摘 要：本文通過對網(wǎng)絡(luò)現(xiàn)狀的分析，從局域網(wǎng)的網(wǎng)路安全入手，解決內(nèi)外網(wǎng)的網(wǎng)絡(luò)安全隔離的部署與實(shí)現(xiàn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全隔離卡

中圖分類號：TP393.08

隨著網(wǎng)絡(luò)的普及，人們的日常生活已經(jīng)無法離得開網(wǎng)絡(luò)。網(wǎng)絡(luò)給大家?guī)砹讼喈?dāng)程度的便利，同時(shí)也給人們帶來了許多的不安全因素。針對于各類的網(wǎng)絡(luò)安全事件，現(xiàn)對內(nèi)外網(wǎng)混用提出了嚴(yán)格隔離要求。物理隔離作為一種的主要隔離方法應(yīng)用在局域網(wǎng)中。

1 錫盟氣象網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

從網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)來講，可分為：衛(wèi)星廣域網(wǎng)絡(luò)、單向數(shù)據(jù)廣播網(wǎng)、地面寬帶網(wǎng)絡(luò)、計(jì)算機(jī)局域網(wǎng)、Internet互聯(lián)網(wǎng)、本地專用網(wǎng)等。各部分在結(jié)構(gòu)上互為獨(dú)立，業(yè)務(wù)應(yīng)用中相輔相成。

1.1 本地局域網(wǎng)

盟局計(jì)算機(jī)局域網(wǎng)絡(luò)結(jié)構(gòu)為星型主從網(wǎng)絡(luò)結(jié)構(gòu)。在局域網(wǎng)中有專用于文件存取的文件服務(wù)器、大型高性能數(shù)值天氣預(yù)報(bào)并行計(jì)算機(jī)系統(tǒng)——神箭100、區(qū)域自動(dòng)氣象站中心站服務(wù)器、CMAcast衛(wèi)星數(shù)據(jù)廣播系統(tǒng)、視頻會(huì)議會(huì)商系統(tǒng)、Micaps服務(wù)器、華云衛(wèi)星云圖接收系統(tǒng)、國家公共突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)、714CD多普勒天氣雷達(dá)以及接入網(wǎng)絡(luò)各用戶等。

本地局域網(wǎng)用戶群，根據(jù)用戶需求可分為三種；單內(nèi)網(wǎng)用戶，單外網(wǎng)用戶和雙網(wǎng)用戶。

1.2 互聯(lián)網(wǎng)接入點(diǎn)

我局現(xiàn)互聯(lián)網(wǎng)接入點(diǎn)有兩個(gè)，由兩個(gè)運(yùn)營商提供的100兆專線。分別為聯(lián)通100兆專線和移動(dòng)100兆專線。根據(jù)盟局現(xiàn)局域網(wǎng)結(jié)構(gòu)，聯(lián)通100兆專線應(yīng)用在區(qū)域自動(dòng)氣象站數(shù)據(jù)傳輸上，移動(dòng)100兆專線應(yīng)用在普通互聯(lián)網(wǎng)用戶接入上。

2 網(wǎng)絡(luò)安全隔離

2.1 常用網(wǎng)絡(luò)安全隔離

網(wǎng)絡(luò)安全隔離主要采用的方法有：物理隔離、邏輯隔離、安全網(wǎng)閘等。

2.2 網(wǎng)絡(luò)安全隔離技術(shù)要求

（1）由于原有網(wǎng)絡(luò)系統(tǒng)布線及局內(nèi)裝修等原因，此次工程實(shí)施過程中不得改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浠窘Y(jié)構(gòu)，暨實(shí)現(xiàn)單終端雙網(wǎng)線情況下的雙網(wǎng)隔離；（2）利用現(xiàn)有網(wǎng)絡(luò)實(shí)現(xiàn)訪問互聯(lián)網(wǎng)終端切換至訪問內(nèi)部局域網(wǎng)時(shí)，組成與現(xiàn)有網(wǎng)絡(luò)系統(tǒng)隔離的另外獨(dú)立的局域網(wǎng)絡(luò)；（3）對計(jì)算機(jī)進(jìn)行適當(dāng)?shù)慕ㄔO(shè)，做到內(nèi)外網(wǎng)終端的區(qū)分；桌面一臺終端計(jì)算機(jī)虛擬成兩臺計(jì)算機(jī)，雙網(wǎng)線分別連接內(nèi)外網(wǎng)絡(luò)，實(shí)現(xiàn)信息存儲(chǔ)、處理、應(yīng)用的物理隔離；（4）對網(wǎng)絡(luò)平臺進(jìn)行適當(dāng)?shù)母脑旃ぷ鳎龅絻?nèi)外網(wǎng)分別使用網(wǎng)絡(luò)交換機(jī)；分別采用兩條網(wǎng)線，將內(nèi)網(wǎng)信號和外網(wǎng)信號進(jìn)行分離，從而實(shí)現(xiàn)信息傳導(dǎo)過程的物理隔離。

根據(jù)網(wǎng)絡(luò)安全隔離技術(shù)要求及單位經(jīng)濟(jì)投入至最低，網(wǎng)絡(luò)安全隔離卡為有效的選擇。

2.3 網(wǎng)絡(luò)安全隔離卡的工作原理

網(wǎng)絡(luò)安全隔離卡是保護(hù)計(jì)算機(jī)數(shù)據(jù)安全的一種裝置，它把一臺普通的計(jì)算機(jī)分隔成兩臺虛擬計(jì)算機(jī)，分別對應(yīng)內(nèi)網(wǎng)、外網(wǎng)或?qū)＞W(wǎng)，使各個(gè)網(wǎng)絡(luò)之間實(shí)現(xiàn)物理隔離，從而滿足用戶對數(shù)據(jù)安全和獲取互聯(lián)網(wǎng)信息的多重要求。

