也可直接联系我们
方式一 拨打报名热线或邮件咨询:
电话: 010-67046081
邮件: 195024562@qq.com
方式二 填写参会确认表
表单下载: 下载
发邮件至: 195024562@qq.com
或传真至: 010-67046081
为深化政法智能化建设,加强“智慧治理”“智慧法院”“智慧检务”“智慧警务”“智慧司法”等信息平台建设,深入实施大数据战略,实现科技创新成果同政法工作深度融合。法制日报社已连续举办了六届“政法智能化建设技术装备及成果展”。
作为装备展配套活动,法制日报社于今年3月继续举办了2023政法智能化建设创新案例及论文征集宣传活动,活动征集了“智慧治理”“智慧法院”“智慧检务”“智慧警务”“智慧司法”创新案例、方案、产品、论文,6月25日结果揭晓发布。入选的各类创新案例、方案、产品、论文在7月10日至11日举办的成果展上进行了集中展示,并已编辑整理成册——《2023政法智能化建设创新案例及论文汇编》。
该汇编分为智慧治理篇、智慧法院篇、智慧检务篇、智慧警务篇、智慧司法篇五个篇章,为政法信息化、智能化建设提供及时、准确、 实用的资讯信息与经验观点。
应广大读者要求,我们特开辟专栏,分别将部分创新案例、创新方案、创新产品、创新论文进行展示,敬请关注!
以下推出的是《智慧法院篇 | 创新论文之“基层法院数据安全探索”》
基层法院数据安全探索
施元馨 江苏省南京市六合区人民法院
网络安全是数字化时代的基础底座,也是智慧法院的基础底座。网络安全和数据资产已成为整个角力时代的主战场。2021年,备受关注的《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》正式实施,与《中华人民共和国网络安全法》共同形成了数据安全领域的“三驾马车”,从国家战略的角度来指导整体网络安全的建设,法院也出台了一系列的行业规范来指导法院网络安全的建设,包括云安全,网络安全和数据安全的建设。本文主要从基层法院数据的来源、安全隐患以及防护等角度探索基层法院数据安全。
一、基层法院网络数据来源
人民法院作为国家的审判机关,随着智慧法院建设深度推进,在2017年,我国各法院之间的网络连接已经建成,实现了全国法院一张网,大量的信息和数据在专网内传输、交换,例如诉讼当事人的信息等,也包括具体案件信息、证据信息等。海量的数据在专网内部跑着,这些最原始的、未被加工的记录,其本身没有实质价值,但通过对进行处理、挖掘将提炼出有价值的关联信息,甚至可能会还原个人隐私、商业秘密、国家机密等,数据生产、汇聚、存储、治理、加工、传输、使用、提供、公开等过程存在着巨大的安全隐患。根据基层法院产生的网络数据的来源,笔者认为可以分为三种:
第一种是法院专网中基于上级法院统建系统产生的数据,该种数据占法院数据的绝大多数,产生于上级法院统建的系统中,数据存储在上级法院。
第二种是法院专网中基于自建系统产生的数据,该种数据一般存储于本院机房中,如内部网站数据、文件系统数据、电话录音、监控视频等数据。
第三种是对外公开的数据,如中国裁判文书网、中国执行信息公开网、中国审判流程信息公开网、中国庭审公开网(简称司法公开四大平台)公开的本院审判执行等数据;互联网门户网站数据;微信公众号数据;外部人员在档案室调档的数据等。
二、基层法院数据安全隐患排查
数据处理业务本身具备其复杂性,某一个人为操作在庞大的数据处理行为中犹如“沧海一粟”,简单的手机屏幕拍摄、微信文件传输、U盘拷贝、资料打印都是数据泄露的渠道。根据数据来源的分类,笔者对数据安全隐患分析如下:
1、法院专网内基于上级法院统建系统产生的数据,基层法院录入数据、使用数据、加工数据,在这些过程中接触数据的人最容易产生数据安全问题。接触数据的人不仅有法官、书记员,基层法院对大量事务性工作进行了外包,这些外包人员同样也存在着数据安全风险,甚至比法院工作人员的风险更大,建设系统的人员在系统建设上有没有留有什么bug,同样也是存在着数据安全风险。上级法院据主要存储在上级法院,上级法院的数据安全问题本文暂不讨论。
