張延年　王彥紅

摘 要：隨著氣象現(xiàn)代化的不斷發(fā)展，氣象部門的網(wǎng)絡(luò)安全問題日益嚴峻，內(nèi)外網(wǎng)隔離勢在必行。簡要介紹了內(nèi)外網(wǎng)隔離的原理和實施方案，并分析、比較了不同方案的隔離效果、特點等。同時，還介紹了使用了隔離卡的用戶所遇到的安裝問題和使用過程中的一些常見問題。

關(guān)鍵詞：網(wǎng)絡(luò)隔離；隔離效果；氣象事業(yè)；硬盤隔離卡

中圖分類號：TP393.08；P409 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.03.013

我國氣象事業(yè)是以提供公共服務(wù)為主的科技型、基礎(chǔ)性社會公益事業(yè)，可免費共享部分氣象資料，但也需要遵循保密原則。按照《中華人民共和國氣象法》第三章第十八條規(guī)定：“基本探測氣象資料以外的氣象探測資料需要保密，其密級的確定、變更、解密和使用要依照《中華人民共和國保守國家秘密法》的規(guī)定執(zhí)行。”現(xiàn)代辦公離不開網(wǎng)絡(luò)，許多工作人員經(jīng)常需要訪問內(nèi)網(wǎng)和外網(wǎng)（互聯(lián)網(wǎng)）。目前，網(wǎng)絡(luò)安全形勢日益嚴峻，互聯(lián)網(wǎng)黑客攻擊或病毒破壞所造成的后果難以預(yù)料。因此，國家明文規(guī)定了政府黨政軍機關(guān)單位和企事業(yè)單位的內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)實行物理隔離，以確保內(nèi)網(wǎng)信息的安全。

現(xiàn)階段，內(nèi)外網(wǎng)隔離的方案主要有3種，即雙電腦雙網(wǎng)雙線隔離方案、單電腦雙網(wǎng)雙線硬盤隔離卡隔離方案和單電腦雙網(wǎng)單網(wǎng)線隔離交換機隔離方案。

1 各種方案的原理和對比

1.1 雙電腦雙網(wǎng)雙線隔離方案

這個方案最簡單，就是每個人配備2臺電腦分別用于內(nèi)網(wǎng)和外網(wǎng)，可以同時上內(nèi)外網(wǎng)。但是，其缺點是每個人的辦工桌上擺2臺電腦很占空間，既不經(jīng)濟也不方便，大大增加了耗電量和電磁輻射。該方案如圖1所示。

1.2 單電腦雙網(wǎng)雙線硬盤隔離卡隔離方案

用戶僅使用1臺電腦，并在電腦上增加1個硬盤和硬盤隔離卡，且硬盤隔離卡上有3個RJ45口，它們各自連接原主機網(wǎng)卡和內(nèi)網(wǎng)、外網(wǎng)的網(wǎng)線，通過人工或軟件切換硬盤和網(wǎng)線。在內(nèi)外網(wǎng)的環(huán)境中，內(nèi)網(wǎng)對應(yīng)內(nèi)網(wǎng)的硬盤，外網(wǎng)對應(yīng)外網(wǎng)的硬盤，這樣，內(nèi)外網(wǎng)在物理上完全分離且不存在公用存儲信息，從而實現(xiàn)了單機在2個網(wǎng)絡(luò)之間真正的物理隔離。這種方案一機兩用，安全、可靠、方便、經(jīng)濟，極大地提高了計算機系統(tǒng)的資源利用率，但它的缺點是用戶在同一時間只能使用一種網(wǎng)絡(luò)。山西省氣象科技大樓主要采用的就是這種方案，所以，本文著重介紹這種隔離方案。該方案如圖2所示。

