内外网视频

关键词： 探测 保密 资料 气象

内外网视频（精选三篇）

内外网视频 篇1

现阶段, 内外网隔离的方案主要有3种, 即双电脑双网双线隔离方案、单电脑双网双线硬盘隔离卡隔离方案和单电脑双网单网线隔离交换机隔离方案。

1 各种方案的原理和对比

1.1 双电脑双网双线隔离方案

这个方案最简单, 就是每个人配备2台电脑分别用于内网和外网, 可以同时上内外网。但是, 其缺点是每个人的办工桌上摆2台电脑很占空间, 既不经济也不方便, 大大增加了耗电量和电磁辐射。该方案如图1所示。

1.2 单电脑双网双线硬盘隔离卡隔离方案

用户仅使用1台电脑, 并在电脑上增加1个硬盘和硬盘隔离卡, 且硬盘隔离卡上有3个RJ45口, 它们各自连接原主机网卡和内网、外网的网线, 通过人工或软件切换硬盘和网线。在内外网的环境中, 内网对应内网的硬盘, 外网对应外网的硬盘, 这样, 内外网在物理上完全分离且不存在公用存储信息, 从而实现了单机在2个网络之间真正的物理隔离。这种方案一机两用, 安全、可靠、方便、经济, 极大地提高了计算机系统的资源利用率, 但它的缺点是用户在同一时间只能使用一种网络。山西省气象科技大楼主要采用的就是这种方案, 所以, 本文着重介绍这种隔离方案。该方案如图2所示。

1.3 单电脑双网单网线线路选择器隔离方案

用户只使用1台电脑, 但需要有1台线路选择器把内、外网分开, 同时, 用户的电脑也必须增加1个硬盘和硬盘隔离卡, 内网的数据放在内网硬盘, 外网的数据放在外网硬盘。该方案中使用的硬盘隔离卡不同于第2种方案的隔离卡。当用户需要切换网络时, 由用户发出指令 (实际上是分别发出2种不同极性的直流信号) 来控制线路选择器接通内网或外网, 且用户在同一时间只能使用一种网络。这种方案虽然节省了1根网线, 但是, 内外网的切换比较麻烦, 只对那些无法布设双网线的用户有利。该方案如图3所示。

2 气象科技大楼采用的方案

2.1 方案简介

在山西省气象部门中, 已经有部分单位实行了内外网隔离的工作模式, 采用的是单电脑双网双线硬盘隔离卡隔离方案。省气象局科技大楼为了实现内外网隔离的工作模式, 前期已经在大楼西面的楼梯处安装了外网线路的设备, 现在几乎每位工作人员都有2根网线, 并配备了安装有双硬盘和硬盘隔离卡的计算机, 部分单位已经实现了内外网隔离的工作模式。使用这种工作模式的电脑, 其内部都装有硬盘隔离卡和2块硬盘, 通过硬盘隔离卡将2块硬盘隔离, 同一时间只使用1块硬盘。这样, 就从物理角度上将2块硬盘隔离, 这块硬盘的数据不会进入另一块硬盘上, 有效地防止了内部网络数据流失到公共网络上, 达到了内外网隔离的目的。

硬盘隔离卡的特点是即插即用, 有PCI插槽、软件控制、在线切换, 不占用USB口和COM口, 支持Win7LINUX等操作系统, 并且内外2种不同网络之间可以自由切换。硬盘隔离卡如图4所示。

2.2 硬盘隔离卡的安装

在该方案中, 使用的是硬盘电源切换型隔离卡, 默认为双网线布线模式。其具体安装步骤是: (1) 在安装硬件之前, 先断开主机电源, 然后连接硬件, 将隔离卡插入主板上空余的PCI插槽内, 并将其固定好。 (2) 取出1条包装盒中的一拖三数据线, 将黑色12孔插头的一端与隔离卡尾部的电源卡座相连, 分出来的中间的黑色4线扁平插头则与主板的SATA插座相连, 另外2个插头则分别连接内网硬盘和外网硬盘。硬盘数据线连接如图5所示。 (3) 盖上机箱盖, 并将其固定好。 (4) 取出包装盒中的短网线, 将隔离卡的网卡口 (黑色) 与机器的网卡接口相连, 如图6所示。 (5) 将内网和外网的网线插入隔离卡上的对应网口 (外网网口是绿色, 内网网口是黄色) 。当外网网络连通时, 隔离卡网口的绿色灯亮;当内网网络连通时, 隔离卡网口的黄色灯亮。 (6) 开机时, 显示内外网的选择界面, 通过键盘上的上下键选择进入内网系统或外网系统, 回车即可进入被选择的系统, 但是, 进入系统后需要安装管理软件。在此过程中, 如果不出现内外网选择界面, 就需要进入CMOS设置, 找到启动顺序里的“Hard Disk Drivers”。其中, 有“SCSI Card”和硬盘设备的名称, 这时, 将“SCSI Card”调到硬盘上, 然后在启动顺序中将硬盘调整为第一启动项。

