市级烟草公司内外网物理隔离设计浅谈

杨洋

【摘 要】随着市级烟草公司对网络安全建设的发展和管理要求的提升，需要对网络安全进行全方位防护，本文尝试通过对网络架构的调整，辅助网络安全建设，在不增加网络安全设备的情况下，进一步提升公司内部网络安全防护水平。

【关键词】内外网隔离;网络安全威胁;网络安全防护;无线网络

1 引言

《信息安全技术网络安全等级保护基本要求》于2019年12月1日正式实施，该标准针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求，同时也对网络安全提出了更高的要求。

内外网物理隔离设计一般用在安全要求极高、保密要求极高的企业，将企业的生产网和办公网进行物理隔离，阻断内外网的数据传输，确保不能从外网通过网络入侵内网，同时内部信息不能通过网络泄漏到外网，将外部网络安全威胁隔离开，保障信息在内部网络交互的安全性，杜绝一个终端电脑被入侵导致整个网络被破坏的情况发生。

市级烟草公司对网络安全管理要求越来越严格，可以借鉴安全要求极高的企业相关做法，提升自己网络安全建设和管理水平，而内外网物理隔离正是一个可以容易借鉴并能很好发挥作用的设计。

2 内部网络连接互联网存在的安全威胁

2.1 数据泄露

内部员工使用自己合法的系统账户权限，下载内部数据，擅自保存到U盘或者通过互联网传输，将内部敏感数据带出企业。

黑客通过系统漏洞或者木马病毒软件非法进入企业内部网络，通过技术手段进入企业内部系统获取数据，将内部敏感数据通过互联网传输出去。

2.2 数据损坏或丢失

内部员工使用带有计算机病毒的U盘或浏览带有计算机病毒的网站，将计算机病毒安装到本地计算机并运行，计算机病毒模拟黑客攻击，进入到业务系统服务器，导致业务数据被非法删除或者破坏。比如最近流行的“勒索”病毒，会对电脑上所有的数据进行加密，支付巨额赎金之后，才能还原数据。对于一般企业来说，付不起或无法支付赎金，意味着数据全部丢失。如果感染的是“蠕虫”病毒，会对企业内网所有计算机进行网络攻击，严重时将导致服务器瘫痪，业务数据被破坏。

黑客通过系统漏洞或者木马病毒软件非法进入企业内部网络，通过技术手段进入企业业务服务器，恶意进行数据删除破坏，如果企业没有安全的数据备份机制，将导致企业严重经济损失。

2.3 业务系统故障

内部员工不经意间将计算机病毒下载到本地计算机并运行，如果感染的是含有“拒绝服务”攻击类型的计算机病毒，将导致企业内网网络瘫痪，或者业务系统不能正常访问，严重影响企业业务开展。

3 适合市级烟草公司的内外网网络隔离架构

3.1 企业网络有以下方法进行内外网隔离

采用逻辑隔离：例如使用虚拟桌面技术，在单一的硬盘单一的网络中实现逻辑隔离。这样的优势是不用对现有网络进行改造，只需购置相关软件，劣势是资金投入较高，需要购置服务器及虚拟化软件。

采用物理隔离：保持现有企业办公网络不变，新增一套和现有网络没有交集的网络，包括购置交换机和网线布线。这样的优势是资金投入相对较少，仅采购网络设备等硬件产品，同时根据市烟草公司现状，可以利用因为政策原因或者使用年限到期而淘汰的交换机，劣势是实施较繁琐，需要较多的布线工作。

结合市级烟草公司网络建设现状和实施内外网网络隔离资金投入，采用物理隔离技术更加经济，网络改造繁琐的问题，可以通过将外网建设成无线网络的方式解决，简化网络布线，规避有些场所不适合有线网络布线的问题。

3.2 终端计算机有以下方法隔离内外网存储数据

采用双硬盘物理隔离卡，给每一台办公终端配备两块硬盘，通过切换硬盘和切换网线，在内外网隔离的环境中使一个硬盘仅对应一个网络有效，其数据存储和传输是完全分离的，从而实现同一办公终端在内外网之间真正的物理隔离，用较低成本实现了网络物理隔离的信息安全功能，提高了计算机办公终端的利用率，劣势是改变了用户操作习惯，需要加强培训指导。

