一种用于数字隔离沙箱的安全检查系统的制作方法

本发明实施例涉及信息安全领域，尤其涉及一种用于数字隔离沙箱的安全检查系统。

背景技术：

随着数字隔离沙箱的快速发展，计算机网络已延伸到工作、生活的各个领域。人们在享受它带来的多种便利的同时，也不断感受到由计算机网络所带来数字隔离沙箱安全问题。近年来数字隔离沙箱泄露事件频繁发生，尤其是重要的商业秘密和国家政治、经济、军事、文化、外交等方面的重要多用户竞争模式下的数字隔离沙箱，这些数字隔离沙箱一旦泄露，会给企业利益乃至国家安全造成严重损害。因此，如何确保多用户竞争模式下的数字隔离沙箱的安全是当前数字隔离沙箱化发展面临的主要问题。

现有技术中，针对多用户竞争模式下的数字隔离沙箱系统并没有进行安全检查的方案，因此，无法进行合规检查，即使进行检查，也需要从外界获取待检查数字隔离沙箱，需要建立一个数字隔离沙箱传输通道，而多用户竞争模式下的数字隔离沙箱安全检查系统内存储了大量的涉密数字隔离沙箱，数字隔离沙箱传输通道可能会成为涉密数字隔离沙箱的重要泄露途径。

技术实现要素：

本发明实施例提供一种用于数字隔离沙箱的安全检查系统，以实现对多用户竞争模式下的数字隔离沙箱系统的安全检查，同时避免安全检查系统中的涉密数字隔离沙箱泄露出去。

本发明实施例提供了一种用于数字隔离沙箱的安全检查系统，包括：数据获取模块、单向传输模块以及安全检查模块，其中：

所述数据获取模块与数字隔离沙箱系统相连，用于从所述数字隔离沙箱系统获取待检查数字隔离沙箱；

所述单向传输模块与所述数据获取模块相连，用于将所述待检查数字隔离沙箱单向传输至所述安全检查模块；

所述安全检查模块与所述单向传输模块相连，用于识别所述待检查数字隔离沙箱，并对所述待检查数字隔离沙箱进行安全检查，得到检查结果。

进一步的，还包括：结果输出模块，其中，所述结果输出模块与所述安全检查模块连接，用于输出显示所述检查结果。

进一步的，所述单向传输模块包括：与所述数据获取模块连接的数据发送单元，与所述安全检查模块连接的数据接收单元，以及连接所述数据发送单元与所述数据接收单元的第一数据传输通道，其中：

所述数据发送单元，用于将所述数据获取模块获取的所述待检查数字隔离沙箱通过所述第一数据传输通道发送给所述数据接收单元；

所述数据接收单元，用于接收所述待检查数字隔离沙箱并传送给所述安全检查模块。

进一步的，所述数据接收单元、所述安全检查模块和所述结果输出模块设置于隔离区域。

进一步的，所述第一数据传输通道为光纤通道。

进一步的，所述数据发送单元包括协议封装子单元、第一转换子单元以及信号发送子单元，其中：

所述协议封装子单元与所述数据获取模块相连，用于将所述数据获取模块获取的所述待检查数字隔离沙箱按照预设的传输协议进行封装；

所述第一转换子单元与所述协议封装子单元相连，用于将封装后的所述待检查数字隔离沙箱转换为光信号；

所述信号发送子单元分别与所述第一转换子单元以及所述第一数据传输通道相连，用于使用第一可见光单向传输器件，将所述光信号通过所述第一数据传输通道发送给所述数据接收单元。

进一步的，所述数据接收单元包括信号接收子单元和第二转换子单元，其中：

所述信号接收子单元与所述第一数据传输通道相连，用于使用第二可见光单向传输器件接收所述光信号；

所述第二转换子单元分别与所述信号接收子单元以及所述安全检查模块相连，用于对将所述光信号转换为所述待检查数字隔离沙箱。

进一步的，所述第一可见光单向传输器件为发光二极管，所述第二可见光单向传输器件为光电二极管。

进一步的，所述单向传输模块还包括：与所述数据发送单元连接的反馈信号接收单元、与所述数据接收单元连接的反馈信号发送单元，以及连接于所述反馈信号接收单元与所述反馈信号发送单元之间的第二数据传输通道；所述反馈信号发送单元用于在所述数据接收单元接收到所述待检查数字隔离沙箱后，通过所述第二数据传输通道发送反馈信息，所述反馈信号接收单元用于接收所述反馈信息。

