夏洪圖 李靜寧夏回族自治區(qū)衛(wèi)生信息中心 寧夏 750001

0 前言

近年來(lái)，我國(guó)信息化正以令世界驚奇的速度發(fā)展，信息產(chǎn)業(yè)的發(fā)展促進(jìn)了我國(guó)綜合實(shí)力的提高，Internet正在逐漸融入到社會(huì)生活的各個(gè)方面。隨著政府上網(wǎng)、政務(wù)公開(kāi)、電子政務(wù)等一系列網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，在政府網(wǎng)絡(luò)中，內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息，內(nèi)部機(jī)密信息在網(wǎng)絡(luò)上泄密以及內(nèi)部網(wǎng)絡(luò)被攻擊破壞已經(jīng)成為信息化的重大問(wèn)題，以往無(wú)數(shù)個(gè)此類案例的發(fā)生，給國(guó)家造成了嚴(yán)重的損失，向我們敲響了警鐘。如果網(wǎng)絡(luò)安全得不到保證，那么將會(huì)給國(guó)家、社會(huì)及網(wǎng)絡(luò)用戶帶來(lái)嚴(yán)重的威脅，可能造成政治、經(jīng)濟(jì)、軍事等各方面的巨大損失。因此，在政府工作不斷實(shí)現(xiàn)信息化、自動(dòng)化的同時(shí)，信息安全成了亟待解決的問(wèn)題，信息安全必須得到重視和加強(qiáng)。

1 國(guó)家對(duì)政府機(jī)關(guān)信息安全的要求及其相關(guān)技術(shù)

國(guó)家保密局在 1999年作出規(guī)定，涉密網(wǎng)絡(luò)不得與公共信息網(wǎng)連接，必須要實(shí)行物理隔離。國(guó)家政府部門由于其特殊的性質(zhì)必須要嚴(yán)格執(zhí)行國(guó)家保密局的規(guī)定，在其工作網(wǎng)絡(luò)上實(shí)現(xiàn)內(nèi)外網(wǎng)的分割和物理隔離。

“物理隔離”是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)，即我們平時(shí)所說(shuō)的互聯(lián)網(wǎng)。眾所周知，互聯(lián)網(wǎng)是開(kāi)放的國(guó)際化的互聯(lián)空間，而安全和開(kāi)放卻永遠(yuǎn)是一對(duì)矛盾。合理配置內(nèi)部網(wǎng)和公共網(wǎng)“物理隔離”，可以最大限度保證政府部門的內(nèi)部信息網(wǎng)絡(luò)不受來(lái)自互聯(lián)網(wǎng)的黑客攻擊。此外，“物理隔離”也為政府內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。

雙硬盤物理隔離技術(shù)是隔離器與主板之間無(wú)數(shù)據(jù)交換途徑，雙硬盤分別獨(dú)立運(yùn)行于內(nèi)外網(wǎng)，保證內(nèi)外網(wǎng)實(shí)現(xiàn)徹底分離，真正實(shí)現(xiàn)了網(wǎng)絡(luò)隔離和數(shù)據(jù)隔離。內(nèi)網(wǎng)和外網(wǎng)的切換通過(guò)手動(dòng)物理開(kāi)關(guān)來(lái)實(shí)現(xiàn)，且只能由用戶自己操作，任何網(wǎng)上軟件的操作方法都無(wú)效，不存在軟件操作隱患。

2 寧夏政府相關(guān)部門信息安全實(shí)踐經(jīng)驗(yàn)

2.1 未實(shí)施物理隔離前的狀況

作為自治區(qū)政府部門，在實(shí)行物理隔離之前，我們對(duì)網(wǎng)絡(luò)的信息安全也采取了許多其它的措施，如在網(wǎng)絡(luò)中加入防火墻、網(wǎng)絡(luò)版殺病毒軟件、網(wǎng)絡(luò)漏洞掃描等。但為了落實(shí)有關(guān)信息保密規(guī)定，只允許一小部分沒(méi)有辦公信息的機(jī)器能上Internet，大部分用于辦公不能上Internet，對(duì)機(jī)關(guān)干部職工獲取外部信息造成了很大的困難，很多處室加大計(jì)算機(jī)的配置量，解決上外網(wǎng)的問(wèn)題，增加了經(jīng)費(fèi)開(kāi)支，致使網(wǎng)絡(luò)沒(méi)有充分發(fā)揮應(yīng)有的作用。

