辦公終端雙網隔離方案探討

張烜

【摘要】 在信息時代的背景下，很多辦公室的終端都采用了聯網的方式開展工作，在一定程度上方便了辦公室員工之間進行交流、溝通以及信息的共享。但是，由于目前網絡中存在信息交換的安全問題，這也成為開展聯網辦公的主要威脅。所以，本文論述了雙網隔離對于辦公終端安全的重要性，進而提出了雙網隔離的整體技術方案，最后闡述了雙網隔離的技術實現細節，從而能夠更好地實現辦公終端的安全使用。

【關鍵字】 辦公終端 網絡安全 信息安全 雙網隔離

引言：互聯網雖然在一定程度上能夠提高信息交換和共享的效率，但是不安全的網絡環境對于辦公和信息交換也構成了一定的威脅。因此，為了更好地提高目前辦公終端的網絡安全性，國家頒布了相應的法律法規，同時也有相關的隔離方案被提出并實現。因此，本文圍繞著雙網隔離方案進行論述，為目前辦公終端的網絡安全問題提供參考。

一、辦公終端現有的隔離方案

為了更好地維護辦公終端在接入網絡后數據交換的安全性，本文采用了雙網隔離的方案，該方案較其他現有的網絡安全方案有著顯著的優勢。本文主要分析目前國內外采用的傳統網絡安全方案，并論述雙網隔離方案的優勢。主要內容如下：

1、物理隔離方案。在傳統的網絡安全處理方案中，普遍采用了物理隔離方案，該方案主要是利用在物理層面上兩種隔離的介質，例如：兩塊不同的硬盤，從而對數據進行隔離地處理和存儲，能夠在一定程度上達到網絡安全的要求。但是這種方案存在一定的問題：在物理隔離方案中，如果想要達到目標，需要設置兩套獨立的計算機系統，分別用于連接內網和外網，從而使得信息達到隔離的效果。雖然這種方案在一定程度上滿足了數據隔離的需求，但是，也造成了資源的浪費，同時增加了設備維護的成本和人員成本等。

2、隔離卡方案。為了有效地降低物理隔離方案中資源的嚴重浪費問題，人們開始研制和實現隔離卡的方案。這種方案可以采用一個物理設備——隔離卡，然后使用一套計算機系統就可以將信息在物理層面隔離開，有效地節約了資源。但是該方案也存在著不足的地方：首先，如果要進行兩個網絡的切換，那么就需要重新啟動計算機，計算機在重新啟動過程中會耗費較多的時間，從而使得依賴計算機的服務被迫停止；其次，隔離卡的方案是利用硬件設備，然后虛擬出兩套網絡設備，但是數據和信息實際存儲在一套網絡設備中，并沒有真正地實現物理級別的隔離，因此依然存在一定的網絡安全隱患。

3、邏輯隔離方案。除了上面論述的兩種物理隔離方案之外，日常中還經常使用一些邏輯隔離方案：防火墻，防火墻作為終端接入網絡的安全屏障，能夠有效地對網絡中的安全威脅進行過濾，從而實現信息和數據的安全交換；但是防火墻技術對于外網中的安全威脅能夠進行有效的隔離，但是對于人為造成的信息泄露卻無能為力；另外，防火墻的配置對人員的專業要求較高，如果配置錯誤或者是隨意修改則可能會造成重大的安全隱患；最后，防火墻為了保證內網和外網之間數據交換的實時性，因此只對信息進行了粗略的過濾，并不能實現完全的安全訪問控制，這也是防火墻的不足之處。

二、雙網隔離技術方案及其效益

目前，傳統的物理隔離方案和邏輯隔離方案中都存在一些不足之處。因此，本文在充分分析這些不足的基礎上，提出了一種雙網隔離方案，能夠有效地解決辦公終端接入網絡中的安全問題。其總體實現方案及優勢如下：

2.1雙網隔離技術方案的實現

雙網隔離技術的實現的總體設計包括以下幾個方面：第一，信號切換系統，該系統主要是能夠實時地對兩個不同的終端系統進行控制；第二，外部設備，外部設備主要是為了對信號切換系統進行可視化的操作，主要包括鼠標、鍵盤等普通的外部設備；第三，一臺終端設備，在該終端設備中需要加入一塊主板，該主板能夠將一臺辦公終端拆分為兩個部分，其中一個部分連接外網，另一個部分連接內網。

2.2雙網隔離技術方案的效益

本文提出的辦公終端雙網隔離技術方案，主要有以下幾點優勢：第一，采用一臺計算機，能夠同時實現訪問內網和外網的功能，能夠幫助企業降低資源的使用，進一步提高企業的效益；第二，利用一套信號切換系統，能夠使得兩套系統之間能夠實時地進行切換，切換過程中不會重啟計算機，不會影響正常業務的使用；第三，在雙網隔離技術中采用了數據擺渡的原理，能夠利用閃存等外部存儲設備，對內網和外網的數據進行安全地交換，滿足隔離方案的基本需求。

