技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)系統(tǒng)，具體為網(wǎng)絡(luò)安全隔離系統(tǒng)，屬于網(wǎng)絡(luò)安全領(lǐng)域。

背景技術(shù)

網(wǎng)絡(luò)是由節(jié)點(diǎn)和連線構(gòu)成，表示諸多對(duì)象及其相互聯(lián)系。在數(shù)學(xué)上，網(wǎng)絡(luò)是一種圖，一般認(rèn)為專指加權(quán)圖。網(wǎng)絡(luò)除了數(shù)學(xué)定義外，還有具體的物理含義，即網(wǎng)絡(luò)是從某種相同類型的實(shí)際問題中抽象出來的模型。在計(jì)算機(jī)領(lǐng)域中，網(wǎng)絡(luò)是信息傳輸、接收、共享的虛擬平臺(tái)，通過它把各個(gè)點(diǎn)、面、體的信息聯(lián)系到一起，從而實(shí)現(xiàn)這些資源的共享。網(wǎng)絡(luò)是人類發(fā)展史來最重要的發(fā)明，提高了科技和人類社會(huì)的發(fā)展。

由于政府、銀行、證券和軍隊(duì)等安全性要求很高的部門的內(nèi)部網(wǎng)絡(luò)（簡(jiǎn)稱內(nèi)網(wǎng)）接入國際互聯(lián)網(wǎng)（簡(jiǎn)稱外網(wǎng)）需求越來越多，如何萬無一失地保證內(nèi)部網(wǎng)絡(luò)的安全，顯得非常重要。國家計(jì)算機(jī)信息系統(tǒng)聯(lián)網(wǎng)保密管理?xiàng)l例明確規(guī)定：“涉國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)其他公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離”。另外，根據(jù)電力二次系統(tǒng)安全防護(hù)方案規(guī)定，安全區(qū)I/II與安全區(qū)III之間必須進(jìn)行橫向單向隔離。

目前市場(chǎng)上還沒有一種專門用于保護(hù)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全產(chǎn)品，它在保證內(nèi)、外網(wǎng)實(shí)現(xiàn)安全隔離的同時(shí)，又能實(shí)現(xiàn)內(nèi)、外網(wǎng)適度的信息交換的網(wǎng)絡(luò)安全隔離系統(tǒng)。

發(fā)明內(nèi)容

本發(fā)明的目的正是為了解決上述問題，提供一種專門用于保護(hù)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全產(chǎn)品，它在保證內(nèi)、外網(wǎng)實(shí)現(xiàn)安全隔離的同時(shí)，又能實(shí)現(xiàn)內(nèi)、外網(wǎng)適度的信息交換的網(wǎng)絡(luò)安全隔離系統(tǒng)。網(wǎng)絡(luò)安全隔離系統(tǒng)。