1.3 單電腦雙網(wǎng)單網(wǎng)線線路選擇器隔離方案

用戶只使用1臺電腦，但需要有1臺線路選擇器把內(nèi)、外網(wǎng)分開，同時，用戶的電腦也必須增加1個硬盤和硬盤隔離卡，內(nèi)網(wǎng)的數(shù)據(jù)放在內(nèi)網(wǎng)硬盤，外網(wǎng)的數(shù)據(jù)放在外網(wǎng)硬盤。該方案中使用的硬盤隔離卡不同于第2種方案的隔離卡。當用戶需要切換網(wǎng)絡(luò)時，由用戶發(fā)出指令（實際上是分別發(fā)出2種不同極性的直流信號）來控制線路選擇器接通內(nèi)網(wǎng)或外網(wǎng)，且用戶在同一時間只能使用一種網(wǎng)絡(luò)。這種方案雖然節(jié)省了1根網(wǎng)線，但是，內(nèi)外網(wǎng)的切換比較麻煩，只對那些無法布設(shè)雙網(wǎng)線的用戶有利。該方案如圖3所示。

2 氣象科技大樓采用的方案

2.1 方案簡介

在山西省氣象部門中，已經(jīng)有部分單位實行了內(nèi)外網(wǎng)隔離的工作模式，采用的是單電腦雙網(wǎng)雙線硬盤隔離卡隔離方案。省氣象局科技大樓為了實現(xiàn)內(nèi)外網(wǎng)隔離的工作模式，前期已經(jīng)在大樓西面的樓梯處安裝了外網(wǎng)線路的設(shè)備，現(xiàn)在幾乎每位工作人員都有2根網(wǎng)線，并配備了安裝有雙硬盤和硬盤隔離卡的計算機，部分單位已經(jīng)實現(xiàn)了內(nèi)外網(wǎng)隔離的工作模式。使用這種工作模式的電腦，其內(nèi)部都裝有硬盤隔離卡和2塊硬盤，通過硬盤隔離卡將2塊硬盤隔離，同一時間只使用1塊硬盤。這樣，就從物理角度上將2塊硬盤隔離，這塊硬盤的數(shù)據(jù)不會進入另一塊硬盤上，有效地防止了內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)流失到公共網(wǎng)絡(luò)上，達到了內(nèi)外網(wǎng)隔離的目的。

硬盤隔離卡的特點是即插即用，有PCI插槽、軟件控制、在線切換，不占用USB口和COM口，支持Win7＼LINUX等操作系統(tǒng)，并且內(nèi)外2種不同網(wǎng)絡(luò)之間可以自由切換。硬盤隔離卡如圖4所示。

2.2 硬盤隔離卡的安裝

在該方案中，使用的是硬盤電源切換型隔離卡，默認為雙網(wǎng)線布線模式。其具體安裝步驟是：①在安裝硬件之前，先斷開主機電源，然后連接硬件，將隔離卡插入主板上空余的PCI插槽內(nèi)，并將其固定好。②取出1條包裝盒中的一拖三數(shù)據(jù)線，將黑色12孔插頭的一端與隔離卡尾部的電源卡座相連，分出來的中間的黑色4線扁平插頭則與主板的SATA插座相連，另外2個插頭則分別連接內(nèi)網(wǎng)硬盤和外網(wǎng)硬盤。硬盤數(shù)據(jù)線連接如圖5所示。③蓋上機箱蓋，并將其固定好。④取出包裝盒中的短網(wǎng)線，將隔離卡的網(wǎng)卡口（黑色）與機器的網(wǎng)卡接口相連，如圖6所示。⑤將內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)線插入隔離卡上的對應(yīng)網(wǎng)口（外網(wǎng)網(wǎng)口是綠色，內(nèi)網(wǎng)網(wǎng)口是黃色）。當外網(wǎng)網(wǎng)絡(luò)連通時，隔離卡網(wǎng)口的綠色燈亮；當內(nèi)網(wǎng)網(wǎng)絡(luò)連通時，隔離卡網(wǎng)口的黃色燈亮。⑥開機時，顯示內(nèi)外網(wǎng)的選擇界面，通過鍵盤上的上下鍵選擇進入內(nèi)網(wǎng)系統(tǒng)或外網(wǎng)系統(tǒng)，回車即可進入被選擇的系統(tǒng)，但是，進入系統(tǒng)后需要安裝管理軟件。在此過程中，如果不出現(xiàn)內(nèi)外網(wǎng)選擇界面，就需要進入CMOS設(shè)置，找到啟動順序里的“Hard Disk Drivers”。其中，有“SCSI Card”和硬盤設(shè)備的名稱，這時，將“SCSI Card”調(diào)到硬盤上，然后在啟動順序中將硬盤調(diào)整為第一啟動項。