2.3 管理软件的安装

2.3.1 外网管理软件的安装

进入外网系统后, 将隔离卡随带的光盘放入光驱, 进入HDP-III K7ⅢRS菜单, 或者双击安装程序目录中的setup.exe文件, 单击“下一步”。默认安装路径是C:Net Card, 但是, 也可以选择其他路径。安装成功后, 在桌面的右上角和系统状态栏的右下角会分别出现“外”的网络标识。这说明, 电脑正处于外网连接状态。

2.3.2 内网管理软件的安装

内网管理软件的安装与外网管理软件的安装相同, 系统会自动识别其是内网系统或外网系统。系统安装完毕后, 在桌面的右上角和系统状态栏的右下角会分别出现“内”的网络标识。这说明, 电脑正处于内网连接状态。

2.3.3 主界面显示

双击桌面上的中孚网络隔离卡管理系统或网络标识“内”图标, 就会出现如图7所示的窗口。

2.3.4 右下角图标

右击桌面右上角或任务栏右下角图标会弹出如图8所示的快捷菜单, 选择菜单中的“切换”, 系统将会重启, 并切换到另一系统中。

2.4 硬盘隔离卡的使用

2.4.1 选择内外网系统

中孚网络隔离卡的硬盘和软件安装完成后, 打开计算机, 待计算机正常启动后, 进入隔离系统的内外网选择界面, 如图9所示。使用上下方向键, 选择内外网系统, 箭头所在的位置代表选中, 回车即可进入相应的操作系统。当进入“密码设置”后, 可以选择相关的密码验证功能。在启用和禁用内网密码的同时, 需要输入原始密码, 用户可以将原始密码修改为8位以内的密码。

2.4.2 内外网络切换

以实时切换产品从内网向外网切换为例, 简要叙述了切换过程。外网向内网切换的操作与此相同, 具体的切换步骤是: (1) 启动计算机后, 会出现内外网切换画面, 根据界面提示选择进入内网系统。这时, 桌面的右下角会出现表示当前网络状态的图标“内”。 (2) 双击桌面上的隔离卡管理系统或网络标识“内”图标, 会出现如图10所示的窗口。

在内网切换图标中, 操作按钮主要有以下几个: (1) 实时切换。点击该按钮, 内网系统就会进入休眠状态, 然后切换到外网系统。只有以Administrator用户运行命令“powercfg–h on”打开系统休眠功能后, 才能执行实时切换任务。 (2) 重启切换。点击该按钮, 系统重新启动计算机后进入外网系统。 (3) 关机。点击该按钮, 系统会关闭计算机。 (4) 隐藏。点击该按钮, 主界面会隐藏到右下角。 (5) 制订任务计划。点击该按钮, 用户可以设置定时重启和定时关机等内容。

右击桌面内 (外) 网切换图标, 展开菜单如图11所示。菜单中主要包括以下内容: (1) 实时切换、重启切换、关闭计算机与按扭操作相同。 (2) 高级设置。进人“高级设置”前, 需要通过密码验证, 而用户可以将其修改为8位以内的密码。当程序安装完成后, 默认状态是不勾选禁用无线网卡功能、监控内网系统违规外联的功能和IP地址绑定等功能, 所以, 用户可以根据自己的需要分别选择是否使用这些系统设置。勾选功能项目前面的选框点击确定后, 其就会起到相应的作用, 不勾选则不起任何作用。因此, 建议用户使用安全设置里的功能, 但用户不要违规使用可移动存储设备。其中, 卸载密码与高级设置的密码相同, 切换到内网的密码与开机界面进入内网的密码相同。实时切换时间与用户的硬件配置和软件配置有关, 如果实时切换时出现唤不醒、死机的情况, 则需要在“切换时间设置”下面的框内输入具体的时间, 一般取大于10 s的值。 (3) 辅助工具。中孚隔离卡辅助工具是中孚开发的一些实用工具之一。 (4) 隐藏浮动窗口。切换程序安装完成后, 在桌面的右上角会自动显示浮动窗口, 浮动窗口的功能与任务栏右下角的图标一致, 点击右键都会弹出功能菜单, 用户可以拖动浮动窗口到桌面的任意位置, 同时, 选择“隐藏浮动窗口”也可以将其隐藏。