2、法院专网内基于自建系统产生的数据,系统的建设者、使用人员以及最终的维护人员对系统所产生的数据存在不可推卸的责任,因基层法院技术力量薄弱,不少基层法院将运维工作也进行了外包,技术运维外包的风险显而易见更大。自建系统最终产生的数据存储在自建机房中,数据的安全存储也存在着安全问题。
3、对外公开的数据,该种数据通过审批后可对外公开,泄露风险在于操作不当或审批不严格,导致不该公开的被公开,如南京某法院将“开庭”写作“开房”,不仅是数据安全问题,更是引起了舆论危机,在人人都是自媒体的时代,数据安全已经不仅局限于数据本身了。
三、基层法院数据安全防范措施
笔者认为法院的数据安全主要通过技防、人防以及外防三方面结合进行防护。
(一)技术防范,科学预防
针对数据存储可能产生的泄露风险,一般通过网络层面、系统层面以及终端层面分别进行防护。
网络层面,法院办公办案主要在法院专网,与互联网严格分离开,内部专网信息安全等级保护要求定级为三级,在网络边界部署防火墙、防入侵检测、态势感知等设备,在防火墙上设置策略,仅允许访问特定的内部网络,并且仅特定的内部网络访问基层法院网络。
系统层面通过部署堡垒机、日志审计、数据库审计等系统记录服务器使用情况,分析存在网络风险等,部署备份系统,便于出现问题及时恢复。建设数据备份系统,实现数据的安全备份。
终端层面,通过划分安全域,要求所有连入内网设备均有特定IP,并通过上网准入系统验证,所有终端台式电脑安装杀毒软件、违规外联程序、封锁USB口以及光驱,管理员账号设置八位复杂密码,禁止内外网互联。通过以上措施最大限度保护内部网络安全以及数据安全,避免计算机病毒、黑客入侵等不安全因素,杜绝内部数据的随意导入导出。
(二)建章立制,规范管理
针对过程中产生的数据泄露风险主要通过提高干警数据安全意识进行防范,每年组织保密培训、开展数据泄露警示教育、与全体干警签订保密承诺书等方式,强调保守工作秘密,禁止向外透露不宜公开的数据。同时要求加强对个人电脑的管理,对存储的办公办案信息妥善保管,防止被他人盗用,造成不必要的损失。
针对对外公开数据的泄露风险主要通过建章立制进行防范,所有对外公开数据都必须进行逐级审批,制定信息发布审核管理规定等相关规定,严格落实最高人民法院关于裁判文书上网、执行信息公开、审判流程公开以及庭审直播的相关规定,坚持深化公开和全面规范并重,在依法公开的同时,把握公开质量关、效果关,确保司法公开工作规范、安全、高效。
(三)严格运维合作公司及外包人员安全管理
相比较于法院工作人员,外包公司及人员的安全防范意识明显不足,因此,运维公司及外包人员的管理也尤为重要。应遵循“合规性、预防性、有限授权、监督制约”的原则,加强外包服务信息安全管理。
对运营商的选择,确保外包运维服务商的选择符合国家的有关规定,签订合同,明确约定外包运维的范围、工作内容。与外包人员签署《保密承诺书》,明确保密范围、保密责任、违约责任、有效期限等内容。离岗时,应及时完成外包人员的账号撤销、设备安全检查审核、技术资料移交等工作。如可能涉及对敏感信息的访问、处理、存储要求,要求脱密期管理等。
四、结语
全国法院从2016年开始连续6年参加公安部组织的国家级攻防演练,2023年2月15日至24日,全国法院范围内首次网络攻防演练,都是以不限制手段、路径,进行获取权限并攻陷指定靶机为目的实战攻防演练,通过真实网络中的攻防演练,全面评估目标所在网络的整体安全防护能力,检验防守方安全监测、防护和应急响应机制及措施的有效性,锻炼应急响应队伍提升安全事件处置的能力。一方面,由最高人民法院从顶层设计进行统一安排部署,以保障四级法院网络全联通、业务全覆盖、系统全融合、数据全共享。另一方面在攻与防之间体现了最高人民法院对网络安全与数据安全的重视程度。
网络安全和数据安全任重道远!
责任编辑:晓莉