2.3 管理軟件的安裝

2.3.1 外網(wǎng)管理軟件的安裝

進入外網(wǎng)系統(tǒng)后，將隔離卡隨帶的光盤放入光驅(qū)，進入HDP-III K7ⅢRS菜單，或者雙擊安裝程序目錄中的setup.exe文件，單擊“下一步”。默認安裝路徑是C：＼NetCard，但是，也可以選擇其他路徑。安裝成功后，在桌面的右上角和系統(tǒng)狀態(tài)欄的右下角會分別出現(xiàn)“外”的網(wǎng)絡(luò)標識。這說明，電腦正處于外網(wǎng)連接狀態(tài)。

2.3.2 內(nèi)網(wǎng)管理軟件的安裝

內(nèi)網(wǎng)管理軟件的安裝與外網(wǎng)管理軟件的安裝相同，系統(tǒng)會自動識別其是內(nèi)網(wǎng)系統(tǒng)或外網(wǎng)系統(tǒng)。系統(tǒng)安裝完畢后，在桌面的右上角和系統(tǒng)狀態(tài)欄的右下角會分別出現(xiàn)“內(nèi)”的網(wǎng)絡(luò)標識。這說明，電腦正處于內(nèi)網(wǎng)連接狀態(tài)。

2.3.3 主界面顯示

雙擊桌面上的中孚網(wǎng)絡(luò)隔離卡管理系統(tǒng)或網(wǎng)絡(luò)標識“內(nèi)”圖標，就會出現(xiàn)如圖7所示的窗口。

2.3.4 右下角圖標

右擊桌面右上角或任務(wù)欄右下角圖標會彈出如圖8所示的快捷菜單，選擇菜單中的“切換”，系統(tǒng)將會重啟，并切換到另一系統(tǒng)中。

2.4 硬盤隔離卡的使用

2.4.1 選擇內(nèi)外網(wǎng)系統(tǒng)

中孚網(wǎng)絡(luò)隔離卡的硬盤和軟件安裝完成后，打開計算機，待計算機正常啟動后，進入隔離系統(tǒng)的內(nèi)外網(wǎng)選擇界面，如圖9所示。使用上下方向鍵，選擇內(nèi)外網(wǎng)系統(tǒng)，箭頭所在的位置代表選中，回車即可進入相應(yīng)的操作系統(tǒng)。當進入“密碼設(shè)置”后，可以選擇相關(guān)的密碼驗證功能。在啟用和禁用內(nèi)網(wǎng)密碼的同時，需要輸入原始密碼，用戶可以將原始密碼修改為8位以內(nèi)的密碼。

2.4.2 內(nèi)外網(wǎng)絡(luò)切換

以實時切換產(chǎn)品從內(nèi)網(wǎng)向外網(wǎng)切換為例，簡要敘述了切換過程。外網(wǎng)向內(nèi)網(wǎng)切換的操作與此相同，具體的切換步驟是：①啟動計算機后，會出現(xiàn)內(nèi)外網(wǎng)切換畫面，根據(jù)界面提示選擇進入內(nèi)網(wǎng)系統(tǒng)。這時，桌面的右下角會出現(xiàn)表示當前網(wǎng)絡(luò)狀態(tài)的圖標“內(nèi)”。②雙擊桌面上的隔離卡管理系統(tǒng)或網(wǎng)絡(luò)標識“內(nèi)”圖標，會出現(xiàn)如圖10所示的窗口。

