浙江高院：基于“零信任”的“2+2”安全运营体系建设

　　一、适用业务

　　基于“零信任”的“2+2”安全运营体系建设适用于浙江省高级人民法院以下业务范围：办案办公系统、审判系统、执行系统、数字法院、文书上网等。

　　二、建设思路

　　（一）通过构建以“零信任”为核心的新一代安全架构，面向访问应用的主体对象建立身份可 信、权限可控的动态业务安全访问体系；

　　（二）在网络、业务系统的运行监控管理的基础上，实现网络、IT 资源、业务应用的集中监控 和统一操作，主动、及时地发现问题，解决被动救火的局面，将分散的设备管理转变为集中一体化 操作；

　　（三）通过覆盖网络、终端、云平台的未知威胁检测检测能力，汇总云端威胁情报、流量信息、 资产、告警等信息集中分析，以及通过安全服务开展威胁持续监测、威胁分析研判、事件及时通告、 快速响应处置，将整个云、网、端的纵深安全防护体系有效的运营起来，从而发挥出整体安全保障 体系的最大优势。

　　三、核心技术

　　（一）构建“零信任”动态可信业务访问控制能力

　　构建“零信任”动态可信业务访问控制能力，实现统一身份认证管理精细化、动态化的授权能 力，解决人或者接入设备的身份安全，确保所有来访人员和设备身份是安全可信的。

　　（二）构建一体化资产运维控制与运行监管能力

　　构建一体化资产运维控制与运行监管平台，基于 ITIL 最佳实践，而又不拘泥于任何具体流程， 管理平台对省高法网络设备信息收集过来之后，通过本地分析，实现省高法突发事件记录、跟踪、 审核、关闭、服务质量调查全部生命周期。

　　（三）构建全网智能化安全监测与威胁发现能力

　　构建全网智能化安全监测与威胁发现能力覆盖云网的防护、监测和审计，建设以大数据分析为 驱动的全网流量采集、威胁情报分析、安全态势感知、安全事件处置、安全策略优化、安全攻防演 练的智能化安全运营机制，实现安全的安全闭环管理，使架构安全、被动防御与主动防御体系形成 有机运转结合，持续提升安全体系的自我演进发展能力，确保数据及业务应用安全。

　　（四）构建一站式的安全运营服务中心

　　秉承“持续、专业、有效”的原则，通过创新的“互联网+安全服务”业务模式建立起“提前发 现问题、实时感知问题、专家解决问题”的闭环工作管理机制，为浙江省高级人民法院业务提供覆 盖事前、事中、事后的一站式专业安全服务

　　四、创新亮点

　　“2+2”的安全运营体系。两大创新能力（构建“零信任”动态可信业务访问控制能力、构建一 体化资产运维控制与运行监管能力），两大运营中心能力（构建全网智能化安全监测与威胁发现能力、 构建一站式的安全运营服务响应中心能力）；

　　零信任体系在法院行业的首次运用。浙江省高院在无纸化办公建设中，面临多种安全威胁涵盖 身份安全和数据安全。其中身份安全为人员滥用账号、异地登录、仿冒等威胁行为导致信息泄露； 数据安全为浙江法院网、智慧执行 APP 等互联网应用在用户访问时，通过 API 接口调用专网的电子 卷宗、办公办案平台、执行平台的各类数据，此数据通道未加密，解决身份安全和数据安全，在本 次方案中创新运用零信任安全体系解决上述场景。

　　五、建设成效

　　围绕法院业务，通过建立的基于“零信任”的“2+2”安全运营体系可实现三个方面的运用成效： （一）法院网络空间安全治理的有效抓手

　　随着国家信息化战略大格局的发展，新技术（如 5G、大数据、云计算等）将在法院信息化建设 中广泛应用和全面普及，信息的获取方法、存储形态、传输渠道和处理方式等发生了新的变化，网 络结构的复杂化、用户的爆炸性增长、数据的快速膨胀增加了法院网络空间监管和治理的难度，在 网络攻击入侵、病毒蠕虫木马传播以及政务网络安全情况等方面，存在“看不见”、“防不住”、“打不着”的问题，因此以此为工作抓手来统筹网络安全建设、支撑安全监管工作。

　　（二）网络安全建设一体化的运营中心

　　网络空间是国家信息化工程建设的主体领域，也是信息化发展和国家安全的重要支撑。以往的 信息化建设多采用局部的、“烟囱”式的建设模式，导致网络风险的暴露面难以控制以及安全策略难 以统一，为安全管理带来很大的困难。当业务（应用、数据）逐渐迁移上云，局部与整体的安全管 理矛盾会更加突出，重复性的安全建设和分散式的安全管理已经不能满足国家安全战略的要求。因 此法院行业安全建设同样需要科学化、服务化、制度化，并最终一体化。利用一个统一的网络安全 运营中心提供集约化的安全监控和分析能力，确保浙江省高法的安全目标有效达成。

　　（三）政法行业安全支撑的统筹手段

　　现如今，针对政法行业的网络攻击层出不穷，一旦发生严重的网络安全事件，将严重影响国家 安全、社会公共安全和人民群众切身利益。因此，急需将政法行业单位的网络安全与网络安全运营 机制统筹在一起，一方面为行业主管单位提供一种有效的手段来全面感知行业网络安全威胁态势、 洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证，帮助安全人员 采取针对性响应处置措施。另一方面为行业单位提供统一的安全指导，支撑行业单位自身的安全建 设和安全运营，实现“安全落实无短板”。

　　责任编辑：广汉