專利名稱:千兆單向型網(wǎng)絡(luò)隔離裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)隔離技術(shù)領(lǐng)域,更具體地明涉及一種單向無返回光纖單向傳輸數(shù) 據(jù)的物理隔離設(shè)備,設(shè)備采用是一種高速的保密性、完整性和高可用性的信息安全手段。
背景技術(shù):
在全國(guó)電力二次系統(tǒng)安全防護(hù)項(xiàng)目中物理隔離裝置在安全區(qū)I、II與安全區(qū)III、 IV邊界防護(hù)起著重要安全防護(hù)作用;隨著電力系統(tǒng)飛速發(fā)展、網(wǎng)絡(luò)傳輸量要求越來越大、安 全性要求也越來越高;物理網(wǎng)絡(luò)隔離裝置從4字節(jié)返回到1比特返回再到完全單向的逐步 發(fā)展體現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)的安全性需要得到進(jìn)一步的加強(qiáng)。千兆單向型網(wǎng)絡(luò)隔離裝置發(fā)明及時(shí) 滿足電力行業(yè)發(fā)展要求。目前,全國(guó)電力系統(tǒng)在進(jìn)行如火如荼的安全防護(hù)建設(shè),相關(guān)的技術(shù) 也日益成熟,同時(shí)單向隔離技術(shù)在電子政務(wù)的安全防護(hù)中也越來越有更大的需求。因此,在 這種背景前提下進(jìn)行,千兆單向型網(wǎng)絡(luò)隔離裝置的相關(guān)研究工作,以期待在我國(guó)電子政務(wù) 的安全防護(hù)中作出更大的貢獻(xiàn)!
發(fā)明內(nèi)容
本發(fā)明的目的就是針對(duì)現(xiàn)有技術(shù)之不足,而提供一種千兆單向型網(wǎng)絡(luò)隔離裝置, 裝置采用單向光纖互聯(lián),安全島傳輸采用非網(wǎng)絡(luò)連接。內(nèi)網(wǎng)分區(qū)與內(nèi)網(wǎng)如監(jiān)控系統(tǒng)相連,外 網(wǎng)分區(qū)與外網(wǎng)如其它信息系統(tǒng)相連,內(nèi)外分區(qū)各有一塊單獨(dú)的CPU板,它們之間沒有網(wǎng)絡(luò) 連接,以確保網(wǎng)絡(luò)層面的隔離,為電網(wǎng)調(diào)度自動(dòng)化實(shí)時(shí)數(shù)據(jù)的傳輸提供安全可靠的傳輸通 道。千兆單向型網(wǎng)絡(luò)隔離裝置,包括內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)兩套獨(dú)立主機(jī),內(nèi)網(wǎng)主機(jī)通 過千兆網(wǎng)口與內(nèi)網(wǎng)網(wǎng)絡(luò)相連,外網(wǎng)主機(jī)通過千兆網(wǎng)口與外網(wǎng)網(wǎng)絡(luò)相連,內(nèi)網(wǎng)主機(jī)通過單向 光口與外網(wǎng)主機(jī)相連;內(nèi)網(wǎng)主機(jī)用于發(fā)送內(nèi)網(wǎng)端數(shù)據(jù)安全數(shù)據(jù),對(duì)接收到內(nèi)網(wǎng)端數(shù)據(jù)通過數(shù)字證書技術(shù) 對(duì)文件進(jìn)行數(shù)字簽名并發(fā)送外網(wǎng);外網(wǎng)主機(jī)用于接收外網(wǎng)數(shù)據(jù),并驗(yàn)證數(shù)字簽名,確認(rèn)文件內(nèi)容沒有丟失,沒被篡 改,保證數(shù)據(jù)的完整性。所述內(nèi)網(wǎng)主機(jī)的內(nèi)網(wǎng)主機(jī)光纖接口與外網(wǎng)主機(jī)的外網(wǎng)主機(jī)光纖接口通過單向光 纖相連。本發(fā)明的有益效果在于(1)、實(shí)現(xiàn)純單向的高速數(shù)據(jù)交換,內(nèi)外網(wǎng)持續(xù)通信速度 不低于300Mb/s,傳輸速率比百兆安全隔離裝置提高了 5倍,大大緩解內(nèi)外網(wǎng)絡(luò)單向傳輸 的瓶頸;千兆單向型網(wǎng)絡(luò)隔離裝置還采用收方及時(shí)向“上層”匯報(bào)、發(fā)送方增加冗余校驗(yàn)、 經(jīng)常檢測(cè)系統(tǒng)的準(zhǔn)確性可控制策略解決了數(shù)據(jù)二極管技術(shù)單向盲發(fā)技術(shù),沒有交互的控制 協(xié)議,數(shù)據(jù)的容錯(cuò)控制問題。(2)、內(nèi)網(wǎng)主機(jī)光纖接口與外網(wǎng)主機(jī)光纖接口通過單向光纖相 連。從而實(shí)現(xiàn)低內(nèi)外兩個(gè)網(wǎng)絡(luò)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的單向數(shù)據(jù)傳輸,并且保證 安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)無電氣物理連通;禁止兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立TCP聯(lián)接,將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)之間的TCP聯(lián)接分解成內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外 兩個(gè)網(wǎng)卡的兩個(gè)TCP虛擬聯(lián)接。隔離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接,且只允 許數(shù)據(jù)單向傳輸。