一种自动实现物理隔离内外网间数据单向传输的装置及方法
【技术领域】
[0001]本发明涉及网络信息安全交换技术领域,尤其涉及一种自动实现物理隔离内外网间数据单向传输的装置及方法。
【背景技术】
[0002]国家保密局规定涉及国家秘密的计算机不得直接或间接与公共信息网络连接,因此很多涉密单位都建立了涉密网(内网)、非涉密网(外网)和专网共存的复杂网络系统,相互之间物理隔离。物理隔离虽能满足涉密信息系统中信息的保密需求,却为信息交换带来诸多不便。随着电子政务、电子商务等应用的不断推进和深入,各网络间的数据交换越来越多。在内网工作的用户,需经常到外网查询或接收信息。
[0003]应用的需求是数据传输,涉密信息保密的要求是物理隔离,如何解决两者之间的矛盾成为网络信息安全交换领域研究的主要课题。国内当前解决该问题主要通过隔离网闸和手工拷贝,隔离网闸被国家保密局认定为逻辑隔离产品,而手工拷贝是最安全的,如中间机刻录光盘、涉密计算机及移动存储介质保密管理系统(简称三合一),但均不能实现数据的自动、实时与同步,传输效率低下。因此,迫切需要一个高效、安全、能够在物理隔离网络间自动进行数据交换的产品。
【发明内容】
[0004]为解决上述问题,本发明提供了一种利用三合一实现物理隔离内外网间数据自动单向传输的装置以及利用该装置进行自动传输的方法,该方法根据用户配置或制定相应的策略,通过编程实现外网数据库系统的数据库数据自动同步到内网中,使用户在内网中实时使用外网的数据,同时根据配置和策略还可编程实现应用系统的其它功能。
[0005]本发明采用的具体技术方案为:
一种自动实现物理隔离内外网间数据单向传输的装置,包括连接非涉密网络的非涉密计算机和连接涉密网络的涉密计算机,还包括涉密计算机及移动存储介质保密管理系统、U盘、继电器和继电器换向控制器,继电器的公共端与U盘连接,继电器的常闭端与非涉密计算机的USB接口连接,继电器的常开端与涉密计算机及移动存储介质保密管理系统的通用USB接口连接,涉密计算机及移动存储介质保密管理系统的输出端与涉密计算机的USB接口连接;继电器的驱动线圈与继电器换向控制器连接,继电器换向控制器与非涉密计算机的串口连接;
非涉密计算机内置传输控制模块,用于计算延迟时间和向U盘传输源数据,并通过继电器换向控制器控制继电器驱动线圈电源的通断,在每次向U盘传输完源数据后断开继电器驱动线圈的电源,U盘与非涉密计算机的连接断开,而与涉密计算机的连接接通;达到延迟时间后,继电器驱动线圈的电源接通,断开U盘与涉密计算机的连接,接通U盘与非涉密计算机的连接; 涉密计算机内置读取模块,用于在U盘经涉密计算机及移动存储介质保密管理系统与其连接后从U盘读取源数据并将源数据传输至涉密计算机的指定位置。
[0006]本发明从非涉密计算机端控制继电器的动作,因此,可根据非涉密网络向涉密网络传输数据的需要,控制继电器接通或断开U盘与涉密计算机的连通信号通道,从而实现自动、实时、同步的将非涉密网络的信息传输到涉密网络。利用继电器来实现切换,可保证U盘一次仅能与涉密计算机或非涉密计算机连通,避免任何涉密网络和非涉密网络的连通可能。同时,U盘与涉密计算机之间设有三合一,因此可保证U盘内的信息单向导入涉密计算机的安全性。
[0007]优选的,所述的串口为非涉密计算机的RS232串口或USB串口。RS232端口针对非涉密计算机与继电器换向控制器距离较远的情况,而距离较近时,则可采用USB接口连接。
[0008]优选的,所述的U盘为基于USB接口的移动存储介质,包括普通U盘、基于USB接口的读卡器与闪存卡的组合体。
