部门内外网隔离方案的探究

张延年　王彦红

摘 要：随着气象现代化的不断发展，气象部门的网络安全问题日益严峻，内外网隔离势在必行。简要介绍了内外网隔离的原理和实施方案，并分析、比较了不同方案的隔离效果、特点等。同时，还介绍了使用了隔离卡的用户所遇到的安装问题和使用过程中的一些常见问题。

关键词：网络隔离；隔离效果；气象事业；硬盘隔离卡

中图分类号：TP393.08；P409 文献标识码：A DOI：10.15913/j.cnki.kjycx.2015.03.013

我国气象事业是以提供公共服务为主的科技型、基础性社会公益事业，可免费共享部分气象资料，但也需要遵循保密原则。按照《中华人民共和国气象法》第三章第十八条规定：“基本探测气象资料以外的气象探测资料需要保密，其密级的确定、变更、解密和使用要依照《中华人民共和国保守国家秘密法》的规定执行。”现代办公离不开网络，许多工作人员经常需要访问内网和外网（互联网）。目前，网络安全形势日益严峻，互联网黑客攻击或病毒破坏所造成的后果难以预料。因此，国家明文规定了政府党政军机关单位和企事业单位的内网必须与互联网实行物理隔离，以确保内网信息的安全。

现阶段，内外网隔离的方案主要有3种，即双电脑双网双线隔离方案、单电脑双网双线硬盘隔离卡隔离方案和单电脑双网单网线隔离交换机隔离方案。

1 各种方案的原理和对比

1.1 双电脑双网双线隔离方案

这个方案最简单，就是每个人配备2台电脑分别用于内网和外网，可以同时上内外网。但是，其缺点是每个人的办工桌上摆2台电脑很占空间，既不经济也不方便，大大增加了耗电量和电磁辐射。该方案如图1所示。

1.2 单电脑双网双线硬盘隔离卡隔离方案

用户仅使用1台电脑，并在电脑上增加1个硬盘和硬盘隔离卡，且硬盘隔离卡上有3个RJ45口，它们各自连接原主机网卡和内网、外网的网线，通过人工或软件切换硬盘和网线。在内外网的环境中，内网对应内网的硬盘，外网对应外网的硬盘，这样，内外网在物理上完全分离且不存在公用存储信息，从而实现了单机在2个网络之间真正的物理隔离。这种方案一机两用，安全、可靠、方便、经济，极大地提高了计算机系统的资源利用率，但它的缺点是用户在同一时间只能使用一种网络。山西省气象科技大楼主要采用的就是这种方案，所以，本文着重介绍这种隔离方案。该方案如图2所示。

1.3 单电脑双网单网线线路选择器隔离方案

用户只使用1台电脑，但需要有1台线路选择器把内、外网分开，同时，用户的电脑也必须增加1个硬盘和硬盘隔离卡，内网的数据放在内网硬盘，外网的数据放在外网硬盘。该方案中使用的硬盘隔离卡不同于第2种方案的隔离卡。当用户需要切换网络时，由用户发出指令（实际上是分别发出2种不同极性的直流信号）来控制线路选择器接通内网或外网，且用户在同一时间只能使用一种网络。这种方案虽然节省了1根网线，但是，内外网的切换比较麻烦，只对那些无法布设双网线的用户有利。该方案如图3所示。

2 气象科技大楼采用的方案

2.1 方案简介

在山西省气象部门中，已经有部分单位实行了内外网隔离的工作模式，采用的是单电脑双网双线硬盘隔离卡隔离方案。省气象局科技大楼为了实现内外网隔离的工作模式，前期已经在大楼西面的楼梯处安装了外网线路的设备，现在几乎每位工作人员都有2根网线，并配备了安装有双硬盘和硬盘隔离卡的计算机，部分单位已经实现了内外网隔离的工作模式。使用这种工作模式的电脑，其内部都装有硬盘隔离卡和2块硬盘，通过硬盘隔离卡将2块硬盘隔离，同一时间只使用1块硬盘。这样，就从物理角度上将2块硬盘隔离，这块硬盘的数据不会进入另一块硬盘上，有效地防止了内部网络数据流失到公共网络上，达到了内外网隔离的目的。

硬盘隔离卡的特点是即插即用，有PCI插槽、软件控制、在线切换，不占用USB口和COM口，支持Win7＼LINUX等操作系统，并且内外2种不同网络之间可以自由切换。硬盘隔离卡如图4所示。

2.2 硬盘隔离卡的安装

在该方案中，使用的是硬盘电源切换型隔离卡，默认为双网线布线模式。其具体安装步骤是：①在安装硬件之前，先断开主机电源，然后连接硬件，将隔离卡插入主板上空余的PCI插槽内，并将其固定好。②取出1条包装盒中的一拖三数据线，将黑色12孔插头的一端与隔离卡尾部的电源卡座相连，分出来的中间的黑色4线扁平插头则与主板的SATA插座相连，另外2个插头则分别连接内网硬盘和外网硬盘。硬盘数据线连接如图5所示。③盖上机箱盖，并将其固定好。④取出包装盒中的短网线，将隔离卡的网卡口（黑色）与机器的网卡接口相连，如图6所示。⑤将内网和外网的网线插入隔离卡上的对应网口（外网网口是绿色，内网网口是黄色）。当外网网络连通时，隔离卡网口的绿色灯亮；当内网网络连通时，隔离卡网口的黄色灯亮。⑥开机时，显示内外网的选择界面，通过键盘上的上下键选择进入内网系统或外网系统，回车即可进入被选择的系统，但是，进入系统后需要安装管理软件。在此过程中，如果不出现内外网选择界面，就需要进入CMOS设置，找到启动顺序里的“Hard Disk Drivers”。其中，有“SCSI Card”和硬盘设备的名称，这时，将“SCSI Card”调到硬盘上，然后在启动顺序中将硬盘调整为第一启动项。

