一种安全隔离控制计算机系统的制作方法

本实用新型涉及信息安全领域，尤其是一种安全隔离控制计算机系统。

背景技术：

随着计算机的普遍应用及双网办公的迫切需求，以切换器和隔离卡为代表的双网隔离计算机方案得到了一定程度的应用。但是由于架构本身的缺陷，现有安全隔离计算机产品存在严重的安全和泄密隐患，如果继续应用在国家政府机关等对信息保密要求高的重要机构，必然会对我国信息安全造成重大威胁。目前，具有隔离功能的同类产品主要采用网络接口隔离方式、简单物理隔离方式与隔离卡方式。

现有技术中现有网络接口隔离方式的缺陷,现有内外网计算机的网线的插头和插座都采用普通的rj45接口标准，因此，内外网计算机的网线可能会被误插，会直接导致内网主机内的敏感数据通过网线泄露到外网计算机，或者外网计算机的病毒或木马程序通过网线进入内网主机及网络。

两台独立的内外网计算机采用简单物理隔离方式的缺陷现有技术中有采用“简单物理隔离”的方式，即使用两台独立的计算机分别联接内网、外网进行工作。但这种方式既增加了物理空间和成本，又不方便使用。为此，人们又采用了双主机加键盘鼠标显示器切换器的方法，这种方案虽然在一定程度上方便了使用，但是仍然存在显著缺点。内网和外网主机缺乏统一的防护系统，不便对用户的操作进行纪录和回溯。需要两套独立的主机和电源，增加了物理空间，能耗和成本。

为了解决这些问题，采用隔离卡进行内外网隔离的技术应运而生，主要原理是在计算机上使用一套cpu主板等主要部件，配备两套硬盘等存储设备，分别分配给内网和外网使用。利用隔离卡上的电子开关或电源开关，实现内网和外网的切换和隔离，这样虽然实现了利用一套cpu和主板等主要部件来进行内外网的分时工作，但是存在如下显著缺陷：隔离卡本身存在物理失效的可能，导致内外网信息隔离失败。内外网共享外网等外部存储设备，导致内外网信息隔离失败。内外网共享cpu和主板，它们内嵌存储部件，如cpu内的缓存，主板上的显存，主板上的闪存。前两者是易失性存储器，后者是非易失性存储器。对于非断电切换的第三代隔离卡，这三者都构成了内外网间的隐蔽信道。对于断电或重启切换的第三代隔离卡，非易失性存储器也构成了内外网间的隐蔽信道，不满足国家对物理隔离相关标准的要求。

技术实现要素：

本实用新型旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本实用新型的一个目的是提供一种安全隔离计算机系统，能够克服现有技术中存在物理隔离方式占用物理空间大、能耗和成本高、存在安全和泄密隐患技术问题，实现了节省物理空间、能耗和成本，消除安全和泄密隐患的有益效果。

本实用新型所采用的技术方案是：

本实用新型提供一种安全隔离控制计算机系统，包括：安全管控装置：分别与内网装置、外网装置、处理器装置、路由挑战应答管控装置电连接，用于外网网络的管控、外网装置与内网系统的usb通信管控，所述usb通信管控包括usb通信管控单元；

处理器装置：与安全管控装置电连接，用于电连接所述外网装置或所述内网装置以构成外网计算机或者内网计算机；

路由挑战应答管控装置：与安全管控装置电连接，用于与管控装置之间进行挑战应答。

进一步地，内网装置包括cpu、emmc、ddr、内网接口单元、外网装置通信接口管控单元，所述内网装置与所述安全管控装置连接，用于与内部网络通信。

进一步地，外网装置包括cpu、硬盘、内存、外网接口单元，所述外网装置与所述安全管控装置电连接，用于与外部网络通信。

进一步地，其中，外网接口单元与所述usb通信管控单元，包括外网装置通信接口、usb通信接口和切换接口。

进一步地，其中安全管控装置包括：切换装置，所述切换装置包括外网开关器件和内网开关器件，用于接收切换指令。

进一步地，所述内网开关器件包括设置在所述内网和所述处理器装置、管控单元之间的第一内网开关器件和设置在所述内网接口单元和所述处理器装置之间的第二内网开关器件；

所述外网开关器件包括设置在所述内网和所述处理器装置之间的第一外网开关器件和设置在所述外网接口单元和所述处理器装置之间的第二外网开关器件。

进一步地，所述处理器装置包括：处理器模块，与所述处理器模块通信连接的随机存储模块，以及用于复位所述处理器模块以及随机存储模块的复位模块。

本实用新型通过利用在计算机系统中设置管控装置的技术手段，克服现有技术中存在物理隔离方式占用物理空间大、能耗和成本高，存在安全和泄密隐患技术问题，实现了节省物理空间、能耗和成本，消除安全和泄密隐患的有益效果。

附图说明

图1是本实用新型一种安全隔离控制计算机系统实施例1示意图；

图2a-2c是本实用新型实施例一种安全隔离控制计算机系统实施例1管控系统io部分连接电路图；

图3是本实用新型实施例一种安全隔离控制计算机系统实施例1系统原理详细框图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