进一步的，所述第二数据传输通道为光纤通道。

本发明实施例通过在数据获取模块和安全检查模块之间设置单向传输模块，将基于多用户竞争模式下的数字隔离沙箱系统中的待检查数字隔离沙箱单向传输至安全检查模块，使得数据只能从数字隔离沙箱系统传输至安全检查系统的安全检查模块，利用了单向传输的优点，解决了现有技术中无法对数字隔离沙箱进行安全检查、且存在泄密途径的问题，实现了对多用户竞争模式下的数字隔离沙箱系统的安全检查，同时避免了安全检查系统中的涉密数字隔离沙箱泄露出去。

附图说明

图1是本发明实施例一提供的一种用于数字隔离沙箱的安全检查系统的结构示意图；

图2是本发明实施例二提供的一种用于数字隔离沙箱的安全检查系统的结构示意图；

图3是本发明实施例三提供的一种用于数字隔离沙箱的安全检查系统的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

图1为本发明实施例一提供的一种用于数字隔离沙箱的安全检查系统的结构示意图。本实施例可适用于对多用户竞争模式下的数字隔离沙箱系统中的数字隔离沙箱进行安全检查的情况，本实施例提供的安全检查系统1包括：数据获取模块11、单向传输模块12以及安全检查模块13。

其中，数据获取模块11与数字隔离沙箱系统2相连，用于从数字隔离沙箱系统2获取待检查数字隔离沙箱；单向传输模块12与数据获取模块11相连，用于将待检查数字隔离沙箱单向传输至安全检查模块13；安全检查模块13与单向传输模块12相连，用于识别待检查数字隔离沙箱，并对待检查数字隔离沙箱进行安全检查，得到检查结果。

本实施例中，数据获取模块11与数字隔离沙箱系统2的连接方式可以为：采用服务器存储数据获取技术，实现对多源异构数据的获取；采用smb(servermessageblock，服务器信息块协议)连接文件服务器；采用odbc(opendatabaseconnectivity，开放数据库互连)接口连接数据库服务器。可选的，数据获取模块可以是计算机或者服务器。

示例性的，单向传输模块12可以实现数据的单向传输，具体可用于将数据获取模块11获取的待检查数字隔离沙箱单向传输至安全检查模块13，使得传输至安全检查模块13中的数字隔离沙箱只进不出，从而保证待检查的数字隔离沙箱不会被泄露出去。

另外，安全检查模块13主要可以用于内容识别以及合规检查。其中，内容识别可以是对获取的待检查数字隔离沙箱内容进行识别，采用关键字、正则表达式、指纹识别、机器学习等技术实现对数据内容识别，及时发现多用户竞争模式下的数字隔离沙箱；合规检查可以是是通过系统规则检查多用户竞争模式下的数据的存储、传输、使用是否合规或存在风险，如果发现违规存储的多用户竞争模式下的数据，则对违规存放数据进行处置(例如告警、加密、隔离等)，使其合规以降低风险，其中，系统规则可以是国家法律法规对多用户竞争模式下的数据的要求以及业务需求。可选的，安全检查模块13具体可以是计算机或者服务器。

可选的，安全检查系统1还包括：结果输出模块14，其中，结果输出模块14与安全检查模块13连接，用于输出显示检查结果。

具体的，结果输出模块14主要是用于可视化结果的展现，采用可视化技术，对多用户竞争模式下的数据分布进行多维度多层次的可视化展示，包括柱状图、饼图、玫瑰图、折线图、三维地图等，结果输出模块14可以是集成可视化展现技术的显示设备，如显示屏、荧幕等。

本实施例的技术方案，通过在数据获取模块和安全检查模块之间设置单向传输模块，将基于多用户竞争模式下的数字隔离沙箱系统中的待检查数字隔离沙箱单向传输至安全检查模块，使得数据只能从数字隔离沙箱系统传输至安全检查系统的安全检查模块，利用了单向传输的优点，解决了现有技术中无法对数字隔离沙箱进行安全检查、且存在泄密途径的问题，实现了对多用户竞争模式下的数字隔离沙箱系统的安全检查，同时避免了安全检查系统中的涉密数字隔离沙箱泄露出去。

实施例二

图2为本发明实施例二提供的一种用于数字隔离沙箱的安全检查系统的结构示意图。本实施例在上述实施例的基础上，将单向传输模块12进一步优化为包括：与数据获取模块11连接的数据发送单元121，与安全检查模块13连接的数据接收单元122，以及连接数据发送单元121与数据接收单元122的第一数据传输通道123。

其中，数据发送单元121，用于将数据获取模块11获取的待检查数字隔离沙箱通过第一数据传输通道123发送给数据接收单元122；数据接收单元122，用于接收待检查数字隔离沙箱并传送给安全检查模块13。

