采用物理隔離技術確保學校網絡安全

摘要：近來頻頻看到黑客利用網絡竊取學校信息資料，學生和家長被犯罪分子敲詐勒索等犯罪行為的新聞報道，從而引發了對學校的網絡安全擔憂。Internet網絡應用在學校普及非常廣泛，網絡安全問題只采用防火墻，殺毒軟件等手段來保護。從學校網絡建設現狀出發，闡述存在的網絡安全隱患。通過分析，提出把學校各個網絡區域隔離開來，根據安全級別，采用網絡物理隔離技術，避免學校信息資料被黑客竊取，木馬程序破壞，同時也防止內部網絡用戶的非法訪問。

關鍵詞：網絡；安全；物理隔離；病毒；學校

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)09-11617-02

Using Physical Isolation Technics Guarantee School's Network Safety

CHEN Heng-tan

(The Network Center of Finance and Accounting Cadre Manages's Institute in Fujian Province， Fuzhou 350001， China)

Abstract: Recently， it frequently see reports of Hacker using network to steals school's information and Blackmailing student and guardian's Criminality. It cause worries to school's network safety。Internet network's Application is very universal in schools，It use firewall and Anti-virus software to protect school's network. From school's network construction situation，It expound underlying hidden trouble. Passing analysis，It proposes to isolate all area of school's network. Basis for safe level，using network physical isolation technics avoids hacker stealing school's information and Anti-virus destructing，too preventing innerior user accessing.

Key words: Network；Safety；Physical isolation；Anti-virus；School

1 學校網絡建設現狀

學校網絡區域可以分為以下幾個部分：

(1)教學區：負責教學日常工作任務的網絡區域；

(2)宿舍區：負責學生、教職工住屬區日常上網的網絡區域；

(3)圖書館區：負責圖書館日常借書、還書、查詢的網絡區域；

(4)辦公區：負責學校日常政務辦公的網絡區域；

(5)計算機教學區：負責計算機上機實驗、學習的網絡區域。

以上各網絡區域都已經接入Internet網，傳統的網絡結構如下：

從以上網絡拓樸結構可以看出，整個學校的Internet入口通過一道防火墻接入學校，而學校各個分區網絡都通過內部的局域網絡互相連接。防火墻可以阻擋大部分的Internet黑客侵入，內部網絡信息安全采用殺毒軟件加以保護。整個學校各部分的網絡區域在物理連接上是可以互通的。

2 安全隱患

從學校建設的網絡架構現狀分析，所有網絡區域通過以太網互連，各網絡區域通過共同的一個Internet的出口訪問互聯網，中間假設一道防火墻。

防火墻實際上是一種隔離技術，它把Internet網（外網）用戶和內部（內網）用戶互相隔離開來。既要保證需要的數據交換和相互訪問，又要防御惡意或非法訪問。通過防火墻的策略，把一些不可信用戶拒之門外，而那些合法的用戶則暢通無阻。

防火墻技術對大部分信息資料都能起到很好的保護作用，但是對于那些專業級的盜客，還是防不勝防。而無論從包過濾技術還是從代理技術來說，其關鍵的都在于使數據有選擇的通過，而不是徹底的把數據隔離。（參考網絡資料的介紹）

從另一方面看，學校內部網絡是互相連通的，服務器、個人電腦通過安裝殺毒軟件、防火墻軟件來防犯病毒的破壞和非法的訪問，這些安全措施只起到了有限的保護。比如圖書館信息資料庫、人事檔案資料庫、學生資料庫等等重要資料完全暴露在內網用戶的眼皮底下，利用黑客工具可以侵入到他人的電腦系統中。

由此可見，學校網絡安全現狀堪憂。如果不加以重視，詐騙學生和家長、以及盜竊學校畢業證書信息資料的案件仍將發生。

3 網絡物理隔離技術

網絡物理隔離技術就是把內網和外網、內網各區域物理隔離開的應用技術。物理隔離技術不是采用軟件的隔離方法，而是采取物理線路的隔離，再專業的Internent黑客高手也無法侵入。

目前采用網絡物理隔離技術的有物理安全隔離卡、物理隔離集線器、物理隔離網閘幾種，解決學校網絡物理隔離問題采用其中的一種技術即可。本文建議采用網絡物理隔離卡能更加靈活、低成本的改造網絡。現以物理安全隔離卡為例闡述工作原理。

