本实用新型专利技术涉及一种内外网隔离和数据交换装置,能使网络作为一个统一的整体,最大限度地阻止非法指令在内外网系统之间的传递的装置。属计算机信息安全领域。包括网络间隔离和数据交换装置、双硬盘工作站硬盘间隔离装置、单硬盘工作站硬盘内分区间隔离装置、网线隔离装置四个有机组成部分,四者之间通过计算机标准接口和网线相连。双硬盘工作站硬盘间隔离装置,通过一组内外网选择联动开关切换硬盘一根电源线或一根数据线。单硬盘内分区间隔离卡拦截译码硬盘指令。隔离软件向硬盘发出设置最大地址、设置最大地址冻结锁定指令。网络间隔离和数据交换装置,与内外网只通过传输接口物理相连,只交换纯文本类的数据信息。(*该技术在2014年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及一种内外网隔离和数据交换装置,尤其是能使网络作为一个统一的整体,最大限度地阻止非法指令在内外网系统之间的传递的装置。属计算机信息安全领域。
技术介绍
目前,计算机安全领域的技术措施可分为两大类,一类是基于“特征库”的,如防病毒软件;一类是基于“堵漏洞”的,如防火墙、网闸、隔离卡等。两者均未能最大限度地阻止非法指令在内外网系统之间的传递。这是因为,非法指令在内外网系统之间的传递途径有两种,一种是通过内外网主CPU之间的直接通信传递,如各种各层通信协议;一种是通过在内外网交换的应用层数据信息中嵌入可执行代码传递,如嵌入在文件或数据块中可被正常程序加载执行的程序代码。所以,不论是与内外网存在通信连接的网闸等硬件产品,还是难于提取可执行代码“特征库”的软件产品,都难以证明不存在安全隐患。而只用于单机且不具备数据交换功能的工作站隔离产品,只是在软件层次上的逻辑隔离而非物理隔离,或者是在双硬盘间实现物理切换却使切换装置过于复杂,而且由于被切换的硬盘数据线数多速高,容易存在隐患。另外,计算机既已组成为网络,网络作为一个统一的整体,应当在各个主要部位同时采取安全措施,缺一不可,目前各自分立的产品难以满足网络安全的需要。
技术实现思路
为了克服现有的产品不能最大限度地阻止非法指令在内外网系统之间传递的不足,本技术提供一种内外网隔离和数据交换装置,该装置不仅在工作站上实现了内外网物理隔离,而且在网络间切断了非法指令在内外网系统之间的传递途径,使网络作为一个统一的整体,能最大限度地阻止非法指令在内外网系统之间的传递。本技术解决其技术问题所采用的技术方案是内外网隔离和数据交换装置,连接内外网络,包括内外网综合隔离和数据交换装置,包括网络间隔离和数据交换装置、双硬盘工作站硬盘间隔离装置、单硬盘工作站硬盘内分区间隔离装置、网线隔离装置四个有机组成部分,四者之间通过计算机标准接口和网线相连。所说通过计算机标准接口和网线相连,是指未在网络中引入特殊的硬件设备和操作系统,不改变网络结构,这与公知的产品要在网络中引入特殊的硬件设备和操作系统不同,因此本技术也就具有了安全原理容易证明,成本低,容易实现的优越性。内外网隔离和数据交换装置,包括双硬盘工作站硬盘间隔离装置,一个开关分别连接一个硬盘的电源线和另一个硬盘的电源线或者一个开关分别连接一个硬盘的数据线和另一个硬盘的数据线,开关的公共端对应连接工作站硬盘电源的电源线或工作站硬盘接口的数据线。内外网隔离和数据交换装置,包括网线隔离装置,一个开关分别连接内网网线的数据发送线或接收线,开关的公共端对应连接工作站网络接口的数据发送线或接收线。实际上,双硬盘工作站硬盘间隔离装置、网线隔离装置可集成于一组内外网选择联动开关,开关1分别连接硬盘1的一根电源线和硬盘2的一根电源线或者开关1分别连接硬盘1的一根数据线和硬盘2的一根数据线,开关2分别连接内网网线的一根数据发送线和外网网线的一根数据发送线,开关3分别连接内网网线的一根数据接收线和外网网线的一根数据接收线,开关1至开关3的公共端分别对应连接工作站硬盘电源的一根电源线或工作站硬盘接口的一根数据线、工作站网络接口的一根数据发送线、工作站网络接口的一根数据接收线。目前乙太网线只用第1、2、3、6四根线通信,1对发送(TX+和TX-),1对接收(RX+和RX-),所以只需用开关控制一根数据发送线和一根数据接收线,即可控制乙太网线的通信。