網(wǎng)絡(luò)安全優(yōu)化方案研究

國家新聞出版廣電總局六二三臺 張東升

引言

隨著社會的發(fā)展，網(wǎng)絡(luò)安全越來越備受關(guān)注，不管是移動網(wǎng)絡(luò)安全還是PC網(wǎng)絡(luò)包括服務(wù)器方面等等，國家很多機密信息通過不同的形式外泄，為了能夠保護(hù)國家機密不被泄露，迫切需要制定一套更加安全的系統(tǒng)，

行業(yè)分析：很多企業(yè)為了本地網(wǎng)絡(luò)安全，會設(shè)置內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用防火墻隔離開，外部網(wǎng)絡(luò)要訪問內(nèi)部網(wǎng)絡(luò)需要安全認(rèn)證-設(shè)置安全證書或指定賬號密碼才能訪問，盡管是這樣仍然有一些黑客組織也能找到漏洞，盜取機密資料甚至攻擊服務(wù)器，造成服務(wù)器癱瘓，為企業(yè)造成很大的損失。所以我們迫切需要一種外部黑客基本無法找到漏洞，無法攻擊內(nèi)部網(wǎng)絡(luò)的方案。就需要讓內(nèi)網(wǎng)與外網(wǎng)進(jìn)行完全的隔離。

1.方案設(shè)想

現(xiàn)在科技越來越發(fā)達(dá)，有很多技術(shù)都已經(jīng)成熟，如果將內(nèi)網(wǎng)和外網(wǎng)完全隔離的話，就不能經(jīng)過網(wǎng)絡(luò)聯(lián)絡(luò)，我們設(shè)想是否可以通過聲音來辨別，當(dāng)內(nèi)部網(wǎng)絡(luò)發(fā)出警報，想要像外部網(wǎng)絡(luò)發(fā)送信息時，我們可以通過聲音來知道外網(wǎng)發(fā)送數(shù)據(jù)，讓內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)完全隔離，只通過聲音，這時候我們就需要借助其他硬件設(shè)備做輔助，內(nèi)網(wǎng)終端設(shè)備發(fā)送警報聲，外網(wǎng)同樣有個終端設(shè)備可以接收聲音，當(dāng)內(nèi)部網(wǎng)絡(luò)發(fā)出警告后，外部網(wǎng)絡(luò)設(shè)備根據(jù)聲音辨別警報級別，通過服務(wù)器向外部發(fā)送警報信息，可以發(fā)送手機短信或郵箱，可以撥打電話，也可以發(fā)送通知到指定的APP。

2.安全系統(tǒng)優(yōu)化方案實施流程

2.1 商業(yè)論證

首先我們要實施一個新的優(yōu)化項目方案要確保花費成本和運營成本比之前要比現(xiàn)狀節(jié)省成本，或者說因為機密泄露造成的損失大于新方案花費以及運營成本。本案分析機密泄露損失對國家造成危害很大，損失是不可估量的，迫切需要一套安全系統(tǒng)來維護(hù)。

2.2 新安全系統(tǒng)設(shè)計（見圖1）

（1）首先需要內(nèi)外網(wǎng)物理分離，不能直接連通，研究考慮到內(nèi)外網(wǎng)互通應(yīng)使用其他介質(zhì)，經(jīng)過多方調(diào)研最簡單可行的方案是使用聲音來判別，技術(shù)上建議使用第三方提供的SDK(如阿里提供的語音識別)，在外網(wǎng)的終端設(shè)備集成阿里語音識別SDK，來識別警報聲。具體步驟如：

1）當(dāng)內(nèi)網(wǎng)服務(wù)器出現(xiàn)問題進(jìn)行預(yù)警時；

2）由于內(nèi)網(wǎng)相連的終端設(shè)備發(fā)出相應(yīng)的警報聲

3）利用外網(wǎng)終端設(shè)備的麥克風(fēng)收集聲音（設(shè)備需要全天24小時接收）；

4）利用阿里提供的SDK進(jìn)行識別是否為我們需要的警報聲；

5）根據(jù)識別后的警報聲，終端設(shè)備向外網(wǎng)服務(wù)器發(fā)送響應(yīng)指令。

圖1 系統(tǒng)概念圖

（2）外網(wǎng)發(fā)送數(shù)據(jù)：外網(wǎng)跟內(nèi)容完全隔離，只是根據(jù)聲音來識別信息，并向外界發(fā)送數(shù)據(jù)，向外部發(fā)送數(shù)據(jù)需要我們自己服務(wù)器集成相應(yīng)的接口（前提我們需要提前部署自己的服務(wù)器）。

