内外网物理隔离在企业的应用

摘 要 随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多为病毒传播、生存提供了环境。而黑客技术与病毒技术的结合成为网络入侵的新手段，网络入侵者通过植入病毒控制相应设备发送非法控制命令、非授权修改控制系统配置、程序和指令，利用授权身份执行非法授权操作等可导致电力系统事故、电力网络故障和瘫痪、敏感数据被修改和窃取等。本文介绍了内外网物理隔离技术在某企业的实施应用过程，提高了信息网络安全同时又兼顾了环保、经济效益。

关键词 双网；物理隔离；一线两联

中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）81-0227-02

0 引言

宁夏马莲台发电厂上外网用户安全意识淡薄，随便乱点网站、下载安装，用户漏洞补丁未升级、杀毒软件未及时更新。造成局域网络ARP欺骗、网络木马攻击、网段之间不能访问连通，严重威胁企业的网络安全。按照国家信息网络等级保护相关要求，企业内外网要实现物理隔离的保护措施。所谓物理隔离，是指内部网不得直接或间接地连接公共网即国际互联网。目前可以利用防火墙、服务器、入侵监测等技术手段来抵御来自互联网的非法入侵，但至今这些技术手段都还存在许多漏洞，还不能彻底保证内网信息的绝对安全，只有使内部网和公共网实现物理隔离，才能真正使内部信息网络不受来自互联网的黑客攻击。此外，物理隔离也为企业内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理和维护。

1 某企业通信网络现状

宁夏马莲台发电厂通信网络均采用主干道冗余光纤、超五类双绞线连接到用户终端。随着内外网物理隔离需求，电厂规模的不断扩大，通信需求迅速增加，以及MIS、SIS两大系统的融合扩充，使得原有单根网线的通信网络不能满足用户需求，无法承担更加丰富强大的网络运行，对宁夏马莲台发电厂现有通讯网络实施改造刻不容缓。

2 物理隔离工作实施

我们积极开拓思路，研究可行办法，利用通信网络自身特点，本着不影响原有网络可靠

性和实用性的前提下，为了有效扩充网络通信容量，更好、更有效、安全的实现内外网络的隔离，保障我厂网络通信可靠运行。同时为节约经济成本、保持办公室内外美观整洁。通过对现有网络充分的调查分析，结合通信网络的自身特点，设计几套方案并从中选择了最优方案，实行内外网物理改造工作。其目的达到与我厂内部局域网和Internet分离。

2.1内外网分离

外网网络：购置新外网核心和二级交换机，利用原有备用光纤通道，组建与互联网相连接的外网网络。外网用户通过外网网线连接，通过统一接口访问互联网。

内部局域网：延用以前局域网服务器和数据库，配置进行其改动，与外网实现物理上的隔离。内网用户通过内网线路访问内网信息服务。

2.2 采用原有网线、电话线

在建厂之初，所有生产办公楼的通信、网络线路，都根据设计要求进行了线路布放，布放的通信、网络线路，均采用超五类网线，但没有冗余。在每个信息面板上，均设计了电话接口和网络接口各一个。

如图所示：

注：每个面板的左边是电话接口，右边是网络接口

如图所示：

超五类网线通信特性

原有的网络通信构成，使得每个面板只能接一部电话和一种网络（通过ip地址限制），这样的结构和布局给电厂内网、外网隔离工作造成影响。按照对内外网物理隔离的标准要求，将要进行重新布线工作，为每个电脑终端重新布放连接内网的网线，这样将给内外网隔离工作带来很大的难度。同时，由于楼宇建设及线路铺设都已经完成，重新布线工程非常浩大，严重影响楼内设施美观，并且也将花费高昂的工程费用。

我们根据超五类网线自身通信特点采用“一线两联，实现内外分离”的改造方法。即减少工作量、降低改造成本又达到了内外网分离的改造目的。

目前超五类网线内部含有8芯铜芯线，在网络通信中，通常采用其中的4芯作为主要信号传输线缆，其余4芯作为信号干扰屏蔽及辅助传导，在正常通信中，并没有真正的信号传输。正是利用网络通信的这个辅助特点，我们设计将现有铺设的两根超五类网线（一根做语音电话通信，一根做网络通信），进行区分隔离，利用其中一根的4芯线缆作为内网网络通信的传输介质，另外4芯作为语音通信使用，形成语音电话、内网、外网的隔离。这样的设计大大降低了因重新铺设网络所花费各种费用及精简了工程作业，同时非常完美的满足了我们在网络隔离上的物理区分要求。

如图：

分离电话侧线路

2.3 用户终端实现双硬盘隔离

所需的软硬件：双硬盘、数据线、隔离卡、 隔离卡软件。（终端设置在睡眠状态下）

数据线通过主板连接到隔离卡，隔离卡再连接到内外网硬盘，每个硬盘独立系统。分别在两个系统安装隔离卡软件，进行内外网实时或重启切换。

3内外网物理隔离改造后经济效益

避免了因为重新布线而导致施工工程扩大、花费增加、劳动成本上升的问题，并且有效的确保了办公楼内的设施完好及美观整洁，为我厂有效节约了经济成本和劳动成本，大幅提高了工作效率，为企业网络双网改造提供了很好的案例。

4 结论

宁夏马莲台发电厂自2011年初实施内外网物理隔离以来，局域网各网段之间均未出现以前不能连接及访问现象，网速也随之相应加快。再加上宁夏马莲台发电厂去年下半年对外网进行提速措施，一致得到领导职工好评，我们信息室工作量随之减少了。我们信息室将继续一如既往为我厂生产和经营服务，加强通讯网络设备维护，保证通讯网络畅通，提高信息网络的安全。

参考文献

[1]万平国.网络隔离与网闸.计算机安全，2004.

[2]王宏伟.网络安全威胁与对策.应用技术，2006.

[3]余文曜.基层单位网络建设中的物理隔离.信息化建设，2005.