水利系统内外网隔离方案浅析

2014-02-20 10:02杨凯
海河水利 2014年3期
关键词:外网内网硬盘

杨凯

(海河水利委员会海河下游管理局,天津300061)

水利系统内外网隔离方案浅析

杨凯

(海河水利委员会海河下游管理局,天津300061)

随着信息技术的迅猛发展和数字化进程的不断加快,水利信息政务内网和水利公共外网的信息安全变得尤为重要。阐述了水利信息政务内网和公共外网的关系,根据信息安全等级保护办法,重新规划海河下游管理局办公楼网络布局,将政务内网和公共外网进行物理隔离,并通过有效的网络管理办法和配套措施,保障水利系统内部信息安全。

水利信息;政务内网;公共外网;网络隔离

1 引言

随着信息产业的飞速发展,水利信息化建设取得了重大成就,各类水信息应用系统和数据资源为政府提供了重要的生产管理手段和技术支撑。但病毒传播、网络攻击、数据破坏等安全风险也随着信息化的发展而增加,水利信息政务内网和水利公共外网的信息安全问题变得尤为重要,尤其是内网中存有大量水利工程资料、水域信息资料、流域水文资料等。这些信息如果遭遇外部攻击、互联网病毒入侵或者内部泄密,将会带来不可估量的损失和危害。因此,科学有效地解决水利信息政务内网和水利公共外网隔离问题变得尤为重要。

笔者依据《信息安全等级保护管理办法》及海委信息安全等级保护整改工程的要求,将为海河下游管理局政务内网与公共外网进行物理隔离,确保海河下游管理局水利信息政务内网免受外部攻击、互联网病毒入侵,从而达到等级保护的相关要求。

2 水利信息政务内网与公共外网关系

水利信息政务内网是水利系统内部办公业务网络,主要为领导决策和指挥提供信息支持和技术服务,并承担公文、应急、值班、邮件、会议等办公业务,运行以核心和涉密业务为主体的应用系统。

水利公共外网是承担水利部门与其他相关部门之间非涉密的信息交换和业务互动以及水利部门面向企业和公众的监督和服务业务,运行的主要是服务社会的各类水利业务如气候查询、雨水情预报等业务系统,属于非涉密网。典型的网络拓扑结构,如图1所示。

图1 计算机网络拓扑结构

目前,大部分电子政务网络注重的是外网安全,主要精力也放在针对防御网络外部攻击上,从一定程度上为电子政务网络提供了有效防护。在日常工作中,水利信息政务内网中处理的文件部分内容属于单位内部重要信息,一旦遭到恶意窃取或破坏,将危及企事业单位的利益和安全。

将水利信息政务内网安全与水利公共外网安全结合起来,建立一个完整的安全体系变得尤为重要。主要需求表现在内外网应实现物理隔离,认证需求,访问控制需求,保密需求等。其中,认证需求是指提供某个实体的身份认证,保证只有合法用户才能访问内部资源;访问控制需求是指涉密公文必须得到严格的访问控制,确保非法访问者无法访问;保密需求是指在全行业信息与网络系统中,保障涉密公文加密存放、加密传输。

3 内外网终端隔离方式

3.1 隔离方式

内外网隔离有逻辑隔离和物理隔离2种概念。逻辑隔离无法隔离数据,只是通过软件使数据有选择地通过,此方法容易被黑客、内部用户等逻辑实体操纵,因此机密数据的安全不能完全依赖于逻辑隔离。

物理隔离,将政务内网和企事业公共外网完全分开,中间不作任何连接,为政务内网划定了完全物理隔离的安全边界,使得政务内网的可控性增强,便于内部管理。现存在3种物理隔离手段。

(1)双机双网卡模式。即配置2台终端,分别接入内外网中,该方法简单、直接、快速地将内外网进行物理隔离。但是,双机双网卡模式会提高企事业单位投资成本,占用更多的空间,同时会加重网络、终端的维护负担。

