外交部实现电子护照系统安全防护

客户背景

因公电子护照项目事关国家“走出去”战略的实施，意义重大，不容有失。海外电子护照签发工作也已启动。随着电子护照项目的逐渐开展，外交部中心系统的压力和服务范围越来越大，对中心系统稳定性和健壮性要求越来越高。

含指纹电子护照即将在 240 多个驻外使领馆实现签发。巴黎、纽约、香港三个制证中心将尽快建成并完成海外电子护照的制作。为配合相关工作，2014 年底前，250 个左右的驻外使领馆的设备也须相应进行适量更新。项目建设完毕后，海外中国公民持有的护照制作质量将大大改进，防伪性能大大提高。

解决方案

通过部署更新防火墙设备，实现对内网信息资源的访问控制保护；

根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

能够在会话处于非活跃一定时间或会话结束后终止网络连接；

按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。

实施效果

通过防火墙提供的状态检测、NAT、VPN、IPS、行为管理、流量控制、用户认证等综合安全功能。为用户提供高效、稳定、可扩展的安全保障；

防火墙提供全面的系统状态监控，可以让管理员清楚地了解网络中接口流量统计、最大连接数量的IP等信息，并且能够及时发现被网络蠕虫病毒感染的主机，配合连接限制，进行实时阻断；

防火墙提供Web管理方式（通过网口）、CLI命令行管理方式（通过串口），同时还支持远程拨号（PPP）管理方式。上述三种管理方式是一直打开的。另外，防火墙还提供通过SSH登录对防火墙以命令行方式进行远程管理的功能，此管理方式管理员有权进行添加和删除；

采用三权分立设计，满足合规性要求。超级管理员只能增加其他管理员账号，配置管理员只能进行设备的配置管理，日志管理员只能查看其他管理员操作的日志。