6.1 安全系统建设

一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、

网络安全、系统安全、安全管理等，而一个安全系统的安全等级，又是按照木桶

原理来实现的。根据武汉市交通运输局各级内部网络机构、广域网结构、和三级

网络管理、应用业务系统的特点。

6.1.1 安全设备

本次项目中平台对接及交通信息发布功能都涉及到与外部网络之间的数据

交互问题。为进一步提高系统整体安全性和稳定性， 采用路由器、防火墙设备实

现内网与外网的逻辑隔离，实现安全的数据交互。

可靠的安全隔离和受控的信息交换

专用的硬件和专用的通信协议， 有效地隔断内外网间的直接连接， 借助严格

的安全策略对数据流进行细粒度控制， 防范恶意攻击和敏感信息的泄漏， 有效的

保障了网络间的安全可靠隔离和信息的受控交换。

6.1.2 独特的仲裁/审计系统

仲裁系统是安全隔离与信息交换系统的核心 ， 可以 为系统内每 一位 用户 提供

身 份 识 别 ，在 系统检 测 到相 关 事 件之后 可以 追 溯 直接责 任 人 ； 对流经 仲裁系统的

所 有信息进行检 查 ，找 出 其 中的敏感内容 ，最 终 将 内部网络和外部网络的信息交

换置于一个可控的状况之下；记录各类审计信息，供管理员审查。

防范各类攻击和信息泄漏通过访问控制策略、安全协议通道、入侵检测引擎、

杀毒引擎、数字签名等技术的使用，可以使设备发现、过滤并阻塞各种已知、未

知的攻击，病毒和蠕虫等恶意代码，有效保护内部网络系统的安全性，同时借助

严格的内容控制技术，还可以防止内部敏感信息的泄漏。

6.1.3 应用级完全内容检测与审计

采用专有完全内容检测模块，过滤所有交换数据，全面解析网络传输信息，

通过深层次细粒度的内容过滤，预先拦截内、外网用户禁止访问的内容，还具有

避免常见的掩饰手段（如拆分敏感关键词、加入标点、换行等）干扰的特点，达

到 了 完全内容检测。

6.1.4 安全管理

系统除 了 安全设备的考 虑 外，安全管理更 是 必 不 可少 的组 成 部分。除 了 网络

级安全防护、系统级安全防护方 面外，还有以下两 点： 应用级安全保护与制度上

的安全保护。

应用级安全保护包 括 ：实 施 单 一登 录机 制与实 施 统一的用户和目 录管理机 制。

制度上 的安全保护包 括 ： 人 员角 色 划 分；安全管理策略（用户口 令 规 则 ；用户级

别 划 分；资 产 级别 划 分等。

6.1.5 物 理安全

物 理安全的目 的是 保护路 由 器 、交换机 、工 作 站 、各种网络服 务 器 等硬 件 实

体 和通信链 路 免受 自 然 灾 害 、人 为 破 坏 和攻击；验 证 用户的身 份 和使用权 限 、防

止用户越权操作；建立完备的机房安全管理制度，妥善保管备份磁带。内外网间

通过防火墙隔离，保障内网设备不被外网黑客劫持。

6.1.6 访问控制

网络的安全问题是一个系统工程，采用TCP/IP 协议进行网络通信的网络，

在网络层对计算机通信进行安全保护是业界流行的安全解决办法， 通常采用以下

几项措施：

6.1.7 ACL 访问过滤：

访问控制列表在对外边界路由器上设置粗略的访问控制过滤规则， 形成内部

网络的第一道防护线。在内部网上使用过滤规则，形成应急网络与内部系统、业

务系统之间的访问控制与逻辑隔离。在安全管理服务器边界，通过在边界服务器

上加载 ACL 防止非法流量进入安全管理区域， 从而实现对安全管理服务器区域的

访问控制。

6.1.8 VPN 访问隔离：

为了克服以太网的广播问题，除了网段划分的方法外，还可以运用VLAN（虚

拟局域网）技术，将以太网通信变为点到点通信，通过VLAN 隔离，VLAN 间采用

访问控制策略，通过开通整网VPN 隔离，能够加强网络的整体安全。

6.1.9 安全评估

安全扫 描 系统是现阶 段最 先 进的系统安全评估 技术， 能够测 试 和 评价 系统的

安全性 ，并 及 时 发 现安全漏 洞 。

漏 洞 检 测 和 安 全 风 险 评 估 技 术 应 用 可 帮 助 识 别 检 测 对 象 的 系 统 资 源 ，分 析 资

源 被 攻 击 的 可 能 指 数 ， 了 解 支 撑 系 统 本 身 的 脆 弱 性 ， 评 估 所 有 存 在 的 安 全 风 险 ,

它 包 括 了 网 络 模 拟 攻 击 ， 漏 洞 检 测 ， 报 告 服 务 进 程 ， 提 取 对 象 信 息 ， 以 及 评 测 风

险 ， 提 供 安 全 建 议 和 改 进 措 施 等 功 能 ， 帮 助 用 户 控 制 可 能 发 生 的 安 全 事 件 ， 最 大

可 能 的 消 除 安 全 隐 患 。

6.1.10 网 络 防 毒

网 络 防 病 毒 系 统 应 基 于 策 略 集 中 管 理 的 方 式 ，使 得 分 布 式 的 企 业 级 病 毒 防 护

不 再 困 难 ， 而 且 提 供 病 毒 定 义 的 实 时 自 动 更 新 功 能 ， 所 有 操 作 都 应 对 终 端用 户 透

明， 不 需用 户 的 干预， 使 用 户 在 不 知不 觉中 将病 毒 拒之门外。

在 网 络 系 统 结构中 ，服 务 器作 为网 络 的 核心，应 重点加强对 服 务 器进 行保护 ，

安 装服 务 器端防 病 毒 系 统 ，以 提 供 对 病 毒 的 检 测 、清除 、免疫和 对 抗能 力。其 次 ，

在 客 户 端的 主 机 也 应 安 装单 机 防 病 毒 软 件 ，将病 毒 在 本 地 清除 而 不 致 于 扩 散 到 其

他 主 机 或 服 务 器。 这 样 ， 由 单 机 防 毒 到 网 络 防 毒 ， 再 加上 防 病 毒 制 度 与 措 施 ， 就

构成 了 一 套 完 整 的 防 病 毒 体 系 。

6.1.11 安 全 行为审 计

为了 保证 系 统 中 网 络 受 控 访 问 ，检 测 内 部 合 法 网 络 用 户 或 非 法 人 员 非 法 上 传

或 下 载 数 据 信 息 ，也 同 时 防 止 外部 黑 客 通 过 拨 号 线 路 绕 过 防 火 墙 进 入 内 部 网 络 实

施 攻 击 ， 安 全 审 计 系 统 可 以 实 时 地 对 这 些 行为进 行监 控 与 强行切 断 ， 并 记 录 操 作

者 的 用 户 名 、主 机 名 、主 机 IP 以 及 拨 号 时 间 。

安 全 审 计 系 统 对 所 有 的 非 法 修 改 、删 除 等 操 作 做 到 及 时 响 应 。 报 警 内 容 反 映

全 面 ， 涉 及 非 法 操 作 的 目 的 文 件 、操 作 种 类 （ 删 除 、修 改 、重命 名 等 ）、响 应 结

果、执行程序、阻断模块和操作时间等信息。