内外网安全接入设备的制作方法
【专利摘要】本发明提供一种内外网安全接入设备,输入端接口单元通过二选一开关单元分别与第一、二控制单元相连;处理单元在客户端选择外网模式时,控制二选一开关单元选通第二控制单元,控制第二电源控制开关关闭,进入外网系统,且此时控制所述第一电源控制开关断开,切断与内网系统连接;在客户端选择内网模式时,控制二选一开关单元选通第一控制单元,控制所述第一电源控制开关关闭,进入内网系统,且此时控制第二电源控制开关断开,此时切断与外网系统连接。本发明提供一种内外网安全接入设备,用于实现内网系统和外网系统的隔离和安全防护,可以有效地保护内网系统的信息安全。
【专利说明】内外网安全接入设备
【技术领域】
[0001]本发明涉及一种互联网领域,特别涉及一种内外网安全接入设备。
【背景技术】
[0002]随着因特网(Internet)的迅速发展,各机关和企事业单位利用互联网开展工作已成为不可逆转的趋势。近年来,“企业上网”和“政府上网”工程的开展,特别是“电子政务”系统的建设,各单位及各部门已有大量的计算机通过各种方式连入因特网。但是,由于因特网是一个开放的网络系统,任何一台联网的计算机都可能遭到黑客的袭击,该计算机中存储的信息都有被盗或被篡改的可能。另外因特网也是计算机病毒传播的主要途径。目前,普通的安全防范技术,如软件加密、防火墙等,其核心技术均掌握在外国公司手中,不能达到国家有关的保密规定。因此,国家保密局对国家机要部门使用互联网规定如下:“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行“物理隔离”。所谓“物理隔离”是指企业内部局域网如果在任何时间都不存在与互联网直接的物理连接,则企业的网络安全才得到真正保护。
[0003]现有虽然保证安全的方法很多,如:防火墙多层过滤、通道控制、侵袭报警等等,但是由于这些技术都是基于软件的一种控制方法,存在被操纵控制的可能,不能保证绝对的安全,因此,需要通过“物理隔离”来保证军队、政府、金融、媒体等机要部门的真正安全。
[0004]在政府部门的信息化建设中,‘国家提出了建设“三网一库”的概念。其中“三网”指内网(内部办公网)、外网(同因特网相连接的网络)和专网(用于上下级单位联网等特定用途的计算机网络)。在内、外网之间要求进行行物理隔离,以保证涉密信息的绝对安全。
[0005]面对国家机要部门对网络安全的这种特殊需求,目前一些厂家纷纷推出物理隔离终端电脑和物理隔离卡等产品。
[0006]1.两台物理隔离终端电脑分别接入内外网作为最直接的内外网隔离实现形式,安全性是最强的,但是其需要两台终端电脑,这无疑增加了硬件成本的投入,同时终端电脑的维护及配置费用也成本增加,两台终端电脑占用空间大更是缩紧了用户的办公空间,用户在使用时每次都需要人为的区分内外网终端电脑,使用不方便。
[0007]2.物理隔离卡是在一台电脑上增加一个硬盘,通过控制硬盘及切换网线,在内外网的环境中使一个硬盘仅对应一个网络有效,其网络物理连线上是完全分离的且不存在公用存储信息,从而实现单机在两个网络之间真正的物理隔离。物理隔离卡是物理隔离的低级实现形式,一个物理隔离卡只能管一台个人计算机,需要对每台计算机进行配置,每次切换都需要开关机一次,使用起来极为不便。双硬盘的硬件平台管理很繁琐,也会使得整个网络的架设和维护费用显著升高。此外,用隔离卡设计的网络要有两套完全一样的网络(双倍的连线,双倍的网络设备),每台机器上要双网卡,双硬盘。不仅仅安装维护极不方便,维护费用也高,升级和扩展的费用多成倍增加。
[0008]不管是两台终端电脑实现物理隔离,还是使用物理隔离卡,这类产品方案有如下缺点:
[0009]电脑具有单主板,两个独立硬盘,在两个插槽上提供的连接内外网的两个独立的网络端口,通过Bios中内置的内外网启动后即时切换功能,提供两种不同的工作状态,能够分别连接内部办公网和外部互联网。
