论文部分内容阅读
为满足干部在上内部网络的同时,也能方便地访问互联网(下称外网),浙江省淳安县财税局经过跟踪测试后,选定“一款为主其它为辅”的隔离卡和双网隔离机,能简捷稳定地实现内外网的切换,为行政机关单位解决上外网问题提供了一种新模式。
如何在保证办公业务内网安全的
前提下,遵循以最少成本、最优性价比、最便捷的方案满足机关干部上外网的要求?
笔者所在的浙江省淳安县财税局通过思考和调研、对多种技术模式测试筛选、跟踪总结后,采用了“一机双网双硬盘双内存隔离技术实现全局同时上内外网,两套布线内外网完全物理隔离”的新模式。
全局同时上外网会给信息中心对网络安全和信息保密工作的管理带来很大的压力。互联网的连接,使得病毒、木马、系统漏洞侵扰等不安全因素会给工作带来巨大的安全隐患,不但能够摧毁系统,更能够盗取财税行业的重要数据。从国家到省市发布的诸多相关制度都多次强调要求计算机及信息系统要与互联网等公共信息网实行物理隔离,网络信息安全保密工作更是每年省市局必查项目。全局上外网后,信息中心的维护工作量会成倍增加。
“双网隔离整机”和“双网隔离卡”是经过国家安全及保密部门检测认证的,符合省厅局安全管理规范。它们能实现内部网和因特网的物理隔离,防止内网受到因特网的非法攻击。同时,网络的可控性增强,便于内部管理和防范。这种物理隔离技术已成为网络安全保密的重要手段,受到越来越多的关注。
实现目标
采用双网隔离技术实现全局200余人同时上内外网,并完善电教室建设。
根据IT资产台帐核实每台电脑的型号配置、维修使用情况,依此编制了需要更新成双网隔离机的电脑清册、淘汰处置的电脑清册、需要升级成双网机的电脑清册、布置到电教室的电脑清册等。
改造完善网络参数配置和安全参数配置,优化全局内外网网络拓朴结构,完善改进修正案设备参数配置和策略配置。
所需要的硬件、软件及配件均通过资源交易中心公开招标采购。
制定技术方案
(一)掌握双网隔离基本原理,保障网络安全快捷
双网隔离卡是一个数据安全设备,在实现双网隔离切换过程中起着重要的作用,它实现了双硬盘上系统与数据的完全隔离。双网隔离整机是一种安全PC不同于普通PC。它有两个硬盘,且2010年新产品还增加了两个内存。通过网络安全隔离卡上的控制和开关电路,两个内存和两个硬盘能够分别独立地作为内部网络或外部网络的主硬盘启动,当一个硬盘工作时,另一个硬盘处于断电不工作状态。这样,内网数据系统与外网数据系统不存在电气通道,从内存到硬盘以及网络在物理上能相互隔离,具备了良好的安全性。
双网切换原理:开机后,双网隔离卡在计算机内部有一个开关,选定进入“内网” 或“外网”的工作方式,将相应启动到“内网”或“外网”硬盘上的操作系统,并接入对应的“内网”或“外网”网络,同时另一个网络和硬盘是断电的。正常使用中需要切换“内网”或“外网”工作方式时,系统自动首先将信息保存在本网硬盘上,休眠本网内存和硬盘,电源切换至另一个硬盘和网络,则另一个硬盘上的系统开始启动,双网隔离卡对CPU、内存、显示缓存等各种缓存进行物理清零,以确保内外网信息不会经缓存相互间接传递,完全实现隔离。
(二)从软件、硬件、网络三方面配套制定完善的解决方案
首先电脑设备方面采取两种方法:新购整机直接选用“双网隔离安全机”,旧电脑加装隔离卡等安全设备升级成双网隔离机;其次网络部署方面实行内外网两套线路,规划两套地址,每台单机地址及端口与核心交换机进行物理一对一绑定,防火墙、入侵防御设备做相应的安全策略及网管措施;第三软件方面配套以网络版防病毒软件和360安全卫士软件,防范木马及修复漏洞。这三重技术结合运用实现“一机上双网”。
