数据防泄漏系统的制作方法

本实用新型涉及信息安全技术领域，具体涉及一种数据防泄漏系统。

背景技术：

随着集团信息化的发展，集团内部单位都设有信息系统，这些信息系统运行在生产和办公的内部网络上，集团所有的重要数据都存储在内部网系统中。随着互联网络的迅猛发展，集团内部业务正不断向外延伸，数据交互日益频繁。然而内部网系统中的一些重要数据不能随意在互联网上传输，需要特殊保护。为保证其内部系统的信息安全性，必须控制好这些数据信息，对其采取严格的控制措施，一种方法是参考国家涉密计算机管理规定将内部网与外部网进行物理隔离，进而保障数据的安全。

内部与外部网络做隔离处理后，一些信息的传递就会受到影响。外部网上数据要进入内网必须手工导入，内部网上的数据要在单位之间传递需要人工派送。随着业务应用的发展，有些数据需要实时传送，纯手工操作无法适用新的应用需求，因此需要把各个地方单位外部网络连接起来，通过网络传递。按照军工保密的要求，必须在内部和外部网之间采取相应的技术手段和管理措施，防范内部网的涉密文件泄漏到外部网络中。然而如何既能按照国家有关规定将内外网络隔离，又能实现内外网络的信息系统数据安全交换，是急需解决的问题。

技术实现要素：

针对现有技术中的缺陷，本实用新型提供的数据防泄漏系统，通过两道物理隔离，提高了数据防泄漏系统的抗攻击能力和可靠性。

本实用新型提供的一种数据防泄漏系统，包括：设备终端、网络交换装置、数据隔离器、保密服务器，所述设备终端通过网线与所述网络交换装置连接，所述网络交换装置包括用于插接网线的网线接口、电子开关、网络交换机、控制器、通讯装置，所述网线接口的数据接收端和数据发送端分别通过所述电子开关与所述网络交换机连接，所述电子开关的控制端口与所述控制器连接，所述控制器通过通讯装置与总控终端连接，所述网络交换机的输出端与所述数据隔离器连接，所述数据隔离器包括第一移位寄存器、第二移位寄存器、第三移位寄存器、第四移位寄存器、光耦，所述第一移位寄存器和所述第三移位寄存器为串型输入、并行输出的移位寄存器，所述第二移位寄存器和所述第四移位寄存器为并行输入串行输出的移位寄存器，所述第一移位寄存器的输入端与所述网络交换机连接，所述第一移位寄存器的输出端分别通过光耦与所述第二移位寄存器的输入端一一对应连接，所述第二移位寄存器的输出端与所述保密服务器连接，所述第三移位寄存器的输入端与所述保密服务器连接，所述第三移位寄存器的输出端分别通过光耦与所述第四移位寄存器的输入端一一对应连接，所述第四移位寄存器的输出端与所述网络交换机连接。

本实用新型提供的数据防泄漏系统，通过在网络交换机前端设置电子开关，实现了对设备终端的权限设置，权限设置方便，并且通过硬件开关而非软件身份验证的方式来设置设备权限，提高了数据防泄漏系统的抗攻击能力和可靠性；通过数据隔离器设置了终端设备与保密服务器间的第二道物理隔离，系统将上传数据的通道与下载数据通道分离开，实现系统中数据的单向无反馈传输，防止入侵者通过网络非法获取涉密资料。

优选地，所述网络交换装置还包括微动开关、检测电路、报警器，所述网线接口上开有窗口，所述微动开关的动作簧片通过所述窗口延伸至所述网线接口内，所述微动开关的开关引脚与所述检测电路连接，所述检测电路与所述控制器连接，所述控制器与所述报警器连接。

优选地，所述控制器为CPU、FPGA、DSP、ARM或ASIC中的任一种。

优选地，所述第一移位寄存器和所述第三移位寄存器选用74LS164芯片。

优选地，所述第二移位寄存器和所述第四移位寄存器选用74LS595芯片。

优选地，所述报警器包括报警灯和蜂鸣器。

优选地，所述网线接口为RJ-45接口。

附图说明

图1为本实用新型实施例所提供的数据防泄漏系统的结构框图；

图2为本实用新型实施例所提供的数据防泄漏系统中的网络交换装置的结构框图；

图3为本实用新型实施例所提供的数据防泄漏系统中数据隔离器的结构框图；

图4为本实用新型实施例所提供的数据防泄漏系统中光耦的连接方式示意图；

图5为本实用新型实施例所提供的数据防泄漏系统中网络交换装置的结构框图。

具体实施方式

下面将结合附图对本实用新型技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本实用新型的技术方案，因此只是作为示例，而不能以此来限制本实用新型的保护范围。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本实用新型所属领域技术人员所理解的通常意义。

如图1所示，本实施例提供的一种数据防泄漏系统，包括：设备终端1、网络交换装置2、数据隔离器3、保密服务器4。设备终端1、网络交换装置2、数据隔离器3、保密服务器4之间通过网线顺序连接。系统中包括多个设备终端1。

