摘 要：本文通過對網(wǎng)絡(luò)現(xiàn)狀的分析，從局域網(wǎng)的網(wǎng)路安全入手，解決內(nèi)外網(wǎng)的網(wǎng)絡(luò)安全隔離的部署與實現(xiàn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全隔離卡

中圖分類號：TP393.08

隨著網(wǎng)絡(luò)的普及，人們的日常生活已經(jīng)無法離得開網(wǎng)絡(luò)。網(wǎng)絡(luò)給大家?guī)砹讼喈敵潭鹊谋憷?，同時也給人們帶來了許多的不安全因素。針對于各類的網(wǎng)絡(luò)安全事件，現(xiàn)對內(nèi)外網(wǎng)混用提出了嚴格隔離要求。物理隔離作為一種的主要隔離方法應(yīng)用在局域網(wǎng)中。

1 錫盟氣象網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

從網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)來講，可分為：衛(wèi)星廣域網(wǎng)絡(luò)、單向數(shù)據(jù)廣播網(wǎng)、地面寬帶網(wǎng)絡(luò)、計算機局域網(wǎng)、Internet互聯(lián)網(wǎng)、本地專用網(wǎng)等。各部分在結(jié)構(gòu)上互為獨立，業(yè)務(wù)應(yīng)用中相輔相成。

1.1 本地局域網(wǎng)

盟局計算機局域網(wǎng)絡(luò)結(jié)構(gòu)為星型主從網(wǎng)絡(luò)結(jié)構(gòu)。在局域網(wǎng)中有專用于文件存取的文件服務(wù)器、大型高性能數(shù)值天氣預報并行計算機系統(tǒng)——神箭100、區(qū)域自動氣象站中心站服務(wù)器、CMAcast衛(wèi)星數(shù)據(jù)廣播系統(tǒng)、視頻會議會商系統(tǒng)、Micaps服務(wù)器、華云衛(wèi)星云圖接收系統(tǒng)、國家公共突發(fā)事件預警信息發(fā)布系統(tǒng)、714CD多普勒天氣雷達以及接入網(wǎng)絡(luò)各用戶等。

本地局域網(wǎng)用戶群，根據(jù)用戶需求可分為三種；單內(nèi)網(wǎng)用戶，單外網(wǎng)用戶和雙網(wǎng)用戶。

1.2 互聯(lián)網(wǎng)接入點

我局現(xiàn)互聯(lián)網(wǎng)接入點有兩個，由兩個運營商提供的100兆專線。分別為聯(lián)通100兆專線和移動100兆專線。根據(jù)盟局現(xiàn)局域網(wǎng)結(jié)構(gòu)，聯(lián)通100兆專線應(yīng)用在區(qū)域自動氣象站數(shù)據(jù)傳輸上，移動100兆專線應(yīng)用在普通互聯(lián)網(wǎng)用戶接入上。

2 網(wǎng)絡(luò)安全隔離

2.1 常用網(wǎng)絡(luò)安全隔離

網(wǎng)絡(luò)安全隔離主要采用的方法有：物理隔離、邏輯隔離、安全網(wǎng)閘等。

2.2 網(wǎng)絡(luò)安全隔離技術(shù)要求

（1）由于原有網(wǎng)絡(luò)系統(tǒng)布線及局內(nèi)裝修等原因，此次工程實施過程中不得改變現(xiàn)有網(wǎng)絡(luò)拓撲基本結(jié)構(gòu)，暨實現(xiàn)單終端雙網(wǎng)線情況下的雙網(wǎng)隔離；（2）利用現(xiàn)有網(wǎng)絡(luò)實現(xiàn)訪問互聯(lián)網(wǎng)終端切換至訪問內(nèi)部局域網(wǎng)時，組成與現(xiàn)有網(wǎng)絡(luò)系統(tǒng)隔離的另外獨立的局域網(wǎng)絡(luò)；（3）對計算機進行適當?shù)慕ㄔO(shè)，做到內(nèi)外網(wǎng)終端的區(qū)分；桌面一臺終端計算機虛擬成兩臺計算機，雙網(wǎng)線分別連接內(nèi)外網(wǎng)絡(luò)，實現(xiàn)信息存儲、處理、應(yīng)用的物理隔離；（4）對網(wǎng)絡(luò)平臺進行適當?shù)母脑旃ぷ鳎龅絻?nèi)外網(wǎng)分別使用網(wǎng)絡(luò)交換機；分別采用兩條網(wǎng)線，將內(nèi)網(wǎng)信號和外網(wǎng)信號進行分離，從而實現(xiàn)信息傳導過程的物理隔離。

根據(jù)網(wǎng)絡(luò)安全隔離技術(shù)要求及單位經(jīng)濟投入至最低，網(wǎng)絡(luò)安全隔離卡為有效的選擇。

2.3 網(wǎng)絡(luò)安全隔離卡的工作原理

網(wǎng)絡(luò)安全隔離卡是保護計算機數(shù)據(jù)安全的一種裝置，它把一臺普通的計算機分隔成兩臺虛擬計算機，分別對應(yīng)內(nèi)網(wǎng)、外網(wǎng)或?qū)＞W(wǎng)，使各個網(wǎng)絡(luò)之間實現(xiàn)物理隔離，從而滿足用戶對數(shù)據(jù)安全和獲取互聯(lián)網(wǎng)信息的多重要求。

