國(guó)家新聞出版廣電總局六二三臺(tái) 張東升

引言

隨著社會(huì)的發(fā)展，網(wǎng)絡(luò)安全越來(lái)越備受關(guān)注，不管是移動(dòng)網(wǎng)絡(luò)安全還是PC網(wǎng)絡(luò)包括服務(wù)器方面等等，國(guó)家很多機(jī)密信息通過(guò)不同的形式外泄，為了能夠保護(hù)國(guó)家機(jī)密不被泄露，迫切需要制定一套更加安全的系統(tǒng)，

行業(yè)分析：很多企業(yè)為了本地網(wǎng)絡(luò)安全，會(huì)設(shè)置內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用防火墻隔離開(kāi)，外部網(wǎng)絡(luò)要訪問(wèn)內(nèi)部網(wǎng)絡(luò)需要安全認(rèn)證-設(shè)置安全證書(shū)或指定賬號(hào)密碼才能訪問(wèn)，盡管是這樣仍然有一些黑客組織也能找到漏洞，盜取機(jī)密資料甚至攻擊服務(wù)器，造成服務(wù)器癱瘓，為企業(yè)造成很大的損失。所以我們迫切需要一種外部黑客基本無(wú)法找到漏洞，無(wú)法攻擊內(nèi)部網(wǎng)絡(luò)的方案。就需要讓內(nèi)網(wǎng)與外網(wǎng)進(jìn)行完全的隔離。

1.方案設(shè)想

現(xiàn)在科技越來(lái)越發(fā)達(dá)，有很多技術(shù)都已經(jīng)成熟，如果將內(nèi)網(wǎng)和外網(wǎng)完全隔離的話，就不能經(jīng)過(guò)網(wǎng)絡(luò)聯(lián)絡(luò)，我們?cè)O(shè)想是否可以通過(guò)聲音來(lái)辨別，當(dāng)內(nèi)部網(wǎng)絡(luò)發(fā)出警報(bào)，想要像外部網(wǎng)絡(luò)發(fā)送信息時(shí)，我們可以通過(guò)聲音來(lái)知道外網(wǎng)發(fā)送數(shù)據(jù)，讓內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)完全隔離，只通過(guò)聲音，這時(shí)候我們就需要借助其他硬件設(shè)備做輔助，內(nèi)網(wǎng)終端設(shè)備發(fā)送警報(bào)聲，外網(wǎng)同樣有個(gè)終端設(shè)備可以接收聲音，當(dāng)內(nèi)部網(wǎng)絡(luò)發(fā)出警告后，外部網(wǎng)絡(luò)設(shè)備根據(jù)聲音辨別警報(bào)級(jí)別，通過(guò)服務(wù)器向外部發(fā)送警報(bào)信息，可以發(fā)送手機(jī)短信或郵箱，可以撥打電話，也可以發(fā)送通知到指定的APP。

2.安全系統(tǒng)優(yōu)化方案實(shí)施流程

2.1 商業(yè)論證

首先我們要實(shí)施一個(gè)新的優(yōu)化項(xiàng)目方案要確?；ㄙM(fèi)成本和運(yùn)營(yíng)成本比之前要比現(xiàn)狀節(jié)省成本，或者說(shuō)因?yàn)闄C(jī)密泄露造成的損失大于新方案花費(fèi)以及運(yùn)營(yíng)成本。本案分析機(jī)密泄露損失對(duì)國(guó)家造成危害很大，損失是不可估量的，迫切需要一套安全系統(tǒng)來(lái)維護(hù)。

2.2 新安全系統(tǒng)設(shè)計(jì)（見(jiàn)圖1）

（1）首先需要內(nèi)外網(wǎng)物理分離，不能直接連通，研究考慮到內(nèi)外網(wǎng)互通應(yīng)使用其他介質(zhì)，經(jīng)過(guò)多方調(diào)研最簡(jiǎn)單可行的方案是使用聲音來(lái)判別，技術(shù)上建議使用第三方提供的SDK(如阿里提供的語(yǔ)音識(shí)別)，在外網(wǎng)的終端設(shè)備集成阿里語(yǔ)音識(shí)別SDK，來(lái)識(shí)別警報(bào)聲。具體步驟如：

