專利名稱:網(wǎng)固安全隔離與數(shù)據(jù)交換系統(tǒng)的制作方法
技術領域:
本實用新型涉及一種局域網(wǎng)信息安全領域,特別是一種針對不同安全級 別的網(wǎng)絡間的數(shù)據(jù)隔離和安全交換系統(tǒng)��。
背景技術:
隨著信息技術在軍隊���、軍工企業(yè)�����、政府、企業(yè)等領域越來越廣泛����、深 入的應用,飛躍發(fā)展的電子信息技術在給各行業(yè)帶來高效率的業(yè)務管理革 命和高額經(jīng)營業(yè)績回報的同時�����,借助于計算機信息系統(tǒng)的各種違規(guī)犯罪也 逐年上升����,防范科技風險和計算機犯罪面臨著嚴峻挑戰(zhàn)。內(nèi)部威脅是指系 統(tǒng)的合法用戶或系統(tǒng)的管理人員��,由于誤操作或故意違規(guī)�����、利用系統(tǒng)缺陷、 非法攻擊等行為�,致使系統(tǒng)故障、業(yè)務差錯�����、數(shù)據(jù)篡改和泄露�、資產(chǎn)受損。 傳統(tǒng)的安全產(chǎn)品可以以不同的方式滿足我們保護數(shù)據(jù)和網(wǎng)絡安全的需要�, 但不可能完全解決網(wǎng)絡間信息的安全交換問題,因為各種安全技術都有其
局限性�����。為保護重要內(nèi)部系統(tǒng)的安全�����,2000年1月���,國家保密局發(fā)布實 施《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》�,明確要求"涉及國家秘
密的計算機信息系統(tǒng)����,不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)
絡相連��,必須實行物理隔離�����。"中共中央辦公廳2002年第17號文件《國 家信息化領導小組關于我國電子政務建設指導意見》也明確強調(diào)"政務內(nèi) 網(wǎng)和政務外網(wǎng)之間物理隔離�����,政務外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離��。"
越來越多的政府和企業(yè)為了加強自身對外的服務質(zhì)量和內(nèi)部的工作效率,另外電子政務和企業(yè)信息化進程的加快都促使他們建立對外的
Internet連接等�����。但是在帶來便利的同時也造成黑客攻擊�����、非授權(quán)用戶的 訪問而造成的敏感數(shù)據(jù)的丟失����。在舊的做法是將這些電子政務等信息放在 一臺單獨的服務器上連接到一個單獨的網(wǎng)絡�,而這個網(wǎng)絡是不與外部的網(wǎng) 絡直接進行連接��。
在辦公自動化的過程中��,文件的交換是一個非常普通但又很重要的過 程���,而由于出現(xiàn)的一些情況使得在交換文件的過程又倒退回人工干預�,即 定期把要更新的數(shù)據(jù)通過第三方存儲介質(zhì)復制到目標網(wǎng)絡中��。但是隨著企 業(yè)信息化規(guī)模的擴大不同的網(wǎng)絡之間的數(shù)據(jù)交換己經(jīng)達到了 一個海量的數(shù) 據(jù)�����,通過人工干預己經(jīng)不能滿足工作的要求��,而人工的干預又容易造成誤 差�,以及在交換數(shù)據(jù)的過程中的效率低下和滯后,由此造成工作的停頓甚 至于損失����。所以這種方式已經(jīng)越來越不能滿足用戶的要求。
實用新型內(nèi)容
針對現(xiàn)有技術中存在的不足之處�,本實用新型提供一種網(wǎng)固安全隔離 與數(shù)據(jù)交換系統(tǒng),其可保證可信網(wǎng)和非可信網(wǎng)之間沒有數(shù)據(jù)包的交換��,沒 有網(wǎng)絡連接的建立。
為實現(xiàn)上述目的���,本實用新型技術方案為