3 使用硬盘隔离卡的注意事项

使用隔离卡实现的是硬件上的切换, 使用一段时间后, 机器就出现蓝屏的问题。而chkdsk修复系统可以解决该问题。但是, 隔离卡也时常出现无法切换的问题。解决该问题的方法是查看硬盘的连接线, 如果它没有问题, 就需要重新安装隔离卡和驱动程序。

在使用移动存储器时也要区分使用, 最好使用不同外观的移动存储器和不同的USB接口, 做好标记便于区分。内网使用内网的移动存储器, 插内网的USB接口;外网使用外网的移动存储器, 插外网的USB接口。这样做, 才能绝对隔离内外网的数据。对于用户来说, 虽然这样做比较麻烦, 但是, 为了内部网络的安全, 必须要严格执行。

摘要：随着气象现代化的不断发展, 气象部门的网络安全问题日益严峻, 内外网隔离势在必行。简要介绍了内外网隔离的原理和实施方案, 并分析、比较了不同方案的隔离效果、特点等。同时, 还介绍了使用了隔离卡的用户所遇到的安装问题和使用过程中的一些常见问题。

关键词：网络隔离,隔离效果,气象事业,硬盘隔离卡

参考文献

[1]王明刚, 赵军.浅析内外网隔离方案[J].广播电视与技术, 2009 (4) .

关注石油企业内外网安全 篇2

国家特别重视信息系统安全保护工作，确立了信息安全等级保护的基本指导思想，明确要求“重点保护基础信息网络和关系国际安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作。对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。”

现实工作中，企业员工的违规使用行为往往会导致重要信息意外泄露，给企业生产带来严重影响，造成巨大经济损失。特别是对于国有石油企业而言，网络安全的重要性不言而喻，其业务系统的稳定运行直接关系着社会秩序稳定，关系到国计民生的长远发展。国有石油企业网络安全建设在满足自身业务安全需求的基础上，必须遵循国家提出的等级保护等合规性工作要求。复杂的外部环境和来自于国家的合规性要求，这些使得石油企业都迫切需要提高信息安全保障能力，保证网络基础设施与业务系统的安全、可靠运行。

网络安全防护技术与产品多种多样，但是没有一种独立的解决方案能够满足石油企业信息安全上的需求，只有将多种安全防护技术紧密地结合在一起，才能充分发挥其各自作用。通过将各种安全防护技术统一、全盘考虑，能够避免出现彼此之间相互抵触，导致防护水平降低现象出现。实现1+1>2的防护效果，切实保障石油企业网络信息安全。

“知己知彼，百战不殆”，在石油企业网络安全工作中，即要对所面临的对手——安全威胁与挑战有着深刻的理解，更要对自身业务系统脆弱性与安全需求有清晰的认识。为了明确问题范围，深入理解企业当前面临的安全风险与问题，明确自身安全需求，石油企业首先要对各个业务系统进行安全评估。评估方面应当涵盖IT基础设备的各个方面，包括网络设备、服务器、应用系统、终端设备、互联网出口、管理制度与规范等多个方面的内容。通过进行安全评估与风险分析，明确安全风险的范围、内容与严重程度，确定工作目标与工作重点。在开展风险评估工作的同时，还应与有关部门合作，对已经定级应用系统开展等级保护测评工作，对新上线系统进行定级备案，满足合规性要求。

网络安全工作是一个系统工程，石油企业应以“统一标准、统一设计、统一建设、统一管理”作为工作指导思想，按照由外到内、层层深入、分区防护、纵深防御的思路进行网络安全防护建设。

首先，应当明确不同工作内容的范围。网络安全工作纷繁芜杂，涉及到各个方面的工作内容。对于主机安全、应用安全、数据安全与备份恢复等方面的工作内容，由各应用系统建设与维护人员考虑。对于物理安全、网络安全等具有一定共性安全内容，进行统一规划，按照统一的标准进行防护，制定标准的IT服务管理规范进行统一管理。石油企业网络安全工作的第一步应当界定内部网络与外部网络边界，对进入网络内部的途径进行梳理，对互联网出口按照统一标准进行管理，按照统一标准进行安全防护。互联网出口是外部用户访问企业信息系统的重要途径，同时也是安全威胁进入企业网络的重要途径。出口越多，入侵者进入内部网络的途径就越多，安全隐患也越多，在运维过程中也难以统一管理。针对互联网出口多、互联网出口安全防护标准不一致，容易受到外部入侵等安全威胁的问题，可以采用统一互联网出口的策略。石油企业应根据用户及应用系统的使用需求，对互联网出口进行统一规划，制定统一的出口防护标准，并按照标准进行统一安全防护。通过对互联网出口统一规划、统一防护、统一管理，可以减少入侵者通过网络接入企业内部网络的途径，提高企业网络边界安全防护能力。通过应用代理技术隐蔽企业网络信息，通过网络地址转换技术改变IP地址内容，降低入侵者通过互联网出口直接渗透进入内部网络的可能性。