雙網(wǎng)雙硬盤物理隔離卡是，在系統(tǒng)中安裝兩個硬盤，兩個硬盤分別安裝兩個獨立的操作系統(tǒng)，通過物理隔離卡來控制分離的網(wǎng)線和硬盤。當一個系統(tǒng)運行時，另外一個系統(tǒng)處于關(guān)閉狀態(tài)。當兩個網(wǎng)絡(luò)進行轉(zhuǎn)換時，可通過軟件選擇切換。切換時有快速切換和重啟切換兩種方式。切換過程，也是一個對內(nèi)存，CPU，顯示緩存等各個緩存進行物理清零的過程。以確保內(nèi)外網(wǎng)信息不會經(jīng)緩存相互傳遞。從而達到內(nèi)外網(wǎng)物理隔離的要求。

2.4 網(wǎng)絡(luò)安全隔離卡的應(yīng)用

網(wǎng)絡(luò)安全隔離卡可分為：雙硬盤隔離卡、單硬盤隔離卡、三硬盤三網(wǎng)隔離卡。根據(jù)本單位的實際情況我局采用了雙網(wǎng)線，雙硬盤物理隔離。采用利普雙硬盤物理隔離卡，每臺計算機只需增加一個硬盤，即可使一臺計算機虛擬成兩臺相對獨立的計算機。兩個硬盤分別連接兩個網(wǎng)絡(luò)，在不同網(wǎng)絡(luò)之間實施有效的物理隔離。為了便于管理此次整改以樓層為單位進行部署。

由于單位的計算機購置年限不同，版本型號存在的差異具體選用了PCI和PCI-E兩種插槽型的網(wǎng)絡(luò)安全隔離卡。隔離卡的切換方式有：電源切換和串口數(shù)據(jù)線切換。電源切換隔離卡是一種切電源線型雙硬盤物理隔離卡，它具有記憶功能及開機自動進上次關(guān)機時所在的網(wǎng)絡(luò)系統(tǒng)，它是通過控制硬盤電源通道即電源線來實現(xiàn)內(nèi)外網(wǎng)的物理隔離，即在任何狀態(tài)下只有一個硬盤處于供電工作情況。串口切數(shù)據(jù)線型物理隔離卡，適用于兩塊硬盤都是串口硬盤，即SATA硬盤，它是通過控制數(shù)據(jù)通道即串口硬盤數(shù)據(jù)線來實現(xiàn)內(nèi)外網(wǎng)的物理隔離，其實現(xiàn)原理是由繼電器來控制內(nèi)外網(wǎng)絡(luò)和內(nèi)外網(wǎng)硬盤的轉(zhuǎn)換，以實現(xiàn)內(nèi)外網(wǎng)的物理隔離。

3 部署防火墻

在外部網(wǎng)絡(luò)入口部署防火墻系統(tǒng)。按照業(yè)務(wù)需求通過對防火墻和路由器優(yōu)化配置，實現(xiàn)網(wǎng)絡(luò)安全審計。在未來信息網(wǎng)絡(luò)建設(shè)考慮包括硬件在內(nèi)的網(wǎng)絡(luò)安全審計系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)及運行狀況進行全面的監(jiān)測、分析、評估，以保障網(wǎng)絡(luò)安全運行[1]。整改后網(wǎng)絡(luò)部署圖如下：

4 結(jié)束語

我單位局域網(wǎng)計算機約有125臺，根據(jù)用戶的需求除了部分服務(wù)器為固定訪問內(nèi)網(wǎng)或外網(wǎng)外，其他所有計算機均做了內(nèi)外網(wǎng)物理隔離到桌面。其中約有20個用戶采用雙計算機配置進行內(nèi)外網(wǎng)隔離，其余用戶均使用了網(wǎng)絡(luò)安全隔離卡進行隔離。

本文通過對本地局域網(wǎng)采用網(wǎng)絡(luò)安全隔離卡技術(shù)，實現(xiàn)內(nèi)外網(wǎng)隔離，解決了局域網(wǎng)內(nèi)由于內(nèi)外網(wǎng)絡(luò)混用帶來的不安全隱患問題。從這個方案來看，物理隔離作為一種高效安全的解決技術(shù)，在其應(yīng)用實施過程中，要考慮到：

（1）物理隔離是物理上的徹底斷開，并非邏輯斷開，從而提升了安全層次；（2）要考慮到客戶端用戶的操作，要考慮操作簡便。（3）內(nèi)外網(wǎng)物理隔離后，內(nèi)網(wǎng)殺毒及病毒庫更新需要著重考慮。

參考文獻：

[1]袁浩等編.Internet接入·網(wǎng)絡(luò)安全[M]，北京：電子工業(yè)出版社，2011（01）：432-435.

[2]馮吳，黃治虎.交換機/路由器的配置與管理[M]，北京：清華大學出版社，2005：46-49.

[3]中國計算機學會計算機安全專業(yè)委員會.信息網(wǎng)絡(luò)安全保護工作知識手冊[S].2002.

[4]萬平國.網(wǎng)絡(luò)隔離與網(wǎng)閘[M]，北京：機械工業(yè)出版社，2004.

作者簡介：娟娟（1980.06-），女，內(nèi)蒙古錫林郭勒盟人，工程師，碩士，研究方向：信息網(wǎng)絡(luò)。

作者單位：內(nèi)蒙古錫林郭勒盟氣象局，內(nèi)蒙古錫林浩特 026000