长沙市“电子政府”网控中心设计方案(doc 71页)

长沙市“电子政府”网控中心设计方案内容提要：
  公务网传输的基本是涉密信息，最高可达国家级机密，因此必须确保公务网安全可靠，即公务网

不会因黑客的攻击而不能正常运行，也不能被攻击者从公务网上盗取机密信息。
为了满足公务网在安全上的要求，采取有关的安全技术进行防护是必要的，例如在子网间部署防火

墙，通过数字证书对用户进行认证，对信息进行加密等。不过，要提高网络的安全，仅仅采用静态

的安全防御技术还是不够的，网络安全管理员需要全面地了解网络当前的运行状况，分析是否有安

全攻击事件发生，安全攻击的源头在什么地方，以及采取必要的措施阻止安全攻击事件。然而，公

务网涉及的单位多，跨越的地域广，包含的机器、设备（网络设备、存贮设备、安全设备、服务器

、软件系统）数目大，种类多，只凭人力难以有效地对整个公务网的网络安全进行管理，那么入侵

检测子系统作为一种自动化的入侵分析手段，可以有效地减轻网络安全管理员的工作负担，提高公

务网的网络安全防御水平。
HCC入侵检测系统（HDIDS）是湖南计算机股份有限公司的入侵检测产品，它具有全面的入侵防护能

力，是一个高效、简单易用的入侵检测解决方案。该入侵检测软件提供了广泛的监视、入侵和攻击

检测、非法URL检测和阻塞、报警、记录及实时响应等各种功能。同时，HDIDS入侵检测解决方案是

一种易于使用的软硬件结合型网络分析方案。它对网络流量进行监听，对传输内容进行扫描、显示

、报告、记录和报警，以易于理解的方式提供了相应的信息。另外，HDIDS在基于规则和相应的报警

条件的情况下可以对不恰当的网络流量进行拦截。
   访问控制的关键是验证用户身份，以数字证书为核心的用户身份认证策略有两种实现途径：一种

是服务器保存一个证书列表，只允许列表中的证书可以访问资源；另一种是服务器保存一个吊销证

书列表，允许除吊销列表以外的证书访问资源。第一种方式安全性好，第二种方式日常管理的工作

量小。
    为了方便系统管理，长沙市电子政务系统采用服务器保存一个吊销证书列表，允许除吊销列表

以外的证书访问资源的用户验证方案。该方案对访问者进行了两次过滤。首先，只允许持有自己的

CA服务器发出的证书的用户访问资源；其次，只允许不在吊销证书列表内的