所屬技術領域

本實用新型涉及一種信息安全領域的單向數據傳輸設備，可以用于低安全等級網內的數據向高安全等級網內單向傳輸數據。

背景技術

在信息安全等級保護領域內常常需要從低安全等級的系統/網絡里向高安全等級系統拷貝數據，或者平級跨系統拷貝數據，需要數據具備單向拷貝的特性，即數據沒有任何回饋地拷貝到目標系統，但是數據必須是完整的。

有很多設備或者方式來實現這一工作，例如使用一次性刻錄光盤的只寫一次的特性，或者使用光纖分光的原理進行數據單向數據傳輸。后者在海量長時間連續數據導入的時候經常用到。其系統結構如圖1所示。

圖1中，低安全等級網絡里的服務器1向服務器2利用FTP或者Web?Service服務發送數據，兩個服務器間使用千兆光卡和光纖直連。兩個光路的光纖各自串接一個分光器，使得各多分出一路光來，單向地傳輸到高安全等級網絡里的服務器3，實現數據的安全單向傳輸。

高安全等級網絡里的服務器3安裝2塊光卡運行在混雜模式，運行還原程序實現協議的隔離，將單向光路上的協議數據還原為原來的文件，通過電口將數據發送給系統內的服務器4。

系統中需要至少2臺專用的PC服務器2和PC服務器3，其硬件成本高昂，并且需要對其各自進行維護，2臺服務器會導致空間占用、耗電和噪音的問題，目前尚未見到專用設備。

實用新型的內容

為了實現從系統外單向導入數據而不用考慮系統內數據的泄露，單向數據導入是一種理想的方案。本實用新型提出一種可以長期、連續進行數據單向導入的專用設備，對設備的功能進行針對性的優化，具體的技術方案如下。

本實用新型的單向數據導入設備結構上包括位于低安全等級網絡內的第一微系統(2)、第一單向分光器和第二單向分光器，以及位于高安全等級網絡內的第二微系統(3)，第一微系統(2)與第一單向分光器和第二單向分光器一起屏蔽封裝，第二微系統(3)單獨屏蔽封裝，從而構成兩個屏蔽體，第一微系統(2)上設有用于導入數據的千兆光卡，該千兆光卡的收、發兩個傳輸方向上分別使用第一單向分光器、第二單向分光器分流一束光線給第二微系統(3)，第二微系統(3)里設有兩塊千兆光卡，分別接收第一單向分光器、第二單向分光器分流出的光線。

詳細的技術方案如下：

一種進行數據單向導入的專用設備，仍然利用前面提到的技術方案，但是對里面的設備、操作系統和服務進行定制和優化，將服務服務器2、服務器3、分光器1和分光器2集成在一起，成為一套專用系統，將服務器2、服務器3、分光器1和分光器2在一起，成為一套專用系統，配置內置的電源系統，如圖2所示：

1、使用微系統代替相應的服務器，并對操作系統的功能進行裁剪和定制；

服務器2的代替者，微系統2，只提供FTP、Web?Service和SSH服務，其中SSH服務用于系統簡單維護，FTP、Web?Service服務用于傳輸數據，也可以使用其他服務來傳輸數據。數據不進行緩存。傳輸的數據來源于專用設備外的服務器1的光卡。

服務器3的代替者，微系統3，安裝2塊千兆光卡和1個千兆自適應電口。兩塊千兆光卡接受低安全等級網絡里2路單向分光的光纖，這兩塊光卡運行在混雜模式，能夠聽到光卡上任意的報文；微系統3上運行協議還原程序，將前述傳輸的數據進行協議還原，并通過電口發送出本專用設備，發送給高安全等級系統里的服務器4。微系統3提供SSH服務用于系統的簡單維護。可以在微系統3上安裝專用的數據發送和管理程序，實現系統的數據管理機制的定制。

2、系統可以使用集中供電，冗余備份電源，而對電源、微系統2和微系統3分開屏蔽，分光模塊與微系統2在同一個屏蔽空間；兩個系統間的設備除了電源和單向光纖通道外沒有其他可能是數據的通道；專用設備也可以為兩個微系統提供獨立的，以降低數據串擾的可能性，并提高系統連續工作時間。

3、微系統2可以不配備硬盤，直接做成Flash芯片或者CF卡等類型的啟動系統，不需要對FTP或者Web?Service的數據進行緩存；微系統3配備硬盤，可以從Flash芯片/CF卡啟動，也可以從該硬盤啟動，硬盤作為還原數據的緩存，并有程序進行緩存的管理。

4、支持多線程并發的數據傳輸。

5、該專用設備外部只有三個接口：一個千兆光卡接口用于數據的導入；一個千兆的自適?應電纜接口用于數據的導出；一個電源接線。

6、提供狀態指示燈和電源開關、復位按鈕等操作界面。

7、服務器2的維護從千兆光卡接口登錄過去進行。服務器3的維護通過千兆電纜接口登錄過去進行。