第二，对用户访问权限进行划分。并非所有用户都具有互联网访问权限，只有业务需求的用户，经过审批后才能开通互联网访问权限。同时用户使用USBkey进行身份认证，以USBkey作为用户身份的唯一标识，实现用户访问行为实名制管理，避免用户名口令方式存在的漏洞。传统的安全违规事件定位方式是通过IP地址进行问题定位，这种方式进行事件处理费时费力，特别是在大规模复杂结构的网络环境中，基本上很难实现及时、准确定位的目标。为了在违规事件发生后能实现问题来源快速准确定位，可以将用户访问行为信息与用户身份标识进行绑定，一旦发生违规事件后，可以通过用户信息而不是IP地址进行迅速定位与响应。

第三，规范用户的互联网使用行为，避免用户访问具有安全风险的内容给自身和企业带来危害。通过行为审计技术对用户的互联网访问内容进行记录与审计，发生安全事件后可以根据审计记录定位事件发生时间及来源。审计设备记录了所有用户访问互联网所有内容，部分信息中还包括违规发送的涉密信息。因此，在审计记录访问权限分配制过程中，要按照安全审计职责分离的要求设置不同权限的用户，避免系统管理员处理过程中接触涉密文件导致的二次泄密事件。

第四，制定和实施相关管理制度与规范。信息安全“三分技术、七分管理”，石油企业安全目标的实现，不但要以先进、成熟、可靠的技术作为支撑和保障，更需要制定相应管理办法与规范作为依托，通过建立和健全完整的安全管理制度与规范对用户使用行为进行管理。参照全球最佳安全管理实践，建立标准和规范的IT服务运维管理流程。通过标准化流程，规范系统运维与管理工作。

第五，企业各级员工广泛参与。网络安全工作，不仅仅只是石油企业个别部门或个别人员的责任，需要各个部门、各级领导和广大员工的广泛参与、配合与支持。只有石油企业内部各级员工积极主动地在日常工作中按照要求合规使用，才能实现信息安全事半功倍的效果，预期的安全目标才能更快更好地实现。为了督促企业内部用户自觉执行信息安全管理办法与相关规范，石油企业应建立监督与考核机制，制定并执行相应的考核指标与考核管理办法，建立通报表扬与批评制度。固定周期进行检查与考核，对考核结果进行统一排名并通过通知或者公告方式在企业范围内进行发布，对排名靠前的部门或员工进行奖励，督促排名靠后的部门或员工及时进行改进，通过人力资源配合，将考核结果纳入部门、个人年度工作绩效考核中。

石油企业网络安全建设涉及到方方面面，是一个系统工程，在实践过程中，要充分考虑自身的业务特点与安全需求，深刻理解国家有关法律法规，满足国家有关机关的合规性要求。石油企业安全目标的实现离不开各级领导与全体员工的广泛参与和支持，员工的广泛参与和帮助是实现组织安全目标的重要保障。新的技术不断出现和应用，风险与威胁不断变化，面对变化万千的网络虚拟世界，企业只有与时俱进，勇于创新，才能适应持续变化的信息安全风险与威胁，保障石油企业业务目标的实现。

内外网物理隔离在企业的应用 篇3

宁夏马莲台发电厂上外网用户安全意识淡薄, 随便乱点网站、下载安装, 用户漏洞补丁未升级、杀毒软件未及时更新。造成局域网络ARP欺骗、网络木马攻击、网段之间不能访问连通, 严重威胁企业的网络安全。按照国家信息网络等级保护相关要求, 企业内外网要实现物理隔离的保护措施。所谓物理隔离, 是指内部网不得直接或间接地连接公共网即国际互联网。目前可以利用防火墙、代理服务器、入侵监测等技术手段来抵御来自互联网的非法入侵, 但至今这些技术手段都还存在许多漏洞, 还不能彻底保证内网信息的绝对安全, 只有使内部网和公共网实现物理隔离, 才能真正使内部信息网络不受来自互联网的黑客攻击。此外, 物理隔离也为企业内部网划定了明确的安全边界, 使得网络的可控性增强, 便于内部管理和维护。