[0010]将企业所有需上网的桌面电脑更换或升级为“物理隔离”电脑,电脑成本每台增加20%左右。
[0011]企业内部综合布线要建立内外双网物理架构,交换设备也要提供内外双份,内网数据存储在本地磁盘,数据不安全。
[0012]网络安全得以实现,但实施过程中工程费用、设备费用投入较高,技术服务量较大,系统维护繁琐。
【发明内容】
[0013]本发明提供一种内外网安全接入设备,用于实现内网系统和外网系统的隔离和安全防护,可以有效地保护内网系统的信息安全。
[0014]为解决上述问题,本发明提供一种内外网安全接入设备,所述设备包括:
[0015]输入端接口单元,二选一开关单元,第一电源控制开关,第二电源控制开关,内网接口单元和外网接口单元,第一控制单元,第二控制单元;
[0016]所述输入端接口单元直接或间接与计算机设备相连,通过所述二选一开关单元分别与所述第一控制单元、第二控制单元相连;所述第一控制单元与所述内网接口单元相连,所述第二控制单元与所述外网接口单元相连;所述内网接口单元与所述第一电源控制开关相连,所述外网接口单元与所述第二电源控制开关相连;
[0017]在客户端选择外网模式时,所述二选一开关单元选通第二控制单元,控制所述第二电源控制开关关闭,为所述第二控制单元供电,进入外网系统,且此时控制所述第一电源控制开关断开,切断与内网系统连接;在客户端选择内网模式时,所述二选一开关单元选通第一控制单元,控制所述第一电源控制开关关闭,为所述第一控制单元供电,进入内网系统,且此时控制所述第二电源控制开关断开,此时切断与外网系统连接。
[0018]优选地,所述设备进一步包括I转多路的接口单元;
[0019]所述I转多路的接口单元包括一个与计算机设备连接的上游接口,以及多个下游接口,所述输入端接口单元与一个所述下游接口相连。
[0020]优选地,所述I转多路的接口单元为I转4USB Hub,或I转7USB Hub。
[0021]优选地,所述输入端接口单元为USB接口,通过USB总线直接或间接与计算机设备相连。
[0022]优选地,所述二选一开关单元为电磁继电器机械开关。
[0023]优选地,内网接口单元和外网接口单元为RJ45接口。
[0024]与现有技术相比,本发明实施例所述内外网安全接入设备,在客户端选择外网模式时,所述二选一开关单元选通第二控制单元,控制所述第二电源控制开关关闭,为所述第二控制单元供电,进入外网系统,且此时控制所述第一电源控制开关断开,切断与内网系统连接;在客户端选择内网模式时,所述二选一开关单元选通第一控制单元,控制所述第一电源控制开关关闭,为所述第一控制单元供电,进入内网系统,且此时控制所述第二电源控制开关断开,此时切断与外网系统连接。这样就可以实现内网系统和外网系统的隔离和安全防护,可以有效地保护内网系统的信息安全。
【专利附图】
【附图说明】
[0025]图1是本发明具体所述内外网安全接入设备第一实施例结构框图;
[0026]图2是本发明具体所述内外网安全接入设备第二实施例结构框图;
[0027]图3是本发明具体所述内外网安全接入设备应用示意图。
【具体实施方式】
[0028]本发明提供一种内外网安全接入设备,用于实现内网系统和外网系统的隔离和安全防护,可以有效地保护内网系统的信息安全。
[0029]为了便于本领域技术人员的理解,下面结合图1和图3,具体说明本发明所述内外网安全接入设备的应用环境和具体结构。
[0030]请参考图1和图3所示,该图为本发明具体所述内外网安全接入设备第一实施例结构框图,图3是本发明具体所述内外网安全接入设备应用示意图。
[0031 ] 本发明第一实施例所述内外网安全接入设备包括输入端接口单元11,二选一开关单元12,第一电源控制开关13,第二电源控制开关14,内网接口单元15和外网接口单元16,第一控制单元17,第二控制单元18。
