夏洪图 李静宁夏回族自治区卫生信息中心 宁夏 750001

0 前言

近年来，我国信息化正以令世界惊奇的速度发展，信息产业的发展促进了我国综合实力的提高，Internet正在逐渐融入到社会生活的各个方面。随着政府上网、政务公开、电子政务等一系列网络应用的蓬勃发展，在政府网络中，内部网络上有着大量高度机密的数据和信息，内部机密信息在网络上泄密以及内部网络被攻击破坏已经成为信息化的重大问题，以往无数个此类案例的发生，给国家造成了严重的损失，向我们敲响了警钟。如果网络安全得不到保证，那么将会给国家、社会及网络用户带来严重的威胁，可能造成政治、经济、军事等各方面的巨大损失。因此，在政府工作不断实现信息化、自动化的同时，信息安全成了亟待解决的问题，信息安全必须得到重视和加强。

1 国家对政府机关信息安全的要求及其相关技术

国家保密局在 1999年作出规定，涉密网络不得与公共信息网连接，必须要实行物理隔离。国家政府部门由于其特殊的性质必须要严格执行国家保密局的规定，在其工作网络上实现内外网的分割和物理隔离。

“物理隔离”是指内部网不得直接或间接地连接公共网，即我们平时所说的互联网。众所周知，互联网是开放的国际化的互联空间，而安全和开放却永远是一对矛盾。合理配置内部网和公共网“物理隔离”，可以最大限度保证政府部门的内部信息网络不受来自互联网的黑客攻击。此外，“物理隔离”也为政府内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

双硬盘物理隔离技术是隔离器与主板之间无数据交换途径，双硬盘分别独立运行于内外网，保证内外网实现彻底分离，真正实现了网络隔离和数据隔离。内网和外网的切换通过手动物理开关来实现，且只能由用户自己操作，任何网上软件的操作方法都无效，不存在软件操作隐患。

2 宁夏政府相关部门信息安全实践经验

2.1 未实施物理隔离前的状况

作为自治区政府部门，在实行物理隔离之前，我们对网络的信息安全也采取了许多其它的措施，如在网络中加入防火墙、网络版杀病毒软件、网络漏洞扫描等。但为了落实有关信息保密规定，只允许一小部分没有办公信息的机器能上Internet，大部分用于办公不能上Internet，对机关干部职工获取外部信息造成了很大的困难，很多处室加大计算机的配置量，解决上外网的问题，增加了经费开支，致使网络没有充分发挥应有的作用。

2.2 实施物理隔离取得明显成效

2004年，为遵守信息保密规定和实现办公自动化，我们对原有网络进行改造，对外网与内网实施物理隔离，内网办公，外网联通Internet。这样即保障了信息安全又打开了对外的信息大门，具体措施如下：

（1）机房改造

机房原有外网服务器、防火墙、交换机不变，加装用于内网的服务器、交换机等。

（2）工作站改造

为每台工作站配置了可接双网线双硬盘的物理隔离卡和第二硬盘，双网线双硬盘分别独立运行于内外网，保证内外网实现彻底分离。工作人员使用一台电脑既可方便上因特网也可安全上内网办公，节省了硬件投入，方便了工作。

（3）网络改造

机关各办公室采用两条非五类屏蔽双绞线，形成内外网，分别接物理隔离卡内外网口。对一人以上的办公室增加两台性价比较好的8口集线器，分别用于内外网，连接多个工作站。

（4）加强服务器操作系统的安全防范

安全的操作系统是网络安全的重要基础。所有的政务应用系统和安全措施都依赖提供底层支持的操作系统。操作系统的漏洞或配置不当将有可能导致整个网络安全体系的崩溃。我们加强服务器操作系统日常维护，利用安全扫描工具定期检查系统漏洞和配置更改情况，及时打上新补钉，堵塞系统漏洞。

（5）加强内网病毒的防范

即便是内网，我们也采用网络版瑞星杀毒软件，集中管理，自动更新病毒库，定时杀毒。

我们经过改造，顺利通过了自治区保密局的验收。网络安全性能全面提升，有效防止了信息泄露，抵御外部网络的攻击，保障了网络信息安全。

3 物理隔离卡使用过程中的问题

使用物理隔离卡后信息安全达到了预期的效果，每年都能通过安全部门的检查，但在实际工作中也发现了一些不可忽视的信息安全问题。

3.1 内外网集线器接错线

在多人共同办公的办公室，由于打扫卫生、更换工作站位置、更换计算机或请外面计算机公司的技术人员维修机器时，他们对内外网结构不熟悉，重新用集线器接线时将内外网线接反，造成内外网联通，给信息安全造成极大的隐患。

3.2 物理隔离卡内外网口接错线

同样，由于人为的原因造成内外网线与物理隔离卡内外网口接反，造成该计算机内网与外网联通，也给信息安全造成极大的隐患。

3.3 移动存储介质(U 盘、移动硬盘等)内外网共用

在内网使用的移动存储介质存储了大量的内部信息，在转换到外网时没有将其及时移去，使得大量内网信息暴露在外网中，或内外网共用一个移动存储介质，这些都会造成内网信息泄露。

3.4 笔记本电脑使用不当

现在笔记本电脑使用频率越来越高。笔记本电脑在没有加装隔离器的情况下内外网混用也极易造成信息泄露。

4 进一步加强信息网络安全管理的建议

（1）健全信息安全管理机制和运行机制安全管理机制是网络安全中控制风险、降低损失的保证；安全运行机制保障了系统的稳定可靠性；技术手段只有在安全管理机制与安全运行机制下，才能保证信息安全。因此，要建立安全管理机制和运行机制，制定和落实安全管理制度，包括：系统运行维护管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流合作安全制度以及上网信息审批制度等。

（2）规范移动存储介质、笔记本电脑的使用。内外网间的信息交换建议使用指纹识别U盘，进一步加强对信息保护的手段。

（3）加强工作人员的保密意识教育，做到谁主管谁负责，谁使用谁负责，把信息安全落实到人。物理隔离卡虽然有效地解决了内外网信息安全的问题，但信息安全绝对不单纯是一个技术性问题，工作人员保密意识不强，形成的“身在密中不知密”情况就如同一个由铜墙铁壁建成的保险柜却把钥匙插在门上一样，再坚固的门也不起作用。再好的保密技术，工作人员不认真按规范去做，仍然做不好信息保密工作。只有把有效的管理方法、技术手段与工作人员保密意识进行紧密结合，才能够最大程度地防范和解决电子政务中的信息安全问题。

[1]郝卫东.网络环境下的电子商务与电子政务建设[M].北京：清华大学出版社.2006.

[2]林铭沥.电子政务的信息安全实践与思考[J].情报探索.2007.