如图2所示，网络交换装置2包括用于插接网线的网线接口21、电子开关22、网络交换机23、控制器24、通讯装置25。网线接口21的数据接收端和数据发送端分别通过电子开关22与网络交换机23连接，即一个网线接口21对应有两个电子开关22，分别控制数据接收端、数据发送端与网络交换机23的通断。电子开关22可以是通过三极管、场效应管搭建的电路，电子开关22的控制端口与控制器24连接，通过控制器24给电子开关22的控制端口施加高电平或电平，控制网线接口21与网络交换机23的通断。控制器24通过通讯装置25与总控终端连接，通讯装置25可以是有线通讯装置25或无线通讯装置25，通过总控终端可以设置各个电子开关22的开闭，只有管理人员可以触碰到总控终端。网络交换机23的输出端与数据隔离器3连接，通过网络交换机能为子网络中提供更多的连接端口，以便连接更多的设备终端1。通过上述网络交换装置2，管理人员可以根据终端设备的权限，通过总控终端实现对终端设备连接保密服务器4的设置，假设终端设备A允许上传资料至保密服务器4，而不允许从保密服务器4下载资料，终端设备A的网络接口的数据接收端对应的电子开关22为K，数据发送端对应的电子开关22为J，则通过总控终端和控制器24打开电子开关K，关闭电子开关J，这样终端设备A的数据发送端与保密服务器4实现通路，而数据接收端与保密服务器4断开。

如图3所示，数据隔离器3包括第一移位寄存器31、第二移位寄存器32、第三移位寄存器33、第四移位寄存器34、光耦35。第一移位寄存器31的输入端与网络交换机23连接，第一移位寄存器31的输出端分别通过光耦35与第二移位寄存器32的输入端一一对应连接，第二移位寄存器32的输出端与保密服务器4连接，第三移位寄存器33的输入端与保密服务器4连接，第三移位寄存器33的输出端分别通过光耦35与第四移位寄存器34的输入端一一对应连接，第四移位寄存器34的输出端与网络交换机23连接。

其中，第一移位寄存器31和第三移位寄存器33为串型输入、并行输出的移位寄存器，可以将串行传输的数据转化为并行传输的数据；第二移位寄存器32和第四移位寄存器34为并行输入串行输出的移位寄存器，可以将并行传输的数据转化为串行传输的数据，第一移位寄存器31、第二移位寄存器32、第三移位寄存器33、第四移位寄存器34的并行位数可以根据系统的实际需求进行设定，如采用8位、16位移位寄存器实现，也可以将多片移位寄存器串行使用实现更高位数的移位寄存器，具体实现方法为本领域公知常识，在此不再赘述。

其中，光耦35即光耦合器的简称，它是以光为媒介来传输电信号的器件，通常把发光器(红外线发光二极管LED)与受光器(光敏半导体管)封装在同一管壳内，当输入端加电信号时发光器发出光线，受光器接受光线之后就产生光电流，从输出端流出，从而实现了“电-光-电”转换。数据隔离器3中，第一移位寄存器31的输出有多少位数就对应了多少个光耦35，第三移位寄存器33的输出有多少位数就对应了多少个光耦35，假设第一移位寄存器31、第三移位寄存器33都是八位，则数据隔离器3中一共有16个光耦35。图4给出了光耦35的具体连接方式，P1、P2、P3、P4分别连接第一移位寄存器31的并行输出端，Q1、Q2、Q3、Q4分别第二移位寄存器32的并行输入端，图4只给出了四个光耦35的连接方式，连接其余的光耦35均采用相同的连接方式。

以设备终端1上传数据为例，假设该设备终端1具有上传的权限，假设第一移位寄存器31、第二移位寄存器32、第三移位寄存器33、第四移位寄存器34为八位移位寄存器。设备终端1将数据通过网络交换装置2发送给数据隔离器3，数据隔离器3接收到的数据是串行发送的，通过第一移位寄存器31后转为八位并行数据，通过八个光耦35并行传输到第二移位寄存器32，第二移位寄存器32再将八位并行数据转换为串行的数据发送给保密服务器4。从保密服务器4中读取数据的方式与上传数据方式类似，保密服务器4将串行数据发送给数据隔离器3，由第三移位寄存器33将串行数据转为并行数据，通过光耦35将数据传递为第四移位寄存器34，经第四移位寄存器34转为串行数据后发送给网络交换装置2，通过网络接口、网线返回给终端设备。

本实施例提供的数据防泄漏系统，通过在网络交换机23前端设置电子开关22，实现了对设备终端1的权限设置，权限设置方便，并且通过硬件开关而非软件身份验证的方式来设置设备权限，提高了数据防泄漏系统的抗攻击能力和可靠性；通过数据隔离器3设置了终端设备与保密服务器4间的第二道物理隔离，系统将上传数据的通道与下载数据通道分离开，实现系统中数据的单向无反馈传输，防止入侵者通过网络非法获取涉密资料。

其中，网络交换装置2还包括微动开关201、检测电路202、报警器203，网线接口21上开有窗口204，微动开关201的动作簧片205通过窗口204延伸至网线接口21内，微动开关201的开关引脚206与检测电路202连接，检测电路202与控制器24连接，控制器24与报警器203连接。

如图5所示，本实施例在网线接口21上开有窗口204，微动开关201的动作簧片205通过窗口204延伸至网线接口21内，当网线插头插入网线接口21时，就会压到具有弹性的动作簧片205触发微动开关201，微动开关201的开关引脚206出的电平会发生变化，检测电路202检测电平变化并将变化传送给控制器24，这样就可以检测网线是否被拔出，若检测到网线拔出，则控制器24通过报警器203进行报警。一些控制器24的IO管脚具有检测高低电平的功能，此时也可以将微动开关201的开关引脚206直接与控制器24的IO管脚连接。通过上述设置，可以检测到恶意插拔网线，第一时间识别入侵时间。

其中，报警器203包括报警灯和蜂鸣器。

其中，控制器24为CPU、FPGA、DSP、ARM或ASIC中的任一种。

其中，第一移位寄存器31和第三移位寄存器33选用74LS164芯片。

其中，第二移位寄存器32和第四移位寄存器34选用74LS595芯片。

其中，网线接口21为RJ-45接口。

最后应说明的是：以上各实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述各实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本实用新型各实施例技术方案的范围，其均应涵盖在本实用新型的权利要求和说明书的范围当中。