[0032]所述输入端接口单元11直接或间接与计算机设备(图中未示出)相连,通过所述二选一开关单元12分别与所述第一控制单元17、第二控制单元18相连;所述第一控制单元17与所述内网接口单元15相连,所述第二控制单元18与所述外网接口单元16相连;所述内网接口单元15与所述第一电源控制开关13相连,所述外网接口单元16与所述第二电源控制开关14相连。
[0033]所述输入端接口单元11可以为USB等各种接口形式,当所述输入端接口单元11为USB接口时,可以通过USB总线直接或间接与计算机设备相连。
[0034]为了保证内网络的物理隔离,所述二选一开关单元12优选选择电磁继电器机械开关。
[0035]在客户端选择外网模式时,所述二选一开关单元12选通第二控制单元18,控制所述第二电源控制开关14关闭,为所述第二控制单元18供电,进入外网系统,且此时控制所述第一电源控制开关13断开,切断与内网系统连接。
[0036]在客户端选择内网模式时,所述二选一开关单元12选通第一控制单元17,控制所述第一电源控制开关13关闭,为所述第一控制单元17供电,进入内网系统,且此时控制所述第二电源控制开关14断开,此时切断与外网系统连接。
[0037]内外网安全设备可以包括一个一入二出的接口形式的内外网安全设备,“一入”即安全终端输入端口可以为USB接口,“ 二出”即安全终端的输出端口可以为两个RJ45接口(一个内网接口,一个外网接口),内外网安全设备的输入端口可以通过USB线连接于客户端即终端电脑,内外网安全设备的输出端分别接内网和外网网线,这样内外网安全设备就可以不需要外接电源,采用低功耗供电,断电或者从PC端拔掉后数据就丢失,极大的防止了窃取存储。而且安装过程操作简单而易行,只需在内外网安全设备上接插I根数据线及2根网络线。
[0038]内外网安全设备的USB转Eth网卡功耗比较大,需要考虑低功耗设计,所述第一控制单元17、第二控制单元18具体可以采用低功耗USB2.0 To 10 / IOOFast EthernetController芯片,第一电源控制开关13,第二电源控制开关14采用电源开关MIC2406-1BM来控制两路网卡芯片供电,同一时刻只给一路网卡芯片供电,从而实现低功耗。
[0039]内外网安全接入设备可以采用总线供电方式,或者自供电两种方式,也可以采用总线供电和自供电方式。
[0040]内外网安全接入设备在总线供电方式下,为方便用户使用,简化内外网安全接入终端的安装过程,不需要接插外部供电电源。
[0041]参见图2,该图是本发明具体所述内外网安全接入设备第二实施例结构框图。
[0042]本发明第二实施例所述的内外网安全接入设备,可以进一步包括I转多路的接口单元3。
[0043]所述I转多路的接口单元3包括一个与计算机设备连接的上游接口 31,以及多个下游接口,所述内外网安全设备的输入端接口单元11与所述下游接口相连。
[0044]I转多路的接口单元3具体可以为I转多路USB Hub,上游接口 31即上游USB端口(主机与USB Hub的接口)为一个,与终端电脑USB端口相连,基于USB设备即插即用的特点,内外网安全接入终端有效地避免了物理隔离卡安装步骤繁杂的弊端,充分发挥了操作步骤简单易用的特点。I转多路USB Hub下游USB端口(设备与USB Hub的接口)为多个,可以连接各类USB设备。
[0045]I转多路的接口单元3可以根据USB外设功能来选择。I转多路的接口单元3具体可以采用I转4USB Hub,或I转7USB Hub。为了考虑低功耗设计,可以采用SMSC公司的芯片,USB2517具有低功耗特性和OEM配置。OEM配置采用SMBUS总线来设置,SMBUS总线连接于处理单元(CPU),上电后,CPU通过SMBUS总线完成对USB2517配置过程。
[0046]客户端进入内网模式后的操作优选情况下均在云端的计算中心完成,为了保证数据安全,阻止所述计算中心完成的结果下载到客户端。
