本发明属于数据安全隔离交换领域,具体涉及一种国产网络安全隔离与单向导入系统及方法。
背景技术:
随着数据价值不断提升以及存储技术不断发展,数据成为最核心的资产,在实际应用中存在数据交换需求,由于相关数据的重要性,国家相关规定只运行由低密级网络向高密级网络传输,该交换数据往往成为攻击者的首选目标,从而达到窃取、篡改或破坏数据的目的,如果没有安全防范措施,一旦攻击者成功窃取,其负面影响将是无法估计的,因此数据的安全隔离交换安全变得至关重要。
现有的网络安全隔离与单向导入方法,一般采用国外通用/专用处理器实现,无法从根本上避免后门植入、数据窃取风险,从而不能保证网络数据单向导入的正确性。
此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种国产网络安全隔离与单向导入系统及方法,是非常有必要的。
技术实现要素:
本发明的目的在于,针对上述现有网络安全隔离与单向导入方法无法保证网络数据单向导入正确性的缺陷,提供一种国产网络安全隔离与单向导入系统及方法,以解决上述技术问题。
为实现上述目的,本发明给出以下技术方案:
一种国产网络安全隔离与单向导入系统,包括外部处理模块、隔离交换模块以及内部处理模块;
外部处理模块包括外部处理器,外部处理器连接有外部fpga和第一网络接口,外部fpga连接有第一发送光电传感器;
内部处理模块包括内部处理器,内部处理器连接有内部fpga和第二网络接口,内部fpga连接有第二接收光电传感器;
第一网络接口连接有低密级网络设备,第二网络接口连接有高密级网络设备;
隔离交换模块包括外部隔离交换模块和内部隔离交换模块;
外部隔离交换模块包括第一接收光电传感器,第一接收光电传感器连接有第一安全隔离单元,第一安全隔离单元连接有第一交换单元;
内部隔离交换模块包括第二发送光电传感器,第二发送光电传感器连接有第二安全隔离单元,第二安全隔离单元连接有第二交换单元;
第一发送光电传感器与第一接收光电传感器通过单向光纤连接;
第二发送光电传感器与第二接收光电传感器通过单向光纤连接;
第一交换单元与第二交换单元连接。内部处理模块、外部处理模块均与隔离交换模块通过单向光纤连接,采用光通信的方式,从根本上杜绝数据在传输过程中被窃取;隔离交换模块是内部处理模块和外部处理模块之间唯一的连接部件,内部处理模块与外部处理模块之间不存在任何网络设备连接。系统采用过程操作系统、国产固件作为系统平台,集成高速网卡驱动,实现网络数据包的高速收发处理。
进一步地,第一交换单元包括第一存储器和第一开关,第一开关连接有第一开关控制器;
第二交换单元包括第二存储器和第二开关,第二开关连接有第二开关控制器;
第一开关和第二开关均包括固定端、开关一端和开关二端;第一开关的固定端连接第一存储器,第一开关的开关一端连接第一安全隔离单元;
第二开关的固定端连接第二存储器,第二开关的开关一端连接第二安全隔离单元;
第一开关的开关二端与第二开关的开关二端连接。
进一步地,外部处理器包括第一协议分析单元、第一入侵检测单元、第一访问控制单元以及第一合规检查单元;
第一协议分析单元,用于对接收到网络数据包进行协议解析处理,对ip碎片进行重组,对tcp数据流进行重组,为第一入侵检测单元、第一访问控制单元提供完整的网络数据信息;
第一入侵检测单元,用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考id;攻击行为包括蠕虫或病毒、木马、后门、dos或ddos攻击、探测或扫描、间谍软件、网络钓鱼、利用漏洞的攻击、sql注入攻击、缓冲区溢出攻击、协议异常以及ids/ips逃逸攻击;
第一访问控制单元,用于对网络数据进行基于网络报文源ip、目的ip、源端口、目的端口、时间、服务、用户、脚本以及mac地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、ip+mac绑定以及用户认证;
第一合规检查单元,用于根据系统白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元进行处理。
进一步地,第一安全隔离单元,用于根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元;
第一交换单元,用于外部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元通过第一开关连接第一存储器;
数据交换时,第一存储器通过第一开关连接第二开关,切断tcp/ip协议通讯,形成网络数据的单向导入;
第二交换单元,用于内部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器通过第二开关连接第一开关,切断tcp/ip协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器通过第二开关连接第二安全隔离单元;
第二安全隔离单元,用于将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器。
进一步地,内部处理器包括第二协议分析单元、第二入侵检测单元、第二访问控制单元以及第二合规检查单元;
第二合规检查单元,用于根据系统白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元进行处理;
第二访问控制单元,用于对网络数据进行基于网络报文源ip、目的ip、源端口、目的端口、时间、服务、用户、脚本以及mac地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、ip+mac绑定以及用户认证;
第二入侵检测单元,用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考id;
第二协议分析单元,用于对接收到网络数据包进行协议解析处理,对ip碎片进行重组,对tcp数据流进行重组,为高密集网络设备提供完整的网络数据信息。
进一步地,第一安全隔离单元与第二安全隔离单元均采用安全隔离芯片,安全隔离芯片通过多线程并行固化处理将合法数据转化为私有协议格式的数据包;
第一交换单元和第二交换单元均采用交换芯片。
进一步地,外部处理器和内部处理器均采用国产申威处理器。采用国产申威处理器,从根本上杜绝了系统漏洞、后门植入的风险。
进一步地,外部处理模块和内部处理模块均还包括板级管理芯片、管理串口、热备串口、ddr内存、桥片以及电源。