[0009]进一步,继电器与涉密计算机及移动存储介质保密管理系统、U盘、非涉密计算机的连接均通过USB线缆实现。所述USB线缆为标准USB四芯线缆。
[0010]进一步,所述的继电器换向控制器包括电磁继电器驱动电路和单片机,单片机由外部电源供电。单片机内的控制程序控制继电器驱动线圈电源的断开与接通。所述的继电器为常开电磁继电器,继电器驱动线圈通过与继电器换向控制器连接的非涉密计算机的串口或单片机的电源供电。此继电器默认状态下常闭触点与公共端接通。
[0011]所述的非涉密计算机和涉密计算机分别使用两路不同的供电线路。
[0012]应用上述装置自动实现物理隔离内外网间数据单向传输的方法,包括以下步骤: 步骤1、装置默认状态下,继电器常闭触点与公共端接通,使得U盘与非涉密计算机的信号通道连通,非涉密计算机的传输控制模块先计算延迟时间,然后向U盘传输源数据;步骤2、传输完成后传输控制模块通过继电器换向控制器切断继电器驱动线圈的电源,线圈失电,继电器的常闭触点与公共端断开,其常开触点与公共端接通,使得U盘与涉密计算机的信号通道连通,同时开始计时;
步骤3、涉密计算机的读取模块经涉密计算机及移动存储介质保密管理系统从U盘中读取源数据并传输至涉密计算机的指定位置;
步骤4、到达延迟时间,非涉密计算机的传输控制模块通过继电器换向控制器接通继电器驱动线圈的电源,线圈得电,继电器的常闭触点与公共端接通,其常开触点与公共端断开,重新回到装置默认状态,等待下一轮的数据传输。
[0013]为便于在涉密计算机读取模块读取完数据后恢复至默认的U盘与非涉密计算机连接状态,传输控制模块会设定一个延迟时间,该延迟时间大于涉密计算机从U盘读取源数据所需的时间,确保源数据传输完毕后再切换。延迟时间可以是一个固定时间,但需综合考虑实际应用中各种类型、大小的源数据的读取时长来设定,以能保证涉密计算机从U盘读取完相应源数据。
[0014]当然,最准确的方法是由用户根据待传输源数据的容量大小、文件数量、涉密计算机USB接口类型及传输速率来计算延迟时间,即所述的延迟时间由传输控制模块根据非涉密计算机中待传输的源数据的容量大小来确定,与源数据的容量大小成分段函数。假设源数据大小为X,延迟时间为t,则当X彡IMB时,t=30s,当IMB <x彡1MB时,t=200s等。
[0015]本发明利用非涉密计算机内的传输控制模块与继电器及继电器换向控制器配合,并设定延迟时间,可自动轮流切换涉密计算机或非涉密计算机与U盘的连接,这样既能实现外网数据自动、同步传输到内网,同时又保证内网数据安全无泄漏,能够为军政等保密单位提供高可靠性无泄密的安全数据传输。
【附图说明】
[0016]图1是本发明的系统构成图;
图中,1、涉密计算机,2、涉密计算机及移动存储介质保密管理系统,3、U盘,4、继电器,5、5V电源,6、非涉密计算机,7、电磁继电器驱动电路,8、单片机,9、5V电源,10、继电器换向控制器。
【具体实施方式】
[0017]一种自动实现物理隔离内外网间数据单向传输的装置,如图1所示,包括涉密计算机1、非涉密计算机6、涉密计算机及移动存储介质保密管理系统2、U盘3、继电器4和继电器换向控制器10,非涉密计算机6通过其网卡连接非涉密网络系统,涉密计算机I通过其网卡连接涉密网络系统,继电器4的公共端通过USB线缆与U盘3连接,继电器4的常闭端通过USB线缆与非涉密计算机6的USB接口连接,继电器4的常开端通过USB线缆与涉密计算机及移动存储介质保密管理系统2的通用USB接口连接,涉密计算机及移动存储介质保密管理系统2的输出端通过USB线缆与涉密计算机I的USB接口连接;继电器4的驱动线圈与继电器换向控制器10连接,继电器换向控制器10与非涉密计算机6的RS