1 某企业通信网络现状

宁夏马莲台发电厂通信网络均采用主干道冗余光纤、超五类双绞线连接到用户终端。随着内外网物理隔离需求, 电厂规模的不断扩大, 通信需求迅速增加, 以及MIS、SIS两大系统的融合扩充, 使得原有单根网线的通信网络不能满足用户需求, 无法承担更加丰富强大的网络运行, 对宁夏马莲台发电厂现有通讯网络实施改造刻不容缓。

2 物理隔离工作实施

我们积极开拓思路, 研究可行办法, 利用通信网络自身特点, 本着不影响原有网络可靠

性和实用性的前提下, 为了有效扩充网络通信容量, 更好、更有效、安全的实现内外网络的隔离, 保障我厂网络通信可靠运行。同时为节约经济成本、保持办公室内外美观整洁。通过对现有网络充分的调查分析, 结合通信网络的自身特点, 设计几套方案并从中选择了最优方案, 实行内外网物理改造工作。其目的达到与我厂内部局域网和Internet分离。

2.1 内外网分离

外网网络:购置新外网核心和二级交换机, 利用原有备用光纤通道, 组建与互联网相连接的外网网络。外网用户通过外网网线连接, 通过统一接口访问互联网。

内部局域网:延用以前局域网服务器和数据库, 配置进行其改动, 与外网实现物理上的隔离。内网用户通过内网线路访问内网信息服务。

2.2 采用原有网线、电话线

在建厂之初, 所有生产办公楼的通信、网络线路, 都根据设计要求进行了线路布放, 布放的通信、网络线路, 均采用超五类网线, 但没有冗余。在每个信息面板上, 均设计了电话接口和网络接口各一个。

如图所示:

注:每个面板的左边是电话接口, 右边是网络接口

如图所示:

超五类网线通信特性

原有的网络通信构成, 使得每个面板只能接一部电话和一种网络 (通过ip地址限制) , 这样的结构和布局给电厂内网、外网隔离工作造成影响。按照对内外网物理隔离的标准要求, 将要进行重新布线工作, 为每个电脑终端重新布放连接内网的网线, 这样将给内外网隔离工作带来很大的难度。同时, 由于楼宇建设及线路铺设都已经完成, 重新布线工程非常浩大, 严重影响楼内设施美观, 并且也将花费高昂的工程费用。

我们根据超五类网线自身通信特点采用“一线两联, 实现内外分离”的改造方法。即减少工作量、降低改造成本又达到了内外网分离的改造目的。

目前超五类网线内部含有8芯铜芯线, 在网络通信中, 通常采用其中的4芯作为主要信号传输线缆, 其余4芯作为信号干扰屏蔽及辅助传导, 在正常通信中, 并没有真正的信号传输。正是利用网络通信的这个辅助特点, 我们设计将现有铺设的两根超五类网线 (一根做语音电话通信, 一根做网络通信) , 进行区分隔离, 利用其中一根的4芯线缆作为内网网络通信的传输介质, 另外4芯作为语音通信使用, 形成语音电话、内网、外网的隔离。这样的设计大大降低了因重新铺设网络所花费各种费用及精简了工程作业, 同时非常完美的满足了我们在网络隔离上的物理区分要求。

如图:

分离电话侧线路

2.3 用户终端实现双硬盘隔离

所需的软硬件:双硬盘、数据线、隔离卡、隔离卡软件。 (终端设置在睡眠状态下)

数据线通过主板连接到隔离卡, 隔离卡再连接到内外网硬盘, 每个硬盘独立系统。分别在两个系统安装隔离卡软件, 进行内外网实时或重启切换。

3 内外网物理隔离改造后经济效益

避免了因为重新布线而导致施工工程扩大、花费增加、劳动成本上升的问题, 并且有效的确保了办公楼内的设施完好及美观整洁, 为我厂有效节约了经济成本和劳动成本, 大幅提高了工作效率, 为企业网络双网改造提供了很好的案例。

4 结论

宁夏马莲台发电厂自2011年初实施内外网物理隔离以来, 局域网各网段之间均未出现以前不能连接及访问现象, 网速也随之相应加快。再加上宁夏马莲台发电厂去年下半年对外网进行提速措施, 一致得到领导职工好评, 我们信息室工作量随之减少了。我们信息室将继续一如既往为我厂生产和经营服务, 加强通讯网络设备维护, 保证通讯网络畅通, 提高信息网络的安全。

参考文献

[1]万平国.网络隔离与网闸.计算机安全, 2004.

[2]王宏伟.网络安全威胁与对策.应用技术, 2006.