编者按:气象网络大多采用双布线的方式实现物理隔离，随着管理网络安全的复杂性等因素影响，不适应性逐步突出。为了解决这些矛盾，本文基于安全隔离网闸技术对原有网络的隔离方案进行改造。在实现内外网物理隔离的前提下，满足网间的实时、可控的数据交换和应用服务，从技术措施上保障了网络的安全，适应气象业务的新发展。

     气象系统已建成国家、省、市、县四级综合业务通信网络，形成了以光纤、ATM专线、PSTN等线路连接覆盖了全国的广域网络。省级到地方采用电信的ATM专线，国家到地方则用PSTN卫星线路，同城主要采用光纤连接。广域网上有很多因特网的出口，网络上的应用日益增加，日常的工作也越来越依赖网络。因此，为确保气象网络的安全性，内、外网实现物理隔离，把有害的攻击隔离在可信网络之外，保证气象网络内部信息不外泄的前提下，完成网间数据的安全交换有着重要的意义。

    目前而言，多数气象台站采用两套布线的物理隔离方案，从物理层隔断连接，保障网络安全。在一段时间内起着积极的作用，但随着气象业务需求的不断提高以及管理网络安全的复杂性，这种简单隔离方式的不适应性逐步突出，例如，这种隔离方式本身没有安全防护能力，不能提供网络状态检测等相关技术手段；内外网之间不能进行实时的数据交换和应用服务等等。为了解决这些矛盾，本文引入了安全隔离网闸，以湖州市气象局网络改造为例，寻求适应气象网络发展的物理隔离方案，从技术措施上更加保障现有网络的安全。希望能给兄弟单位起到一定的借鉴作用。

   1、湖州气象网络物理隔离的现状及存在的问题

    和大多数气象部门一样，湖州气象网络也采用双布线方法实施物理隔离。做法是规划气象内、外网络，设计网络中间连接设备和布线，两套网络布线之间完全物理隔离，他们之间没有任何物理通路相互联通，物理上任何时刻只能与一个网络相连，不能越过物理屏障侵入另一个网络。当用户需要访问外网时，通过更换网络线的方式，把网络线换到外网接口处；反之亦然。该方案的优点是易于网络的管理和维护，有较高的网络安全性；缺点是效率较低、操作不方便。

    随着气象业务需求快速发展，其不适应性又突出表现在：

    ①不能满足内外网之间实时的数据交换。例如每天要从互联网上下载各种原始气象资料转到内网上进行加工处理；把预报产品从内网上转到外网向公众发布等，日常处理这些业务时，由于实施两套布线的隔离，只有通过手工更换网线的方式完成内外网络的切换，无法实现资料自动的转换。

    ②采用两套布线方式，对于每台机器就需要两个智能布线接口与其连接，而对于有限的智能布线接口是不能满足计算机不断增长的需求。

    ③更换网络线的隔离方式，只能保证某一时刻与一个网络连接，本身没有安全防护能力，不能真正意义上保证复杂网络的安全性。这些矛盾的产生，促使我们感觉到对气象网络隔离方案的改造有着紧迫性。