(2)双硬盘隔离卡模式。即在原有终端上,配置1块硬盘和1块隔离卡,2块硬盘分别对应内外网,启动机器时手动选择进入内网硬盘和外网硬盘,采取重启的方式进行内外网切换,可以有效地实现内外网物理隔离。双硬盘隔离卡模式的核心在于隔离卡,隔离卡安装存在一些局限,机器PCI插槽位置、硬盘位置、供电电源位置都会给安装带来不便;同时,频繁的内外网切换会损耗隔离卡和硬盘的寿命,增加维护成本。

和血胶囊为皂矾与麸炒苍术两味中药经粉碎加工而制成,具有健脾燥湿、补气生血的功效,常用于治疗脾胃虚弱、气血不足、面色萎黄、心悸乏力、缺铁性贫血等症[1]。和血胶囊原标准收载于卫生部药品标准《中药成方制剂》第19册,标准编号:WS3-B-3609-98[1]。原标准只有显微鉴别对苍术药材、化学反应方法对皂矾进行质量控制,其专属性不强,且缺乏定量检测指标,难以真正控制成品的质量。按照国家药监局“国家药品标准提高研究课题任务书”(项目编号158号)文件要求,对和血胶囊的质量标准进行全面修订与提高。

(3)单硬盘隔离卡模式。本模式是在双硬盘隔离卡模式基础上升级出来的,隔离卡将硬盘分为外网分区和内网分区2个分区,启动机器时手动选择进入内网分区和外网分区,采用系统休眠的方式进行内外网切换。

3.2 改造情况

根据《信息安全等级保护管理办法》要求,海河下游管理局对原有网络机房进行改造。为满足需求,对原有办公网络重新规划。办公楼共5层,每层20余间办公室,去除原有网络信息点,对每间办公室重新进行布线,满足每间办公室内2个外网信息点、2个内网信息点和2个电话通讯信息点的需求。对会议室、职工休息室、仓库等非办公室类房间根据用途布设相应信息点。

同时,对现有计算机终端进行登记。针对部分较为陈旧、不具备申请报废条件的计算机终端,采用双机双网卡隔离方式,即新配备1台计算机主机,采用KVM切换器公用1台显示器、1套键盘鼠标,如图2所示。

图2 双主机双网卡模式

对部分具备PCI插槽、硬盘容量较小的计算机终端,采用双硬盘隔离卡模式,如图3所示。

图3 双硬盘隔离卡模式

市面上常用隔离卡品牌有宇思盾、伟思、山东中孚等,根据现有计算机终端台账,海河下游管理局现有终端以戴尔、方正、清华同方以及兼容机为主。考虑到终端机箱大小、PCI插槽以及隔离卡与主板兼容性几个方面,选择安装中孚HDP-IIIK720QS型号的隔离卡。该产品即插即用,切换界面自动显示;支持双百兆网络,双SATA硬盘数据流自动切换,系统软件可以实时切换;管理软件附加文件粉碎功能,可以有效保护个人隐私,自动监控内网系统违规外联行为,有效保护内网数据安全;管理软件附加IP地址绑定功能,可以防止内外网线误连;安装时自动标识内外网硬盘,可以防止内外网硬盘对置。其应用广泛,支持WINXP/VISTA/WIN7等主流操作系统。

对具备PCI插槽、硬盘容量足够大的计算机终端,采用单硬盘隔离卡模式,即安装智华WA12单硬盘隔离卡,对原有硬盘进行分区处理。具体操作过程是,将隔离卡平稳地插入PCI插槽,启动计算机,计算机在完成自检(POST)过程之后隔离系统将进入硬盘的分区设置如图4所示,待分区完成后,实现内外网的管理功能。

图4 智华WA12单硬盘隔离卡分区程序

4 内网安全保护措施

在水利信息政务内网系统中安装防火墙,在用户终端区域与水利信息服务器区域之间建立网关,依照协议在授权许可时执行指定的安全控制策略,避免病毒通过用户终端进入服务器区域。根据不同需求,配置防火墙策略,控制数据流,对出现的外部攻击及时报告和报警。同时,需要搭建Kaspersky Security Center服务器,实现对内网终端的统一管理。

