HJC黄金城

项目背景

法院信息系（xì）统（tǒng）勒索病毒防护（hù）: 距2017年5月12日WannaCry的大（dà）爆（bào）发（fā）已过去（qù）两年多了（le），但勒索病毒的威胁却从来不（bú）曾（céng）远离，反（fǎn）而呈现愈演愈（yù）烈之（zhī）势，传播方式（shì）更多元，病毒更新迭代加（jiā）快，勒索病毒（dú）俨然成（chéng）为近两年来最严（yán）峻的网络（luò）安全威胁之一。中铁HJC黄金城和信安通过对（duì）WannaCry变种跟（gēn）踪及在信（xìn）息安（ān）全行业的技（jì）术积累，针对WannaCry病毒攻击制作了安全防护指（zhǐ）南（nán）。

现（xiàn）状分析（xī）

称WannaCry为勒索病毒，不如叫勒索蠕虫，WannaCry主（zhǔ）要以邮件、程序木马、网页挂马的（de）形（xíng）式（shì）进行传（chuán）播，它能传播自身的某些部分或自（zì）身（shēn）功能的拷（kǎo）贝到计（jì）算机系统中，传（chuán）播速度极（jí）快！

勒（lè）索病（bìng）毒（dú）的攻（gōng）击方式从原来的（de）广撒网（wǎng）转（zhuǎn）向为定向攻击高价值目标（biāo），从对个人客户（hù）的攻击转（zhuǎn）移到对政府机构、重要（yào）行（háng）业、重要制造（zào）业等（děng）攻击的演（yǎn）变。当前，对勒索病毒（dú）的防护几乎成了（le）全民运动。

需求分析

根（gēn）据最高法《安全隔离与信息（xī）交（jiāo）换（huàn）平台（tái）建设要求》（FYB/T53001-2017）要求，法院业务（wù）专网（wǎng）与移动专网、外部专网、互（hù）联网进行数据交换要求使用单向光闸产（chǎn）品进（jìn）行网络隔离与数据交（jiāo）换。

随着在线庭审直播、在线案件受理平（píng）台等法院对外在线业务（wù）的开展，业务专（zhuān）网（wǎng）需要与互联网或（huò）其他相（xiàng）关（guān）业（yè）务单位进行数据交换。在网络边界部署安全产品不当，就会（huì）破坏（huài）法院业务专网边界完整性。当业务（wù）专（zhuān）网与这些非信任网络之间交换数据（jù）时（shí）就可能（néng）引（yǐn）入各（gè）种安全风险，其（qí）中包括令（lìng）人谈其色变的勒索病毒。勒（lè）索病毒对业务系（xì）统的破坏巨大，一（yī）旦中了勒索病毒（dú），对业务（wù）系统以及数据都会造（zào）成不（bú）可恢复的巨大（dà）破坏。

方（fāng）案设计

根据（jù）勒索病毒的特（tè）点，除（chú）通过网络设备简（jiǎn）单关闭协（xié）议端口（445、135、137、139、3389等）及部署杀（shā）毒软件外（wài），在内外网数据交换（huàn）时，也需要采取网络（luò）协议终止、内容（róng）检查与（yǔ）日志审计，确保网络（luò）请求无（wú）法（fǎ）穿（chuān）透系统进（jìn）入法（fǎ）院业务（wù）专网，从而达到阻止勒索病（bìng）毒（dú）等蠕虫病（bìng）毒（dú）传（chuán）播（bō）到法院业（yè）务专网。

根据勒索病毒的传播特点及防护机制，推荐法院（yuàn）业务专网与其他网络的边界部署中铁HJC黄金城和信安安全隔离与信（xìn）息单向导（dǎo）入系统（简称（chēng）“单向光（guāng）闸（zhá）”）进行隔离交（jiāo）换（huàn）。中铁HJC黄金城和信安单向光闸利用光信号的单向性（xìng）特点，实现数据的绝对（duì）单向（xiàng）传输（shū），防止了所（suǒ）有穿透性（xìng）业务请求，只单向摆（bǎi）渡明确允许的信息，切断了所有依赖网络传播的已知（zhī）和未知风险。对于需要双向交换（huàn）的数据，中铁信（xìn）安（ān）单向光闸提供（gòng）了由（yóu）两个独立单向（xiàng）设备组（zǔ）成双向数（shù）据交换通道的方（fāng）案，比（bǐ）防火墙、传统双（shuāng）向网闸的方案更安全。

方案总结

屏蔽（bì）现有的（de）勒（lè）索病毒及勒（lè）索病毒变种通过网络（luò）传播（bō）到法院业务专网，同时阻止其他（tā）形式传入的勒（lè）索病毒发作。

满足最高法《安全隔离（lí）与（yǔ）信息交换平台（tái）建设要求（qiú）》（FYB/T53001-2017）数据交换安全（quán）要求（qiú）。