彭小利 鄧小清

四川文理學(xué)院計科系 四川 635000

0 引言

在建立政府、檢察院、法院等機(jī)構(gòu)的內(nèi)部網(wǎng)的工程中，安全保密問題一直是工程建設(shè)中的重點(diǎn)內(nèi)容，這是因?yàn)檫@些部門的內(nèi)部網(wǎng)中的信息常常是涉密的或內(nèi)部信息。為此，國家明確規(guī)定涉及國家秘密的計算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離，以確保國家秘密的安全。然而在實(shí)際工作中，這些單位的工作人員需要了解社會實(shí)時信息，及時處理相關(guān)的電子郵件，以便更好的為人民服務(wù)，因此單位的工作人員又需要連接到公網(wǎng)。為了信息的安全，需要進(jìn)行隔離，為了信息的共享和交換，又要進(jìn)行互聯(lián)，共享外網(wǎng)的信息，這就提出了在這些部門的內(nèi)網(wǎng)與公網(wǎng)(Inter網(wǎng))在物理上完全隔絕的情況下，怎么才能將公網(wǎng)的信息共享與內(nèi)部網(wǎng)的問題。

為了不違反政府“物理隔離”的明確規(guī)定，于是就將內(nèi)網(wǎng)直接接入到公網(wǎng)改為在內(nèi)網(wǎng)和公網(wǎng)之間加一個物理隔離服務(wù)器并配以輔助功能的軟件的方式來實(shí)現(xiàn)。

1 專網(wǎng)共享公網(wǎng)信息的軟硬件設(shè)計

用物理隔離服務(wù)器將內(nèi)網(wǎng)直接連接到公網(wǎng)的網(wǎng)絡(luò)分離開來，用于達(dá)到明確的物理隔離的目的。通過物理隔離服務(wù)器和外部存儲器、信息采集軟件和信息同步軟件三部分共同實(shí)現(xiàn)公網(wǎng)信息共享與專網(wǎng)。

1.1 物理隔離服務(wù)器和外部存儲器

物理隔離是指內(nèi)網(wǎng)不直接或間接地連接公共網(wǎng)，如圖 1所示。物理隔離的目的是保護(hù)路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。

圖1 物理連接

物理隔離服務(wù)器則是用服務(wù)器來實(shí)現(xiàn)內(nèi)外網(wǎng)之間的物理隔離。物理隔離服務(wù)器采用單主機(jī)、雙硬盤、雙網(wǎng)卡配置，且采用單主機(jī)雙操作系統(tǒng)的方式。雙操作系統(tǒng)中，一個接入內(nèi)網(wǎng)，另一個則接入外網(wǎng)，兩張網(wǎng)卡則也一接內(nèi)網(wǎng)，一接外網(wǎng)。同一時段只能運(yùn)行一個操作系統(tǒng)，即在同一時間內(nèi)只能訪問一個網(wǎng)絡(luò)，這樣就做到了內(nèi)外網(wǎng)絡(luò)的物理隔離。但為了使用的方便，設(shè)計時在專網(wǎng)系統(tǒng)的界面上設(shè)計一個小功能，直接點(diǎn)擊“轉(zhuǎn)到公網(wǎng)”便可直接由專網(wǎng)接入到公網(wǎng)，同樣在公網(wǎng)系統(tǒng)的界面上也設(shè)置相同的功能，直接通過點(diǎn)擊“轉(zhuǎn)到專網(wǎng)”便可直接由公網(wǎng)轉(zhuǎn)到專網(wǎng)。從而做到內(nèi)外網(wǎng)之間的快速切換。

外部存儲器，用來存儲從外網(wǎng)采集或下載到的信息，如新聞、電子郵件等。通過外部存儲器，使得隔離服務(wù)區(qū)上的兩個系統(tǒng)都能訪問到上面存儲的數(shù)據(jù)。外部存儲器和物理隔離服務(wù)器以及內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器都有連接，這樣才能達(dá)到從外網(wǎng)下載到的信息能被存儲，存儲的信息能與外網(wǎng)同步的目的。

1.2 信息采集軟件

信息采集軟件或稱信息下載軟件，用來采集專網(wǎng)中需要的公網(wǎng)信息，安裝在隔離服務(wù)器的外網(wǎng)操作系統(tǒng)上，使用信息采集軟件可將新聞、電子郵件、天氣情況等信息存儲到外部存儲器，軟件邏輯圖如圖2所示。

圖2 軟件邏輯圖

1.3 信息同步軟件

信息同步軟件安裝在物理隔離服務(wù)器的內(nèi)網(wǎng)操作系統(tǒng)上，用于將存儲在外部存儲器上的信息同步到內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器上，如圖2所示，圖中的內(nèi)部網(wǎng)服務(wù)器即為數(shù)據(jù)庫服務(wù)器。通過此軟件的同步，內(nèi)網(wǎng)中的計算機(jī)便可查看到從外網(wǎng)搜集來的相關(guān)信息。

2 結(jié)語

確保有國家機(jī)密的網(wǎng)絡(luò)的安全，關(guān)鍵在于專網(wǎng)中的數(shù)據(jù)庫服務(wù)器不被黑客侵入、攻擊或者修改，確保數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)不會泄露。任何對數(shù)據(jù)庫服務(wù)器的破壞和更改都是非常危險的。為了能讓內(nèi)網(wǎng)中的機(jī)密信息不被破壞或泄露的同時又能了解公網(wǎng)中的實(shí)時信息、收發(fā)郵件等。采用物理隔離服務(wù)器、外存儲器、信息采集軟件和信息同步軟件就能很好的做到此點(diǎn)。能夠適應(yīng)政府、檢察院、法院等有國家機(jī)密信息的部門的需要。

[1]張驍,張繼宗.魚和熊掌可以兼得信息網(wǎng)絡(luò)隔離與交換技術(shù)的應(yīng)用研究[J].計算機(jī)安全.2004.

[2]樂春峽,王勉華,周奇勛.一種新型隔離網(wǎng)絡(luò)數(shù)據(jù)安全交換系統(tǒng)的設(shè)計[J].計算機(jī)工程與設(shè)計.2004.

[3]張堯?qū)W,王曉春,趙艷標(biāo).計算機(jī)網(wǎng)絡(luò)與 Internet教程[M].清華大學(xué)出版社.1999.