1）當(dāng)內(nèi)網(wǎng)服務(wù)器出現(xiàn)問(wèn)題進(jìn)行預(yù)警時(shí)；

2）由于內(nèi)網(wǎng)相連的終端設(shè)備發(fā)出相應(yīng)的警報(bào)聲

3）利用外網(wǎng)終端設(shè)備的麥克風(fēng)收集聲音（設(shè)備需要全天24小時(shí)接收）；

4）利用阿里提供的SDK進(jìn)行識(shí)別是否為我們需要的警報(bào)聲；

5）根據(jù)識(shí)別后的警報(bào)聲，終端設(shè)備向外網(wǎng)服務(wù)器發(fā)送響應(yīng)指令。

圖1 系統(tǒng)概念圖

（2）外網(wǎng)發(fā)送數(shù)據(jù)：外網(wǎng)跟內(nèi)容完全隔離，只是根據(jù)聲音來(lái)識(shí)別信息，并向外界發(fā)送數(shù)據(jù)，向外部發(fā)送數(shù)據(jù)需要我們自己服務(wù)器集成相應(yīng)的接口（前提我們需要提前部署自己的服務(wù)器）。

圖2 系統(tǒng)流程圖

具體流程（見(jiàn)圖2）：

1）終端設(shè)備根據(jù)已經(jīng)識(shí)別的警告聲，向服務(wù)器發(fā)送響應(yīng)的指令信息；

2）服務(wù)器根據(jù)收到的指令，向外界發(fā)送預(yù)警信息，這個(gè)有幾個(gè)途徑：

①發(fā)送郵件不能實(shí)時(shí)查看，可能耽誤最佳處理時(shí)間，不建議）；

②向?qū)?yīng)手機(jī)APP發(fā)送通知指令（需要開(kāi)發(fā)APP 并設(shè)置接收通知，研發(fā)成本高，不建議使用）；

③向?qū)?yīng)工作人員發(fā)送手機(jī)短信（需要提前接入運(yùn)營(yíng)商短信接口，運(yùn)營(yíng)商會(huì)相應(yīng)的的收取一些費(fèi)用，比較及時(shí)，建議使用）；

④直接撥打?qū)?yīng)工作人員的手機(jī)號(hào)，進(jìn)行語(yǔ)音播放（需要接入運(yùn)營(yíng)商接口，比較及時(shí)，建議使用）。

3）外部工作人員就可以根據(jù)收到警報(bào)信息，做出及時(shí)響應(yīng)處理；4）外網(wǎng)服務(wù)器收到響應(yīng)后關(guān)閉警告。

開(kāi)發(fā)新系統(tǒng)需要相應(yīng)的人員安排和設(shè)備支持。

2.3 新安全系統(tǒng)人員安排與設(shè)備部署

（1）我們需要內(nèi)網(wǎng)運(yùn)維人員安裝發(fā)送聲音源的設(shè)備并關(guān)聯(lián)到內(nèi)網(wǎng)服務(wù)器系統(tǒng)；

（2）需要具有麥克風(fēng)和音箱開(kāi)發(fā)的硬件工程師，已經(jīng)能夠集成第三方聲音識(shí)別的研發(fā)人員；

（3）外網(wǎng)我們需要服務(wù)器租用和部署以及相應(yīng)的工程師研發(fā)工作；

（4）需要一個(gè)統(tǒng)籌整個(gè)系統(tǒng)開(kāi)發(fā)的項(xiàng)目經(jīng)理進(jìn)行全局協(xié)調(diào)。設(shè)備需求：