系统接收到网络数据后,依次进行协议分析、入侵检测、访问控制、合规检查以及数据格式化处理,最终将格式化数据交由隔离交换模块的交换单元进行单向导入,真正实现网络数据安全隔离和单向导入。
本发明还给出如下技术方案:
一种基于上述权利要求1-6的国产网络完全隔离与单向导入方法,包括如下步骤:
步骤1.外部处理器对接收到网络数据包进行协议解析处理,对ip碎片进行重组,对tcp数据流进行重组,提供完整的网络数据信息;
步骤2.外部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考id;
步骤3.外部处理器对网络数据进行基于网络报文源ip、目的ip、源端口、目的端口、时间、服务、用户、脚本以及mac地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、ip+mac绑定以及用户认证;
步骤4.外部处理器根据系统白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元进行处理;
步骤5.第一安全隔离单元根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元;
步骤6.外部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元通过第一开关连接第一存储器;
数据交换时,第一存储器通过第一开关连接第二开关,切断tcp/ip协议通讯,形成网络数据的单向导入;
步骤7.内部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器通过第二开关连接第一开关,切断tcp/ip协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器通过第二开关连接第二安全隔离单元;
步骤8.第二安全隔离单元将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器;
步骤9.内部处理器根据系统白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元进行处理;
步骤10.内部处理器对网络数据进行基于网络报文源ip、目的ip、源端口、目的端口、时间、服务、用户、脚本以及mac地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、ip+mac绑定以及用户认证;
步骤11.内部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考id;
步骤12.内部处理器对接收到网络数据包进行协议解析处理,对ip碎片进行重组,对tcp数据流进行重组,为高密集网络设备提供完整的网络数据信息。
本发明的有益效果在于:
本发明采用国产申威处理器根本上杜绝了系统漏洞、后门植入的风险;采用光纤通信,从根本上杜绝数据在传输过程中被窃取,通过内外部处理器进行协议分析、入侵检测、访问控制、合规检查以及数据格式化处理,最终将格式化数据交由隔离交换模块的交换单元进行单向导入,真正实现网络数据安全隔离和单向导入。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
图1为本发明的系统连接示意图;
图2为本发明的外部处理器的结构示意图;
图3为本发明的内部处理器的结构示意图;
图4为本发明的方法流程图;
其中,1-外部处理模块;2-隔离交换模块;3-内部处理模块;4.1-外部处理器;4.2-内部处理器;5.1-外部fpga;5.2-内部fpga;6.1-第一网络接口;6.2-第二网络接口;7.1-第一发送光电传感器;7.2-第二发送光电传感器;8.1-第一接收光电传感器;8.2-第二接收光电传感器;9-外部隔离交换模块;10-内部隔离交换模块;11.1-第一安全隔离单元;11.2-第二安全隔离单元;12-第一交换单元;12.1-第一存储器;12.2-第一开关;12.3-第一开关控制器;13-第二交换单元;13.1-第二存储器;13.2-第二开关;13.3-第二开关控制器;14-低密级网络设备;15-高密级网络设备;16.1-第一协议分析单元;16.2-第二协议分析单元;17.1-第一入侵检测单元;17.2-第二入侵检测单元;18.1-第一访问控制单元;19.1-第一合规检查单元;19.2-第二合规检查单元。
具体实施方式:
为使得本发明的目的、特征、优点能够更加的明显和易懂,下面将结合本发明具体实施例中的附图,对本发明中的技术方案进行清楚、完整地描述。
如图1所示,本发明提供一种国产网络安全隔离与单向导入系统,包括外部处理模块1、隔离交换模块2以及内部处理模块3;
外部处理模块1包括外部处理器4.1,外部处理器4.1连接有外部fpga5.1和第一网络接口6.1,外部fpga5.1连接有第一发送光电传感器7.1;外部处理器采用国产申威处理器;
内部处理模块3包括内部处理器4.2,内部处理器4.2连接有内部fpga5.2和第二网络接口6.2,内部fpga5.2连接有第二接收光电传感器8.2;内部处理器采用国产申威处理器;
外部处理模块和内部处理模块均还包括板级管理芯片、管理串口、热备串口、ddr内存、桥片以及电源;
第一网络接口6.1连接有低密级网络设备14,第二网络接口6.2连接有高密级网络设备15;
隔离交换模块2包括外部隔离交换模块9和内部隔离交换模块10;
外部隔离交换模块9包括第一接收光电传感器8.1,第一接收光电传感器8.1连接有第一安全隔离单元11.1,第一安全隔离单元11.1连接有第一交换单元12;
内部隔离交换模块10包括第二发送光电传感器7.2,第二发送光电传感器7.2连接有第二安全隔离单元11.2,第二安全隔离单元11.2连接有第二交换单元13;
第一发送光电传感器7.1与第一接收光电传感器8.1通过单向光纤连接;
第二发送光电传感器7.2与第二接收光电传感器8.2通过单向光纤连接;
第一交换单元12与第二交换单元13连接;
第一交换单元12包括第一存储器12.1和第一开关12.2,第一开关12.2连接有第一开关控制器12.3;第一交换单元12采用交换芯片;
第二交换单元13包括第二存储器13.1和第二开关13.2,第二开关13.2连接有第二开关控制器13.3;第二交换单元13采用交换芯片;
第一开关12.2和第二开关13.2均包括固定端、开关一端和开关二端;第一开关12.2的固定端连接第一存储器12.1,第一开关12.2的开关一端连接第一安全隔离单元11.1;