網絡物理安全隔離卡的控制原理是在計算機中安裝兩塊硬盤（內網及外網硬盤），兩塊硬盤的操作系統分別控制兩個網絡連接，一塊硬盤對應內部網絡，即內網；另一塊硬盤對應外部網絡，即外網。兩個網絡的網線以及兩個硬盤的控制線均接到網絡安全物理隔離卡上，通過卡上的專用控制電路來控制硬盤及網絡的切換，保證在同一時刻只有一個硬盤及一個網絡處于工作狀態，而另一個硬盤及另一個網絡處于完全物理隔離即非工作狀態，這樣就最大限度的保證了網絡使用的安全性。（參考各網站有關網絡物理隔離技術介紹）

網絡物理隔離網絡連接示意圖如下：

從網絡示意圖可以看出：整個網絡被劃分為內網和外網兩個部分。處于外網的用戶與內網的物理連接不存在；處于內網的用戶接入網絡隔離卡，在同一個時間段只能訪問外網或內網。任何Internet用戶都無法利用木馬或病毒軟件與內網取得物理連接，從而保護內網的信息資料安全。

4 學校網絡安全建設方案

從現有的學校網絡建設現狀來看，學校的各個網絡區域互相連接在一起，重要的安全區域和普通網絡區域沒有嚴格隔離開，從而造成安全隱患。

學校網絡區域主要分為教學區、宿舍區、圖書館區、辦公區、計算機教學區幾個部分，每個網絡區域承擔不同的用戶群。對重要的網絡區域采用網絡物理安全隔離技術，確保信息資料的安全。

首先對各個網絡區域劃分安全級別：

(1)宿舍區、計算機教學區屬于無固定用戶的區域，也無重要信息資料，安全級別不高，可以采用傳統的防火墻保護。

(2)辦公區是學校教職工日常政務辦公場所，各用戶電腦中存有重要的信息學生檔案、辦公文件等資料，安全要求高，需要嚴格保密。

(3)圖書館區是學校的一個重要組成部分。圖書館存有大量的書籍資料，不允許任何人非法撰改，安全高。

(4)教學區負責教學任務，計算機信息化程度不高，也無重要信息資料，安全要求不高，采用防火墻保護即可。

從以上分析，辦公區、圖書館區的信息資料安全要求高，應加以物理隔離保護，而宿舍區、計算機教學區、教學區的安全不高。而學校的區域范圍大，應該采用多個局域網分塊建設的方案，每個網絡分區再根據安全級別確定是否采用物理安全隔離技術，從而保障學校的信息資料的安全。

網絡建設示意圖如下：

從網絡示意圖的方案可以看出，學校的內網和外網跟以前的方案沒有什么區別，但是在新方案中最大區別是內網的保護區域又劃分為兩個區域，一個區域是非保密區域網絡，另一個區域是嚴格保密的網絡區域。非保護區域網絡通過一道防火墻接入Internet網；嚴格保密的網絡區域再建設兩個互不相連的局域網，用戶通過物理安全隔離卡在同一時間只能訪問一個網絡，這樣就從物理隔離上確保學校重要的信息資料和個人辦公資料的安全。

學校網絡物理安全隔離技術的應用，可以看出以下特點：

(1)明確學校不同區域的網絡安全級別，對網絡管理和監控更容易控制；

(2)受嚴格保護區域的網絡建設改造工作量不大，容易實施；

(3)網絡改造費用不高，單個用戶只要添加一塊網絡物理隔離卡和硬盤即可；

(4)保護區域網絡安全級別高，任何網絡黑客、木馬、病毒都無法侵入受保護的電腦系統；

(5)該方案適合各大中院校的網絡安全建設。

5 結束語

學校的學生檔案資料、畢業證書資料是極其重要的，網絡黑客利用種種非法手段獲取這些資料，以達到高額的非法收入。象市場上的假文憑居然跟學校的畢業證書一模一樣，這都是利用學校網絡的漏洞而產生的“杰作”。

本文從學校的網絡建設現狀出發，分析了各個網絡區域的安全級別。再從網絡物理隔離技術的工作原理入手，建議采用物理安全隔離卡技術把重要的網絡區域加以保護，從而有效的保障整個學校網絡的安全。

從各個網站的報道來看，學校的網絡安全問題還不容樂觀，網絡安全建設還任重道遠。

參考文獻：

[1] 王迎春， 謝琳. 網絡安全體系結構[M]. 人民郵電出版社， 2005.6.

[2] 雷程煒， 程雙劍， 金毅. 構筑Windows網絡安全——從外圍到數據[M]. 電子工業出版社， 2007.8.

[3] 馬鈞， 廖力清， 凌玉華. 一種基于linux的雙主板網絡物理隔離技術[J]. 電子技術， 2004，(3).

[4] 董保國. 網絡安全的物理隔離技術[J]. 計算機技術與自動化， 2004，(2).

[5] 李捷， 汪海航， 譚成翔. 基于網絡隔離系統的業務代理設計[J]. 計算機應， 2006，(11).