每一个用户配备两台办公终端，一台办公终端仅能使用内部网络，另一台办公终端仅能使用外部网络，在不改变用户使用电脑操作习惯的前提下，实现了数据内外网隔离。劣势是对比雙硬盘物理隔离卡的方案，初期投资更大。

结合市级烟草公司员工使用电脑习惯等现状，每一个用户配备两台办公终端能更好使用户接受，而初期投资较大的问题，可以通过只进行内外网隔离建设，让用户自备上网终端的方式解决。

4 市级烟草公司内外网物理隔离后带来的网络安全防护效果

彻底的内外网物理隔离后，切断内部网络与外部网络的联系，可以杜绝黑客通过互联网非法进入企业内部网络、各种互联网计算机病毒的入侵、内部数据被内部员工或黑客通过互联网泄露出去。但是，烟草公司不是安全性、保密性要求极高的企业，可以适当将服务器等必要设施设备联接到互联网中，方便工作和业务的开展，只将较难管理的办公终端区进行内外网隔离。

市级烟草公司网络架构一般拥有核心交换区、服务器区、办公区等网络区域，最关键的服务器区有较多的网络安全设备进行防护，并配备有专职的网络与安全管理员，对服务器区进行安全保障。办公终端使用人员由于计算机操作水平有限，安全意识欠缺，不具备安全防护水平等因素，安全风险为所有网络区域中最大的一个区域。

将办公终端区域划分为外部网络进行物理隔离以后，可以实现以下安全防护效果：

1、进一步提高市级烟草公司内部数据安全性，通过管控外部网络和内部网络数据传输通道，可以有效避免数据泄露事件;

2、进一步提高市级烟草公司服务器区的安全性，杜绝了因为办公终端感染计算机病毒，而导致黑客入侵、蠕虫病毒传播等安全风险，从而避免了以上事件导致的业务数据损坏或丢失;

3、进一步提高市级烟草公司业务系统运行稳定性，因为安全设备不需要对内网办公区域进行重点防护，所以可以适当降低服务器区安全防护等级，避免安全设备的误判断而拦截用户正常访问业务系统的请求。

内外網物理隔离之后，仍然存在数据交互的需求，需加强数据交互的安全管理，比如U盘的使用管理。

5 市级烟草公司内外网隔离设计建议

无线局域网（WLAN）技术对比有线传输技术，具有以下特点：

（1）简易性：WLAN相关设备的安装便捷，可减少敷设管道及布线等工作量;

（2）灵活性：WLAN相关设备安装位置方便调整，使无线网络可以覆盖更多的区域;

（3）综合成本较低：WLAN网络减少了布线的费用 ，在需要移动上网的环境中，WLAN技术可以更好地保护现有投资;

（4）扩展能力强：WLAN系统支持平滑扩容，更容易扩展上网终端的数量。

综上所述，适合于市级烟草公司内外网物理隔离的网络建设可以采用以下方法：

（1）所有办公区、基层网点部署POE供电的无线AP设备，无线AP部署的密度视办公人数和办公场布局所而定;

（2）所有办公区、基层网点部署的无线AP，通过网线接入汇聚交换机，汇聚交换机通过光纤、市县专线接入市级烟草公司信息中心机房核心交换机;

（3）搭建无线网络安全管控平台，形成基于身份认证的安全管理及认证系统，通过密码、短信认证、MAC地址绑定等方式防止非法用户接入公司无线网络，确保公司网络的安全;

（4）将现有互联网区部署的网络安全产品，比如互联网防火墙、防毒墙、上网行为管理设备、IPS设备等网络安全和管理设备迁移到无线网络前端;

（5）迁移现有互联网线路到无线网络中，现有内部网络办公区域不再访问互联网，而服务器区访问互联网可以使用省级烟草公司DMZ区互联网出口;

（6）用户访问互联网可以采取自带笔记本电脑、平板电脑、手机等方式，降低外网物理隔离实施成本。

参考文献：

[1]俞华.医院内外网融合的网络架构 配置实践[J].中国数字医学，2017，（3）.94-96.

[2]张树超.基于物理隔离技术的视频系统设计与实现[D].西安电子科技大学，2015.1-72.

[3]肖江苏.无线网络中的安全问题相关技术应用研究[J].电脑迷，2016，（1）.21-21.

[4]吕计英.浅谈企业信息化建设中网络安全管理问题[J].数字通信世界，2019，（5）.256.

（作者单位：安徽省烟草公司马鞍山市公司）