專利名稱:一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及計算機網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域���,特別是一種分布式網(wǎng)絡(luò)信息 安全單向傳輸系統(tǒng)�。
背景技術(shù):
計算機網(wǎng)絡(luò)是計算機從外部獲取信息的重要方式之一���,然而���,計算機網(wǎng)絡(luò)在 給人們的生活和工作帶來巨大方便的同時,也帶來了網(wǎng)絡(luò)信息安全問題�����。近年來�, 因涉密信息系統(tǒng)非法接入互聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò)而導(dǎo)致的泄密事件時有發(fā)生且 呈逐漸增多的趨勢,對黨政機關(guān)�、軍隊等單位的信息安全構(gòu)成極大威脅,引起了 國家相關(guān)部門的高度重視���。為了保證黨政機關(guān)��、軍隊等單位的涉密信息系統(tǒng)的安 全��,目前采取的主要措施是禁止涉密信息系統(tǒng)直接或間接的接入互聯(lián)網(wǎng)(或其它 公共網(wǎng)絡(luò))�。在2000年1月1日正式實施的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理 規(guī)定》中明確規(guī)定"涉及國家秘密的計算機信息系統(tǒng)����,不得直接或間接地與國際 互聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò)相連接,必須實行物理隔離"����。
物理隔離之后,帶來的好處是涉密信息系統(tǒng)的信息不可能通過網(wǎng)絡(luò)泄露到互 聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò)�����,但這是"以犧牲計算機網(wǎng)絡(luò)的使用方便性為代價的"����,然 而,在涉密信息系統(tǒng)中運行的業(yè)務(wù)系統(tǒng)所需的一些基礎(chǔ)數(shù)據(jù)卻不可避免的來自互 聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò)���,物理隔離之后�����,涉密信息系統(tǒng)所需的這些數(shù)據(jù)只能通過刻 錄光盤等手工方式進行��,大大降低了工作效率����。
有沒有一種技術(shù)手段既能使涉密信息系統(tǒng)通過網(wǎng)絡(luò)從互聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò) 提取所需的數(shù)據(jù),又能有效防止涉密信息系統(tǒng)中的數(shù)據(jù)通過網(wǎng)絡(luò)泄露到互聯(lián)網(wǎng)或 其它公共網(wǎng)絡(luò)呢���?針對上述該問題����,本研究設(shè)計了一個"分布式網(wǎng)絡(luò)信息安全單 向傳輸系統(tǒng)"���,該系統(tǒng)采用基于光纖數(shù)據(jù)二極管的純單向技術(shù)�����,從物理上保證只 有從低密級網(wǎng)絡(luò)到高密級網(wǎng)絡(luò)的傳輸信道��,確保信息只能從低密級網(wǎng)絡(luò)流向高密 級網(wǎng)絡(luò)���,高密級網(wǎng)絡(luò)的信息決不可能通過本系統(tǒng)流向低密級網(wǎng)絡(luò)。 實用新型內(nèi)容本實用新型的的目的就是設(shè)計一種確保信息只能從低密級網(wǎng)絡(luò)流向高密級 網(wǎng)絡(luò),高密級網(wǎng)絡(luò)的信息決不可能通過本系統(tǒng)流向低密級網(wǎng)絡(luò)的分布式網(wǎng)絡(luò)信息 安全單向傳輸系統(tǒng)�,以克服上述技術(shù)上的不足。
實現(xiàn)本實用新型之目的的技術(shù)解決措施是這樣的��。 一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)�,包括通過單向發(fā)送引擎發(fā)送文件類 數(shù)據(jù)和TCP數(shù)據(jù)段或UDP數(shù)據(jù)報的只發(fā)子系統(tǒng)1,通過單向接收引擎接受文件類 數(shù)據(jù)和TCP數(shù)據(jù)段或UDP數(shù)據(jù)報的只收子系統(tǒng)2�����,其特征是在只發(fā)子系統(tǒng)l端 設(shè)置了至少一臺或多臺只發(fā)端1. 1和多只介質(zhì)轉(zhuǎn)換器1. 2�����,在只收子系統(tǒng)2端設(shè) 置了至少一只或多只介質(zhì)轉(zhuǎn)換器2. 2和一臺只收端2. 1;在相距兩地的的只發(fā)端 1. 1和只收端2. 1之間���,通過單向光纖與介質(zhì)轉(zhuǎn)換器1. 2、 2. 2的連接�,介質(zhì)轉(zhuǎn) 換器1. 2、 2. 2與廣域網(wǎng)絡(luò)的連接����,實現(xiàn)至少一臺只收端2. 1和多臺只發(fā)端1. 1 跨越廣域網(wǎng)絡(luò)的分布式部署與傳輸。