[0047]当用户选择了内网系统,这样,终端电脑开始引导内网操作系统,具体可以将内网uClinux操作系统代码拷贝到客户端(例如笔记本)内存后,开始启动操作系统。可以通过二选一开关单元12切换USB网络为内网同时将内网网卡芯片供电。
[0048]本发明实施例所述内外网安全接入设备,在客户端选择外网模式时,所述二选一开关单元12选通第二控制单元18,控制所述第二电源控制开关14关闭,为所述第二控制单元18供电,进入外网系统,且此时控制所述第一电源控制开关13断开,切断与内网系统连接;在客户端选择内网模式时,所述二选一开关单元12选通第一控制单元17,控制所述第一电源控制开关13关闭,为所述第一控制单元17供电,进入内网系统,且此时控制所述第二电源控制开关14断开,此时切断与外网系统连接。本发明实施例所述内外网安全接入设备仅有一路网络导通一仅内网系统导通,或仅外网系统导通,这样就可以实现内网系统和外网系统的隔离和安全防护,可以有效地保护内网系统的信息安全。
[0049]本发明实施例所述内外网安全接入设备安装维护简单,使用者自己就可操作维护,节省了设备运营资金,这跟物理隔离卡的繁琐专业化的拆卸组装过程相比,最大化的节省了时间和成本。[0050]本发明实施例所述内外网安全接入设备同两台物理隔离电脑的方案相比,一台终端电脑和一台专利终端设备的组合,在仅投入小成本的内外网安全接入设备的基础上,节省了一台昂贵物理隔离终端电脑的花销,同时内外网安全接入设备小巧便携的特点,方便了办公,节省了办公空间。
[0051]因此,本发明的实施例仅是用来说明本发明而非限制本发明,任何熟悉本领域的技术人员在不脱离本发明的保护范围内所作出的更改,都应涵盖在本发明的权利要求限定的范围之内。
【权利要求】
1.一种内外网安全接入设备,其特征在于,所述设备包括: 输入端接口单元,二选一开关单元,第一电源控制开关,第二电源控制开关,内网接口单元和外网接口单元,第一控制单元,第二控制单元; 所述输入端接口单元直接或间接与计算机设备相连,通过所述二选一开关单元分别与所述第一控制单元、第二控制单元相连;所述第一控制单元与所述内网接口单元相连,所述第二控制单元与所述外网接口单元相连;所述内网接口单元与所述第一电源控制开关相连,所述外网接口单元与所述第二电源控制开关相连; 在客户端选择外网模式时,所述二选一开关单元选通第二控制单元,控制所述第二电源控制开关关闭,为所述第二控制单元供电,进入外网系统,且此时控制所述第一电源控制开关断开,切断与内网系统连接;在客户端选择内网模式时,所述二选一开关单元选通第一控制单元,控制所述第一电源控制开关关闭,为所述第一控制单元供电,进入内网系统,且此时控制所述第二电源控制开关断开,此时切断与外网系统连接。
2.根据权利要求1所述的内外网安全接入设备,其特征在于,所述设备进一步包括I转多路的接口单元; 所述I转多路的接口单元包括一个与计算机设备连接的上游接口,以及多个下游接口,所述输入端接口单元与一个所述下游接口相连。
3.根据权利要求2所述的内外网安全接入设备,其特征在于,所述I转多路的接口单元为 I 转 4USB Hub,或 I 转 7USB Hub。
4.根据权利要求1至3任一所述的内外网安全接入设备,其特征在于,所述输入端接口单元为USB接口,通过USB总线直接或间接与计算机设备相连。
5.根据权利要求1至3任一所述的内外网安全接入设备,其特征在于,所述二选一开关单元为电磁继电器机械开关。
6.根据权利要求1至3任一所述的内外网安全接入设备,其特征在于,内网接口单元和外网接口单元为RJ45接口。
【文档编号】H04L29/06GK103532977SQ201310521944
【公开日】2014年1月22日 申请日期:2013年10月30日 优先权日:2013年10月30日
【发明者】李新友, 董振培, 王玉佺, 王子鹏, 王昂哲, 田凯, 邢晓莎, 刘蓓, 付宏燕, 程浩 申请人:北京艾斯蒙科技有限公司, 国家信息中心