实施例1：本实用新型一种安全隔离控制计算机系统，如图1所示，安全管控装置：分别与内网装置、外网装置、处理器装置、路由挑战应答管控装置电连接，用于外网网络的管控、外网装置与内网系统的usb通信管控，所述usb通信管控包括usb通信管控单元；内网装置：内网装置包括cpu、emmc、ddr、内网接口单元、外网装置通信接口管控单元，上述内网装置与安全管控装置连接，用于与内部网络通信；外网装置：外网装置包括cpu、硬盘、内存、外网接口单元，上述外网装置与所述安全管控装置电连接，用于与外部网络通信；处理器装置：与安全管控装置电连接，用于电连接外网装置或内网装置以构成外网计算机或者内网计算机；路由挑战应答管控装置：与安全管控装置电连接，用于与管控装置之间进行挑战应答。

其中，外网接口单元与所述usb通信管控单元，包括外网装置通信接口、usb通信接口和切换接口。

其中内网开关器件包括设置在内网装置和所述处理器装置、安全管控装置之间的第一内网开关器件和设置在内网接口单元和所述处理器装置之间的第二内网开关器件，用于电连接内网显示装置和所述处理器装置以及安全管控装置。

其中外网开关器件包括设置在外网装置和处理器装置之间的第二外网开关器件和设置在外网接口单元和所述处理器装置之间的第一外网开关器件，用于电连接外网显示装置和所述处理器装置。

其中，在安全管控装置中还包括切换装置，切换装置，包括外网开关器件和内网开关器件，上述切换装置用于接收切换指令；其中的内网开关器件，内网开关器件包括设置在内网cpu、emmc、ddr和处理器装置、管控单元之间的第一内网开关器件和设置在内网接口单元和处理器装置之间的第二内网开关器件，用于电连接所述外网装置和处理器装置；上述外网开关器件包括设置在所述内网硬盘、内存、cpu和所述处理器装置之间的第二外网开关器件和设置在所述外网接口单元和所述处理器装置之间的第一外网开关器件，用于电连接内网显示装置和所述处理器装置。

具体的，切换装置用于切换外网显示装置和内网显示装置之间的电连接以及外网显示装置和内网显示装置之间的电连接；用于切换外网触摸装置和内网触摸装置之间的电连接以及内网触摸装置和外网触摸装置之间的电连接；用于切换外网键鼠操作装置和内网键鼠装置之间的电连接以及所述内网键鼠装置和外网键鼠装置之间的电连接；

其中的切换装置可以包括设置在内网装置和处理器装置之间的内网继电器组件，以及设置在外网装置和处理器装置之间的外网继电器组件，以及控制上述内网继电器组件和外网继电器组件通断的控制器件。在本实用新型中，也可以采用其他开关器件，例如晶体管、开关管、逻辑开关等开关器件来代替继电器组件。上述外网装置和内网装置可以具有独立的存储单元和操作系统。其中的处理器装置可以包括处理器模块和随机存储模块。例如处理器模块可以采用rk3288，采用cortex-a17的cpu架构，1.8ghz的cpu频率，最新mali-t76x系列gpu的芯片。

处理器装置是采用了适合android以及windows系统开发的cpu，可提供外部连接接口例如usb接口、wifi接口、蓝牙接口，红外接口，以及显示屏接口、摄像机接口、音频接口、hdm接口和触摸屏接口。

实施例2：如图2为管控系统io电路图，其中图2a为安全管控gpio整体电路图，用于安全管控装置对输入输出信号的控制。

图2b为安全管控装置usb输出到内网或外网装置电路io图，此电路是通过安全管控usb通信接口控制内外网的输入输出图，实现了通过安全管控装置控制内外网装置的目的。

图2c为挑战应答wifi模块接口图，因在挑战应答装置和安全管控装置之间需要挑战应答方式建立连接，在安全管控装置中设置挑战应答wifi模块接口，可以连接wifi模块，从而释放wifi热点，以便于挑战应答装置例如手机或者其他移动终端和安全管控装置之间建立通信连接进行相应操作。

实施例3：图3为图1所示系统框图的内部系统详细框图，安全隔离计算机系统包括安全管控系统，内网装置、外网装置、处理器装置、路由挑战应答管控装置，其中安全管控系统中设有接口例如usb、网口、hdmi口、i2c接口等，其中usb口用于连接鼠标、键盘等usb接口设备，网口用于连接安全管控装置、外网装置以及内外网切换；hdmi接口用于连接处理器装置中的显示屏以及内网装置中相对应的hdmi接口；i2c接口用于连接触摸屏。

对于内网能正常工作，k1、k5断开，k2、k3、k4打开，k6、k7拨到内网通道；

对于外围能正常工作，k1、k5导通，k2、k3、k4打开，k6、k7拨到外网通道。

本实用新型中实施例中，该安全隔离控制计算机系统可以采用以下配置：

以上是对本实用新型的较佳实施进行了具体说明，但本实用新型创造并不限于所述实施例，熟悉本领域的技术人员在不违背本实用新型精神的前提下还可做出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。