網(wǎng)固安全隔離與數(shù)據(jù)交換系統(tǒng)����,其由一內(nèi)/外網(wǎng)雙機熱備口及一內(nèi)/外 網(wǎng)備用端口連接處理器���,處理器還連接有一 COM 口�、 一內(nèi)/外管理口�����、 一硬 件隔離卡和一數(shù)據(jù)存儲器���。所述的數(shù)據(jù)存儲器連接硬件隔離卡,且其兩者 間設置有IDE口����。所述的硬件隔離卡還連接有一內(nèi)/外網(wǎng)絡口;所述的處理器與電源之間設置ATX接口��;處理器與內(nèi)存之間設置有內(nèi)存插槽�;處理器 與硬件隔離卡之間設置有PCI插槽���。所述的處理器負責響應和處理所有請求 指令;COM 口對內(nèi)/外網(wǎng)主板進行配置�;內(nèi)/外網(wǎng)絡口連接內(nèi)、外部網(wǎng)絡��。 內(nèi)/外網(wǎng)管理口對內(nèi)���、外網(wǎng)進行管理與配置�����;內(nèi)/外網(wǎng)雙機熱備口為產(chǎn)品雙 機熱備功能口����;內(nèi)/外網(wǎng)備用端口作為內(nèi)��、外網(wǎng)備用端口��; PCI插槽為外網(wǎng) 硬件隔離卡插槽��;IDE 口用于連接數(shù)據(jù)存儲器��;ATX接口用于連接電源;內(nèi) 存插槽為內(nèi)存緩沖區(qū)���。
上述技術方案的有益之處在于
本實用新型通過專有的硬件隔離交換卡實現(xiàn)內(nèi)外網(wǎng)主機模塊的緩沖區(qū) 內(nèi)存映射功能�,將指定區(qū)域的數(shù)據(jù)復制到對應的區(qū)域��,完成數(shù)據(jù)的交換���。 硬件隔離交換卡內(nèi)嵌安全芯片����,完全可以滿足高速數(shù)據(jù)交換的需要�。
產(chǎn)品在硬件上固化控制邏輯,與內(nèi)外網(wǎng)數(shù)據(jù)交換中間只存在內(nèi)存緩沖 區(qū)的讀寫操作�����,沒有任何網(wǎng)絡協(xié)議和數(shù)據(jù)包的轉(zhuǎn)發(fā)����。隔離交換子系統(tǒng)采用 互斥機制�,在讀寫一端主機模塊的數(shù)據(jù)前先中止對另一端的操作,確保隔 離交換系統(tǒng)不會同時對內(nèi)外網(wǎng)主機模塊的數(shù)據(jù)進行處理��,以保證在任意時 刻可信網(wǎng)與非可信網(wǎng)間不存在鏈路層通路���,實現(xiàn)網(wǎng)絡的安全隔離���。
圖1為本實用新型工作原理圖�。
具體實施方式
現(xiàn)結(jié)合附圖和實施例說明本實用新型��。
如圖l所示的網(wǎng)固安全隔離與數(shù)據(jù)交換系統(tǒng)���,其由一內(nèi)/外網(wǎng)雙機熱備口 5及一內(nèi)/外網(wǎng)備用端口 6連接處理器1�,處理器1還連接有一 COM 口 2��、 一內(nèi)/外管理口4��、 一硬件隔離卡和一數(shù)據(jù)存儲器��;所述的數(shù)據(jù)存儲器連接 硬件隔離卡����,且其兩者間設置有IDE 口 8;所述的硬件隔離卡還連接有一 內(nèi)/外網(wǎng)絡口 3;所述的處理器1與電源之間設置ATX接口 9;處理器1與
內(nèi)存之間設置有內(nèi)存插槽10;處理器1與硬件隔離卡之間設置有PCI插槽7。
所述的內(nèi)/外網(wǎng)主板采用工控主板�����,有著良好的穩(wěn)定性和可靠性,主板 由運算器�����、控制器����、存儲器、輸入設備�����、輸出設備和嵌入工芯片組成�。處 理器1為主板最核心部分,主要由運算器和控制器組成���,負責響應和處理 所有請求指令����。主板上其他設備均圍繞著處理器進行工作�����。
COM 口 2��,主要對內(nèi)/外網(wǎng)主板進行配置��,主板在初始化時己經(jīng)進行了 默認配置���,在某些情況下需要對主板的BIOS進行設置以符合用戶要求����。
內(nèi)/外網(wǎng)絡口 3�����,從產(chǎn)品的硬件體系圖可以看出產(chǎn)品分別由內(nèi)/外網(wǎng)主 板和主板上的內(nèi)/外網(wǎng)硬件隔離卡組成����。內(nèi)/外網(wǎng)絡口 3是連接同網(wǎng)絡,同 時在負責在數(shù)據(jù)交換的時候進行連接���。
