一种单向隔离硬件通道的数据单向传输系统,包括两个数据交换卡,用于将内部网络与外部网络物理隔离。每个数据交换卡包括两条独立的单向数据传输路径,用于在进行数据传输时使两台进行数据交换的计算机之间实现物理隔离。该单向隔离硬件通道的数据单向传输系统也可应用于需要物理隔离的内部网络和外部网络之间的数据传输。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
基于单向隔离硬件通道的数据单向传输系统
本专利技术涉及一种控制源数据存储体到目的数据体之间的数据传输流向的数据传输系统。更具体地说,本专利技术涉及在计算机之间或网络之间以及计算机和网络之间使数据在信息隔离的前提下单向传输,隔绝计算机间或网络间的直接连接和控制数据在计算机间或网络间的流向的数据传输系统,也称为安全隔离交换系统。
技术介绍
网络的方便快捷使我们的工作效率得到了极大地提高,但网络的开放性使得网络安全性受到严重威胁。目前网络面临的安全威胁大体可分为两种:一种是对网络数据的威胁;另一种是对网络设备的威胁。这些威胁可能来源于各种因素:可能是源于企业外部的,也可能是内部人员造成的。其中最主要的威胁是来自外部和内部人员的恶意攻击和入侵,这是电子商务、政府上网工程等顺利发展的最大障碍。为保证敏感信息不被剽窃、篡改、复制,各种保护软件、身份认证体系、防火墙等技术被大力开发和应用。但是,所有这些信息安全防护方法,都只是针对上层的应用软件和网络的安全,而无法妥善处理信息安全系统所保护的主体,例如,计算机中存储的数据和文件的自身安全保护问题,特别是无法有效阻止大量的计算机内部犯罪。国家有关部门规定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离。所谓“物理隔离”是指内部网不得直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;只有使内部网和公共网“物理隔离”,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,“物理隔离”也为政府或企业内部网划定了明确的安全边界,使-->得网络的可控性增强,便于内部管理。物理隔离技术就是指内部信息网络不和诸如因特网之类的外部信息网络相连、从物理上断开的技术。这种方法基本杜绝了因为网络互通互连所造成的外部攻击或内部泄密的可能。为此,网络安全厂商相应地推出了各种以物理隔离为实施目标的网络设备和解决方案。物理隔离技术自问世以来,经过不断发展成熟,目前已历经了三个发展阶段,每个阶段都产生了一种具有代表性的产品或解决方案。第一代物理隔离主要采用双机双网的技术,即,采取配置两台电脑、分别联接内外两个网络的做法。这种方式的缺点在于导致投资成本的增加、占用较大办公空间等。另外,双机的使用会带来很多不便,并且网络设置复杂、维护难度也较大,一旦出现问题,会使对效率要求相当高的部门受到很大影响。第二代产品采用双硬盘隔离卡技术,主要是在计算机等信息设备上增加一块硬盘和一个隔离卡的来实现物理隔离。两块硬盘分别对应内网和外网。用户启动外网时关闭内网硬盘,启动内网时关闭外网硬盘。此种隔离方式需要用户在原有基础上再多加一块硬盘,对于一些配置比较高、原有硬盘比较大的机器而言,造成了无谓的浪费,而且频繁地加电和断电容易对原有硬盘造成损坏。以上两代产品对用户的使用来说都不是很方便。用户往往需要通过繁复的切换才能在双网内工作,而且还无法在两个工作区内拷贝文件。在经过了大量的实验认证后,开发出了第三代网络安全隔离产品。第三代产品采用单硬盘隔离卡的原理,将原计算机的单个硬盘从物理层上分割为公共和安全两个分区,安装两套操作系统,从而实现内网和外网的安全隔离。由于隔离技术并非在系统最底层的磁头上做控制,所以此种隔离方式并无法从根本的硬件层上做到信息隔离,即无法从严格意义上满足国家保密局对信息隔离的要求。目前,这三代物理隔离的产品和方案在内部网中都有所应用。但其中都存在一些的缺陷。例如,在易用性、高效性指标上与实际应用需求-->之间存在一定差距。具体而言,在易用性上,目前隔离技术需要用户频繁地操作,其过程耗时并且需要大量人工操作的介入;在效率指标性上,目前隔离技术的效率极低。因此,需要一种既能起到很好的隔离效果,又能降低成本并有效地进行数据交换的系统。
技术实现思路
本专利技术的目的是提供一种能够在硬件链路层实现数据隔离,并且具备准实时的数据传输能力,从而不影响数据交换及用户使用的单向隔离硬件通道的数据单向传输系统。根据本专利技术的第一方面,提供一种单向隔离硬件通道的数据单向传输系统,包括:至少一个数据提供部分,用于提供数据;至少一个数据接收部分,用于接收所述至少一个数据提供部分提供的数据;第一数据交换卡,包括彼此独立的第一单向数据传输路径和第二单向数据传输路径,用于使所述单向数据传输路径之一连接所述至少一个数据提供部分,存储所述至少一个数据提供部分提供的数据;第二数据交换卡,包括彼此独立的第一单向数据传输路径和第二单向数据传输路径,用于使所述单向数据传输路径之一连接所述至少一个数据接收部分,存储从所述至少一个数据提供部分接收的数据;其中所述第一数据交换卡和所述第二数据交换卡分别控制其所包括的所述第一和第二单向数据传输路径之一与所述至少一个数据提供部分和所述至少一个数据接收部分的连接,使得在进行数据传输时所述至少一个数据提供部分与所述至少一个数据接收部分物理隔离。