三、雙網隔離的硬件部分實現方案

3.1硬件電路設計

雙網隔離技術方案中需要使用到一定的硬件設備，主要包括不同型號的電子芯片，硬件設備之間主要是通過電路進行訊號的接收和返回。所以，硬件電路設計是硬件設計方案的重要組成部分。硬件電路主要是由主控單元電路、信號切換電路以及外圍端口電路共同實現的，這三個部分的功能如下：首先，主控單元電路，主要是對各個外圍端口電路進行檢測，并且根據檢測結果發送一些控制信號，從而保證外圍端口電路和信號切換電路的正常工作；其次，信號切換電路主要是對外圍端口電路中的信號進行捕捉，從而實現內網及外網之間的信息交換；最后，外圍端口電路，主要是收集到來自外圍的各種信息，然后通過電路輸送到主控單元電路以及控制信號切換電路中。

3.2其他相關電路的設計

在雙網隔離方案的硬件電路實現過程中，除了上面論述的最重要的三種電路實現之外，還有其他一些相關的電路設計，主要包括以下幾個方面：第一，指示電路，根據上文的論述可知，用戶主要是通過外部設備對信號切換系統進行控制，從而實現兩套設備之間的實時切換，所以在切換過程中，需要對用戶輸入的指令進行回應，這就需要指示電路控制外部的LED燈給用戶提示；第二，按鍵切換電路，當用戶利用鼠標或者鍵盤等外部設備進行操作時，系統會對這些外部設備的電路信號進行掃描，從而判斷那些按鍵被按下，然后收集到用戶輸入的相應的指令，并且進行對應的操作。

四、雙網隔離的軟件部分實現方案

4.1系統軟件的設計

雙網隔離方案的實現除了需要相關的硬件設計之外，也需要對軟件系統進行相應的設計，所以本文的系統軟件設計主要包括以下幾個方面：第一，軟件開發環境的選擇，在進行系統軟件的開發過程中，為了更好地提高開發效率，為此通常會選用集成開發環境來進行軟件代碼的編寫，集成開發環境可以對編寫的程序進行語法檢查和提示，同時可以實時地與硬件進行連接，查看軟件的實現效果；第二，系統軟件的設計方法，在進行軟件設計的過程中，需要遵循從整體到部分，自頂向下的開發步驟，從而將系統分解為功能相對獨立的各個模塊，然后對模塊之間的接口進行設計，最后再進行各個模塊的詳細設計。

4.2系統軟件各個模塊的設計

由于雙網隔離方案的系統軟件功能較為復雜，因此本文在進行設計和實現的過程中，將其拆分為功能相對獨立的幾個小模塊進行開發，主要包括以下幾個部分：第一，主控模塊的實現，主控模塊主要是對各個模塊進行控制，從而能夠更好地實現雙網隔離方案中的信息安全交換。除此之外，還需要對一些異常情況進行控制，從而能夠保證系統穩定、健康地運行；第二，外設通信模塊的實現，該模塊主要是對用戶通過外部設備輸入的指令進行分析，然后根據用戶的指令進行相關的操作。同時，能夠對用戶的一些異常輸入進行響應和提示；第三，數據交換模塊的實現，該模塊是雙網隔離方案的核心模塊，能實現對外網數據和內網數據的安全交換，主要是利用了數據擺渡的原理，能夠在存儲數據的介質之間進行靈活的切換。

五、雙網隔離方案的測試

為了保證雙網隔離方案的可用性，本文對其進行了詳細的測試，主要包括以下幾個方面：第一，功能測試，對雙網隔離方案中的硬件和軟件分別進行了功能測試，其中保證硬件設備及電路之間功能的正確性，同時測試了軟件模塊的功能是否能夠正常使用；并且測試了軟件和硬件能否對異常情況進行正確響應；第二，系統測試，該部分的測試主要集中在兩個方面：一方面，硬件系統的測試，包括硬件各個電路之間的信號交換是否正常，硬件系統是否能夠正常對外提供服務；另一方面，軟件系統的測試，保證軟件各個模塊之間能夠正確地進行相互調用；第三，整體的功能測試，對于整體的各個功能進行了測試，測試結果顯示系統能夠正常地對外提供服務，滿足雙網隔離方案的功能需求；第四，對雙網隔離實現方案的性能進行了測試，測試結果顯示，該方案能夠滿足正常的數據交換速率要求；并且兩個系統之間能夠實現實時的切換，同時數據之間可以進行安全地交換。

小結：本文對目前辦公終端面臨的網絡安全問題進行了詳細的調研，并且論述了采用雙網隔離方案的優點。然后提出了針對雙網隔離方案的整體方案和實現細節進行了論述。目前，辦公終端依然面臨著較為嚴峻的網絡安全問題，必須要對這一問題進行重視，然后采取有效的措施，從而能夠更好地保障辦公終端的網絡安全和信息交換安全。

參 考 文 獻

[1] 楊標. 煙草企業雙網隔離的意義及隔離的方式選擇[J]. 信息技術與信息化， 2015 （3）： 135-136.

[2] 彭勃. 淺析電網公司計算機內網和外網的交互技術及應用[J]. 商情， 2015 （023）： 341-341.

[3] 李予溫， 張學軍. 關于現有雙網隔離計算機安全隱患的分析及應對措施[J]. 信息安全與技術， 2013， 4（12）： 38-40.

[4] 張馳， 馬志程， 張磊， 等. DT860 內外網硬件隔離安全終端的設計與研制[J]. ELECTRIC POWER， 2013， 11（10）.