专利名称:网固安全隔离与数据交换系统的制作方法
技术领域:
本实用新型涉及一种局域网信息安全领域,特别是一种针对不同安全级 别的网络间的数据隔离和安全交换系统。
背景技术:
随着信息技术在军队、军工企业、政府、企业等领域越来越广泛、深 入的应用,飞跃发展的电子信息技术在给各行业带来高效率的业务管理革 命和高额经营业绩回报的同时,借助于计算机信息系统的各种违规犯罪也 逐年上升,防范科技风险和计算机犯罪面临着严峻挑战。内部威胁是指系 统的合法用户或系统的管理人员,由于误操作或故意违规、利用系统缺陷、 非法攻击等行为,致使系统故障、业务差错、数据篡改和泄露、资产受损。 传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要, 但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其
局限性。为保护重要内部系统的安全,2000年1月,国家保密局发布实 施《计算机信息系统国际互联网保密管理规定》,明确要求"涉及国家秘
密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网
络相连,必须实行物理隔离。"中共中央办公厅2002年第17号文件《国 家信息化领导小组关于我国电子政务建设指导意见》也明确强调"政务内 网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。"
越来越多的政府和企业为了加强自身对外的服务质量和内部的工作效率,另外电子政务和企业信息化进程的加快都促使他们建立对外的
Internet连接等。但是在带来便利的同时也造成黑客攻击、非授权用户的 访问而造成的敏感数据的丢失。在旧的做法是将这些电子政务等信息放在 一台单独的服务器上连接到一个单独的网络,而这个网络是不与外部的网 络直接进行连接。
在办公自动化的过程中,文件的交换是一个非常普通但又很重要的过 程,而由于出现的一些情况使得在交换文件的过程又倒退回人工干预,即 定期把要更新的数据通过第三方存储介质复制到目标网络中。但是随着企 业信息化规模的扩大不同的网络之间的数据交换己经达到了 一个海量的数 据,通过人工干预己经不能满足工作的要求,而人工的干预又容易造成误 差,以及在交换数据的过程中的效率低下和滞后,由此造成工作的停顿甚 至于损失。所以这种方式已经越来越不能满足用户的要求。
实用新型内容
针对现有技术中存在的不足之处,本实用新型提供一种网固安全隔离 与数据交换系统,其可保证可信网和非可信网之间没有数据包的交换,没 有网络连接的建立。
为实现上述目的,本实用新型技术方案为
网固安全隔离与数据交换系统,其由一内/外网双机热备口及一内/外 网备用端口连接处理器,处理器还连接有一 COM 口、 一内/外管理口、 一硬 件隔离卡和一数据存储器。所述的数据存储器连接硬件隔离卡,且其两者 间设置有IDE口。所述的硬件隔离卡还连接有一内/外网络口;所述的处理器与电源之间设置ATX接口;处理器与内存之间设置有内存插槽;处理器 与硬件隔离卡之间设置有PCI插槽。所述的处理器负责响应和处理所有请求 指令;COM 口对内/外网主板进行配置;内/外网络口连接内、外部网络。 内/外网管理口对内、外网进行管理与配置;内/外网双机热备口为产品双 机热备功能口;内/外网备用端口作为内、外网备用端口; PCI插槽为外网 硬件隔离卡插槽;IDE 口用于连接数据存储器;ATX接口用于连接电源;内 存插槽为内存缓冲区。
上述技术方案的有益之处在于
本实用新型通过专有的硬件隔离交换卡实现内外网主机模块的缓冲区 内存映射功能,将指定区域的数据复制到对应的区域,完成数据的交换。 硬件隔离交换卡内嵌安全芯片,完全可以满足高速数据交换的需要。
产品在硬件上固化控制逻辑,与内外网数据交换中间只存在内存缓冲 区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用 互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔 离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时 刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。
图1为本实用新型工作原理图。
具体实施方式
现结合附图和实施例说明本实用新型。
如图l所示的网固安全隔离与数据交换系统,其由一内/外网双机热备口 5及一内/外网备用端口 6连接处理器1,处理器1还连接有一 COM 口 2、 一内/外管理口4、 一硬件隔离卡和一数据存储器;所述的数据存储器连接 硬件隔离卡,且其两者间设置有IDE 口 8;所述的硬件隔离卡还连接有一 内/外网络口 3;所述的处理器1与电源之间设置ATX接口 9;处理器1与
内存之间设置有内存插槽10;处理器1与硬件隔离卡之间设置有PCI插槽7。
所述的内/外网主板采用工控主板,有着良好的稳定性和可靠性,主板 由运算器、控制器、存储器、输入设备、输出设备和嵌入工芯片组成。处 理器1为主板最核心部分,主要由运算器和控制器组成,负责响应和处理 所有请求指令。主板上其他设备均围绕着处理器进行工作。
COM 口 2,主要对内/外网主板进行配置,主板在初始化时己经进行了 默认配置,在某些情况下需要对主板的BIOS进行设置以符合用户要求。
