物理隔離卡在政府部門信息安全中的應(yīng)用

夏洪圖 李靜寧夏回族自治區(qū)衛(wèi)生信息中心 寧夏 750001

0 前言

近年來，我國信息化正以令世界驚奇的速度發(fā)展，信息產(chǎn)業(yè)的發(fā)展促進(jìn)了我國綜合實力的提高，Internet正在逐漸融入到社會生活的各個方面。隨著政府上網(wǎng)、政務(wù)公開、電子政務(wù)等一系列網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，在政府網(wǎng)絡(luò)中，內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息，內(nèi)部機(jī)密信息在網(wǎng)絡(luò)上泄密以及內(nèi)部網(wǎng)絡(luò)被攻擊破壞已經(jīng)成為信息化的重大問題，以往無數(shù)個此類案例的發(fā)生，給國家造成了嚴(yán)重的損失，向我們敲響了警鐘。如果網(wǎng)絡(luò)安全得不到保證，那么將會給國家、社會及網(wǎng)絡(luò)用戶帶來嚴(yán)重的威脅，可能造成政治、經(jīng)濟(jì)、軍事等各方面的巨大損失。因此，在政府工作不斷實現(xiàn)信息化、自動化的同時，信息安全成了亟待解決的問題，信息安全必須得到重視和加強。

1 國家對政府機(jī)關(guān)信息安全的要求及其相關(guān)技術(shù)

國家保密局在 1999年作出規(guī)定，涉密網(wǎng)絡(luò)不得與公共信息網(wǎng)連接，必須要實行物理隔離。國家政府部門由于其特殊的性質(zhì)必須要嚴(yán)格執(zhí)行國家保密局的規(guī)定，在其工作網(wǎng)絡(luò)上實現(xiàn)內(nèi)外網(wǎng)的分割和物理隔離。

“物理隔離”是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)，即我們平時所說的互聯(lián)網(wǎng)。眾所周知，互聯(lián)網(wǎng)是開放的國際化的互聯(lián)空間，而安全和開放卻永遠(yuǎn)是一對矛盾。合理配置內(nèi)部網(wǎng)和公共網(wǎng)“物理隔離”，可以最大限度保證政府部門的內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，“物理隔離”也為政府內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強，便于內(nèi)部管理。

雙硬盤物理隔離技術(shù)是隔離器與主板之間無數(shù)據(jù)交換途徑，雙硬盤分別獨立運行于內(nèi)外網(wǎng)，保證內(nèi)外網(wǎng)實現(xiàn)徹底分離，真正實現(xiàn)了網(wǎng)絡(luò)隔離和數(shù)據(jù)隔離。內(nèi)網(wǎng)和外網(wǎng)的切換通過手動物理開關(guān)來實現(xiàn)，且只能由用戶自己操作，任何網(wǎng)上軟件的操作方法都無效，不存在軟件操作隱患。

2 寧夏政府相關(guān)部門信息安全實踐經(jīng)驗

2.1 未實施物理隔離前的狀況

作為自治區(qū)政府部門，在實行物理隔離之前，我們對網(wǎng)絡(luò)的信息安全也采取了許多其它的措施，如在網(wǎng)絡(luò)中加入防火墻、網(wǎng)絡(luò)版殺病毒軟件、網(wǎng)絡(luò)漏洞掃描等。但為了落實有關(guān)信息保密規(guī)定，只允許一小部分沒有辦公信息的機(jī)器能上Internet，大部分用于辦公不能上Internet，對機(jī)關(guān)干部職工獲取外部信息造成了很大的困難，很多處室加大計算機(jī)的配置量，解決上外網(wǎng)的問題，增加了經(jīng)費開支，致使網(wǎng)絡(luò)沒有充分發(fā)揮應(yīng)有的作用。

2.2 實施物理隔離取得明顯成效

2004年，為遵守信息保密規(guī)定和實現(xiàn)辦公自動化，我們對原有網(wǎng)絡(luò)進(jìn)行改造，對外網(wǎng)與內(nèi)網(wǎng)實施物理隔離，內(nèi)網(wǎng)辦公，外網(wǎng)聯(lián)通Internet。這樣即保障了信息安全又打開了對外的信息大門，具體措施如下：

（1）機(jī)房改造

機(jī)房原有外網(wǎng)服務(wù)器、防火墻、交換機(jī)不變，加裝用于內(nèi)網(wǎng)的服務(wù)器、交換機(jī)等。

（2）工作站改造

為每臺工作站配置了可接雙網(wǎng)線雙硬盤的物理隔離卡和第二硬盤，雙網(wǎng)線雙硬盤分別獨立運行于內(nèi)外網(wǎng)，保證內(nèi)外網(wǎng)實現(xiàn)徹底分離。工作人員使用一臺電腦既可方便上因特網(wǎng)也可安全上內(nèi)網(wǎng)辦公，節(jié)省了硬件投入，方便了工作。

（3）網(wǎng)絡(luò)改造

機(jī)關(guān)各辦公室采用兩條非五類屏蔽雙絞線，形成內(nèi)外網(wǎng)，分別接物理隔離卡內(nèi)外網(wǎng)口。對一人以上的辦公室增加兩臺性價比較好的8口集線器，分別用于內(nèi)外網(wǎng)，連接多個工作站。

