水利系統內外網隔離方案淺析

楊凱

（海河水利委員會海河下游管理局，天津300061）

水利系統內外網隔離方案淺析

楊凱

（海河水利委員會海河下游管理局，天津300061）

隨著信息技術的迅猛發展和數字化進程的不斷加快，水利信息政務內網和水利公共外網的信息安全變得尤為重要。闡述了水利信息政務內網和公共外網的關系，根據信息安全等級保護辦法，重新規劃海河下游管理局辦公樓網絡布局，將政務內網和公共外網進行物理隔離，并通過有效的網絡管理辦法和配套措施，保障水利系統內部信息安全。

水利信息；政務內網；公共外網；網絡隔離

1 引言

隨著信息產業的飛速發展，水利信息化建設取得了重大成就，各類水信息應用系統和數據資源為政府提供了重要的生產管理手段和技術支撐。但病毒傳播、網絡攻擊、數據破壞等安全風險也隨著信息化的發展而增加，水利信息政務內網和水利公共外網的信息安全問題變得尤為重要，尤其是內網中存有大量水利工程資料、水域信息資料、流域水文資料等。這些信息如果遭遇外部攻擊、互聯網病毒入侵或者內部泄密，將會帶來不可估量的損失和危害。因此，科學有效地解決水利信息政務內網和水利公共外網隔離問題變得尤為重要。

筆者依據《信息安全等級保護管理辦法》及海委信息安全等級保護整改工程的要求，將為海河下游管理局政務內網與公共外網進行物理隔離，確保海河下游管理局水利信息政務內網免受外部攻擊、互聯網病毒入侵，從而達到等級保護的相關要求。

2 水利信息政務內網與公共外網關系

水利信息政務內網是水利系統內部辦公業務網絡，主要為領導決策和指揮提供信息支持和技術服務，并承擔公文、應急、值班、郵件、會議等辦公業務，運行以核心和涉密業務為主體的應用系統。

水利公共外網是承擔水利部門與其他相關部門之間非涉密的信息交換和業務互動以及水利部門面向企業和公眾的監督和服務業務，運行的主要是服務社會的各類水利業務如氣候查詢、雨水情預報等業務系統，屬于非涉密網。典型的網絡拓撲結構，如圖1所示。

圖1 計算機網絡拓撲結構

目前，大部分電子政務網絡注重的是外網安全，主要精力也放在針對防御網絡外部攻擊上，從一定程度上為電子政務網絡提供了有效防護。在日常工作中，水利信息政務內網中處理的文件部分內容屬于單位內部重要信息，一旦遭到惡意竊取或破壞，將危及企事業單位的利益和安全。

將水利信息政務內網安全與水利公共外網安全結合起來，建立一個完整的安全體系變得尤為重要。主要需求表現在內外網應實現物理隔離，認證需求，訪問控制需求，保密需求等。其中，認證需求是指提供某個實體的身份認證，保證只有合法用戶才能訪問內部資源；訪問控制需求是指涉密公文必須得到嚴格的訪問控制，確保非法訪問者無法訪問；保密需求是指在全行業信息與網絡系統中，保障涉密公文加密存放、加密傳輸。

3 內外網終端隔離方式

3.1 隔離方式

內外網隔離有邏輯隔離和物理隔離2種概念。邏輯隔離無法隔離數據，只是通過軟件使數據有選擇地通過，此方法容易被黑客、內部用戶等邏輯實體操縱，因此機密數據的安全不能完全依賴于邏輯隔離。

物理隔離，將政務內網和企事業公共外網完全分開，中間不作任何連接，為政務內網劃定了完全物理隔離的安全邊界，使得政務內網的可控性增強，便于內部管理。現存在3種物理隔離手段。

（1）雙機雙網卡模式。即配置2臺終端，分別接入內外網中，該方法簡單、直接、快速地將內外網進行物理隔離。但是，雙機雙網卡模式會提高企事業單位投資成本，占用更多的空間，同時會加重網絡、終端的維護負擔。

