部門內外網隔離方案的探究

張延年　王彥紅

摘 要：隨著氣象現代化的不斷發展，氣象部門的網絡安全問題日益嚴峻，內外網隔離勢在必行。簡要介紹了內外網隔離的原理和實施方案，并分析、比較了不同方案的隔離效果、特點等。同時，還介紹了使用了隔離卡的用戶所遇到的安裝問題和使用過程中的一些常見問題。

關鍵詞：網絡隔離；隔離效果；氣象事業；硬盤隔離卡

中圖分類號：TP393.08；P409 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.03.013

我國氣象事業是以提供公共服務為主的科技型、基礎性社會公益事業，可免費共享部分氣象資料，但也需要遵循保密原則。按照《中華人民共和國氣象法》第三章第十八條規定：“基本探測氣象資料以外的氣象探測資料需要保密，其密級的確定、變更、解密和使用要依照《中華人民共和國保守國家秘密法》的規定執行。”現代辦公離不開網絡，許多工作人員經常需要訪問內網和外網（互聯網）。目前，網絡安全形勢日益嚴峻，互聯網黑客攻擊或病毒破壞所造成的后果難以預料。因此，國家明文規定了政府黨政軍機關單位和企事業單位的內網必須與互聯網實行物理隔離，以確保內網信息的安全。

現階段，內外網隔離的方案主要有3種，即雙電腦雙網雙線隔離方案、單電腦雙網雙線硬盤隔離卡隔離方案和單電腦雙網單網線隔離交換機隔離方案。

1 各種方案的原理和對比

1.1 雙電腦雙網雙線隔離方案

這個方案最簡單，就是每個人配備2臺電腦分別用于內網和外網，可以同時上內外網。但是，其缺點是每個人的辦工桌上擺2臺電腦很占空間，既不經濟也不方便，大大增加了耗電量和電磁輻射。該方案如圖1所示。

1.2 單電腦雙網雙線硬盤隔離卡隔離方案

用戶僅使用1臺電腦，并在電腦上增加1個硬盤和硬盤隔離卡，且硬盤隔離卡上有3個RJ45口，它們各自連接原主機網卡和內網、外網的網線，通過人工或軟件切換硬盤和網線。在內外網的環境中，內網對應內網的硬盤，外網對應外網的硬盤，這樣，內外網在物理上完全分離且不存在公用存儲信息，從而實現了單機在2個網絡之間真正的物理隔離。這種方案一機兩用，安全、可靠、方便、經濟，極大地提高了計算機系統的資源利用率，但它的缺點是用戶在同一時間只能使用一種網絡。山西省氣象科技大樓主要采用的就是這種方案，所以，本文著重介紹這種隔離方案。該方案如圖2所示。

1.3 單電腦雙網單網線線路選擇器隔離方案

用戶只使用1臺電腦，但需要有1臺線路選擇器把內、外網分開，同時，用戶的電腦也必須增加1個硬盤和硬盤隔離卡，內網的數據放在內網硬盤，外網的數據放在外網硬盤。該方案中使用的硬盤隔離卡不同于第2種方案的隔離卡。當用戶需要切換網絡時，由用戶發出指令（實際上是分別發出2種不同極性的直流信號）來控制線路選擇器接通內網或外網，且用戶在同一時間只能使用一種網絡。這種方案雖然節省了1根網線，但是，內外網的切換比較麻煩，只對那些無法布設雙網線的用戶有利。該方案如圖3所示。

2 氣象科技大樓采用的方案

2.1 方案簡介

在山西省氣象部門中，已經有部分單位實行了內外網隔離的工作模式，采用的是單電腦雙網雙線硬盤隔離卡隔離方案。省氣象局科技大樓為了實現內外網隔離的工作模式，前期已經在大樓西面的樓梯處安裝了外網線路的設備，現在幾乎每位工作人員都有2根網線，并配備了安裝有雙硬盤和硬盤隔離卡的計算機，部分單位已經實現了內外網隔離的工作模式。使用這種工作模式的電腦，其內部都裝有硬盤隔離卡和2塊硬盤，通過硬盤隔離卡將2塊硬盤隔離，同一時間只使用1塊硬盤。這樣，就從物理角度上將2塊硬盤隔離，這塊硬盤的數據不會進入另一塊硬盤上，有效地防止了內部網絡數據流失到公共網絡上，達到了內外網隔離的目的。

硬盤隔離卡的特點是即插即用，有PCI插槽、軟件控制、在線切換，不占用USB口和COM口，支持Win7＼LINUX等操作系統，并且內外2種不同網絡之間可以自由切換。硬盤隔離卡如圖4所示。

2.2 硬盤隔離卡的安裝

在該方案中，使用的是硬盤電源切換型隔離卡，默認為雙網線布線模式。其具體安裝步驟是：①在安裝硬件之前，先斷開主機電源，然后連接硬件，將隔離卡插入主板上空余的PCI插槽內，并將其固定好。②取出1條包裝盒中的一拖三數據線，將黑色12孔插頭的一端與隔離卡尾部的電源卡座相連，分出來的中間的黑色4線扁平插頭則與主板的SATA插座相連，另外2個插頭則分別連接內網硬盤和外網硬盤。硬盤數據線連接如圖5所示。③蓋上機箱蓋，并將其固定好。④取出包裝盒中的短網線，將隔離卡的網卡口（黑色）與機器的網卡接口相連，如圖6所示。⑤將內網和外網的網線插入隔離卡上的對應網口（外網網口是綠色，內網網口是黃色）。當外網網絡連通時，隔離卡網口的綠色燈亮；當內網網絡連通時，隔離卡網口的黃色燈亮。⑥開機時，顯示內外網的選擇界面，通過鍵盤上的上下鍵選擇進入內網系統或外網系統，回車即可進入被選擇的系統，但是，進入系統后需要安裝管理軟件。在此過程中，如果不出現內外網選擇界面，就需要進入CMOS設置，找到啟動順序里的“Hard Disk Drivers”。其中，有“SCSI Card”和硬盤設備的名稱，這時，將“SCSI Card”調到硬盤上，然后在啟動順序中將硬盤調整為第一啟動項。