本發(fā)明通過以下技術(shù)方案來實(shí)現(xiàn)上述目的，網(wǎng)絡(luò)安全隔離系統(tǒng)，包括內(nèi)網(wǎng)關(guān)、外網(wǎng)關(guān)、安全隔離部件組成，其特征在于內(nèi)網(wǎng)關(guān)、外網(wǎng)關(guān)分別通過各自的網(wǎng)絡(luò)接口與內(nèi)網(wǎng)、外網(wǎng)相連，內(nèi)網(wǎng)關(guān)、外網(wǎng)關(guān)各有一組數(shù)據(jù)線與安全隔離部件相連，所述安全隔離部件邏輯上主要由存儲(chǔ)介質(zhì)構(gòu)成，所述存儲(chǔ)介質(zhì)通過單一的數(shù)據(jù)總線和地址總線選擇性地與內(nèi)網(wǎng)關(guān)或與外網(wǎng)關(guān)相連。所述內(nèi)網(wǎng)關(guān)、外網(wǎng)關(guān)均采用TCP/IP協(xié)議棧被裁剪掉的嵌入式LINUX操作系統(tǒng)。所述LINUX操作系統(tǒng)采用非X86指令集的低功耗嵌入式處理器。所述內(nèi)網(wǎng)關(guān)可以收到兩種數(shù)據(jù)：一種是通過串行口得到的用于設(shè)備參數(shù)設(shè)置和身份認(rèn)證的數(shù)據(jù)，一種是內(nèi)外網(wǎng)交換的數(shù)據(jù)，第一種數(shù)據(jù)被寫在一個(gè)配置文件里供系統(tǒng)需要時(shí)調(diào)用，如果是第二種用于內(nèi)外網(wǎng)交換的數(shù)據(jù)，則被收發(fā)數(shù)據(jù)模塊接收，并把它送到數(shù)據(jù)包分析模塊，該模塊調(diào)用用戶校驗(yàn)?zāi)K，用戶校驗(yàn)?zāi)K會(huì)從系統(tǒng)狀態(tài)鏈表中讀取該用戶的各種權(quán)限信息，如果是合法的用戶，并準(zhǔn)許被發(fā)送到外網(wǎng)，則該數(shù)據(jù)包會(huì)被寫入IP緩沖區(qū)鏈表，等待被收發(fā)數(shù)據(jù)模塊發(fā)送到中間的安全隔離控制器中，從安全隔離控制器方向接收到的數(shù)據(jù)，可以直接通過數(shù)據(jù)收發(fā)模塊發(fā)到內(nèi)網(wǎng)網(wǎng)卡。所述外網(wǎng)關(guān)的收發(fā)數(shù)據(jù)模塊接收到從安全隔離控制器來的數(shù)據(jù)以后，會(huì)把數(shù)據(jù)送入內(nèi)外網(wǎng)地址轉(zhuǎn)換模塊，該模塊將內(nèi)網(wǎng)主機(jī)IP地址和端口號(hào)替換為外網(wǎng)關(guān)IP地址和端口號(hào)，并將內(nèi)網(wǎng)主機(jī)IP地址和端口號(hào)等信息寫入內(nèi)外網(wǎng)關(guān)地址映射表，然后由收發(fā)數(shù)據(jù)模塊將替換過地址的數(shù)據(jù)包發(fā)到外網(wǎng)關(guān)的網(wǎng)卡緩沖區(qū)，準(zhǔn)備被網(wǎng)卡發(fā)送。所述外網(wǎng)關(guān)接收到從網(wǎng)卡來的數(shù)據(jù)以后，首先把數(shù)據(jù)包交給數(shù)據(jù)包分析模塊處理，數(shù)據(jù)包分析模塊會(huì)調(diào)用內(nèi)外網(wǎng)地址映射表，與表中的IP地址、端口號(hào)、序列號(hào)等信息進(jìn)行比較，如果確定該數(shù)據(jù)包是內(nèi)網(wǎng)所發(fā)的數(shù)據(jù)包的回應(yīng)包，則交給內(nèi)外網(wǎng)地址轉(zhuǎn)換模塊進(jìn)行處理，把外網(wǎng)關(guān)的IP地址和端口號(hào)轉(zhuǎn)換為內(nèi)網(wǎng)主機(jī)的IP地址和端口號(hào)，然后把數(shù)據(jù)包寫入IP緩沖區(qū)鏈表等待被發(fā)送，收發(fā)數(shù)據(jù)模塊把IP緩沖區(qū)鏈表中的數(shù)據(jù)包取走發(fā)送到安全隔離控制器。

本發(fā)明所述網(wǎng)絡(luò)安全隔離系統(tǒng)的內(nèi)網(wǎng)關(guān)、外網(wǎng)關(guān)的TCP/IP協(xié)議被停掉，不能夠提供任何服務(wù)，黑客無法在網(wǎng)絡(luò)上通過TCP/IP協(xié)議發(fā)現(xiàn)此系統(tǒng)，并對(duì)該系統(tǒng)實(shí)施破壞或攻擊。本系統(tǒng)用于安全性高的網(wǎng)絡(luò)（內(nèi)網(wǎng)）向安全性相對(duì)較低的網(wǎng)絡(luò)（外網(wǎng)）傳送文件使用，由于產(chǎn)品功能專業(yè)性強(qiáng)，禁止任何其他的網(wǎng)絡(luò)功能和應(yīng)用；同時(shí)，產(chǎn)品的設(shè)計(jì)思路采用了純單向的數(shù)據(jù)傳輸，保證了內(nèi)網(wǎng)不會(huì)受到外網(wǎng)的病毒和黑客的攻擊，因此可以提供很高的安全性，用戶不會(huì)有任何對(duì)病毒、木馬或黑客攻擊的困擾。同時(shí)，內(nèi)網(wǎng)的用戶只有通過安全認(rèn)證，經(jīng)過授權(quán)以后的用戶才能使用相應(yīng)的軟件進(jìn)行文件的發(fā)送，因此，可以解決機(jī)密文件外泄的問題。

附圖說明

附圖中，圖1是本發(fā)明的內(nèi)網(wǎng)關(guān)軟件示意圖，圖2是本發(fā)明的外網(wǎng)關(guān)軟件示意圖。

具體實(shí)施方式