（2）雙硬盤隔離卡模式。即在原有終端上，配置1塊硬盤和1塊隔離卡，2塊硬盤分別對應內外網，啟動機器時手動選擇進入內網硬盤和外網硬盤，采取重啟的方式進行內外網切換，可以有效地實現內外網物理隔離。雙硬盤隔離卡模式的核心在于隔離卡，隔離卡安裝存在一些局限，機器PCI插槽位置、硬盤位置、供電電源位置都會給安裝帶來不便；同時，頻繁的內外網切換會損耗隔離卡和硬盤的壽命，增加維護成本。

和血膠囊為皂礬與麩炒蒼術兩味中藥經粉碎加工而制成，具有健脾燥濕、補氣生血的功效，常用于治療脾胃虛弱、氣血不足、面色萎黃、心悸乏力、缺鐵性貧血等癥[1]。和血膠囊原標準收載于衛生部藥品標準《中藥成方制劑》第19冊，標準編號：WS3-B-3609-98[1]。原標準只有顯微鑒別對蒼術藥材、化學反應方法對皂礬進行質量控制，其專屬性不強，且缺乏定量檢測指標，難以真正控制成品的質量。按照國家藥監局“國家藥品標準提高研究課題任務書”（項目編號158號）文件要求，對和血膠囊的質量標準進行全面修訂與提高。

（3）單硬盤隔離卡模式。本模式是在雙硬盤隔離卡模式基礎上升級出來的，隔離卡將硬盤分為外網分區和內網分區2個分區，啟動機器時手動選擇進入內網分區和外網分區，采用系統休眠的方式進行內外網切換。

3.2 改造情況

根據《信息安全等級保護管理辦法》要求，海河下游管理局對原有網絡機房進行改造。為滿足需求，對原有辦公網絡重新規劃。辦公樓共5層，每層20余間辦公室，去除原有網絡信息點，對每間辦公室重新進行布線，滿足每間辦公室內2個外網信息點、2個內網信息點和2個電話通訊信息點的需求。對會議室、職工休息室、倉庫等非辦公室類房間根據用途布設相應信息點。

同時，對現有計算機終端進行登記。針對部分較為陳舊、不具備申請報廢條件的計算機終端，采用雙機雙網卡隔離方式，即新配備1臺計算機主機，采用KVM切換器公用1臺顯示器、1套鍵盤鼠標，如圖2所示。

圖2 雙主機雙網卡模式

對部分具備PCI插槽、硬盤容量較小的計算機終端，采用雙硬盤隔離卡模式，如圖3所示。

圖3 雙硬盤隔離卡模式

市面上常用隔離卡品牌有宇思盾、偉思、山東中孚等，根據現有計算機終端臺賬，海河下游管理局現有終端以戴爾、方正、清華同方以及兼容機為主。考慮到終端機箱大小、PCI插槽以及隔離卡與主板兼容性幾個方面，選擇安裝中孚HDP-IIIK720QS型號的隔離卡。該產品即插即用，切換界面自動顯示；支持雙百兆網絡，雙SATA硬盤數據流自動切換，系統軟件可以實時切換；管理軟件附加文件粉碎功能，可以有效保護個人隱私，自動監控內網系統違規外聯行為，有效保護內網數據安全；管理軟件附加IP地址綁定功能，可以防止內外網線誤連；安裝時自動標識內外網硬盤，可以防止內外網硬盤對置。其應用廣泛，支持WINXP/VISTA/WIN7等主流操作系統。

對具備PCI插槽、硬盤容量足夠大的計算機終端，采用單硬盤隔離卡模式，即安裝智華WA12單硬盤隔離卡，對原有硬盤進行分區處理。具體操作過程是，將隔離卡平穩地插入PCI插槽，啟動計算機，計算機在完成自檢（POST）過程之后隔離系統將進入硬盤的分區設置如圖4所示，待分區完成后，實現內外網的管理功能。