所述的一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)�����,其特征是只發(fā)端l.l是一 臺專用服務(wù)器1.3,設(shè)置有兩個以太網(wǎng)接口 1.31和一塊只發(fā)單纖光纖接口卡
1. 32���。
所述的一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)��,其特征是只收端2. l是一 臺專用服務(wù)器2.3�,設(shè)置有兩個以太網(wǎng)接口 2.31和一塊只收單纖光纖接口卡
2. 32�����。
所述的一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)�,其特征是只發(fā)端1. 1的兩
個千兆以太網(wǎng)接口 1. 31與分支機構(gòu)的低密級網(wǎng)絡(luò)3連接,只發(fā)單纖光纖接口卡 1.32的接口 (Tx)通過一根單向光纖與介質(zhì)轉(zhuǎn)換器1.2連接���,介質(zhì)轉(zhuǎn)換器1.2 通過普通的網(wǎng)絡(luò)傳輸介質(zhì)接入廣域網(wǎng)絡(luò)�。
所述的一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)��,其特征是只收端2. 1的介
質(zhì)轉(zhuǎn)換器2. 2通過普通的網(wǎng)絡(luò)傳輸介質(zhì)接入廣域網(wǎng)絡(luò)�,只收端2. 1的1個只收單 纖光纖接口卡2.32的接口 (Rx)通過一根單向光纖與介質(zhì)轉(zhuǎn)換器2.2連接,千 兆以太網(wǎng)接口 2. 31與總部高密級網(wǎng)絡(luò)4連接�����。
本實用新型實施后產(chǎn)生的積極效果是這樣的通過所說的本系統(tǒng),涉密信息 系統(tǒng)所需的一些來自低密級網(wǎng)絡(luò)甚至是互聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò)的數(shù)據(jù)就以通過 網(wǎng)絡(luò)進入涉密信息系統(tǒng)�����,無需通過光盤等手工方式周轉(zhuǎn)����,對提高涉密信息系統(tǒng)使 用者的工作效率,充分發(fā)揮計算機網(wǎng)絡(luò)的效能�、確保涉密信息系統(tǒng)的安全具有非常重要的意義。
圖1是本實用新型所說的系統(tǒng)工作原理示意框圖�。
圖2是本實用新型所說的系統(tǒng)結(jié)構(gòu)關(guān)系示意框圖。
圖3是本實用新型所說的只發(fā)端專用服務(wù)器及其接口示意圖�。
圖4是本實用新型所說的只收端專用服務(wù)器及其接口示意圖���。
圖5是本實用新型實施例文件類數(shù)據(jù)單向傳輸流程示意圖��。
圖6是本實用新型實施例TCP數(shù)據(jù)段單向傳輸流程示意圖����。
符號 說明1只發(fā)子系統(tǒng)����、2只收子系統(tǒng)、3分支機構(gòu)的低密級網(wǎng)絡(luò)、4總部
機構(gòu)的高密級網(wǎng)絡(luò)�����、1.1只發(fā)端�����、1.2介質(zhì)轉(zhuǎn)換器�����、1.3專用服務(wù)器�����、1�����, 31千
兆以太網(wǎng)接口�、 1.32只發(fā)單光纖接口卡、2. l只收端����、2.2介質(zhì)轉(zhuǎn)換器����、2.3專
用服務(wù)器����、2.31千兆以太網(wǎng)接口、 2.32只收單光纖接口卡��。
具體實施方式
參見圖1給出實施例對本實用新型作進一步的的具體說明���。
從圖1可知����,本系統(tǒng)主要包括只發(fā)子系統(tǒng)1和只收子系統(tǒng)2���。通過系統(tǒng)傳送