电教室用的是旧电脑,为了建立网络教室,充分利用旧电脑资源,另外配备了一台老师机和一套网络教室多媒体软件。每台旧电脑加装一块网络还原卡以保证业务培训后系统还原,再加装一块网卡,节省成本利用一套布线、一套网络设备、配套双地址,调整交换机配置等等技术措施,实现培训时能够上内/外网的双重需要,只要在交换机总线端将外网光纤头拔下即可安全保障内网的联接使用,反之亦然。根据电教室的使用性质,我们采取了这种更加低成本的内外网切换方式(但仅限于电教室使用,而办公室电脑就不适合了),每台电脑只需投入100元左右,比起加装隔离卡和硬盘投入800元要节省得多。
实施方案,落实到位
新购置电脑按照国家、省级相关安全要求和标准,结合财税工作业务系统需要,提出选型方案和招标要求,提交采购中心按需招标;旧电脑改造方面则根据技术方案提出针对不同型号旧电脑所需配套的隔离卡及硬盘的技术参数(不同机型不同主板对加装的隔离卡及硬盘的要求不同,这项工作要求非常细致),及所需各种设备的技术参数与需求,提交采购办和资源交易中心进行网上公示,公开招标采购。
网络规划和地址规划同时进行,由网管员负责规划和实施,制定防火墙等安全设备的安全策略,反复测试达到最优。
全体技术人员分工协作,明确项目实施责任人,把全局200人24个科室按联系人排好时间表和工作量,各负责人分头实施并验收结果,全程协调跟踪解决出现的各种问题。
实施过程量大问题多,借用一名经验丰富,熟悉隔离卡的计算机维护人员是必要的。
隔离卡的安装及常见问题解析
因电脑品牌涉及HP、联想、DELL等多种机型,经过使用三种隔离卡(宙斯盾、伟思、山东中孚)的测试结果,发现宙斯盾卡对各种机型的的兼容性相对好一些,下面就此卡在实施过程中出现的问题及解决方法做一总结。隔离卡宙斯盾,分为3种型号SATA,IDE,电源。
常见问题及解决办法:
1.开机自检找不到硬盘。
排除方法:检查硬盘与隔离卡的线路连接是否正确;
检查CMOS设置是否正确,有无硬盘选项被关;
在无隔离卡情况下,自检硬盘是否能通过,以确定故障来源。
2.插卡后没有出现隔离卡的界面。
排除方法:先确认内网硬盘是否能正确识别;
个别主板可能会有这个问题,在CMOS中修改引导控制项BOOTFROM LAN(有的主板是TRYOTHER DEVICE)”,或者FIRST BOOT DEVICE 中SCSI或者OTHER 等。
3.插入隔离卡后无法自检。
排除方法:此故障多出现在SIS芯片组的主板中,需要在开机后长按CTRL键来更改隔离卡夺取主板控制权的方法。(在CTRL键按键下生效后,会出现选择输入0.1.2.3四个选项,可以按顺序进行排除。
4.插卡后启动不正常或者找不到硬盘。
排除方法:尝试固定好板卡使金手指接触良好,如是IDE切换的隔离卡建议使用更短的IDE连接线,对于某些主板,IDE线稍微长些就不容易认到硬盘
5.不能访问网络。
排除方法:检查网线的连接是否正确,网线的接触是否正常,网卡的灯是否亮着,若是接触不良,应将网卡连接线插紧或更换网卡连接线。
6.安装系统切换软件后不能正常运行切换软件。
排除方法:检查隔离卡驱动是否安装正确,同时确认在开机时能正常出现隔离卡选择切换。
7.进入系统后网络切换失败。
排除方法:系统切换可能被破坏,卸载切换软件重新安装。
8.针对比较难安装电脑的分析:
