外交部電子護照系統防護

外交部實現電子護照系統安全防護

客户背景

因公電子護照項目事關國家“走出去”戰略的實施,意義重大,不容有失。海外電子護照簽發工作也已啓動。隨着電子護照項目的逐漸開展,外交部中心繫統的壓力和服務範圍越來越大,對中心繫統穩定性和健壯性要求越來越高。

含指紋電子護照即將在 240 多個駐外使領館實現簽發。巴黎、紐約、香港三個制證中心將盡快建成並完成海外電子護照的製作。為配合相關工作,2014 年底前,250 個左右的駐外使領館的設備也須相應進行適量更新。項目建設完畢後,海外中國公民持有的護照製作質量將大大改進,防偽性能大大提高。

解決方案

通過部署更新防火牆設備,實現對內網信息資源的訪問控制保護;

根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;

能夠在會話處於非活躍一定時間或會話結束後終止網絡連接;

按用户和系統之間的允許訪問規則,決定允許或拒絕用户對受控系統進行資源訪問,控制粒度為單個用户。

實施效果

通過防火牆提供的狀態檢測、NAT、VPN、IPS、行為管理、流量控制、用户認證等綜合安全功能。為用户提供高效、穩定、可擴展的安全保障;

防火牆提供全面的系統狀態監控,可以讓管理員清楚地瞭解網絡中接口流量統計、最大連接數量的IP等信息,並且能夠及時發現被網絡蠕蟲病毒感染的主機,配合連接限制,進行實時阻斷;

防火牆提供Web管理方式(通過網口)、CLI命令行管理方式(通過串口),同時還支持遠程撥號(PPP)管理方式。上述三種管理方式是一直打開的。另外,防火牆還提供通過SSH登錄對防火牆以命令行方式進行遠程管理的功能,此管理方式管理員有權進行添加和刪除;

採用三權分立設計,滿足合規性要求。超級管理員只能增加其他管理員賬號,配置管理員只能進行設備的配置管理,日誌管理員只能查看其他管理員操作的日誌。