2.3 管理软件的安装

2.3.1 外网管理软件的安装

进入外网系统后，将隔离卡随带的光盘放入光驱，进入HDP-III K7ⅢRS菜单，或者双击安装程序目录中的setup.exe文件，单击“下一步”。默认安装路径是C：＼NetCard，但是，也可以选择其他路径。安装成功后，在桌面的右上角和系统状态栏的右下角会分别出现“外”的网络标识。这说明，电脑正处于外网连接状态。

2.3.2 内网管理软件的安装

内网管理软件的安装与外网管理软件的安装相同，系统会自动识别其是内网系统或外网系统。系统安装完毕后，在桌面的右上角和系统状态栏的右下角会分别出现“内”的网络标识。这说明，电脑正处于内网连接状态。

2.3.3 主界面显示

双击桌面上的中孚网络隔离卡管理系统或网络标识“内”图标，就会出现如图7所示的窗口。

2.3.4 右下角图标

右击桌面右上角或任务栏右下角图标会弹出如图8所示的快捷菜单，选择菜单中的“切换”，系统将会重启，并切换到另一系统中。

2.4 硬盘隔离卡的使用

2.4.1 选择内外网系统

中孚网络隔离卡的硬盘和软件安装完成后，打开计算机，待计算机正常启动后，进入隔离系统的内外网选择界面，如图9所示。使用上下方向键，选择内外网系统，箭头所在的位置代表选中，回车即可进入相应的操作系统。当进入“密码设置”后，可以选择相关的密码验证功能。在启用和禁用内网密码的同时，需要输入原始密码，用户可以将原始密码修改为8位以内的密码。

2.4.2 内外网络切换

以实时切换产品从内网向外网切换为例，简要叙述了切换过程。外网向内网切换的操作与此相同，具体的切换步骤是：①启动计算机后，会出现内外网切换画面，根据界面提示选择进入内网系统。这时，桌面的右下角会出现表示当前网络状态的图标“内”。②双击桌面上的隔离卡管理系统或网络标识“内”图标，会出现如图10所示的窗口。

在内网切换图标中，操作按钮主要有以下几个：①实时切换。点击该按钮，内网系统就会进入休眠状态，然后切换到外网系统。只有以Administrator用户运行命令“powercfg–h on”打开系统休眠功能后，才能执行实时切换任务。②重启切换。点击该按钮，系统重新启动计算机后进入外网系统。③关机。点击该按钮，系统会关闭计算机。④隐藏。点击该按钮，主界面会隐藏到右下角。⑤制订任务计划。点击该按钮，用户可以设置定时重启和定时关机等内容。

右击桌面内（外）网切换图标，展开菜单如图11所示。菜单中主要包括以下内容：①实时切换、重启切换、关闭计算机与按扭操作相同。②高级设置。进人“高级设置”前，需要通过密码验证，而用户可以将其修改为8位以内的密码。当程序安装完成后，默认状态是不勾选禁用无线网卡功能、监控内网系统违规外联的功能和IP地址绑定等功能，所以，用户可以根据自己的需要分别选择是否使用这些系统设置。勾选功能项目前面的选框点击确定后，其就会起到相应的作用，不勾选则不起任何作用。因此，建议用户使用安全设置里的功能，但用户不要违规使用可移动存储设备。其中，卸载密码与高级设置的密码相同，切换到内网的密码与开机界面进入内网的密码相同。实时切换时间与用户的硬件配置和软件配置有关，如果实时切换时出现唤不醒、死机的情况，则需要在“切换时间设置”下面的框内输入具体的时间，一般取大于10 s的值。③辅助工具。中孚隔离卡辅助工具是中孚开发的一些实用工具之一。④隐藏浮动窗口。切换程序安装完成后，在桌面的右上角会自动显示浮动窗口，浮动窗口的功能与任务栏右下角的图标一致，点击右键都会弹出功能菜单，用户可以拖动浮动窗口到桌面的任意位置，同时，选择“隐藏浮动窗口”也可以将其隐藏。

3 使用硬盘隔离卡的注意事项

使用隔离卡实现的是硬件上的切换，使用一段时间后，机器就出现蓝屏的问题。而chkdsk修复系统可以解决该问题。但是，隔离

卡也时常出现无法切换的问题。解决该问题的方法是查看硬盘的连接线，如果它没有问题，就需要重新安装隔离卡和驱动程序。

在使用移动存储器时也要区分使用，最好使用不同外观的移动存储器和不同的USB接口，做好标记便于区分。内网使用内网的移动存储器，插内网的USB接口；外网使用外网的移动存储器，插外网的USB接口。这样做，才能绝对隔离内外网的数据。对于用户来说，虽然这样做比较麻烦，但是，为了内部网络的安全，必须要严格执行。

参考文献

[1]王明刚，赵军.浅析内外网隔离方案[J].广播电视与技术，2009（4）.

[2]叶向东.浅谈内网电脑不能访问外网的解决办法[J].科技信息，2009（31）.

〔编辑：白洁〕