第二开关13.2的固定端连接第二存储器13.1,第二开关13.2的开关一端连接第二安全隔离单元11.2;
第一开关12.2的开关二端与第二开关13.2的开关二端连接;
如图2所示,外部处理器4.1包括第一协议分析单元16.1、第一入侵检测单元17.1、第一访问控制单元18.1以及第一合规检查单元19.1;
第一协议分析单元16.1,用于对接收到网络数据包进行协议解析处理,对ip碎片进行重组,对tcp数据流进行重组,为第一入侵检测单元17.1、第一访问控制单元18.1提供完整的网络数据信息;
第一入侵检测单元17.1,用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考id;
第一访问控制单元18.1,用于对网络数据进行基于网络报文源ip、目的ip、源端口、目的端口、时间、服务、用户、脚本以及mac地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、ip+mac绑定以及用户认证;
第一合规检查单元19.1,用于根据系统白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元11.1进行处理;
第一安全隔离单元11.1,用于根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元12;第一安全隔离单元11.1采用安全隔离芯片,通过多线程并行固化处理将合法数据转化为私有协议格式的数据包;
第一交换单元12,用于外部隔离交换模块9的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元11.1通过第一开关12.2连接第一存储器12.1;
数据交换时,第一存储器12.1通过第一开关12.2连接第二开关12.2,切断tcp/ip协议通讯,形成网络数据的单向导入;
第二交换单元13,用于内部隔离交换模块10的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器13.1通过第二开关12.2连接第一开关12.2,切断tcp/ip协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器13.1通过第二开关13.2连接第二安全隔离单元11.2;
第二安全隔离单元11.2,用于将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器4.2;第二安全隔离单元11.2采用安全隔离芯片,通过多线程并行固化处理将合法数据转化为私有协议格式的数据包;
如图3所示,内部处理器4.2包括第二协议分析单元16.2、第二入侵检测单元17.2、第二访问控制单元18.2以及第二合规检查单元19.2;
第二合规检查单元19.2,用于根据系统白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元18.1进行处理;
第二访问控制单元18.2,用于对网络数据进行基于网络报文源ip、目的ip、源端口、目的端口、时间、服务、用户、脚本以及mac地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、ip+mac绑定以及用户认证;
第二入侵检测单元17.2,用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考id;
第二协议分析单元16.2,用于对接收到网络数据包进行协议解析处理,对ip碎片进行重组,对tcp数据流进行重组,为高密集网络设备15提供完整的网络数据信息。
如图4所示,本发明提供的一种国产网络完全隔离与单向导入方法,包括如下步骤:
步骤1.外部处理器对接收到网络数据包进行协议解析处理,对ip碎片进行重组,对tcp数据流进行重组,提供完整的网络数据信息;
步骤2.外部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考id;
步骤3.外部处理器对网络数据进行基于网络报文源ip、目的ip、源端口、目的端口、时间、服务、用户、脚本以及mac地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、ip+mac绑定以及用户认证;
步骤4.外部处理器根据系统白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元进行处理;
步骤5.第一安全隔离单元根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元;
步骤6.外部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元通过第一开关连接第一存储器;
数据交换时,第一存储器通过第一开关连接第二开关,切断tcp/ip协议通讯,形成网络数据的单向导入;
步骤7.内部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器通过第二开关连接第一开关,切断tcp/ip协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器通过第二开关连接第二安全隔离单元;
步骤8.第二安全隔离单元将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器;
步骤9.内部处理器根据系统白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元进行处理;
步骤10.内部处理器对网络数据进行基于网络报文源ip、目的ip、源端口、目的端口、时间、服务、用户、脚本以及mac地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、ip+mac绑定以及用户认证;
步骤11.内部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考id;
步骤12.内部处理器对接收到网络数据包进行协议解析处理,对ip碎片进行重组,对tcp数据流进行重组,为高密集网络设备提供完整的网络数据信息。
本发明的实施例是说明性的,而非限定性的,上述实施例只是帮助理解本发明,因此本发明不限于具体实施方式中所述的实施例,凡是由本领域技术人员根据本发明的技术方案得出的其他的具体实施方式,同样属于本发明保护的范围。