技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域的信息交換技術(shù)，特別是一種在不同計(jì)算機(jī)網(wǎng)絡(luò)之間實(shí)現(xiàn)信息交換的方法及系統(tǒng)。

背景技術(shù)

國(guó)家明確規(guī)定，涉密網(wǎng)絡(luò)應(yīng)與互聯(lián)網(wǎng)保持物理隔離，避免來自Internet的網(wǎng)絡(luò)威脅，確保信息安全。然而涉密網(wǎng)絡(luò)之間如行業(yè)內(nèi)部上下級(jí)與不同行業(yè)部門之間是相互不信任的關(guān)系，當(dāng)信息流通時(shí)就面臨帶來的安全與互通問題，所以必須采取相應(yīng)的安全措施來保障涉密內(nèi)網(wǎng)的安全問題，目前常用以下幾種方法：

(1)采用人工拷貝方式實(shí)現(xiàn)隔離下的信息交換。涉密網(wǎng)絡(luò)通常與外界實(shí)現(xiàn)物理隔離，當(dāng)涉密網(wǎng)與外界國(guó)際互聯(lián)網(wǎng)之間需要交換信息時(shí)，通常在中間區(qū)域設(shè)置專用數(shù)據(jù)服務(wù)器或其他可撥插移動(dòng)存儲(chǔ)介質(zhì)，通過可信人員以人工拷貝方式來實(shí)現(xiàn)。通過人工拷貝的方式，的確避免了來自不信任網(wǎng)絡(luò)的黑客攻擊等威脅，然而也帶來新的問題。首先，人工投入管理開銷比較大，必須投入人員參與數(shù)據(jù)拷貝工作；其次，人工拷貝實(shí)時(shí)性較差，無(wú)法發(fā)揮網(wǎng)絡(luò)信息技術(shù)帶來的快速的通信便利等優(yōu)點(diǎn)；最后，由于頻繁使用軟盤或其他存儲(chǔ)介質(zhì)，增加了病毒和木馬程序傳播的途徑和幾率，帶來新的安全問題。

(2)除了保證物理隔離條件下采用人工拷貝實(shí)現(xiàn)信息交換的方式外，另一些部門涉密內(nèi)網(wǎng)之間采用了防火墻來實(shí)現(xiàn)與其他專網(wǎng)之間的邏輯隔離。但防火墻發(fā)展到現(xiàn)在仍存在以下弱點(diǎn)：首先，防火墻無(wú)法抵御數(shù)據(jù)驅(qū)動(dòng)式攻擊，即大量合法的數(shù)據(jù)包導(dǎo)致網(wǎng)絡(luò)阻塞而使正常通信癱瘓；其次，防火墻很難阻止由通用協(xié)議本身漏洞發(fā)起的入侵；再次，防火墻系統(tǒng)本身的缺陷也是影響內(nèi)部網(wǎng)絡(luò)安全的重要問題；另外，只有正確、合理配置防火墻才能起到本身的安全作用，而配置的復(fù)雜性為網(wǎng)管人員帶來煩瑣工作量的同時(shí)，也增加了配置不當(dāng)帶來的隱患。

(3)目前興起的GAP(網(wǎng)閘)技術(shù)是一種通過專用硬件使兩個(gè)或者兩個(gè)以上的網(wǎng)絡(luò)在不連通的情況下，實(shí)現(xiàn)安全數(shù)據(jù)傳輸和資源共享的技術(shù)。GAP技術(shù)的基本原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。由于采用自定義的安全傳輸協(xié)議，系統(tǒng)需在底層自行完成對(duì)文件的分片、傳遞工作，在另一端對(duì)其進(jìn)行重組、檢測(cè)。

于2004年2月4日公開的中國(guó)發(fā)明專利申請(qǐng)CN?1473417A，公開了一種通信網(wǎng)絡(luò)間信息交換的方法和系統(tǒng)，實(shí)現(xiàn)在不同標(biāo)準(zhǔn)和結(jié)構(gòu)的通信網(wǎng)絡(luò)之間進(jìn)行信息交換。該發(fā)明通過至少一個(gè)數(shù)據(jù)發(fā)送單元接收來自源通訊網(wǎng)絡(luò)的信息，并將接收到的信息轉(zhuǎn)換成系統(tǒng)間數(shù)據(jù)格式；然后通過第一轉(zhuǎn)換單元將數(shù)據(jù)發(fā)送單元接收到的信息發(fā)送到預(yù)定的服務(wù)處理單元；再通過第二轉(zhuǎn)換單元將服務(wù)處理單元收到的信息發(fā)送到預(yù)定的數(shù)據(jù)發(fā)送單元，并將信息轉(zhuǎn)換成目標(biāo)通信網(wǎng)絡(luò)格式，發(fā)送到目標(biāo)通訊網(wǎng)絡(luò)。由以上描述可知，該發(fā)明所要解決的主要問題是將不同網(wǎng)絡(luò)之間的數(shù)據(jù)信息進(jìn)行格式轉(zhuǎn)換，然后實(shí)現(xiàn)通信網(wǎng)絡(luò)間的信息交換，但是，卻沒有解決通信網(wǎng)絡(luò)之間信息交換的安全性(即網(wǎng)絡(luò)隔離)問題。因此，該發(fā)明所述信息交換技術(shù)更適合于公共服務(wù)網(wǎng)域，而對(duì)于涉及信息安全的保密網(wǎng)絡(luò)，其安全性尚不足以滿足涉密網(wǎng)的特殊要求。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于網(wǎng)絡(luò)隔離裝置建立的信息交換方法及系統(tǒng)，在保證計(jì)算機(jī)網(wǎng)絡(luò)物理隔離的基礎(chǔ)上，實(shí)現(xiàn)了兩個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)安全地自動(dòng)交換，有效地解決了物理隔離和信息交換之間的矛盾，是一種安全可靠、經(jīng)濟(jì)實(shí)用的信息交換系統(tǒng)。

本發(fā)明所采用的技術(shù)方案：一種計(jì)算機(jī)網(wǎng)間信息交換方法，包括安裝有網(wǎng)絡(luò)隔離裝置和信息交換應(yīng)用程序的信息交換計(jì)算機(jī)，該信息交換計(jì)算機(jī)通過網(wǎng)絡(luò)隔離裝置分別與源網(wǎng)絡(luò)和目標(biāo)網(wǎng)絡(luò)連接，所述信息交換方法包括如下步驟：

(a)配置信息交換計(jì)算機(jī)中信息交換應(yīng)用程序的相關(guān)參數(shù)；

(b)信息交換計(jì)算機(jī)控制網(wǎng)絡(luò)隔離裝置切換到與源網(wǎng)絡(luò)連接；

(c)信息交換計(jì)算機(jī)按照預(yù)設(shè)定方式，從源網(wǎng)絡(luò)的指定地址下載指定文件，并將下載到的文件保存至緩沖區(qū)；

(d)網(wǎng)絡(luò)隔離裝置切斷與源網(wǎng)絡(luò)的連接，切換到與目標(biāo)網(wǎng)絡(luò)連接；

(e)信息交換計(jì)算機(jī)按照預(yù)設(shè)定方式，將從源網(wǎng)絡(luò)下載的指定文件上載至目標(biāo)網(wǎng)絡(luò)的指定地址；

(f)網(wǎng)絡(luò)隔離裝置切斷與目標(biāo)網(wǎng)絡(luò)的連接，切換至空位置。