2.2 實(shí)施物理隔離取得明顯成效

2004年，為遵守信息保密規(guī)定和實(shí)現(xiàn)辦公自動(dòng)化，我們對(duì)原有網(wǎng)絡(luò)進(jìn)行改造，對(duì)外網(wǎng)與內(nèi)網(wǎng)實(shí)施物理隔離，內(nèi)網(wǎng)辦公，外網(wǎng)聯(lián)通Internet。這樣即保障了信息安全又打開(kāi)了對(duì)外的信息大門，具體措施如下：

（1）機(jī)房改造

機(jī)房原有外網(wǎng)服務(wù)器、防火墻、交換機(jī)不變，加裝用于內(nèi)網(wǎng)的服務(wù)器、交換機(jī)等。

（2）工作站改造

為每臺(tái)工作站配置了可接雙網(wǎng)線雙硬盤的物理隔離卡和第二硬盤，雙網(wǎng)線雙硬盤分別獨(dú)立運(yùn)行于內(nèi)外網(wǎng)，保證內(nèi)外網(wǎng)實(shí)現(xiàn)徹底分離。工作人員使用一臺(tái)電腦既可方便上因特網(wǎng)也可安全上內(nèi)網(wǎng)辦公，節(jié)省了硬件投入，方便了工作。

（3）網(wǎng)絡(luò)改造

機(jī)關(guān)各辦公室采用兩條非五類屏蔽雙絞線，形成內(nèi)外網(wǎng)，分別接物理隔離卡內(nèi)外網(wǎng)口。對(duì)一人以上的辦公室增加兩臺(tái)性價(jià)比較好的8口集線器，分別用于內(nèi)外網(wǎng)，連接多個(gè)工作站。

（4）加強(qiáng)服務(wù)器操作系統(tǒng)的安全防范

安全的操作系統(tǒng)是網(wǎng)絡(luò)安全的重要基礎(chǔ)。所有的政務(wù)應(yīng)用系統(tǒng)和安全措施都依賴提供底層支持的操作系統(tǒng)。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個(gè)網(wǎng)絡(luò)安全體系的崩潰。我們加強(qiáng)服務(wù)器操作系統(tǒng)日常維護(hù)，利用安全掃描工具定期檢查系統(tǒng)漏洞和配置更改情況，及時(shí)打上新補(bǔ)釘，堵塞系統(tǒng)漏洞。

（5）加強(qiáng)內(nèi)網(wǎng)病毒的防范

即便是內(nèi)網(wǎng)，我們也采用網(wǎng)絡(luò)版瑞星殺毒軟件，集中管理，自動(dòng)更新病毒庫(kù)，定時(shí)殺毒。

我們經(jīng)過(guò)改造，順利通過(guò)了自治區(qū)保密局的驗(yàn)收。網(wǎng)絡(luò)安全性能全面提升，有效防止了信息泄露，抵御外部網(wǎng)絡(luò)的攻擊，保障了網(wǎng)絡(luò)信息安全。

3 物理隔離卡使用過(guò)程中的問(wèn)題

使用物理隔離卡后信息安全達(dá)到了預(yù)期的效果，每年都能通過(guò)安全部門的檢查，但在實(shí)際工作中也發(fā)現(xiàn)了一些不可忽視的信息安全問(wèn)題。

3.1 內(nèi)外網(wǎng)集線器接錯(cuò)線

在多人共同辦公的辦公室，由于打掃衛(wèi)生、更換工作站位置、更換計(jì)算機(jī)或請(qǐng)外面計(jì)算機(jī)公司的技術(shù)人員維修機(jī)器時(shí)，他們對(duì)內(nèi)外網(wǎng)結(jié)構(gòu)不熟悉，重新用集線器接線時(shí)將內(nèi)外網(wǎng)線接反，造成內(nèi)外網(wǎng)聯(lián)通，給信息安全造成極大的隱患。