联想的小机箱,用SATA的隔离卡,要把内硬盘放到光驱的边上,把外硬盘放到原来的位置,这样先不容易被压到,也可避免接触不好。若还有问题,就换成使用电源切换的隔离卡。
DELL的旧机器,硬盘刚装上的时候,自检不通过,直接从光驱启动,把系统装好就能自检通过了,每次都要按F1;若不能从光驱启动,换个光驱试试。
实现预期效果
良好的安全性。有些单位上外网没有安全性可言,一机一线上双网,一机双网卡上双网,导致病毒泛滥,技术人员疲于奔命,给个人工作及整个单位的信息安全带来重大隐患。我们所选择的隔离卡及双网隔离安全机是经过国家安全部认证和国家保密局认证的产品,具有在双网之间切换时刷新内存信息,不会把此网信息带入彼网的优点。
节省成本。与有些单位每人两台电脑上双网相比,这种方式节省了购机成本(双网隔离机与单网机每台相差不到400元)、能耗成本,以及办公空间成本;整个项目从思路规划到实施没有浪费,一直注重性价比,花最少的钱办最好的事,新旧资源应用尽用。有助于维护机关廉政形象。
可长远推广。具有明显的经济效益,极大提高财税干部摄取财经信息的及时性和丰富程度,极大地方便财税干部内外网间的转换,提高了工作效率。
完善管理制度和配套措施。我们针对有可能对工作和效能建设产生的负面影响作了充分考虑,在向局党委重点汇报将会产生的不良影响并提请引起重视的同时,出台了相关管理制度:“个人用计算机日常管理规定”,人教科也向全局发布了加强网络安全管理的通知,相信在局党委的引导下,全局干部的素质不断提高,能把负责因素变成提高工作水平和机关形象的有利因素。
通过一年多的实践,这一内外网使用新模式在全省财税系统中率先采用这种模式得到了实践和认可,也受到了行业内外各单位的关注。到目前为止,我们的内外网隔离模式运行良好,稳定而安全地为财税工作提供保障。
(作者单位:浙江省淳安县财税局)
如何在保证办公业务内网安全的
前提下,遵循以最少成本、最优性价比、最便捷的方案满足机关干部上外网的要求?
笔者所在的浙江省淳安县财税局通过思考和调研、对多种技术模式测试筛选、跟踪总结后,采用了“一机双网双硬盘双内存隔离技术实现全局同时上内外网,两套布线内外网完全物理隔离”的新模式。
全局同时上外网会给信息中心对网络安全和信息保密工作的管理带来很大的压力。互联网的连接,使得病毒、木马、系统漏洞侵扰等不安全因素会给工作带来巨大的安全隐患,不但能够摧毁系统,更能够盗取财税行业的重要数据。从国家到省市发布的诸多相关制度都多次强调要求计算机及信息系统要与互联网等公共信息网实行物理隔离,网络信息安全保密工作更是每年省市局必查项目。全局上外网后,信息中心的维护工作量会成倍增加。
“双网隔离整机”和“双网隔离卡”是经过国家安全及保密部门检测认证的,符合省厅局安全管理规范。它们能实现内部网和因特网的物理隔离,防止内网受到因特网的非法攻击。同时,网络的可控性增强,便于内部管理和防范。这种物理隔离技术已成为网络安全保密的重要手段,受到越来越多的关注。
实现目标
采用双网隔离技术实现全局200余人同时上内外网,并完善电教室建设。
根据IT资产台帐核实每台电脑的型号配置、维修使用情况,依此编制了需要更新成双网隔离机的电脑清册、淘汰处置的电脑清册、需要升级成双网机的电脑清册、布置到电教室的电脑清册等。
改造完善网络参数配置和安全参数配置,优化全局内外网网络拓朴结构,完善改进修正案设备参数配置和策略配置。
所需要的硬件、软件及配件均通过资源交易中心公开招标采购。