圖2 系統(tǒng)流程圖

具體流程（見圖2）：

1）終端設(shè)備根據(jù)已經(jīng)識別的警告聲，向服務(wù)器發(fā)送響應(yīng)的指令信息；

2）服務(wù)器根據(jù)收到的指令，向外界發(fā)送預(yù)警信息，這個有幾個途徑：

①發(fā)送郵件不能實時查看，可能耽誤最佳處理時間，不建議）；

②向?qū)?yīng)手機APP發(fā)送通知指令（需要開發(fā)APP 并設(shè)置接收通知，研發(fā)成本高，不建議使用）；

③向?qū)?yīng)工作人員發(fā)送手機短信（需要提前接入運營商短信接口，運營商會相應(yīng)的的收取一些費用，比較及時，建議使用）；

④直接撥打?qū)?yīng)工作人員的手機號，進(jìn)行語音播放（需要接入運營商接口，比較及時，建議使用）。

3）外部工作人員就可以根據(jù)收到警報信息，做出及時響應(yīng)處理；4）外網(wǎng)服務(wù)器收到響應(yīng)后關(guān)閉警告。

開發(fā)新系統(tǒng)需要相應(yīng)的人員安排和設(shè)備支持。

2.3 新安全系統(tǒng)人員安排與設(shè)備部署

（1）我們需要內(nèi)網(wǎng)運維人員安裝發(fā)送聲音源的設(shè)備并關(guān)聯(lián)到內(nèi)網(wǎng)服務(wù)器系統(tǒng)；

（2）需要具有麥克風(fēng)和音箱開發(fā)的硬件工程師，已經(jīng)能夠集成第三方聲音識別的研發(fā)人員；

（3）外網(wǎng)我們需要服務(wù)器租用和部署以及相應(yīng)的工程師研發(fā)工作；

（4）需要一個統(tǒng)籌整個系統(tǒng)開發(fā)的項目經(jīng)理進(jìn)行全局協(xié)調(diào)。設(shè)備需求：

（1）一臺音箱，連接到內(nèi)網(wǎng)服務(wù)器；

（2）一支麥克風(fēng)，連接到外網(wǎng)服務(wù)器；

（3）服務(wù)器設(shè)備，外網(wǎng)需要的，也可以租用第三方平臺的服務(wù)器。

2.4 新安全系統(tǒng)風(fēng)險性分析

任何系統(tǒng)都有存在風(fēng)險，所以在實施新的系統(tǒng)前都需要提前識別出相應(yīng)的風(fēng)險并進(jìn)行風(fēng)險分析（定性分析、定量分析），以及找出應(yīng)對風(fēng)險的方法。

根據(jù)整個系統(tǒng)框架總結(jié)出幾個比較常見的風(fēng)險：

（1）設(shè)備問題：設(shè)備本身質(zhì)量問題 解決方法選擇高質(zhì)量的音箱、麥克風(fēng)、服務(wù)器等產(chǎn)品；

（2）麥克風(fēng)設(shè)備不能有效識別音箱發(fā)出的聲音，解決方法：進(jìn)行多次測試，不同距離和環(huán)境的測試，確保萬無一失；

（3）斷電問題，解決方法進(jìn)行雙電源連接供電，一條電路斷開，另一條可以直接連通；

（4）外勤人員未能及時查看到服務(wù)器發(fā)送的警報信息，解決方法：間隔多次發(fā)送知道外勤人員響應(yīng)；

（5）外網(wǎng)服務(wù)器故障，解決方法：進(jìn)行服務(wù)器備份，主服務(wù)器出現(xiàn)故障，備用服務(wù)器速度投入使用；

（6）為避免設(shè)備使用時間太長，各方面性能出現(xiàn)問題，建議及時更換新的替代設(shè)備。

2.5 新安全系統(tǒng)實施與部署

新系統(tǒng)按照規(guī)劃進(jìn)行工作安排，各方面問題都由項目經(jīng)理統(tǒng)籌處理，合理安排項目工作時間，嚴(yán)格控制時間和成本；項目完成后要經(jīng)過多輪測試，反復(fù)驗證，要確保不出現(xiàn)任何問題，如有需要，項目組可以申請正規(guī)的測試人員進(jìn)行測試，主要測試任務(wù)包括：

（1）內(nèi)網(wǎng)警報時，音箱是否能及時準(zhǔn)確播放對應(yīng)音效；

（2）音箱和麥克風(fēng)的性能；

（3）第三方SDK對聲音識別率以及準(zhǔn)確程度；

（4）外網(wǎng)服務(wù)器是否穩(wěn)定，另外外部網(wǎng)絡(luò)是否暢通；

（5）外勤工作人員是否能正常接收到警報信息。

3.總結(jié)

在當(dāng)前網(wǎng)絡(luò)環(huán)境復(fù)雜的大環(huán)境下，在新系統(tǒng)完成后可以完全隔離了內(nèi)外網(wǎng)絡(luò)，保證了重要涉密信息不會泄露，確保了重要信息在第一時間可以反饋到工作人員手里，便于及時發(fā)現(xiàn)解決處理問題，保障了財產(chǎn)利益不受損失，實現(xiàn)網(wǎng)絡(luò)安全保障，較之前更加安全可靠。