圖4 智華WA12單硬盤隔離卡分區程序

4 內網安全保護措施

在水利信息政務內網系統中安裝防火墻，在用戶終端區域與水利信息服務器區域之間建立網關，依照協議在授權許可時執行指定的安全控制策略，避免病毒通過用戶終端進入服務器區域。根據不同需求，配置防火墻策略，控制數據流，對出現的外部攻擊及時報告和報警。同時，需要搭建Kaspersky Security Center服務器，實現對內網終端的統一管理。

4.2 終端軟件配置

根據計算機資產臺賬，對每一臺進入政務內網的計算機型號、配置、硬盤序列號、MAC地址、IP地址、維修使用記錄進行嚴格登記。

采用天津市國家保密局監制的計算機保密安全檢查取證系統，對每臺內網計算機進行硬盤掃描，清除所有非政務辦公文件。安裝卡巴斯基反病毒Windows工作站，更新至最新病毒庫，進行全盤殺毒，確保進入政務內網機器不帶有安全隱患。待查毒完畢后接入政務內網中。

4.3 管理制度及方法

根據國家計算機信息系統安全保密的相關標準，依照海河下游管理局網絡環境及現有規章，新定《工作人員保密守則》《網絡安全保密管理制度》《非涉密計算機保密管理規定》《涉密計算機管理規定》《涉密移動存儲介質保密管理暫行規定》《內網移動存儲介質管理規定》《泄密事件報告和查處制度》等文件，修訂原有網絡管理制度，依據規章制度嚴格操作，完善計算機網絡管理制度和配套措施。

同時，加強終端管理方法的有效性，使用Kaspersky Security Center服務器對內網終端設備進行統一管理，禁用內網終端的USB存儲設備，僅允許使用USB鍵盤鼠標，確保內網文件資料的保密性，并防止病毒侵入內網；禁用DVD刻錄功能；禁止內網終端間通過網絡傳遞大小超過500Mb的文件；每周五下午對內網客戶端進行統一病毒庫升級；每周一上午對內網客戶端進行全盤掃毒。

5 內外網日常運維

5.1 隔離卡安裝運行常見問題及解決方法

（1）開機自檢找不到硬盤。檢查硬盤與隔離卡的線路連接是否正常；檢查主板CMOS設置是否正確。

（2）插卡后無法進入隔離卡選擇界面，直接進入系統。檢查未進入系統所在硬盤與隔離卡連線是否正常。

（3）進入系統后，無法上網。檢查網絡連線與系統是否一致；檢查網線接口連接是否接觸不良。

（4）進入系統后，無法運行內外網切換軟件。檢查隔離卡驅動程序是否安裝正常。

（5）進入系統后，通過內外網切換軟件無法進行軟切換。檢查內外網切換軟件安裝程序是否遭到破壞。

5.2 做好設備臺賬及維護記錄

認真做好網絡內每臺終端的臺賬及故障維修記錄，其中終端臺賬包括資產編號、權屬部門、設備型號、購入時間、安裝處室及負責人、硬件設備信息、MAC地址和IP地址等信息，錄入完畢后需終端負責人簽字。并對每一臺終端進行維護記錄登記，建立該終端的檔案，加強管理規范性，便于日常運維工作的開展。

6 結語

水利信息政務內網涉及大量水利系統內部重要信息，因此對水利信息政務內網和公共外網進行物理隔離成為企事業單位內部信息安全的重要組成。筆者依托現有內外網物理隔離技術、邏輯隔離技術，結合本單位內部網絡環境現狀及日常運維工作中發現的問題，對現有計算機終端、網絡安全實行了統一管理。

物理隔離是保障水利信息安全的一種策略和方法，隨著技術的發展，物理隔離需要完善一些必要功能，包括用戶訪問控制功能、網絡身份認證功能、用戶行為日志功能及審計功能等。水利信息政務內網與水利公共外網信息安全問題三分靠技術，七分靠管理，需要更加完善的管理措施和相關的安全措施保障政務信息的機密性、完整性和可靠性。

TP399

B

1004-7328（2014）03-0059-03

10.3969/j.issn.1004-7328.2014.03.021

2014-03-10

楊凱（1987-），男，碩士，助理工程師，主要從事水利信息技術工作。