的數(shù)據(jù)主要有兩種類型 一種是"文件類數(shù)據(jù)",比如普通文件�、數(shù)據(jù)庫文件 等;另一種是"TCP數(shù)據(jù)段或UDP數(shù)據(jù)報"�����。"文件類數(shù)據(jù)"在"文件發(fā)送控制" 模塊的控制下�����,通過"單向發(fā)送引擎"發(fā)送給"單項接收引擎",再通過"文件 分發(fā)控制"模塊分發(fā)給指定的服務(wù)器����。"TCP數(shù)據(jù)段或UDP數(shù)據(jù)報"通過"TCPAJDP 服務(wù)端代理"之后,再通過"單向發(fā)送引擎"發(fā)送給"單項接收引擎"����,最后通 過""TCP/UDP客戶端代理"發(fā)送給指定的服務(wù)器。從圖2可知�,只發(fā)端1. 1是 設(shè)置的一臺專用硬件設(shè)備,它有兩個千兆以太網(wǎng)接口 1. 31和1個只發(fā)單纖光纖 接口 1.32 (Tx)���,其中千兆以太網(wǎng)接口 1.31與分支機構(gòu)的低密級網(wǎng)絡(luò)3連接����, 只發(fā)單纖光纖接口 1.32 (Tx)通過一根單向光纖與介質(zhì)轉(zhuǎn)換器1.2連接���,選擇 的介質(zhì)轉(zhuǎn)換器型號為KWSUITS-A-IX����,介質(zhì)轉(zhuǎn)換器1.2通過普通的網(wǎng)絡(luò)傳輸介質(zhì) 接入廣域網(wǎng)絡(luò)����。只收端2. 1也是一臺專用硬件設(shè)備����,它有1個只收單纖光纖接口 (Rx) 2.32和兩個千兆以太網(wǎng)接口 2. 31�����,其中只收單纖光纖接口 (Rx) 2. 32通 過一根單向光纖與介質(zhì)轉(zhuǎn)換器2.2連接����,選擇的介質(zhì)轉(zhuǎn)換器型號也是為 KWSUITS-A-1X;千兆以太網(wǎng)接口 2. 31與總部的高密級網(wǎng)絡(luò)4連接。從圖3所示���,所說的只發(fā)端是1. 1 一臺專用服務(wù)器1. 3���,本實施例選用的是KWSUITS-S-500SO 型號服務(wù)器;其包含兩個以太網(wǎng)接口 1.31和一塊只發(fā)單纖光纖接口卡1.32.如 圖4所示,只收端1.2是一臺專用服務(wù)器2.3�����,本實施例選用的是型號也是為 KWSUITS-S-500R0型號服務(wù)器��;其包含兩個以太網(wǎng)接口 2. 31和一塊只收單纖光纖 接口卡2.32�����。本實用新型的關(guān)鍵技術(shù)在于�����,目前國內(nèi)外同類技術(shù)是將"只發(fā)端" 和"只收端"集成到一臺硬件設(shè)備中����,其缺點是當(dāng)"涉密機房"和"非涉密機房" 分屬于不同地方時,尤其是實際應(yīng)用中這種情況非常普遍的存在���,系統(tǒng)無法部署����。 為了克服上述缺點����,本系統(tǒng)在設(shè)計時,將"只收端"和"只發(fā)端"分離����,通過"介 質(zhì)轉(zhuǎn)換器"實現(xiàn)一臺"只收端"和多臺"只發(fā)端"跨越廣域網(wǎng)絡(luò)的分布式部署與 傳輸。本系統(tǒng)在服務(wù)器及其軟件的支撐下具備了如下的主要功能(1)提供二次 開發(fā)API; (2)提供WINDOWS傳輸插件�����;(3)提供可編輯的批處理命令;(4)提 供郵件報警和短信報警��;(5)基于資源管理器的存儲管理�����;(6)支持在線存儲介 質(zhì)更換�;(7)支持TCP單向代理;(8)支持UDP單向代理���;(9)支持單向文件傳 輸�;(10)支持單向數(shù)據(jù)庫同步�;(11)支持單向郵件中繼;(12)支持單向網(wǎng)頁 發(fā)布�����;(13)支持單向消息傳輸���;(14)提供入侵檢測���、訪問控制、抗DDOS攻擊���、 IP/MAC綁定等安全功能��。從圖5�����、圖6�����、圖可以看出本實用新型具體使用流程實 施例���。
圖5是文件類數(shù)據(jù)單向傳輸流程
(1) 只發(fā)端采集模塊從源服務(wù)器采集文件數(shù)據(jù);
(2) 只發(fā)端單向傳輸引擎將文件從只發(fā)端傳輸?shù)街皇斩耍?br>
(3) 只收端單向接收引擎接收只發(fā)端發(fā)送的文件�;
(4) 只收端發(fā)布模塊將文件發(fā)布到目的服務(wù)器。 圖6是TCP數(shù)據(jù)段單向傳輸流程
(1) 客戶端發(fā)起TCP會話請求�;
(2) 只發(fā)端的TCP服務(wù)器代理接收請求;
(3 )只發(fā)端將請求數(shù)據(jù)通過單向傳輸引擎發(fā)送到只收端�;
(4) 只收端單向接收引擎接收數(shù)據(jù);
(5) 只收端通過TCP客戶端代理發(fā)起新的會話請求到服務(wù)器�����。