2.3 管理軟件的安裝

2.3.1 外網管理軟件的安裝

進入外網系統后，將隔離卡隨帶的光盤放入光驅，進入HDP-III K7ⅢRS菜單，或者雙擊安裝程序目錄中的setup.exe文件，單擊“下一步”。默認安裝路徑是C：＼NetCard，但是，也可以選擇其他路徑。安裝成功后，在桌面的右上角和系統狀態欄的右下角會分別出現“外”的網絡標識。這說明，電腦正處于外網連接狀態。

2.3.2 內網管理軟件的安裝

內網管理軟件的安裝與外網管理軟件的安裝相同，系統會自動識別其是內網系統或外網系統。系統安裝完畢后，在桌面的右上角和系統狀態欄的右下角會分別出現“內”的網絡標識。這說明，電腦正處于內網連接狀態。

2.3.3 主界面顯示

雙擊桌面上的中孚網絡隔離卡管理系統或網絡標識“內”圖標，就會出現如圖7所示的窗口。

2.3.4 右下角圖標

右擊桌面右上角或任務欄右下角圖標會彈出如圖8所示的快捷菜單，選擇菜單中的“切換”，系統將會重啟，并切換到另一系統中。

2.4 硬盤隔離卡的使用

2.4.1 選擇內外網系統

中孚網絡隔離卡的硬盤和軟件安裝完成后，打開計算機，待計算機正常啟動后，進入隔離系統的內外網選擇界面，如圖9所示。使用上下方向鍵，選擇內外網系統，箭頭所在的位置代表選中，回車即可進入相應的操作系統。當進入“密碼設置”后，可以選擇相關的密碼驗證功能。在啟用和禁用內網密碼的同時，需要輸入原始密碼，用戶可以將原始密碼修改為8位以內的密碼。

2.4.2 內外網絡切換

以實時切換產品從內網向外網切換為例，簡要敘述了切換過程。外網向內網切換的操作與此相同，具體的切換步驟是：①啟動計算機后，會出現內外網切換畫面，根據界面提示選擇進入內網系統。這時，桌面的右下角會出現表示當前網絡狀態的圖標“內”。②雙擊桌面上的隔離卡管理系統或網絡標識“內”圖標，會出現如圖10所示的窗口。

在內網切換圖標中，操作按鈕主要有以下幾個：①實時切換。點擊該按鈕，內網系統就會進入休眠狀態，然后切換到外網系統。只有以Administrator用戶運行命令“powercfg–h on”打開系統休眠功能后，才能執行實時切換任務。②重啟切換。點擊該按鈕，系統重新啟動計算機后進入外網系統。③關機。點擊該按鈕，系統會關閉計算機。④隱藏。點擊該按鈕，主界面會隱藏到右下角。⑤制訂任務計劃。點擊該按鈕，用戶可以設置定時重啟和定時關機等內容。

右擊桌面內（外）網切換圖標，展開菜單如圖11所示。菜單中主要包括以下內容：①實時切換、重啟切換、關閉計算機與按扭操作相同。②高級設置。進人“高級設置”前，需要通過密碼驗證，而用戶可以將其修改為8位以內的密碼。當程序安裝完成后，默認狀態是不勾選禁用無線網卡功能、監控內網系統違規外聯的功能和IP地址綁定等功能，所以，用戶可以根據自己的需要分別選擇是否使用這些系統設置。勾選功能項目前面的選框點擊確定后，其就會起到相應的作用，不勾選則不起任何作用。因此，建議用戶使用安全設置里的功能，但用戶不要違規使用可移動存儲設備。其中，卸載密碼與高級設置的密碼相同，切換到內網的密碼與開機界面進入內網的密碼相同。實時切換時間與用戶的硬件配置和軟件配置有關，如果實時切換時出現喚不醒、死機的情況，則需要在“切換時間設置”下面的框內輸入具體的時間，一般取大于10 s的值。③輔助工具。中孚隔離卡輔助工具是中孚開發的一些實用工具之一。④隱藏浮動窗口。切換程序安裝完成后，在桌面的右上角會自動顯示浮動窗口，浮動窗口的功能與任務欄右下角的圖標一致，點擊右鍵都會彈出功能菜單，用戶可以拖動浮動窗口到桌面的任意位置，同時，選擇“隱藏浮動窗口”也可以將其隱藏。

3 使用硬盤隔離卡的注意事項

使用隔離卡實現的是硬件上的切換，使用一段時間后，機器就出現藍屏的問題。而chkdsk修復系統可以解決該問題。但是，隔離

卡也時常出現無法切換的問題。解決該問題的方法是查看硬盤的連接線，如果它沒有問題，就需要重新安裝隔離卡和驅動程序。

在使用移動存儲器時也要區分使用，最好使用不同外觀的移動存儲器和不同的USB接口，做好標記便于區分。內網使用內網的移動存儲器，插內網的USB接口；外網使用外網的移動存儲器，插外網的USB接口。這樣做，才能絕對隔離內外網的數據。對于用戶來說，雖然這樣做比較麻煩，但是，為了內部網絡的安全，必須要嚴格執行。

參考文獻

[1]王明剛，趙軍.淺析內外網隔離方案[J].廣播電視與技術，2009（4）.

[2]葉向東.淺談內網電腦不能訪問外網的解決辦法[J].科技信息，2009（31）.

〔編輯：白潔〕