4.2 终端软件配置

根据计算机资产台账,对每一台进入政务内网的计算机型号、配置、硬盘序列号、MAC地址、IP地址、维修使用记录进行严格登记。

采用天津市国家保密局监制的计算机保密安全检查取证系统,对每台内网计算机进行硬盘扫描,清除所有非政务办公文件。安装卡巴斯基反病毒Windows工作站,更新至最新病毒库,进行全盘杀毒,确保进入政务内网机器不带有安全隐患。待查毒完毕后接入政务内网中。

4.3 管理制度及方法

根据国家计算机信息系统安全保密的相关标准,依照海河下游管理局网络环境及现有规章,新定《工作人员保密守则》《网络安全保密管理制度》《非涉密计算机保密管理规定》《涉密计算机管理规定》《涉密移动存储介质保密管理暂行规定》《内网移动存储介质管理规定》《泄密事件报告和查处制度》等文件,修订原有网络管理制度,依据规章制度严格操作,完善计算机网络管理制度和配套措施。

同时,加强终端管理方法的有效性,使用Kaspersky Security Center服务器对内网终端设备进行统一管理,禁用内网终端的USB存储设备,仅允许使用USB键盘鼠标,确保内网文件资料的保密性,并防止病毒侵入内网;禁用DVD刻录功能;禁止内网终端间通过网络传递大小超过500Mb的文件;每周五下午对内网客户端进行统一病毒库升级;每周一上午对内网客户端进行全盘扫毒。

5 内外网日常运维

5.1 隔离卡安装运行常见问题及解决方法

(1)开机自检找不到硬盘。检查硬盘与隔离卡的线路连接是否正常;检查主板CMOS设置是否正确。

(2)插卡后无法进入隔离卡选择界面,直接进入系统。检查未进入系统所在硬盘与隔离卡连线是否正常。

(3)进入系统后,无法上网。检查网络连线与系统是否一致;检查网线接口连接是否接触不良。

(4)进入系统后,无法运行内外网切换软件。检查隔离卡驱动程序是否安装正常。

(5)进入系统后,通过内外网切换软件无法进行软切换。检查内外网切换软件安装程序是否遭到破坏。

5.2 做好设备台账及维护记录

认真做好网络内每台终端的台账及故障维修记录,其中终端台账包括资产编号、权属部门、设备型号、购入时间、安装处室及负责人、硬件设备信息、MAC地址和IP地址等信息,录入完毕后需终端负责人签字。并对每一台终端进行维护记录登记,建立该终端的档案,加强管理规范性,便于日常运维工作的开展。

6 结语

水利信息政务内网涉及大量水利系统内部重要信息,因此对水利信息政务内网和公共外网进行物理隔离成为企事业单位内部信息安全的重要组成。笔者依托现有内外网物理隔离技术、逻辑隔离技术,结合本单位内部网络环境现状及日常运维工作中发现的问题,对现有计算机终端、网络安全实行了统一管理。

物理隔离是保障水利信息安全的一种策略和方法,随着技术的发展,物理隔离需要完善一些必要功能,包括用户访问控制功能、网络身份认证功能、用户行为日志功能及审计功能等。水利信息政务内网与水利公共外网信息安全问题三分靠技术,七分靠管理,需要更加完善的管理措施和相关的安全措施保障政务信息的机密性、完整性和可靠性。

TP399

B

1004-7328(2014)03-0059-03

10.3969/j.issn.1004-7328.2014.03.021

2014-03-10

杨凯(1987-),男,硕士,助理工程师,主要从事水利信息技术工作。

猜你喜欢
外网内网硬盘
内网和外网间的同名IP地址转换技术及应用
HiFi级4K硬盘播放机 亿格瑞A15
Egreat(亿格瑞)A10二代 4K硬盘播放机
电子政务外网的安全管理研究
企业内网中的数据隔离与交换技术探索
内外网隔离条件下如何实现邮件转发
我区电视台对硬盘播出系统的应用
浅谈电子政务系统的构成及发展趋势