（4）加強服務(wù)器操作系統(tǒng)的安全防范

安全的操作系統(tǒng)是網(wǎng)絡(luò)安全的重要基礎(chǔ)。所有的政務(wù)應(yīng)用系統(tǒng)和安全措施都依賴提供底層支持的操作系統(tǒng)。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個網(wǎng)絡(luò)安全體系的崩潰。我們加強服務(wù)器操作系統(tǒng)日常維護(hù)，利用安全掃描工具定期檢查系統(tǒng)漏洞和配置更改情況，及時打上新補釘，堵塞系統(tǒng)漏洞。

（5）加強內(nèi)網(wǎng)病毒的防范

即便是內(nèi)網(wǎng)，我們也采用網(wǎng)絡(luò)版瑞星殺毒軟件，集中管理，自動更新病毒庫，定時殺毒。

我們經(jīng)過改造，順利通過了自治區(qū)保密局的驗收。網(wǎng)絡(luò)安全性能全面提升，有效防止了信息泄露，抵御外部網(wǎng)絡(luò)的攻擊，保障了網(wǎng)絡(luò)信息安全。

3 物理隔離卡使用過程中的問題

使用物理隔離卡后信息安全達(dá)到了預(yù)期的效果，每年都能通過安全部門的檢查，但在實際工作中也發(fā)現(xiàn)了一些不可忽視的信息安全問題。

3.1 內(nèi)外網(wǎng)集線器接錯線

在多人共同辦公的辦公室，由于打掃衛(wèi)生、更換工作站位置、更換計算機(jī)或請外面計算機(jī)公司的技術(shù)人員維修機(jī)器時，他們對內(nèi)外網(wǎng)結(jié)構(gòu)不熟悉，重新用集線器接線時將內(nèi)外網(wǎng)線接反，造成內(nèi)外網(wǎng)聯(lián)通，給信息安全造成極大的隱患。

3.2 物理隔離卡內(nèi)外網(wǎng)口接錯線

同樣，由于人為的原因造成內(nèi)外網(wǎng)線與物理隔離卡內(nèi)外網(wǎng)口接反，造成該計算機(jī)內(nèi)網(wǎng)與外網(wǎng)聯(lián)通，也給信息安全造成極大的隱患。

3.3 移動存儲介質(zhì)(U 盤、移動硬盤等)內(nèi)外網(wǎng)共用

在內(nèi)網(wǎng)使用的移動存儲介質(zhì)存儲了大量的內(nèi)部信息，在轉(zhuǎn)換到外網(wǎng)時沒有將其及時移去，使得大量內(nèi)網(wǎng)信息暴露在外網(wǎng)中，或內(nèi)外網(wǎng)共用一個移動存儲介質(zhì)，這些都會造成內(nèi)網(wǎng)信息泄露。

3.4 筆記本電腦使用不當(dāng)

現(xiàn)在筆記本電腦使用頻率越來越高。筆記本電腦在沒有加裝隔離器的情況下內(nèi)外網(wǎng)混用也極易造成信息泄露。

4 進(jìn)一步加強信息網(wǎng)絡(luò)安全管理的建議

（1）健全信息安全管理機(jī)制和運行機(jī)制安全管理機(jī)制是網(wǎng)絡(luò)安全中控制風(fēng)險、降低損失的保證；安全運行機(jī)制保障了系統(tǒng)的穩(wěn)定可靠性；技術(shù)手段只有在安全管理機(jī)制與安全運行機(jī)制下，才能保證信息安全。因此，要建立安全管理機(jī)制和運行機(jī)制，制定和落實安全管理制度，包括：系統(tǒng)運行維護(hù)管理制度、操作和管理人員管理制度、機(jī)房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級保護(hù)制度、對外交流合作安全制度以及上網(wǎng)信息審批制度等。

（2）規(guī)范移動存儲介質(zhì)、筆記本電腦的使用。內(nèi)外網(wǎng)間的信息交換建議使用指紋識別U盤，進(jìn)一步加強對信息保護(hù)的手段。

（3）加強工作人員的保密意識教育，做到誰主管誰負(fù)責(zé)，誰使用誰負(fù)責(zé)，把信息安全落實到人。物理隔離卡雖然有效地解決了內(nèi)外網(wǎng)信息安全的問題，但信息安全絕對不單純是一個技術(shù)性問題，工作人員保密意識不強，形成的“身在密中不知密”情況就如同一個由銅墻鐵壁建成的保險柜卻把鑰匙插在門上一樣，再堅固的門也不起作用。再好的保密技術(shù)，工作人員不認(rèn)真按規(guī)范去做，仍然做不好信息保密工作。只有把有效的管理方法、技術(shù)手段與工作人員保密意識進(jìn)行緊密結(jié)合，才能夠最大程度地防范和解決電子政務(wù)中的信息安全問題。

[1]郝衛(wèi)東.網(wǎng)絡(luò)環(huán)境下的電子商務(wù)與電子政務(wù)建設(shè)[M].北京：清華大學(xué)出版社.2006.

[2]林銘瀝.電子政務(wù)的信息安全實踐與思考[J].情報探索.2007.