

根据最高法《安全（quán）隔（gé）离与信（xìn）息交换（huàn）平台建设要求》（FYB/T53001-2017）要求，法院业务专网与移动专网、外部专网、互联网进行数据（jù）交换要求使用单向（xiàng）光闸产品进行网络隔（gé）离与（yǔ）数据交换。

随着在线（xiàn）庭审直（zhí）播（bō）、在线案件受（shòu）理平台等（děng）法院对外在线（xiàn）业务的开展，业（yè）务专网需要与互联网或其（qí）他（tā）相关业务单位进行数据交换。在网（wǎng）络边（biān）界部署安全（quán）产（chǎn）品不当，就会破坏法院业务（wù）专网边界完整性。当业务专网（wǎng）与这（zhè）些（xiē）非信任网络之间交换（huàn）数（shù）据时就可能引入各种安全风险，其中包括令人谈其色变的勒（lè）索病毒。勒索病毒（dú）对业务系统的破（pò）坏巨大，一旦（dàn）中了勒索病毒，对业（yè）务系统以及数据都会造成不可恢复的巨大破坏。

方案设计

根（gēn）据勒索病毒（dú）的（de）特点，除（chú）通过网络设备简单关（guān）闭协议端（duān）口（445、135、137、139、3389等（děng））及部署杀（shā）毒软件外，在内外网数据交换时，也需要采取网络（luò）协议终止（zhǐ）、内容检查与日志（zhì）审计，确保网络请求无法穿透系统进入（rù）法院业务专网，从而达到（dào）阻止勒索病毒等蠕虫病毒传（chuán）播到法院业务专网。

根据勒索病毒的传播特点及防护机（jī）制（zhì），推荐法院业务（wù）专网（wǎng）与其（qí）他网（wǎng）络的边界部（bù）署（shǔ）中铁信（xìn）安安全隔离与信息单向导入系统（简称“单（dān）向（xiàng）光闸”）进行（háng）隔离交换。中铁以诚为本赢在信誉9001cc和信安（ān）单向（xiàng）光闸利用光信（xìn）号的单向性特点，实现数（shù）据（jù）的绝对单向（xiàng）传输（shū），防止了所有（yǒu）穿（chuān）透（tòu）性业务请求，只单向摆渡明确允许的信息，切断了所有依赖网络传播的已知和未知（zhī）风险。对（duì）于需要双（shuāng）向（xiàng）交换的数据（jù），中铁以诚为本赢在信誉9001cc和信安（ān）单向光（guāng）闸提（tí）供了由两个（gè）独立单（dān）向设备组成双向数据交换（huàn）通道的方（fāng）案，比（bǐ）防火墙、传统双向网闸的方案更安（ān）全。

方案总（zǒng）结

屏蔽现（xiàn）有（yǒu）的勒索病毒及勒索病毒变种通过网络传播到法院业务专（zhuān）网，同时阻止其他形式传入的勒索病毒发作（zuò）。

满足最（zuì）高（gāo）法《安全隔离与信息交换（huàn）平（píng）台（tái）建设要求》（FYB/T53001-2017）数据交（jiāo）换安全要求。