可选的，数据接收单元122、安全检查模块13和结果输出模块14设置于隔离区域。

本实施例中，将数据接收单元122、安全检查模块13和结果输出模块14设置于隔离区域，通过隔离形成涉密区域，由于涉密区域涉及大量的多用户竞争模式下的数据，一旦流向非涉密区域，会使多用户竞争模式下的数据外泄，后果非常严重。因此，通过单向传输模块12实现数据的单向传输，使得涉密区域内的数据只进不出，避免了多用户竞争模式下的数字隔离沙箱安全检查系统内的涉密数字隔离沙箱泄露出去。

可选的，第一数据传输通道123为光纤通道。

使用光纤通道的好处在于，利用光纤的安全保密特性，可降低数据在传输过程中被泄露的风险。

可选的，数据发送单元121包括协议封装子单元1211、第一转换子单元1212以及信号发送子单元1213，其中：协议封装子单元1211与数据获取模块11相连，用于将数据获取模块11获取的待检查数字隔离沙箱按照预设的传输协议进行封装；第一转换子单元1212与协议封装子单元1211相连，用于将封装后的待检查数字隔离沙箱转换为光信号；信号发送子单元1213分别与第一转换子单元1212以及第一数据传输通道123相连，用于使用第一可见光单向传输器件，将光信号通过第一数据传输通道123发送给数据接收单元122。

本实施例中，待检查数字隔离沙箱可以为二进制码。设置协议封装子单元1211，对待检查数字隔离沙箱进行封装的目的在于，给待检查数字隔离沙箱进一步进行加密，以保证传输安全。采用预设的传输协议封装，由于预设的传输协议无回传功能，因此，保障了单向传输的可靠性。

另外，设置第一转换子单元1212，将封装后的待检查数字隔离沙箱转换为光信号的好处在于，利用光信号的安全保密特性，进一步降低数据在传输过程中被泄露的风险。

可选的，数据接收单元122包括信号接收子单元1221和第二转换子单元1222，其中：信号接收子单元1221与第一数据传输通道123相连，用于使用第二可见光单向传输器件接收光信号；第二转换子单元1222分别与信号接收子单元1221以及安全检查模块13相连，用于对将光信号转换为待检查数字隔离沙箱。

可选的，第一可见光单向传输器件为发光二极管，第二可见光单向传输器件为光电二极管。

本实施例的技术方案，通过数据发送单元将数据获取模块获取的待检查数字隔离沙箱通过第一数据传输通道发送给数据接收单元，以通过数据接收单元传送给安全检查模块，其中，在数据发送单元中的协议封装子单元中还进行待检查数字隔离沙箱的封装，并在第一转换子单元中将封装后的待检查数字隔离沙箱转换成光信号后才进行传输，从而进一步降低数据在传输过程中被泄露的风险，保障了单向传输的可靠性。

实施例三

图3为本发明实施例三提供的一种用于数字隔离沙箱的安全检查系统的结构示意图。本实施例在上述各实施例的基础上，将单向传输模块12进一步优化为还包括：与数据发送单元121连接的反馈信号接收单元124、与数据接收单元122连接的反馈信号发送单元125，以及连接于反馈信号接收单元124与反馈信号发送单元125之间的第二数据传输通道126。

其中，反馈信号发送单元125用于在数据接收单元122接收到待检查数字隔离沙箱后，通过第二数据传输通道126发送反馈信息，反馈信号接收单元124用于接收反馈信息。

可选的，第二数据传输通道126为光纤通道。

具体的，反馈信号发送单元125和反馈信号接收单元124可以是普通计算机的并口或者嵌入式设备，并且，反馈信号发送单元125和反馈信号接收单元124是对外隐蔽的，消除了涉密数据反向传输的可能性。

示例性的，当数据接收单元122接收到待检查数字隔离沙箱后，通过反馈信号发送单元125返回单位长度为不大于四比特的反馈信息，反馈信息例如可以是状态数字隔离沙箱。如果数据发送单元121发送完数据后，没有接收到反馈信息，则表示该次数据发送失败，需重新发送，从而有效保证了数据传输的完整性和可靠性。

另外，数据获取模块11、安全检查模块13以及结果输出模块14的功能以及连接方式与上述实施例中相同，在此不再赘述。

本实施例的技术方案，通过在单向传输模块中设置反馈信号接收单元、反馈信号发送单元以及连接于反馈信号接收单元与反馈信号发送单元之间的第二数据传输通道，在数据接收单元接收到待检查数字隔离沙箱后，通过反馈信号发送单元返回反馈信息，并在数据发送单元没有接收到反馈信息时，重新进行数据发送，从而有效保证了数据传输的完整性和可靠性。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。