（1）一臺(tái)音箱，連接到內(nèi)網(wǎng)服務(wù)器；

（2）一支麥克風(fēng)，連接到外網(wǎng)服務(wù)器；

（3）服務(wù)器設(shè)備，外網(wǎng)需要的，也可以租用第三方平臺(tái)的服務(wù)器。

2.4 新安全系統(tǒng)風(fēng)險(xiǎn)性分析

任何系統(tǒng)都有存在風(fēng)險(xiǎn)，所以在實(shí)施新的系統(tǒng)前都需要提前識(shí)別出相應(yīng)的風(fēng)險(xiǎn)并進(jìn)行風(fēng)險(xiǎn)分析（定性分析、定量分析），以及找出應(yīng)對(duì)風(fēng)險(xiǎn)的方法。

根據(jù)整個(gè)系統(tǒng)框架總結(jié)出幾個(gè)比較常見(jiàn)的風(fēng)險(xiǎn)：

（1）設(shè)備問(wèn)題：設(shè)備本身質(zhì)量問(wèn)題 解決方法選擇高質(zhì)量的音箱、麥克風(fēng)、服務(wù)器等產(chǎn)品；

（2）麥克風(fēng)設(shè)備不能有效識(shí)別音箱發(fā)出的聲音，解決方法：進(jìn)行多次測(cè)試，不同距離和環(huán)境的測(cè)試，確保萬(wàn)無(wú)一失；

（3）斷電問(wèn)題，解決方法進(jìn)行雙電源連接供電，一條電路斷開(kāi)，另一條可以直接連通；

（4）外勤人員未能及時(shí)查看到服務(wù)器發(fā)送的警報(bào)信息，解決方法：間隔多次發(fā)送知道外勤人員響應(yīng)；

（5）外網(wǎng)服務(wù)器故障，解決方法：進(jìn)行服務(wù)器備份，主服務(wù)器出現(xiàn)故障，備用服務(wù)器速度投入使用；

（6）為避免設(shè)備使用時(shí)間太長(zhǎng)，各方面性能出現(xiàn)問(wèn)題，建議及時(shí)更換新的替代設(shè)備。

2.5 新安全系統(tǒng)實(shí)施與部署

新系統(tǒng)按照規(guī)劃進(jìn)行工作安排，各方面問(wèn)題都由項(xiàng)目經(jīng)理統(tǒng)籌處理，合理安排項(xiàng)目工作時(shí)間，嚴(yán)格控制時(shí)間和成本；項(xiàng)目完成后要經(jīng)過(guò)多輪測(cè)試，反復(fù)驗(yàn)證，要確保不出現(xiàn)任何問(wèn)題，如有需要，項(xiàng)目組可以申請(qǐng)正規(guī)的測(cè)試人員進(jìn)行測(cè)試，主要測(cè)試任務(wù)包括：

（1）內(nèi)網(wǎng)警報(bào)時(shí)，音箱是否能及時(shí)準(zhǔn)確播放對(duì)應(yīng)音效；

（2）音箱和麥克風(fēng)的性能；

（3）第三方SDK對(duì)聲音識(shí)別率以及準(zhǔn)確程度；

（4）外網(wǎng)服務(wù)器是否穩(wěn)定，另外外部網(wǎng)絡(luò)是否暢通；

（5）外勤工作人員是否能正常接收到警報(bào)信息。

3.總結(jié)

在當(dāng)前網(wǎng)絡(luò)環(huán)境復(fù)雜的大環(huán)境下，在新系統(tǒng)完成后可以完全隔離了內(nèi)外網(wǎng)絡(luò)，保證了重要涉密信息不會(huì)泄露，確保了重要信息在第一時(shí)間可以反饋到工作人員手里，便于及時(shí)發(fā)現(xiàn)解決處理問(wèn)題，保障了財(cái)產(chǎn)利益不受損失，實(shí)現(xiàn)網(wǎng)絡(luò)安全保障，較之前更加安全可靠。