制定技术方案
(一)掌握双网隔离基本原理,保障网络安全快捷
双网隔离卡是一个数据安全设备,在实现双网隔离切换过程中起着重要的作用,它实现了双硬盘上系统与数据的完全隔离。双网隔离整机是一种安全PC不同于普通PC。它有两个硬盘,且2010年新产品还增加了两个内存。通过网络安全隔离卡上的控制和开关电路,两个内存和两个硬盘能够分别独立地作为内部网络或外部网络的主硬盘启动,当一个硬盘工作时,另一个硬盘处于断电不工作状态。这样,内网数据系统与外网数据系统不存在电气通道,从内存到硬盘以及网络在物理上能相互隔离,具备了良好的安全性。
双网切换原理:开机后,双网隔离卡在计算机内部有一个开关,选定进入“内网” 或“外网”的工作方式,将相应启动到“内网”或“外网”硬盘上的操作系统,并接入对应的“内网”或“外网”网络,同时另一个网络和硬盘是断电的。正常使用中需要切换“内网”或“外网”工作方式时,系统自动首先将信息保存在本网硬盘上,休眠本网内存和硬盘,电源切换至另一个硬盘和网络,则另一个硬盘上的系统开始启动,双网隔离卡对CPU、内存、显示缓存等各种缓存进行物理清零,以确保内外网信息不会经缓存相互间接传递,完全实现隔离。
(二)从软件、硬件、网络三方面配套制定完善的解决方案
首先电脑设备方面采取两种方法:新购整机直接选用“双网隔离安全机”,旧电脑加装隔离卡等安全设备升级成双网隔离机;其次网络部署方面实行内外网两套线路,规划两套地址,每台单机地址及端口与核心交换机进行物理一对一绑定,防火墙、入侵防御设备做相应的安全策略及网管措施;第三软件方面配套以网络版防病毒软件和360安全卫士软件,防范木马及修复漏洞。这三重技术结合运用实现“一机上双网”。
电教室用的是旧电脑,为了建立网络教室,充分利用旧电脑资源,另外配备了一台老师机和一套网络教室多媒体软件。每台旧电脑加装一块网络还原卡以保证业务培训后系统还原,再加装一块网卡,节省成本利用一套布线、一套网络设备、配套双地址,调整交换机配置等等技术措施,实现培训时能够上内/外网的双重需要,只要在交换机总线端将外网光纤头拔下即可安全保障内网的联接使用,反之亦然。根据电教室的使用性质,我们采取了这种更加低成本的内外网切换方式(但仅限于电教室使用,而办公室电脑就不适合了),每台电脑只需投入100元左右,比起加装隔离卡和硬盘投入800元要节省得多。
实施方案,落实到位
新购置电脑按照国家、省级相关安全要求和标准,结合财税工作业务系统需要,提出选型方案和招标要求,提交采购中心按需招标;旧电脑改造方面则根据技术方案提出针对不同型号旧电脑所需配套的隔离卡及硬盘的技术参数(不同机型不同主板对加装的隔离卡及硬盘的要求不同,这项工作要求非常细致),及所需各种设备的技术参数与需求,提交采购办和资源交易中心进行网上公示,公开招标采购。
网络规划和地址规划同时进行,由网管员负责规划和实施,制定防火墙等安全设备的安全策略,反复测试达到最优。
全体技术人员分工协作,明确项目实施责任人,把全局200人24个科室按联系人排好时间表和工作量,各负责人分头实施并验收结果,全程协调跟踪解决出现的各种问题。
实施过程量大问题多,借用一名经验丰富,熟悉隔离卡的计算机维护人员是必要的。
隔离卡的安装及常见问题解析
因电脑品牌涉及HP、联想、DELL等多种机型,经过使用三种隔离卡(宙斯盾、伟思、山东中孚)的测试结果,发现宙斯盾卡对各种机型的的兼容性相对好一些,下面就此卡在实施过程中出现的问题及解决方法做一总结。隔离卡宙斯盾,分为3种型号SATA,IDE,电源。