內(nèi)/外網(wǎng)管理口 4����,主要負責配置和管理內(nèi)/外網(wǎng)主板上IDE接口 8所連 接的內(nèi)/外網(wǎng)硬盤上的系統(tǒng)����。包括數(shù)據(jù)隔離和安全交換的配置和系統(tǒng)運行環(huán) 境等�。
內(nèi)/外網(wǎng)雙機熱備端口5����,作為產(chǎn)品雙機熱備功能接口。所謂熱備功能 指的是對于任何導致系統(tǒng)宕機或服務中斷的故障�,都會觸發(fā)軟件流程來 進行錯誤判定、故障隔離�����、以及通地聯(lián)機恢復來繼續(xù)執(zhí)行被中斷的服務�。在這個過程中,用戶只需要經(jīng)受一定程度可接受的時延���,而能夠 在最短的時間內(nèi)恢復服務�。
內(nèi)/外網(wǎng)備用端口 6���,作為產(chǎn)品備用端口��。
PCI插槽7,連接其他硬件設備�,本產(chǎn)品中用于連接硬件隔離交換卡����。 主要執(zhí)行數(shù)據(jù)隔離和安全交換的功能��。
IDE接口 8��,其連接數(shù)據(jù)存儲器��,用于保存產(chǎn)品的操作系統(tǒng)以及通過PCI 插槽7連接的硬件隔離卡上經(jīng)過格式化的數(shù)據(jù)。經(jīng)過處理器1驗證后的合 法請求將數(shù)據(jù)存入數(shù)據(jù)存儲器����。同時系統(tǒng)在啟動時,內(nèi)存插槽10也會從 IDE接口 8中讀取一些緩存數(shù)據(jù)保存在內(nèi)存上供操作系統(tǒng)運行時調(diào)用���。在 數(shù)據(jù)交換過程中�����,只有經(jīng)過處理器1驗證的合法請求才能從IDE接口 8中 獲取格式化數(shù)據(jù)����,經(jīng)過PCI插槽8格式化后發(fā)送數(shù)據(jù)�,對方才能得到數(shù)據(jù), 完成一次數(shù)據(jù)交換過程�����。在這個過程當中交換的數(shù)據(jù)兩端沒有任何通道, 不能通過任何手段讀取�����,只有經(jīng)過硬件隔離卡才能進行安全交換���。
ATX接口9����,提供主板供電連接����。
內(nèi)存插槽IO,保存系統(tǒng)在啟動時的一些數(shù)據(jù)��,同時做為緩沖區(qū)在數(shù)據(jù) 進行交換過程中進行一個中轉(zhuǎn)站的作用����。
在實際產(chǎn)品中,數(shù)據(jù)隔離和安全交換是通過隔離卡來完成�����,其中內(nèi)��、 外網(wǎng)主板各安裝在硬件隔離卡。當外網(wǎng)主板上外處理器1發(fā)出數(shù)據(jù)交換請 求到外IDE 口 8連接的硬件隔離卡�����。此時內(nèi)網(wǎng)主板首先由內(nèi)IDE 口 8連接 的硬件隔離交換卡接收到請求���,外網(wǎng)在發(fā)出數(shù)據(jù)交換的請求同時數(shù)據(jù)已經(jīng) 在外網(wǎng)主板上的外IDE 口 8連接的硬件隔離卡上進行數(shù)據(jù)的格式化�,根據(jù)本端的安全策略進行進一步的應用層安全檢査���。經(jīng)檢驗合格,則進行
逆向轉(zhuǎn)換��,將格式化數(shù)據(jù)轉(zhuǎn)換成符合RFC標準的TCP/IP數(shù)據(jù)包����。內(nèi)網(wǎng)主 板硬件隔離卡的PCI插槽7接收到經(jīng)過格式化的數(shù)據(jù)后向內(nèi)處理器1發(fā)出 請求,內(nèi)處理器1接收到請求指令后向內(nèi)IDE 口 8連接硬盤上運行的操作 系統(tǒng)進行驗證�����,內(nèi)IDE 口 8向內(nèi)處理器1發(fā)出驗證結(jié)果�。內(nèi)處理器l根據(jù) 驗證結(jié)果進行下一步處理,當驗證通過時將內(nèi)PCI插槽7接收到的格式化 數(shù)據(jù)保存到內(nèi)內(nèi)存插槽10連接的內(nèi)存��。最終再將內(nèi)內(nèi)存插槽10內(nèi)存緩沖 區(qū)中的數(shù)據(jù)存放到內(nèi)IDE 口 8連接的硬盤。