在內(nèi)網(wǎng)切換圖標中，操作按鈕主要有以下幾個：①實時切換。點擊該按鈕，內(nèi)網(wǎng)系統(tǒng)就會進入休眠狀態(tài)，然后切換到外網(wǎng)系統(tǒng)。只有以Administrator用戶運行命令“powercfg–h on”打開系統(tǒng)休眠功能后，才能執(zhí)行實時切換任務(wù)。②重啟切換。點擊該按鈕，系統(tǒng)重新啟動計算機后進入外網(wǎng)系統(tǒng)。③關(guān)機。點擊該按鈕，系統(tǒng)會關(guān)閉計算機。④隱藏。點擊該按鈕，主界面會隱藏到右下角。⑤制訂任務(wù)計劃。點擊該按鈕，用戶可以設(shè)置定時重啟和定時關(guān)機等內(nèi)容。

右擊桌面內(nèi)（外）網(wǎng)切換圖標，展開菜單如圖11所示。菜單中主要包括以下內(nèi)容：①實時切換、重啟切換、關(guān)閉計算機與按扭操作相同。②高級設(shè)置。進人“高級設(shè)置”前，需要通過密碼驗證，而用戶可以將其修改為8位以內(nèi)的密碼。當程序安裝完成后，默認狀態(tài)是不勾選禁用無線網(wǎng)卡功能、監(jiān)控內(nèi)網(wǎng)系統(tǒng)違規(guī)外聯(lián)的功能和IP地址綁定等功能，所以，用戶可以根據(jù)自己的需要分別選擇是否使用這些系統(tǒng)設(shè)置。勾選功能項目前面的選框點擊確定后，其就會起到相應(yīng)的作用，不勾選則不起任何作用。因此，建議用戶使用安全設(shè)置里的功能，但用戶不要違規(guī)使用可移動存儲設(shè)備。其中，卸載密碼與高級設(shè)置的密碼相同，切換到內(nèi)網(wǎng)的密碼與開機界面進入內(nèi)網(wǎng)的密碼相同。實時切換時間與用戶的硬件配置和軟件配置有關(guān)，如果實時切換時出現(xiàn)喚不醒、死機的情況，則需要在“切換時間設(shè)置”下面的框內(nèi)輸入具體的時間，一般取大于10 s的值。③輔助工具。中孚隔離卡輔助工具是中孚開發(fā)的一些實用工具之一。④隱藏浮動窗口。切換程序安裝完成后，在桌面的右上角會自動顯示浮動窗口，浮動窗口的功能與任務(wù)欄右下角的圖標一致，點擊右鍵都會彈出功能菜單，用戶可以拖動浮動窗口到桌面的任意位置，同時，選擇“隱藏浮動窗口”也可以將其隱藏。

3 使用硬盤隔離卡的注意事項

使用隔離卡實現(xiàn)的是硬件上的切換，使用一段時間后，機器就出現(xiàn)藍屏的問題。而chkdsk修復(fù)系統(tǒng)可以解決該問題。但是，隔離

卡也時常出現(xiàn)無法切換的問題。解決該問題的方法是查看硬盤的連接線，如果它沒有問題，就需要重新安裝隔離卡和驅(qū)動程序。

在使用移動存儲器時也要區(qū)分使用，最好使用不同外觀的移動存儲器和不同的USB接口，做好標記便于區(qū)分。內(nèi)網(wǎng)使用內(nèi)網(wǎng)的移動存儲器，插內(nèi)網(wǎng)的USB接口；外網(wǎng)使用外網(wǎng)的移動存儲器，插外網(wǎng)的USB接口。這樣做，才能絕對隔離內(nèi)外網(wǎng)的數(shù)據(jù)。對于用戶來說，雖然這樣做比較麻煩，但是，為了內(nèi)部網(wǎng)絡(luò)的安全，必須要嚴格執(zhí)行。

參考文獻

[1]王明剛，趙軍.淺析內(nèi)外網(wǎng)隔離方案[J].廣播電視與技術(shù)，2009（4）.

[2]葉向東.淺談內(nèi)網(wǎng)電腦不能訪問外網(wǎng)的解決辦法[J].科技信息，2009（31）.

〔編輯：白潔〕