美国联邦法院推进司法信息系统安全建设

　　信息安全在司法领域尤为重要，在美国联邦法院每年滚动更新的《司法机构信息技术长期规划》里，司法信息系统信息安全建设一直被列为四个优先事项之一。美国联邦法院通过实施各种国家IT安全项目，不断完善和更新安全措施，保护司法信息系统、服务和数据不被披露、未经授权使用、篡改，造成损坏、不可访问、丢失，确保司法相关记录和信息的机密性、完整性和可用性。

　　最新版本的《美国联邦司法部门信息技术长期规划(2021-2025)》

　　开展司法信息系统漏洞披露专项计划

　　10月13日，美国联邦法院对外公布了一项新的司法信息系统漏洞披露政策，以确保可在线访问数据的安全性。该政策为安全研究人员如何开展漏洞发现活动提供了明确的指导，以及在发现漏洞后如何将有关信息提交给美国联邦法院。

　　据悉，漏洞披露政策正在迅速成为安全实践中的行业标准，包括网络安全与基础设施安全局(CISA)、司法部(DOJ)、能源部(DOE)、联邦贸易委员会(FTC)在内的美国联邦政府机构都发布了类似的计划，以保护他们的网络免受黑客和其他不法分子的侵害。

　　根据美国联邦法院发布的这份政策，参与漏洞披露计划的研究人员必须在确定存在漏洞或遇到任何敏感数据后立即停止测试。这可能包括任何一方的个人身份信息、财务信息、专有信息或商业秘密。研究人员还必须立即通知联邦法院，不得将他们访问过的数据透露给其他任何人。

　　漏洞披露政策适用于三个联邦司法机构的系统和服务：www.uscourts.gov，美国联邦法院的官方网站;oscar.uscourts.gov，美国联邦法院文员和上诉工作人员律师招聘网站;ecf.cmsd.aocms.uscourts.gov，美国联邦法院电子案件档案和案件管理系统的测试站点。任何未在上面明确列出的系统网站都不在公开政策范围内，也没有被授权进行测试。类似地，包括拒绝服务攻击(DDoS)在内的大量特定活动也没有得到授权。

　　与此同时，这份政策也发出警告，任何未经授权的活动都可能被视为非法黑客行为：“如果您从事任何违反本政策或其他适用法律的活动，您可能会承担刑事和/或民事责任”。

　　增加关键基础设施专项资金投入

　　早在今年7月，美国联邦法院就以“法院安全、法院建设和信息技术的关键基础设施需求”为由，要求美国国会拨款15.4亿美元，作为立法部门颁布的任何基础设施法案的一部分，其中就涉及“网络安全和IT现代化基础设施”。

　　在这份拨款要求里，美国联邦法院认为其系统需要5.15亿美元来解决司法信息技术(IT)系统的网络攻击数量急剧增加、对法院运营至关重要的老旧应用程序以及导致IT漏洞的资金短缺等问题。具体要求包括：

　　1.49亿美元用于网络安全改进，以应对越来越多的针对IT系统的威胁和攻击。申请的资金将扩大联邦法院的IT安全运营中心；扩展和升级多因素认证和身份确认技术；加强“端点”安全，确保只有经授权的设备才能访问司法IT系统；使用称为DevSecOps的流程在软件开发、测试和实施的每个阶段集成IT安全性。

　　2.12亿美元用于与应用程序现代化相关的一系列IT计划。这包括更换老化的缓刑和审前服务案件跟踪系统(PACTS)，用于监督等待审判的被告和从监狱释放的个人。还需要资金来更新陪审团管理系统和一个新的电子票券系统(eVoucher，该系统用于支付联邦法院任命的代表被告的14000名私人律师)。

　　责任编辑：广汉