在此數(shù)據(jù)交換過程中數(shù)據(jù)經(jīng)過 格式化���,無法直接讀取數(shù)據(jù)����,只有經(jīng)過隔離卡編碼后數(shù)據(jù)才能識別����,同時 數(shù)據(jù)臨時存放入內(nèi)內(nèi)存插槽10內(nèi)存緩沖區(qū)。內(nèi)外網(wǎng)模塊間只存在內(nèi)內(nèi)存插 槽10內(nèi)存緩沖區(qū)的讀寫操作�����,沒有任何網(wǎng)絡協(xié)議和數(shù)據(jù)包的轉(zhuǎn)發(fā)��。硬件隔 離交換子系統(tǒng)采用互斥機制���,在讀寫一端主機模塊的數(shù)據(jù)前先中止對另一 端的操作��,確保隔離交換系統(tǒng)不會同時對內(nèi)外網(wǎng)主機模塊的數(shù)據(jù)進行處理�����, 以保證在任意時刻可信網(wǎng)與非可信網(wǎng)間不存在鏈路層通路�,實現(xiàn)網(wǎng)絡的安 全隔離。
權(quán)利要求1��、網(wǎng)固安全隔離與數(shù)據(jù)交換系統(tǒng)��,特征在于其由一內(nèi)/外網(wǎng)雙機熱備口及一內(nèi)/外網(wǎng)備用端口(6)連接處理器(1)���,處理器還連接有一COM口(2)��、一內(nèi)/外管理口(4)���、一硬件隔離卡和一數(shù)據(jù)存儲器;所述的數(shù)據(jù)存儲器連接硬件隔離卡��,且其兩者間設置有IDE口(8)�;所述的硬件隔離卡還連接有一內(nèi)/外網(wǎng)絡口(3)�����;所述的處理器與電源之間設置ATX接口(9)��;處理器與內(nèi)存之間設置有內(nèi)存插槽(10)���;處理器(1)與硬件隔離卡之間設置有PCI插槽(7)����;所述的處理器(1)負責響應和處理所有請求指令����;COM口(2)對內(nèi)/外網(wǎng)主板進行配置���;內(nèi)/外網(wǎng)絡口(3),連接內(nèi)�����、外部網(wǎng)絡���;內(nèi)/外網(wǎng)管理口(4)�����,對內(nèi)���、外網(wǎng)進行管理與配置;內(nèi)/外網(wǎng)雙機熱備口(5)為產(chǎn)品雙機熱備功能口�����;內(nèi)/外網(wǎng)備用端口(6)作為內(nèi)、外網(wǎng)備用端口�;PCI插槽(7)為外網(wǎng)硬件隔離卡插槽;IDE口(8)用于連接數(shù)據(jù)存儲器��;ATX接口(9)用于連接電源�����;內(nèi)存插槽(10)為內(nèi)存緩沖區(qū)��,保存所有緩沖數(shù)據(jù)��。
專利摘要本實用新型公開一種網(wǎng)固安全隔離與數(shù)據(jù)交換系統(tǒng)��,其由一內(nèi)/外網(wǎng)雙機熱備口及一內(nèi)/外網(wǎng)備用端口連接處理器�����,處理器還連接有一COM口�、一內(nèi)/外管理口��、一硬件隔離卡和一數(shù)據(jù)存儲器���;所述的數(shù)據(jù)存儲器連接硬件隔離卡�,且其兩者間設置有IDE口;所述的硬件隔離卡還連接有一內(nèi)/外網(wǎng)絡口�;所述的處理器與電源之間設置ATX接口;處理器與內(nèi)存之間設置有內(nèi)存插槽��;處理器與硬件隔離卡之間設置有PCI插槽�����。本實用新型通過專有的硬件隔離交換卡實現(xiàn)內(nèi)外網(wǎng)主機模塊的緩沖區(qū)內(nèi)存映射功能�����,將指定區(qū)域的數(shù)據(jù)復制到對應的區(qū)域���,完成數(shù)據(jù)的交換��。硬件隔離交換卡內(nèi)嵌安全芯片�����,完全可以滿足高速數(shù)據(jù)交換的需要���。保證可信網(wǎng)和非可信網(wǎng)之間沒有數(shù)據(jù)包的交換���,沒有網(wǎng)絡連接的建立。
文檔編號H04L29/06GK201403104SQ20092013765
公開日2010年2月10日 申請日期2009年4月16日 優(yōu)先權(quán)日2009年4月16日
發(fā)明者陳京鷺 申請人:廈門柏事特信息科技有限公司