3.2 物理隔離卡內(nèi)外網(wǎng)口接錯(cuò)線

同樣，由于人為的原因造成內(nèi)外網(wǎng)線與物理隔離卡內(nèi)外網(wǎng)口接反，造成該計(jì)算機(jī)內(nèi)網(wǎng)與外網(wǎng)聯(lián)通，也給信息安全造成極大的隱患。

3.3 移動(dòng)存儲(chǔ)介質(zhì)(U 盤、移動(dòng)硬盤等)內(nèi)外網(wǎng)共用

在內(nèi)網(wǎng)使用的移動(dòng)存儲(chǔ)介質(zhì)存儲(chǔ)了大量的內(nèi)部信息，在轉(zhuǎn)換到外網(wǎng)時(shí)沒(méi)有將其及時(shí)移去，使得大量?jī)?nèi)網(wǎng)信息暴露在外網(wǎng)中，或內(nèi)外網(wǎng)共用一個(gè)移動(dòng)存儲(chǔ)介質(zhì)，這些都會(huì)造成內(nèi)網(wǎng)信息泄露。

3.4 筆記本電腦使用不當(dāng)

現(xiàn)在筆記本電腦使用頻率越來(lái)越高。筆記本電腦在沒(méi)有加裝隔離器的情況下內(nèi)外網(wǎng)混用也極易造成信息泄露。

4 進(jìn)一步加強(qiáng)信息網(wǎng)絡(luò)安全管理的建議

（1）健全信息安全管理機(jī)制和運(yùn)行機(jī)制安全管理機(jī)制是網(wǎng)絡(luò)安全中控制風(fēng)險(xiǎn)、降低損失的保證；安全運(yùn)行機(jī)制保障了系統(tǒng)的穩(wěn)定可靠性；技術(shù)手段只有在安全管理機(jī)制與安全運(yùn)行機(jī)制下，才能保證信息安全。因此，要建立安全管理機(jī)制和運(yùn)行機(jī)制，制定和落實(shí)安全管理制度，包括：系統(tǒng)運(yùn)行維護(hù)管理制度、操作和管理人員管理制度、機(jī)房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級(jí)保護(hù)制度、對(duì)外交流合作安全制度以及上網(wǎng)信息審批制度等。

（2）規(guī)范移動(dòng)存儲(chǔ)介質(zhì)、筆記本電腦的使用。內(nèi)外網(wǎng)間的信息交換建議使用指紋識(shí)別U盤，進(jìn)一步加強(qiáng)對(duì)信息保護(hù)的手段。

（3）加強(qiáng)工作人員的保密意識(shí)教育，做到誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)，把信息安全落實(shí)到人。物理隔離卡雖然有效地解決了內(nèi)外網(wǎng)信息安全的問(wèn)題，但信息安全絕對(duì)不單純是一個(gè)技術(shù)性問(wèn)題，工作人員保密意識(shí)不強(qiáng)，形成的“身在密中不知密”情況就如同一個(gè)由銅墻鐵壁建成的保險(xiǎn)柜卻把鑰匙插在門上一樣，再堅(jiān)固的門也不起作用。再好的保密技術(shù)，工作人員不認(rèn)真按規(guī)范去做，仍然做不好信息保密工作。只有把有效的管理方法、技術(shù)手段與工作人員保密意識(shí)進(jìn)行緊密結(jié)合，才能夠最大程度地防范和解決電子政務(wù)中的信息安全問(wèn)題。

[1]郝衛(wèi)東.網(wǎng)絡(luò)環(huán)境下的電子商務(wù)與電子政務(wù)建設(shè)[M].北京：清華大學(xué)出版社.2006.

[2]林銘瀝.電子政務(wù)的信息安全實(shí)踐與思考[J].情報(bào)探索.2007.