雙網(wǎng)雙硬盤物理隔離卡是，在系統(tǒng)中安裝兩個(gè)硬盤，兩個(gè)硬盤分別安裝兩個(gè)獨(dú)立的操作系統(tǒng)，通過物理隔離卡來控制分離的網(wǎng)線和硬盤。當(dāng)一個(gè)系統(tǒng)運(yùn)行時(shí)，另外一個(gè)系統(tǒng)處于關(guān)閉狀態(tài)。當(dāng)兩個(gè)網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)換時(shí)，可通過軟件選擇切換。切換時(shí)有快速切換和重啟切換兩種方式。切換過程，也是一個(gè)對內(nèi)存，CPU，顯示緩存等各個(gè)緩存進(jìn)行物理清零的過程。以確保內(nèi)外網(wǎng)信息不會(huì)經(jīng)緩存相互傳遞。從而達(dá)到內(nèi)外網(wǎng)物理隔離的要求。

2.4 網(wǎng)絡(luò)安全隔離卡的應(yīng)用

網(wǎng)絡(luò)安全隔離卡可分為：雙硬盤隔離卡、單硬盤隔離卡、三硬盤三網(wǎng)隔離卡。根據(jù)本單位的實(shí)際情況我局采用了雙網(wǎng)線，雙硬盤物理隔離。采用利普雙硬盤物理隔離卡，每臺計(jì)算機(jī)只需增加一個(gè)硬盤，即可使一臺計(jì)算機(jī)虛擬成兩臺相對獨(dú)立的計(jì)算機(jī)。兩個(gè)硬盤分別連接兩個(gè)網(wǎng)絡(luò)，在不同網(wǎng)絡(luò)之間實(shí)施有效的物理隔離。為了便于管理此次整改以樓層為單位進(jìn)行部署。

由于單位的計(jì)算機(jī)購置年限不同，版本型號存在的差異具體選用了PCI和PCI-E兩種插槽型的網(wǎng)絡(luò)安全隔離卡。隔離卡的切換方式有：電源切換和串口數(shù)據(jù)線切換。電源切換隔離卡是一種切電源線型雙硬盤物理隔離卡，它具有記憶功能及開機(jī)自動(dòng)進(jìn)上次關(guān)機(jī)時(shí)所在的網(wǎng)絡(luò)系統(tǒng)，它是通過控制硬盤電源通道即電源線來實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離，即在任何狀態(tài)下只有一個(gè)硬盤處于供電工作情況。串口切數(shù)據(jù)線型物理隔離卡，適用于兩塊硬盤都是串口硬盤，即SATA硬盤，它是通過控制數(shù)據(jù)通道即串口硬盤數(shù)據(jù)線來實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離，其實(shí)現(xiàn)原理是由繼電器來控制內(nèi)外網(wǎng)絡(luò)和內(nèi)外網(wǎng)硬盤的轉(zhuǎn)換，以實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離。

3 部署防火墻

在外部網(wǎng)絡(luò)入口部署防火墻系統(tǒng)。按照業(yè)務(wù)需求通過對防火墻和路由器優(yōu)化配置，實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)。在未來信息網(wǎng)絡(luò)建設(shè)考慮包括硬件在內(nèi)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)及運(yùn)行狀況進(jìn)行全面的監(jiān)測、分析、評估，以保障網(wǎng)絡(luò)安全運(yùn)行[1]。整改后網(wǎng)絡(luò)部署圖如下：

4 結(jié)束語

我單位局域網(wǎng)計(jì)算機(jī)約有125臺，根據(jù)用戶的需求除了部分服務(wù)器為固定訪問內(nèi)網(wǎng)或外網(wǎng)外，其他所有計(jì)算機(jī)均做了內(nèi)外網(wǎng)物理隔離到桌面。其中約有20個(gè)用戶采用雙計(jì)算機(jī)配置進(jìn)行內(nèi)外網(wǎng)隔離，其余用戶均使用了網(wǎng)絡(luò)安全隔離卡進(jìn)行隔離。

本文通過對本地局域網(wǎng)采用網(wǎng)絡(luò)安全隔離卡技術(shù)，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，解決了局域網(wǎng)內(nèi)由于內(nèi)外網(wǎng)絡(luò)混用帶來的不安全隱患問題。從這個(gè)方案來看，物理隔離作為一種高效安全的解決技術(shù)，在其應(yīng)用實(shí)施過程中，要考慮到：

（1）物理隔離是物理上的徹底斷開，并非邏輯斷開，從而提升了安全層次；（2）要考慮到客戶端用戶的操作，要考慮操作簡便。（3）內(nèi)外網(wǎng)物理隔離后，內(nèi)網(wǎng)殺毒及病毒庫更新需要著重考慮。

參考文獻(xiàn)：

[1]袁浩等編.Internet接入·網(wǎng)絡(luò)安全[M]，北京：電子工業(yè)出版社，2011（01）：432-435.

[2]馮吳，黃治虎.交換機(jī)/路由器的配置與管理[M]，北京：清華大學(xué)出版社，2005：46-49.

[3]中國計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì).信息網(wǎng)絡(luò)安全保護(hù)工作知識手冊[S].2002.

[4]萬平國.網(wǎng)絡(luò)隔離與網(wǎng)閘[M]，北京：機(jī)械工業(yè)出版社，2004.

作者簡介：娟娟（1980.06-），女，內(nèi)蒙古錫林郭勒盟人，工程師，碩士，研究方向：信息網(wǎng)絡(luò)。

作者單位：內(nèi)蒙古錫林郭勒盟氣象局，內(nèi)蒙古錫林浩特 026000