内/外网络口 3,从产品的硬件体系图可以看出产品分别由内/外网主 板和主板上的内/外网硬件隔离卡组成。内/外网络口 3是连接同网络,同 时在负责在数据交换的时候进行连接。
内/外网管理口 4,主要负责配置和管理内/外网主板上IDE接口 8所连 接的内/外网硬盘上的系统。包括数据隔离和安全交换的配置和系统运行环 境等。
内/外网双机热备端口5,作为产品双机热备功能接口。所谓热备功能 指的是对于任何导致系统宕机或服务中断的故障,都会触发软件流程来 进行错误判定、故障隔离、以及通地联机恢复来继续执行被中断的服务。在这个过程中,用户只需要经受一定程度可接受的时延,而能够 在最短的时间内恢复服务。
内/外网备用端口 6,作为产品备用端口。
PCI插槽7,连接其他硬件设备,本产品中用于连接硬件隔离交换卡。 主要执行数据隔离和安全交换的功能。
IDE接口 8,其连接数据存储器,用于保存产品的操作系统以及通过PCI 插槽7连接的硬件隔离卡上经过格式化的数据。经过处理器1验证后的合 法请求将数据存入数据存储器。同时系统在启动时,内存插槽10也会从 IDE接口 8中读取一些缓存数据保存在内存上供操作系统运行时调用。在 数据交换过程中,只有经过处理器1验证的合法请求才能从IDE接口 8中 获取格式化数据,经过PCI插槽8格式化后发送数据,对方才能得到数据, 完成一次数据交换过程。在这个过程当中交换的数据两端没有任何通道, 不能通过任何手段读取,只有经过硬件隔离卡才能进行安全交换。
ATX接口9,提供主板供电连接。
内存插槽IO,保存系统在启动时的一些数据,同时做为缓冲区在数据 进行交换过程中进行一个中转站的作用。
在实际产品中,数据隔离和安全交换是通过隔离卡来完成,其中内、 外网主板各安装在硬件隔离卡。当外网主板上外处理器1发出数据交换请 求到外IDE 口 8连接的硬件隔离卡。此时内网主板首先由内IDE 口 8连接 的硬件隔离交换卡接收到请求,外网在发出数据交换的请求同时数据已经 在外网主板上的外IDE 口 8连接的硬件隔离卡上进行数据的格式化,根据本端的安全策略进行进一步的应用层安全检査。经检验合格,则进行
逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包。内网主 板硬件隔离卡的PCI插槽7接收到经过格式化的数据后向内处理器1发出 请求,内处理器1接收到请求指令后向内IDE 口 8连接硬盘上运行的操作 系统进行验证,内IDE 口 8向内处理器1发出验证结果。内处理器l根据 验证结果进行下一步处理,当验证通过时将内PCI插槽7接收到的格式化 数据保存到内内存插槽10连接的内存。最终再将内内存插槽10内存缓冲 区中的数据存放到内IDE 口 8连接的硬盘。在此数据交换过程中数据经过 格式化,无法直接读取数据,只有经过隔离卡编码后数据才能识别,同时 数据临时存放入内内存插槽10内存缓冲区。内外网模块间只存在内内存插 槽10内存缓冲区的读写操作,没有任何网络协议和数据包的转发。硬件隔 离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一 端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理, 以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安 全隔离。
权利要求1、网固安全隔离与数据交换系统,特征在于其由一内/外网双机热备口及一内/外网备用端口(6)连接处理器(1),处理器还连接有一COM口(2)、一内/外管理口(4)、一硬件隔离卡和一数据存储器;所述的数据存储器连接硬件隔离卡,且其两者间设置有IDE口(8);所述的硬件隔离卡还连接有一内/外网络口(3);所述的处理器与电源之间设置ATX接口(9);处理器与内存之间设置有内存插槽(10);处理器(1)与硬件隔离卡之间设置有PCI插槽(7);所述的处理器(1)负责响应和处理所有请求指令;COM口(2)对内/外网主板进行配置;内/外网络口(3),连接内、外部网络;内/外网管理口(4),对内、外网进行管理与配置;内/外网双机热备口(5)为产品双机热备功能口;内/外网备用端口(6)作为内、外网备用端口;PCI插槽(7)为外网硬件隔离卡插槽;IDE口(8)用于连接数据存储器;ATX接口(9)用于连接电源;内存插槽(10)为内存缓冲区,保存所有缓冲数据。
专利摘要本实用新型公开一种网固安全隔离与数据交换系统,其由一内/外网双机热备口及一内/外网备用端口连接处理器,处理器还连接有一COM口、一内/外管理口、一硬件隔离卡和一数据存储器;所述的数据存储器连接硬件隔离卡,且其两者间设置有IDE口;所述的硬件隔离卡还连接有一内/外网络口;所述的处理器与电源之间设置ATX接口;处理器与内存之间设置有内存插槽;处理器与硬件隔离卡之间设置有PCI插槽。本实用新型通过专有的硬件隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对应的区域,完成数据的交换。硬件隔离交换卡内嵌安全芯片,完全可以满足高速数据交换的需要。保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。
文档编号H04L29/06GK201403104SQ20092013765
公开日2010年2月10日 申请日期2009年4月16日 优先权日2009年4月16日
发明者陈京鹭 申请人:厦门柏事特信息科技有限公司