物理隔離卡在政府部門信息安全中的應用

夏洪圖 李靜寧夏回族自治區衛生信息中心 寧夏 750001

0 前言

近年來，我國信息化正以令世界驚奇的速度發展，信息產業的發展促進了我國綜合實力的提高，Internet正在逐漸融入到社會生活的各個方面。隨著政府上網、政務公開、電子政務等一系列網絡應用的蓬勃發展，在政府網絡中，內部網絡上有著大量高度機密的數據和信息，內部機密信息在網絡上泄密以及內部網絡被攻擊破壞已經成為信息化的重大問題，以往無數個此類案例的發生，給國家造成了嚴重的損失，向我們敲響了警鐘。如果網絡安全得不到保證，那么將會給國家、社會及網絡用戶帶來嚴重的威脅，可能造成政治、經濟、軍事等各方面的巨大損失。因此，在政府工作不斷實現信息化、自動化的同時，信息安全成了亟待解決的問題，信息安全必須得到重視和加強。

1 國家對政府機關信息安全的要求及其相關技術

國家保密局在 1999年作出規定，涉密網絡不得與公共信息網連接，必須要實行物理隔離。國家政府部門由于其特殊的性質必須要嚴格執行國家保密局的規定，在其工作網絡上實現內外網的分割和物理隔離。

“物理隔離”是指內部網不得直接或間接地連接公共網，即我們平時所說的互聯網。眾所周知，互聯網是開放的國際化的互聯空間，而安全和開放卻永遠是一對矛盾。合理配置內部網和公共網“物理隔離”，可以最大限度保證政府部門的內部信息網絡不受來自互聯網的黑客攻擊。此外，“物理隔離”也為政府內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于內部管理。

雙硬盤物理隔離技術是隔離器與主板之間無數據交換途徑，雙硬盤分別獨立運行于內外網，保證內外網實現徹底分離，真正實現了網絡隔離和數據隔離。內網和外網的切換通過手動物理開關來實現，且只能由用戶自己操作，任何網上軟件的操作方法都無效，不存在軟件操作隱患。

2 寧夏政府相關部門信息安全實踐經驗

2.1 未實施物理隔離前的狀況

作為自治區政府部門，在實行物理隔離之前，我們對網絡的信息安全也采取了許多其它的措施，如在網絡中加入防火墻、網絡版殺病毒軟件、網絡漏洞掃描等。但為了落實有關信息保密規定，只允許一小部分沒有辦公信息的機器能上Internet，大部分用于辦公不能上Internet，對機關干部職工獲取外部信息造成了很大的困難，很多處室加大計算機的配置量，解決上外網的問題，增加了經費開支，致使網絡沒有充分發揮應有的作用。

2.2 實施物理隔離取得明顯成效

2004年，為遵守信息保密規定和實現辦公自動化，我們對原有網絡進行改造，對外網與內網實施物理隔離，內網辦公，外網聯通Internet。這樣即保障了信息安全又打開了對外的信息大門，具體措施如下：

（1）機房改造

機房原有外網服務器、防火墻、交換機不變，加裝用于內網的服務器、交換機等。

（2）工作站改造

為每臺工作站配置了可接雙網線雙硬盤的物理隔離卡和第二硬盤，雙網線雙硬盤分別獨立運行于內外網，保證內外網實現徹底分離。工作人員使用一臺電腦既可方便上因特網也可安全上內網辦公，節省了硬件投入，方便了工作。

（3）網絡改造

機關各辦公室采用兩條非五類屏蔽雙絞線，形成內外網，分別接物理隔離卡內外網口。對一人以上的辦公室增加兩臺性價比較好的8口集線器，分別用于內外網，連接多個工作站。

（4）加強服務器操作系統的安全防范

安全的操作系統是網絡安全的重要基礎。所有的政務應用系統和安全措施都依賴提供底層支持的操作系統。操作系統的漏洞或配置不當將有可能導致整個網絡安全體系的崩潰。我們加強服務器操作系統日常維護，利用安全掃描工具定期檢查系統漏洞和配置更改情況，及時打上新補釘，堵塞系統漏洞。

（5）加強內網病毒的防范

即便是內網，我們也采用網絡版瑞星殺毒軟件，集中管理，自動更新病毒庫，定時殺毒。

我們經過改造，順利通過了自治區保密局的驗收。網絡安全性能全面提升，有效防止了信息泄露，抵御外部網絡的攻擊，保障了網絡信息安全。

3 物理隔離卡使用過程中的問題

使用物理隔離卡后信息安全達到了預期的效果，每年都能通過安全部門的檢查，但在實際工作中也發現了一些不可忽視的信息安全問題。

3.1 內外網集線器接錯線

在多人共同辦公的辦公室，由于打掃衛生、更換工作站位置、更換計算機或請外面計算機公司的技術人員維修機器時，他們對內外網結構不熟悉，重新用集線器接線時將內外網線接反，造成內外網聯通，給信息安全造成極大的隱患。

3.2 物理隔離卡內外網口接錯線

同樣，由于人為的原因造成內外網線與物理隔離卡內外網口接反，造成該計算機內網與外網聯通，也給信息安全造成極大的隱患。

3.3 移動存儲介質(U 盤、移動硬盤等)內外網共用

在內網使用的移動存儲介質存儲了大量的內部信息，在轉換到外網時沒有將其及時移去，使得大量內網信息暴露在外網中，或內外網共用一個移動存儲介質，這些都會造成內網信息泄露。

3.4 筆記本電腦使用不當

現在筆記本電腦使用頻率越來越高。筆記本電腦在沒有加裝隔離器的情況下內外網混用也極易造成信息泄露。

4 進一步加強信息網絡安全管理的建議

（1）健全信息安全管理機制和運行機制安全管理機制是網絡安全中控制風險、降低損失的保證；安全運行機制保障了系統的穩定可靠性；技術手段只有在安全管理機制與安全運行機制下，才能保證信息安全。因此，要建立安全管理機制和運行機制，制定和落實安全管理制度，包括：系統運行維護管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監督制度、網絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流合作安全制度以及上網信息審批制度等。

（2）規范移動存儲介質、筆記本電腦的使用。內外網間的信息交換建議使用指紋識別U盤，進一步加強對信息保護的手段。

（3）加強工作人員的保密意識教育，做到誰主管誰負責，誰使用誰負責，把信息安全落實到人。物理隔離卡雖然有效地解決了內外網信息安全的問題，但信息安全絕對不單純是一個技術性問題，工作人員保密意識不強，形成的“身在密中不知密”情況就如同一個由銅墻鐵壁建成的保險柜卻把鑰匙插在門上一樣，再堅固的門也不起作用。再好的保密技術，工作人員不認真按規范去做，仍然做不好信息保密工作。只有把有效的管理方法、技術手段與工作人員保密意識進行緊密結合，才能夠最大程度地防范和解決電子政務中的信息安全問題。

[1]郝衛東.網絡環境下的電子商務與電子政務建設[M].北京：清華大學出版社.2006.

[2]林銘瀝.電子政務的信息安全實踐與思考[J].情報探索.2007.