一根网线背后的生死线——内外网隔离到底在防什么

一根网线背后的生死线——内外网隔离到底在防什么

小陈是刚入职不到半年的新人，被分配到了某政府机关的信息中心。小伙子学的是计算机专业，技术底子不错，做事也认真，唯一让老科长头疼的是——他总爱问"为什么"。

"科长，咱们单位这个内外网隔离，到底图什么？"一天下午，小陈在机房整理线路，忍不住又问了。

老科长姓孙，在这个单位管了十几年网络，经历过的事情比小陈看过的教材都多。他放下手里的万用表，想了想说："行，今天不忙，我给你讲几个真事。"

第一个故事：一条网线的代价

"2010年左右，某省会城市的一个政府部门。那时候大家都在搞信息化，他们单位也建了内部办公网。为了省钱图方便，内网和外网之间没有做物理隔离，只是装了一个防火墙。"

"有一天，一个工作人员收到了一封邮件，标题是'关于年终考核的通知'。他点开附件，电脑中了一个木马程序。这个木马通过局域网扫描，找到了内部文件服务器的共享目录，把里面的所有文档都传了出去。"

"等发现的时候，已经是一个月以后的事了——国家安全部门通知他们：你们单位的内部文件出现在了境外情报机构的数据库中。"

小陈倒吸一口凉气："就一封邮件？"

"就一封邮件。"老科长平静地说，"那个单位后来被通报批评，相关责任人被处分了。从那时起，全国党政机关开始全面推进内外网物理隔离。"

第二个故事：看不见的"桥"

"还有一个案子更有意思。某单位的涉密计算机明明没有连接互联网，但保密检查发现，里面的文件还是泄露出去了。查了很久才查出来——是一台共享打印机。"

"那台打印机既连接了涉密内网，又连着一条能上网的传真线路。境外机构通过传真线路入侵了打印机，再利用打印机作为跳板，进入了涉密内网。"

小陈听得目瞪口呆："打印机也能被黑？"

"你觉得不能吗？"老科长反问，"任何能存储、能处理信息的设备，理论上都可能成为攻击目标。这就是为什么我们有那么多规矩——涉密计算机不能用无线设备、不能连手机充电、不能在涉密场所装摄像头。你觉得烦，但每一条规矩背后都是一次血淋淋的教训。"

内外网隔离的逻辑

老科长接着说："你想想，涉密信息在三层保护下：人的意识是第一层，技术手段是第二层，物理隔离是第三层。"

"人是靠不住的——今天记得住规矩，明天可能就忘了；今天意志坚定，明天可能就被诱惑了。技术手段也是靠不住的——防火墙今天没问题，明天可能出现漏洞；杀毒软件今天能挡住，明天可能就被绕过了。"

"只有物理隔离，是最可靠的防线。涉密计算机完全不接触互联网，不接触公共网络，黑客再厉害，他总不能顺着空气爬过来吧？"

"当然，"老科长补充道，"物理隔离也不是绝对的。U盘、移动硬盘这些介质，在内外网之间交叉使用，就会打破隔离。所以有了移动介质管理的规定。"

小陈若有所思地点点头。

为什么这个隔离不能妥协

"科长，那为什么不在技术上做个更完善的隔离，方便数据传输呢？有些单位确实有内外网数据交换的需求啊。"

"这个问题问得好。"老科长站起来，走到白板前画了两个圈，中间隔着一条线。

"你看，这个圈是内网，那个圈是外网。你说的'方便地交换数据'，本质上就是要在这两个圈之间开一个口子。开什么口子呢？网闸？单向导入？技术上看起来安全，但本质上还是一个口子。"

"国家安全机关每年都能查到利用这种口子进行窃密的案件。有的口子是设备本身的后门，有的是管理漏洞被人钻了空子，有的是内部人员利用口子故意泄密。所以现在的政策方向是——能不开的口子，尽量不开。"

小陈终于明白了。他想起自己以前在学校，总觉得政府机构"技术落后"、"观念保守"。现在才明白，那不是落后，那是在用最谨慎的态度守护最重要的东西。

"科长，我懂了。内外网隔离，防的不是普通病毒，防的是有组织的攻击。在国家安全面前，没有小题大做。"

老科长笑了："行，半年没白教你。"

常见问题解答

问：所有政府单位都必须做内外网隔离吗？
答：处理涉密信息的单位必须做到涉密网络与互联网及其他公共信息网络物理隔离。不涉及国家秘密的一般办公网络，根据实际情况采取相应的安全防护措施。

问：涉密计算机可以连接打印机吗？
答：可以，但打印机必须是专用的，不能共享给非涉密网络使用。涉密场所的多功能一体机不得连接普通电话线路。

问：移动办公时代，怎么看待内外网隔离？
答：涉密信息不得在非涉密设备上处理，这是一个基本原则。移动办公应当在专门的安全环境中进行，使用经过认证的涉密终端。

问：内外网隔离会增加多少工作成本？
答：确实会增加设备采购和维护成本，但与信息泄露造成的国家安全损害相比，这些成本是必要的安全投入。

小陈后来跟新来的同事说过一句话："以前觉得内外网隔离是落后的表现，现在知道了，那是用最笨但最有效的办法，守住了一道最要紧的防线。"

是啊，在信息安全这个领域，越是朴素的道理，往往越重要。物理隔离就是一个朴素的道理——把重要的东西放在别人够不着的地方。道理简单，执行到位却需要每一个人的理解和坚持。