在本专利技术的优选实施例中,数据提供部分可以是计算机,数据接收部分可以是另一台计算机。在本专利技术的另一个优选实施例中,数据提供部分可以是外部网络,数据接收部分可以是计算机。在本专利技术的再一个优选实施例中,数据提供部分可以是外部网络,数据接收部分可以是内部网络。-->利用本专利技术的单向隔离硬件通道的数据单向传输系统可以隔离数据交互中数据进入和数据外出的两个通道。使得在数据进、出通道中都只允许数据在某一方向传输,而不允许数据向相反的方向传输,以便在硬件上实现数据传输方向的可控,从而提高数据交换技术的保密性。附图说明从下面结合作为优选实施例的附图给出的详细说明,可以更充分地理解本专利技术,并使本专利技术的特性,优点变得更加显而易见。应该指出,所给出的优选实施例并不是对本专利技术的限制,而仅是为了解释和理解本专利技术。图1是根据本专利技术一个实施例的单向隔离硬件通道的数据单向传输系统的方框图;图2是表示图1所示的单向隔离硬件通道的数据单向传输系统中从外部设备输入数据的连接状态;和图3是表示表示图1所示的单向隔离硬件通道的数据单向传输系统中内部设备从外部设备接收数据的连接状态。具体实施方式以下参考附图详细讨论本专利技术的优选实施例。在以下的说明中,提出了许多特定的细节以便全面了解本专利技术。应该指出,本领域的技术人员应当理解,本专利技术可以不限于这些具体细节。在其它的例子中,那些众所周知的结构没有详细的示出,以避免造成本专利技术不明确。在一般的数据交换系统中,数据源与数据目的地的物理连接的。通过数据源和数据目的地之间传输线路来传递数据。例如,在用户终端从互连网下载数据,或从用户终端向网络中上载数据,以实现数据的共享。本专利技术采用分离的单向传输技术,即采用物理上分开的上行通道作为第一数据传输路径,和下行通道作为第二数据传输路径在内部网的数据处理设备与外部网的数据处理设备之间进行数据交换。由控制开关根据数据流向在上行通道和下行通道之间进行切换,避免数据处理设备的-->直接连接,从而防止由数据处理设备的直接连接造成的有害访问,并能方便地对内网和外网进行正常访问。本专利技术可以应用于任何数据处理设备之间的连接,例如,诸如计算机之类的用户终端与用户终端之间的连接,用户终端与诸如因特网之类的外部网络之间的连接本文档来自技高网...
【技术保护点】
一种单向隔离硬件通道的数据单向传输系统,包括:至少一个数据提供部分,用于提供数据;至少一个数据接收部分,用于接收所述至少一个数据提供部分提供的数据;第一数据交换卡,包括彼此独立的第一单向数据传输路径和第二单向数据传输 路径,用于使所述单向数据传输路径之一连接所述至少一个数据提供部分,存储所述至少一个数据提供部分提供的数据;第二数据交换卡,包括彼此独立的第一单向数据传输路径和第二单向数据传输路径,用于使所述单向数据传输路径之一连接所述至少一个数据接 收部分,存储从所述至少一个数据提供部分接收的数据;其中所述第一数据交换卡和所述第二数据交换卡分别控制其所具有的所述第一和第二单向数据传输路径之一与所述至少一个数据提供部分和所述至少一个数据接收部分的连接,使得在进行数据传输时所述至少 一个数据提供部分与所述至少一个数据接收部分物理隔离。
【技术特征摘要】
1.一种单向隔离硬件通道的数据单向传输系统,包括:至少一个数据提供部分,用于提供数据;至少一个数据接收部分,用于接收所述至少一个数据提供部分提供的数据;第一数据交换卡,包括彼此独立的第一单向数据传输路径和第二单向数据传输路径,用于使所述单向数据传输路径之一连接所述至少一个数据提供部分,存储所述至少一个数据提供部分提供的数据;第二数据交换卡,包括彼此独立的第一单向数据传输路径和第二单向数据传输路径,用于使所述单向数据传输路径之一连接所述至少一个数据接收部分,存储从所述至少一个数据提供部分接收的数据;其中所述第一数据交换卡和所述第二数据交换卡分别控制其所具有的所述第一和第二单向数据传输路径之一与所述至少一个数据提供部分和所述至少一个数据接收部分的连接,使得在进行数据传输时所述至少一个数据提供部分与所述至少一个数据接收部分物理隔离。2.根据权利要求1所述的单向隔离硬件通道的数据单向传输系统,其中所述第一数据交换卡具有第一开关控制单元,所述第二数据交换卡具有第二开关控制单元,在所述至少一个数据提供部分向所述至少一个数据接收部分传输数据的过程中,所述第一开关控制单元控制所述至少一个数据提供部分与所述第一数据交换卡中的第一单向数据传输路径连接,所述第二开关控制单元控制所述至少一个数据接收部分与所述第二数据交换卡中的第二单向数据传输路径连接。3.根据权利要求1或2所述的单向隔离硬件通道的数...
【专利技术属性】
技术研发人员:甘杰夫,郭伟,
申请(专利权)人:北京国保金泰信息安全技术有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。