權(quán)利要求1、一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)�,包括通過單向發(fā)送引擎發(fā)送文件類數(shù)據(jù)和TCP數(shù)據(jù)段或UDP數(shù)據(jù)報的只發(fā)子系統(tǒng)(1),通過單向接收引擎接受文件類數(shù)據(jù)和TCP數(shù)據(jù)段或UDP數(shù)據(jù)報的只收子系統(tǒng)(2)�����,其特征是在只發(fā)子系統(tǒng)(1)端設(shè)置了至少一臺或多臺只發(fā)端(1.1)和多只介質(zhì)轉(zhuǎn)換器(1.2)�����,在只收子系統(tǒng)(2)端設(shè)置了至少一只或多只介質(zhì)轉(zhuǎn)換器(2.2)和一臺只收端(2.1)��;在相距兩地的的只發(fā)端(1.1)和只收端(2.1)之間�,通過單向光纖與介質(zhì)轉(zhuǎn)換器(1.2、2.2)的連接����,介質(zhì)轉(zhuǎn)換器(1.2、2.2)與廣域網(wǎng)絡(luò)的連接����,實現(xiàn)至少一臺只收端(2.1)和多臺只發(fā)端(1.1)跨越廣域網(wǎng)絡(luò)的分布式部署與傳輸。
2����、 根據(jù)權(quán)利要求1所述的一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)��,其特征 是只發(fā)端(1.1)是一臺專用服務(wù)器(1.3)�����,設(shè)置有兩個千兆以太網(wǎng)接口 (1.31) 和一塊只發(fā)單纖光纖接口卡(1.32)。
3��、 根據(jù)權(quán)利要求1所述的一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)�,其特征 是只收端(2. 1)是一臺專用服務(wù)器(2.3),設(shè)置有兩個千兆以太網(wǎng)接口 (2.31) 和一塊只收單纖光纖接口卡(2.32)����。
4、 根據(jù)權(quán)利要求1所述的一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)����,其特征 是只發(fā)端(1.1)的兩個千兆以太網(wǎng)接口 (1.31)與低密級網(wǎng)絡(luò)3連接,只發(fā) 單纖光纖接口卡(1.32)的接口 (Tx)通過一根單向光纖與介質(zhì)轉(zhuǎn)換器(1.2) 連接�,介質(zhì)轉(zhuǎn)換器(1.2)通過普通的網(wǎng)絡(luò)傳輸介質(zhì)接入廣域網(wǎng)絡(luò)。
5����、 根據(jù)權(quán)利要求1所述的一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)��,其特征 是只收端(2. 1)的介質(zhì)轉(zhuǎn)換器(2. 2)通過普通的網(wǎng)絡(luò)傳輸介質(zhì)接入廣域網(wǎng)絡(luò)����, 只收端(2.1)的l個只收單纖光纖接口卡(2.32)的接口 (Rx)通過一根單向 光纖與介質(zhì)轉(zhuǎn)換器(2.2)連接����,千兆以太網(wǎng)接口 (2.31)與高密級網(wǎng)絡(luò)(4)連 接。
專利摘要一種分布式網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)屬計算機網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域����。在只發(fā)子系統(tǒng)端設(shè)置了至少一臺或多臺只發(fā)端和多只介質(zhì)轉(zhuǎn)換器,在只收子系統(tǒng)端設(shè)置了至少一只或多只介質(zhì)轉(zhuǎn)換器和一臺只收端�;在相距兩地的的只發(fā)端和只收端之間,通過單向光纖與介質(zhì)轉(zhuǎn)換器的連接�,介質(zhì)轉(zhuǎn)換器與廣域網(wǎng)絡(luò)的連接,實現(xiàn)至少一臺只收端和多臺只發(fā)端跨越廣域網(wǎng)絡(luò)的分布式部署與傳輸����;從物理上確保數(shù)據(jù)只能從分支機構(gòu)的低密級網(wǎng)絡(luò)流向總部的高密級網(wǎng)絡(luò),高密級網(wǎng)絡(luò)的信息決不可能通過該系統(tǒng)流向低密級網(wǎng)絡(luò)����。無需通過光盤等手工方式周轉(zhuǎn),對充分發(fā)揮計算機網(wǎng)絡(luò)的效能���、確保涉密信息系統(tǒng)的安全具有非常重要的意義����。
文檔編號H04L29/06GK201398200SQ20092008050
公開日2010年2月3日 申請日期2009年4月30日 優(yōu)先權(quán)日2009年4月30日
發(fā)明者楊雪鋒, 練 鄧, 平 陳, 麟 陳 申請人:成都美年科威信息技術(shù)有限公司