常见问题及解决办法:
1.开机自检找不到硬盘。
排除方法:检查硬盘与隔离卡的线路连接是否正确;
检查CMOS设置是否正确,有无硬盘选项被关;
在无隔离卡情况下,自检硬盘是否能通过,以确定故障来源。
2.插卡后没有出现隔离卡的界面。
排除方法:先确认内网硬盘是否能正确识别;
个别主板可能会有这个问题,在CMOS中修改引导控制项BOOTFROM LAN(有的主板是TRYOTHER DEVICE)”,或者FIRST BOOT DEVICE 中SCSI或者OTHER 等。
3.插入隔离卡后无法自检。
排除方法:此故障多出现在SIS芯片组的主板中,需要在开机后长按CTRL键来更改隔离卡夺取主板控制权的方法。(在CTRL键按键下生效后,会出现选择输入0.1.2.3四个选项,可以按顺序进行排除。
4.插卡后启动不正常或者找不到硬盘。
排除方法:尝试固定好板卡使金手指接触良好,如是IDE切换的隔离卡建议使用更短的IDE连接线,对于某些主板,IDE线稍微长些就不容易认到硬盘
5.不能访问网络。
排除方法:检查网线的连接是否正确,网线的接触是否正常,网卡的灯是否亮着,若是接触不良,应将网卡连接线插紧或更换网卡连接线。
6.安装系统切换软件后不能正常运行切换软件。
排除方法:检查隔离卡驱动是否安装正确,同时确认在开机时能正常出现隔离卡选择切换。
7.进入系统后网络切换失败。
排除方法:系统切换可能被破坏,卸载切换软件重新安装。
8.针对比较难安装电脑的分析:
联想的小机箱,用SATA的隔离卡,要把内硬盘放到光驱的边上,把外硬盘放到原来的位置,这样先不容易被压到,也可避免接触不好。若还有问题,就换成使用电源切换的隔离卡。
DELL的旧机器,硬盘刚装上的时候,自检不通过,直接从光驱启动,把系统装好就能自检通过了,每次都要按F1;若不能从光驱启动,换个光驱试试。
实现预期效果
良好的安全性。有些单位上外网没有安全性可言,一机一线上双网,一机双网卡上双网,导致病毒泛滥,技术人员疲于奔命,给个人工作及整个单位的信息安全带来重大隐患。我们所选择的隔离卡及双网隔离安全机是经过国家安全部认证和国家保密局认证的产品,具有在双网之间切换时刷新内存信息,不会把此网信息带入彼网的优点。
节省成本。与有些单位每人两台电脑上双网相比,这种方式节省了购机成本(双网隔离机与单网机每台相差不到400元)、能耗成本,以及办公空间成本;整个项目从思路规划到实施没有浪费,一直注重性价比,花最少的钱办最好的事,新旧资源应用尽用。有助于维护机关廉政形象。
可长远推广。具有明显的经济效益,极大提高财税干部摄取财经信息的及时性和丰富程度,极大地方便财税干部内外网间的转换,提高了工作效率。
完善管理制度和配套措施。我们针对有可能对工作和效能建设产生的负面影响作了充分考虑,在向局党委重点汇报将会产生的不良影响并提请引起重视的同时,出台了相关管理制度:“个人用计算机日常管理规定”,人教科也向全局发布了加强网络安全管理的通知,相信在局党委的引导下,全局干部的素质不断提高,能把负责因素变成提高工作水平和机关形象的有利因素。
通过一年多的实践,这一内外网使用新模式在全省财税系统中率先采用这种模式得到了实践和认可,也受到了行业内外各单位的关注。到目前为止,我们的内外网隔离模式运行良好,稳定而安全地为财税工作提供保障。
(作者单位:浙江省淳安县财税局)