王洪祥 周麗麗 李永超

摘 要：為實(shí)現(xiàn)氣象內(nèi)網(wǎng)與互聯(lián)網(wǎng)相互隔離，保障信息安全與良好的上網(wǎng)體驗(yàn)，各單位在其電子政務(wù)建設(shè)的過程中，在滿足政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)之間物理方式隔離的同時(shí)，實(shí)現(xiàn)政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯方式隔離。aDesk單終端雙網(wǎng)隔離解決方案借助自身優(yōu)勢將桌面系統(tǒng)、應(yīng)用程序及用戶所產(chǎn)生的文檔數(shù)據(jù)，都運(yùn)行或保存在云桌面服務(wù)器上，形成安全快捷的網(wǎng)絡(luò)管理與遠(yuǎn)程桌面應(yīng)用模式。

關(guān)鍵詞：氣象；雙網(wǎng)隔離；aDesk；云桌面

隨著氣象信息技術(shù)的發(fā)展，網(wǎng)絡(luò)傳輸與數(shù)據(jù)應(yīng)用共享等方面也產(chǎn)生了諸多問題。為解決各單位業(yè)務(wù)人員在數(shù)據(jù)傳輸應(yīng)用和網(wǎng)絡(luò)安全管理等方面遇到的問題，各地氣象或其他行業(yè)信息管理者都進(jìn)行了較為廣泛和深入的而研究。為滿足政府行業(yè)客戶對電子政務(wù)的安全性需求，同時(shí)保障用戶多網(wǎng)使用的便捷性和易用性，通過在政府行業(yè)多年的積累，以及在應(yīng)用虛擬化多年的技術(shù)積累，推出aDesk桌面云單終端雙網(wǎng)隔離解決方案。

1 桌面虛擬化

虛擬化是將計(jì)算機(jī)的各種實(shí)體資源，如服務(wù)器、網(wǎng)絡(luò)、內(nèi)存及存儲等經(jīng)過抽象、轉(zhuǎn)換加工后呈現(xiàn)出來重新實(shí)現(xiàn)資源管理的一種技術(shù)。桌面虛擬化是指用戶通過瘦客戶機(jī)和網(wǎng)絡(luò)遠(yuǎn)程訪問云端的虛擬主機(jī)，所有運(yùn)算和存儲都不在本地，與早期的無盤工作站類似。從根本上講，兩者都是虛擬機(jī)，且底層架構(gòu)相同。虛擬桌面可以批量發(fā)布，而服務(wù)器一般單個(gè)創(chuàng)建。從應(yīng)用上講，虛擬桌面的服務(wù)對象是終端用戶，而虛擬服務(wù)器的服務(wù)對象是上層應(yīng)用。

2 設(shè)計(jì)與部署

2.1 需求分析

網(wǎng)絡(luò)隔離的模式在很大程度上解決了網(wǎng)絡(luò)攻擊問題，但同時(shí)卻帶來了信息交流的障礙。在此網(wǎng)絡(luò)架構(gòu)下，大連市氣象局根據(jù)自身需求和特點(diǎn)，將日常上網(wǎng)用戶分為機(jī)關(guān)核心用戶、機(jī)關(guān)普通用戶和一般業(yè)務(wù)用戶。其中機(jī)關(guān)核心用戶采取一人雙機(jī)配置，即在雙網(wǎng)布線模式下以內(nèi)網(wǎng)、外網(wǎng)使用不同的PC來對信息加以隔離；機(jī)關(guān)普通用戶采用在一臺PC上安裝隔離卡和獨(dú)立硬盤，并通過切換系統(tǒng)實(shí)現(xiàn)內(nèi)、外網(wǎng)的訪問或信息共享；一般業(yè)務(wù)用戶則根據(jù)業(yè)務(wù)需要，無需進(jìn)行內(nèi)、外網(wǎng)隔離，但需要通過部署審計(jì)管理設(shè)備和路由策略對其上網(wǎng)行為進(jìn)行限制。此種條件下，采用成本低、性能高、安全性好的PC顯得很有意義，桌面虛擬化技術(shù)對該問題給出了較好的解決方案。為了滿足手機(jī)、筆記本等移動互聯(lián)設(shè)備上網(wǎng)或辦公需要，避免重新敷設(shè)網(wǎng)線，可采用WLAN技術(shù)，在各辦公樓宇安裝AP節(jié)點(diǎn)，通過AC訪問控制，建立無線遠(yuǎn)距離覆蓋、安全、穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)。

2.2 架構(gòu)設(shè)計(jì)

內(nèi)外網(wǎng)同時(shí)訪問架構(gòu)。在大連至遼寧省局或縣局的內(nèi)網(wǎng)環(huán)境中，通過劃分VLAN經(jīng)聯(lián)通專線及路由器建立了互通互訪，實(shí)現(xiàn)了數(shù)據(jù)的傳輸。當(dāng)內(nèi)網(wǎng)用戶訪問外網(wǎng)地址時(shí)，經(jīng)內(nèi)網(wǎng)核心交換機(jī)和網(wǎng)絡(luò)審計(jì)系統(tǒng)、防火墻等安全防護(hù)設(shè)備連接至互聯(lián)網(wǎng)區(qū)域，并通過配置ACL策略確保上網(wǎng)用戶的信息安全。