最近两年来生产的主流计算机,都可同时接两个MAST(主)硬盘当其中一个MAST硬盘加电而另一个MAST硬盘断电时,从加电的一个MAST硬盘启动计算机,这正是通过开关控制两个硬盘的一根电源线实现隔离的基础。同时,由于早期生产的计算机不支持两个MAST(主)硬盘同时在线(数据线)时,从一个MAST硬盘启动计算机,即使另一个MAST硬盘不加电,因此公知的隔离产品,采用了复杂的断开所有硬盘数据线的技术,但是实际上,只要断开硬盘数据线中的一根(如,第23根IOW-)即可,这正是通过开关控制两个硬盘的一根数据线实现隔离的基础。这样,双硬盘工作站硬盘间隔离装置只需3组双掷开关即可实现内外物理隔离,结构大大简化,非常容易实现(例如,只通过1只3刀双掷钮子开关即可实现,当然使用电动开关则容易实现智能化)。内外网隔离和数据交换装置,包括单硬盘工作站硬盘内分区间隔离装置,它包括硬盘内分区间隔离卡或软件隔离装置,隔离卡对计算机系统总线或硬盘接口总线上的指令进行译码。软件隔离装置,包括存有隔离软件的存储介质、被隔离软件控制的硬盘,二者通过计算机标准接口物理相连,通过隔离软件执行指令控制硬盘操作逻辑相连。隔离软件在计算机加电后优先获得CPU控制权,根据硬盘本身要求的指令输入条件首先向硬盘发出控制指令,发出硬盘本身要求的参数和命令。隔离卡根据内外网选择联动开关的状态对计算机系统总线或硬盘接口总线上的指令进行译码,含有硬盘地址译码、地址表示方式译码、硬盘读写命令译码。隔离卡输入连接计算机控制硬盘的接口(例如计算机系统总线、ATA硬盘接口总线),输出通过一个三态开关串接在ATA硬盘接口和硬盘之间,内外网选择联动开关中连接网线的与双硬盘工作站硬盘间隔离装置一样。当计算机通过一组寄存器向硬盘发送访问指令时,隔离卡中的寄存器将指令中的硬盘地址、地址表示方式、硬盘读写命令、48位地址标志(3F6控制寄存器的高位D7为1)等分别进行译码,判断出计算机将要对硬盘的哪个区域进行何种操作,放过当前允许的指令,阻止不允许的指令。实际工作中,将内外网系统分别安装在硬盘的不同分区中,计算机启动时做出内外网启动选择,隔离卡据此判断指令的合法性,实现内外网物理隔离的目的。软件隔离装置,包括内外网选择联动开关、存有隔离软件的存储介质、含有至少两个分区的硬盘,三者分别通过计算机标准IO端口接口、标准存储介质接口、标准硬盘接口物理相连,三者分别通过隔离软件执行开关量读入指令、启动引导计算机指令、控制硬盘操作隔离指令逻辑相连。内外网选择联动开关中连接网线的与双硬盘工作站硬盘间隔离装置一样,其中有1只开关分别连接+5V和接地,其公共端连接LPT(并行口)的1个输入位(如,第10脚D3)。隔离软件的存储介质,可以是能启动计算机的各种标准存储介质(如;软盘、硬盘、网卡启动芯片、包括系统BIOS芯片),只要在系统BIOS启动计算机之后或同时优先接管计算机控制权即可。隔离软件在计算机加电后优先获得CPU控制权,读入内外网选择联动开关状态开关量(如,并口3F9的D3状态),根据硬盘本身要求的指令输入条件(如,设置最大地址指令及最大地址冻结锁定指令要求开机后第一次的输入有效)首先向硬盘发出控制指令(如,设置最大地址指令、最大地址冻结锁定指令),发出硬盘本身要求的参数和命令(如,设置最大地址指令要求提供硬盘LBA各位地址,并要求紧接在读最大地址指令之后)。隔离软件获得CPU控制权后,首先从并口3F9的D3(并口第10脚)读入开关状态。根据内外网选择开关处在启动内网状态或处在启动外网状态,判断哪个主分区(分别存有内网系统、外网系统)启动。向硬盘发出SET MAX ADDRESS(设置最大地址)指令,硬盘执行该指令后,对超过设置的最大地址的区域的读写操作指令将不在执行本文档来自技高网...
【技术保护点】
硬盘内分区间软件隔离装置,其特征是:包括内外网选择联动开关、存有隔离软件的存储介质、被隔离软件控制的含有至少两个分区的硬盘,三者分别通过计算机标准IO端口接口、标准存储介质接口、标准硬盘接口物理相连,三者分别通过隔离软件开关量读入指令、启动引导计算机指令、控制硬盘操作隔离指令逻辑相连。
【技术特征摘要】
【专利技术属性】
技术研发人员:肖勇,
申请(专利权)人:肖勇,
类型:实用新型
国别省市:11[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。