2、改造氣象網(wǎng)絡(luò)隔離技術(shù)的方案

安全隔離網(wǎng)閘即GAP技術(shù)，是一種通過專用硬件使兩個或者兩個以上的網(wǎng)絡(luò)在不連通的情況下，實現(xiàn)安全數(shù)據(jù)傳輸和資源共享的技術(shù)。在網(wǎng)絡(luò)中安裝帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備，使得兩個網(wǎng)絡(luò)在不連通的情況下進行網(wǎng)絡(luò)數(shù)據(jù)傳輸和資源共享，使用高速安全隔離電子開關(guān)，只支持單向網(wǎng)絡(luò)連接，保證內(nèi)外網(wǎng)在物理鏈路層上是完全斷開的，不存在通信上的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。該方案實現(xiàn)在保持內(nèi)外網(wǎng)絡(luò)物理隔離的前提下，進行適度的、可控的內(nèi)外網(wǎng)絡(luò)的數(shù)據(jù)交換；增加了網(wǎng)絡(luò)狀態(tài)檢測等功能；同時只需要一套布線即可解決網(wǎng)絡(luò)連接問題，能夠適應氣象網(wǎng)絡(luò)的發(fā)展需求。

安全隔離網(wǎng)閘方案作為氣象網(wǎng)絡(luò)的隔離方案，需要對原有的網(wǎng)絡(luò)稍做調(diào)整。根據(jù)氣象業(yè)務(wù)實際需求的劃分，把用于處理氣象業(yè)務(wù)的計算機歸在內(nèi)網(wǎng)中，辦公使用的計算機放在外網(wǎng)中。這樣劃分的好處是外網(wǎng)用戶不需要換線就可以訪問內(nèi)網(wǎng)，但必須經(jīng)過安全隔離網(wǎng)閘“擺渡”到內(nèi)網(wǎng)，從安全角度來說，多了一道檢測防線；內(nèi)網(wǎng)用戶也可以經(jīng)過安全網(wǎng)閘，訪問外網(wǎng)。通過安全網(wǎng)閘不僅實現(xiàn)了內(nèi)外網(wǎng)的物理隔離，還能滿足內(nèi)外網(wǎng)之間進行實時的、適度的、可控的內(nèi)外網(wǎng)絡(luò)的數(shù)據(jù)交換和應用服務(wù)，比如：電子文件交換、數(shù)據(jù)庫的數(shù)據(jù)交換、網(wǎng)站的數(shù)據(jù)更新、HTTP/HTTPS標準訪問、資料下載處理等。

把安全隔離網(wǎng)閘設(shè)備放在內(nèi)網(wǎng)交換機和外網(wǎng)交換機中間，取消原局域網(wǎng)的兩條網(wǎng)絡(luò)線接入，對于業(yè)務(wù)中使用的機器，就直接接在內(nèi)網(wǎng)交換機上，需要與外界溝通的計算機就接在外網(wǎng)交換機上，兩個網(wǎng)絡(luò)通過網(wǎng)閘可以相互訪問，比起原來兩套布線方案可以節(jié)省一半的智能布線接口。具體的網(wǎng)絡(luò)拓撲圖如圖一所示：

安全隔離網(wǎng)閘的配置比較簡單，根據(jù)實際業(yè)務(wù)需要，只要在內(nèi)外網(wǎng)中進行文件共享、TCP傳輸、NOTES郵件、數(shù)據(jù)庫等相應的模塊配置即可。但在配置之前要合理規(guī)劃，為了避免網(wǎng)絡(luò)改造后修改計算機的網(wǎng)絡(luò)和程序配置，整理內(nèi)、外網(wǎng)用戶所需互相訪的地址，并綁定到網(wǎng)閘對應的外、內(nèi)網(wǎng)絡(luò)端口。涉及跨網(wǎng)段訪問時，在綁定地址后，需要調(diào)整網(wǎng)絡(luò)路由配置，將訪問路由指向網(wǎng)閘。例如，為實現(xiàn)市局（172.21.136.*網(wǎng)段）訪問省局某服務(wù)器172.42.129.3，需要在外網(wǎng)路由器上添加一條路由指令：ip route 172.42.129.3 255.255.255.255 172.21.136.16指向網(wǎng)閘。這樣，在完成后所有計算機用戶在內(nèi)外網(wǎng)訪問時，不需要做任何修改及可實現(xiàn)。

3、網(wǎng)閘隔離方案的優(yōu)勢

采用基于安全網(wǎng)閘的隔離方案對氣象網(wǎng)絡(luò)進行改造，可以看出用戶在操作上比以前的雙布線隔離方法更加簡單方便，無須再手工更換內(nèi)外網(wǎng)線、網(wǎng)關(guān)。技術(shù)安全上又增加了這幾方面的優(yōu)勢：

（1）網(wǎng)絡(luò)狀態(tài)檢測功能，可以判斷用戶是否處在安全狀態(tài)，并進行相應的處理；
（2）訪問身份驗證功能，通過驗證機制，防止非法用戶通過客戶端進入內(nèi)網(wǎng)；
（3）提供訪問日志，使網(wǎng)管對用戶的訪問有記錄可查，在這基礎(chǔ)上對用戶日志進行監(jiān)督，及時發(fā)現(xiàn)隱患。

4、小結(jié)

本文分析了氣象網(wǎng)絡(luò)自身的特點，把安全隔離網(wǎng)閘應用于氣象網(wǎng)絡(luò)。經(jīng)實踐分析發(fā)現(xiàn)，該方案能很好的解決網(wǎng)絡(luò)隔離與信息實時交換的問題。但是，解決網(wǎng)絡(luò)間數(shù)據(jù)交換的安全問題是一個系統(tǒng)工程，安全隔離網(wǎng)閘只是一個擔負重要任務(wù)的關(guān)鍵設(shè)備。作為數(shù)據(jù)安全交換的解決方案，網(wǎng)閘也不是萬能的，還需要先進的技術(shù)和管理經(jīng)驗。不過與傳統(tǒng)的物理隔離方案相比，網(wǎng)閘具有不可比擬的優(yōu)越性，有一定的應用前景。