在雙網(wǎng)獨(dú)立運(yùn)行的模式下，其終端設(shè)備可以選擇利舊PC在主板上安裝隔離卡及硬盤的方式實(shí)現(xiàn)內(nèi)外網(wǎng)的實(shí)時(shí)切換。此時(shí)的內(nèi)外網(wǎng)模式具有獨(dú)立的存儲和系統(tǒng)，但是二者共用內(nèi)存和其他硬件，是相對安全的物理隔離方法。部分用戶PC配置較差，可選擇虛擬桌面實(shí)現(xiàn)內(nèi)外網(wǎng)訪問和隔離。采用深信服aDesk虛擬桌面技術(shù)，瘦客戶機(jī)通過網(wǎng)絡(luò)切換器（機(jī)械開關(guān)）訪問遠(yuǎn)端服務(wù)器上的虛擬機(jī)，再分別接入內(nèi)外網(wǎng)。該模式下用戶在同一時(shí)刻只能選擇其中一個(gè)網(wǎng)絡(luò)內(nèi)網(wǎng)或外網(wǎng)使用。

內(nèi)網(wǎng)桌面和外網(wǎng)桌面處于兩個(gè)相互物理隔離的網(wǎng)絡(luò)中，兩者通過網(wǎng)絡(luò)切換器與瘦終端aDesk相連接。網(wǎng)絡(luò)切換器是簡單的機(jī)械撥片開關(guān)，在任意時(shí)刻，只能接通一路網(wǎng)絡(luò)。瘦終端aDesk、內(nèi)網(wǎng)桌面和外網(wǎng)桌面三者通過普通雙絞線連接于網(wǎng)絡(luò)切換器，內(nèi)外網(wǎng)絡(luò)的切換，通過網(wǎng)絡(luò)切換器內(nèi)部的撥片開關(guān)控制，在任意時(shí)刻，只有一路網(wǎng)絡(luò)能與瘦終端aDesk聯(lián)通，保障內(nèi)網(wǎng)網(wǎng)的物理隔離。

雙網(wǎng)隔離方案的云桌面切換具體實(shí)現(xiàn)流程如下：（1）判斷當(dāng)前網(wǎng)絡(luò)是否發(fā)生切換；（2）若網(wǎng)絡(luò)未發(fā)生切換，則繼續(xù)使用當(dāng)前云桌面；（3）若網(wǎng)絡(luò)發(fā)生切換，則注銷當(dāng)前云桌面；（4）擦除瘦終端aDesk當(dāng)前內(nèi)存數(shù)據(jù)，并結(jié)束云桌面程序；（5）重新啟動云桌面程序，連接切換后的新網(wǎng)絡(luò)；（6）接入新網(wǎng)絡(luò)的云桌面。

3 典型應(yīng)用

在進(jìn)行桌面虛擬化雙網(wǎng)隔離之前，局機(jī)關(guān)業(yè)務(wù)人員使用PC通過內(nèi)網(wǎng)網(wǎng)絡(luò)連接至核心交換機(jī)，可同時(shí)訪問氣象內(nèi)網(wǎng)和互聯(lián)網(wǎng)。內(nèi)外網(wǎng)混用的模式下，機(jī)關(guān)人員業(yè)務(wù)系統(tǒng)及數(shù)據(jù)信息暴露在互聯(lián)網(wǎng)中，存在較大的安全隱患。在此模式下，內(nèi)網(wǎng)PC及服務(wù)器產(chǎn)生了系統(tǒng)漏洞無法修復(fù)、病毒無法在線查殺等問題，形成了信息困惑。為了解決信息孤島的問題，信息中心購買了360系統(tǒng)漏洞修復(fù)工具，安裝在內(nèi)網(wǎng)服務(wù)器中（該服務(wù)器可上外網(wǎng)）。內(nèi)網(wǎng)PC用戶通過WEB方式登錄服務(wù)器端，下載安裝客戶端后即可定期完成系統(tǒng)漏洞修復(fù)或木馬查殺等功能。

4 小結(jié)與展望

氣象是技術(shù)密集型行業(yè)，其預(yù)報(bào)產(chǎn)品和統(tǒng)計(jì)數(shù)據(jù)關(guān)系國計(jì)民生。大連市氣象局的業(yè)務(wù)模式和網(wǎng)絡(luò)架構(gòu)是地市級氣象部門的縮影。本次經(jīng)過充分分析討論與規(guī)劃部署的雙網(wǎng)隔離方案綜合采用了行業(yè)內(nèi)最新的雙網(wǎng)布線、隔離卡、虛擬桌面等技術(shù)優(yōu)勢，實(shí)現(xiàn)了安全、高速、優(yōu)質(zhì)的隔離效果。大連市氣象局雙網(wǎng)隔離方案產(chǎn)生的良好效應(yīng)和問題挑戰(zhàn)，也同樣會存在于其他地市級氣象部門。大連市氣象局在網(wǎng)絡(luò)建設(shè)方面的一些經(jīng)驗(yàn)對其他地市級氣象部門具有一定的借鑒意義。

參考文獻(xiàn)：

[1]劉國宏，余東昌，劉旭林，劉亞楠.虛擬化技術(shù)在氣象業(yè)務(wù)中的應(yīng)用[J].計(jì)算技術(shù)與自動化，2013，4 （12）：111122.

[2]薛志文.基于信息安全管理的網(wǎng)絡(luò)隔離技術(shù)研究[J].石家莊學(xué)院學(xué)報(bào)，2014，11（6）：5458.

[3]錢崢，趙科科，許皓皓.虛擬化技術(shù)在氣象的應(yīng)用[J].浙江氣象，2013，2（2）：2024.

[4]張凱，楊再明，宋慧寧.桌面虛擬化在多媒體教室管理中的應(yīng)用[J].實(shí)驗(yàn)技術(shù)與管理，2017，（6）：131134.

[5]李冬梅.運(yùn)用雙網(wǎng)隔離技術(shù)打造內(nèi)外網(wǎng)新模式[J].安全視窗，2011，6（5）：5051.

作者簡介：王洪祥（1985），男，工學(xué)碩士，工程師，主要從事氣象業(yè)務(wù)網(wǎng)絡(luò)支撐與管理工作。