(3)、千兆單向型網(wǎng)絡(luò)隔離裝置包含以下技術(shù):A、非網(wǎng)通訊技術(shù)用于實(shí) 現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換,并且保證安全物理隔離裝置內(nèi)外兩個(gè) 處理系統(tǒng)不同時(shí)聯(lián)通;B、物理隔離及數(shù)據(jù)剝離技術(shù)用于在安全島硬件上保證從低安全區(qū) 到高安全區(qū)的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù),防止病毒和黑客非法訪問;C、單向傳輸技術(shù)支 持表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸,即從低密安全區(qū)到高密安全區(qū)的TCP應(yīng)答禁止攜帶 應(yīng)用數(shù)據(jù)的工作模式;多種工作模式技術(shù)支持多種工作模式用于無IP地址透明工作方 式(虛擬主機(jī)IP地址、隱藏MAC地址)、支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、混雜工作模式,保證標(biāo)準(zhǔn) 應(yīng)用的透明接入;D、安全訪問控制技術(shù)基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的 綜合報(bào)文過濾與訪問控制,基于防火墻方式的安全訪問控制,只是其在內(nèi)網(wǎng)和外網(wǎng)分別進(jìn) 行一次控制實(shí)現(xiàn)雙重保護(hù);E、防止穿透性TCP連接技術(shù)用于防止穿透性TCP連接禁止內(nèi) 網(wǎng)、外網(wǎng)兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立TCP連接,將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)之間的TCP連接分解成 內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個(gè)網(wǎng)卡的兩個(gè)TCP虛擬連接。隔離裝置內(nèi)外兩個(gè) 網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接,且只允許數(shù)據(jù)單向傳輸;F、日志審計(jì)技術(shù)用于提供完備 的日志審計(jì)功能,如時(shí)間、IP、MAC、P0RT等日志信息。對(duì)通過裝置進(jìn)入內(nèi)網(wǎng)的應(yīng)用數(shù)據(jù)及未 通過裝置而被丟失的應(yīng)用數(shù)據(jù)進(jìn)行完整的記錄,以便事后審計(jì);此外,也應(yīng)具有對(duì)隔離設(shè)備 的操作維護(hù)日志信息。G、系統(tǒng)告警技術(shù)用于支持系統(tǒng)告警,支持完備的安全事件告警機(jī) 制,當(dāng)發(fā)生非法入侵、裝置異常、通信中斷或丟失應(yīng)用數(shù)據(jù)時(shí),可通過隔離裝置專用的告警 串口或網(wǎng)絡(luò)輸出報(bào)警信息,日志格式遵循Syslog標(biāo)準(zhǔn),方便用戶管理;
下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的說明圖1為本發(fā)明的結(jié)構(gòu)示意圖;圖2是軟件模塊的工作原理框具體實(shí)施例方式以下所述僅為體現(xiàn)本發(fā)明原理的較佳實(shí)施例,并不因此而限定本發(fā)明的保護(hù)范圍。實(shí)施例見圖1至2所示,千兆單向型網(wǎng)絡(luò)隔離裝置,包括內(nèi)網(wǎng)(高密網(wǎng))主機(jī)1 和外網(wǎng)(底密網(wǎng))主機(jī)2 ;內(nèi)網(wǎng)主機(jī)包括龍芯CPU 3、內(nèi)存條5、FLASE存儲(chǔ)卡7、4個(gè)千兆網(wǎng) 口 11、光纖接口 13、電源電路15、配置網(wǎng)口 17、計(jì)算機(jī)主板、配置與管理模塊20、數(shù)據(jù)通信模 塊21、日志管理模塊22 ;外網(wǎng)主機(jī)包括龍芯CPU 4、內(nèi)存條6、FLASE存儲(chǔ)卡8、4個(gè)千兆網(wǎng)口 12、光纖接口 14、電源電路16、配置網(wǎng)口 17、計(jì)算機(jī)主板、配置與管理模塊20、數(shù)據(jù)通信模塊 21、日志管理模塊22。所述龍芯CPU 3、內(nèi)存條5、FLASE存儲(chǔ)卡7、4個(gè)千兆網(wǎng)口 11、光纖接 口 13、電源電路15、配置網(wǎng)口 17與計(jì)算機(jī)主板相連組成內(nèi)網(wǎng)主機(jī)1 ;所述龍芯CPU 4、內(nèi)存 條6、FLASE存儲(chǔ)卡8、4個(gè)千兆網(wǎng)口 12、光纖接口 14、電源電路16、配置網(wǎng)口 17與計(jì)算機(jī)主 板相連組成外網(wǎng)主機(jī)2 ;所述配置網(wǎng)口 17、管理與配置模塊20和外接終端配置計(jì)算機(jī)相連 用于管理配置設(shè)備;所述電源接口 15與外接電口相連;所述電源接口 16與外接電口相連;所述數(shù)據(jù)通信模塊21和內(nèi)網(wǎng)主機(jī)1相連;所述數(shù)據(jù)通信模塊21和外網(wǎng)主機(jī)2相連;所述 日志管理模塊22與外接日志管理服務(wù)器相連;所述內(nèi)網(wǎng)主機(jī)1通過千兆網(wǎng)口與內(nèi)網(wǎng)網(wǎng)絡(luò) 9相連,用于發(fā)送內(nèi)網(wǎng)端數(shù)據(jù)安全數(shù)據(jù),對(duì)接收到內(nèi)網(wǎng)端數(shù)據(jù)通過數(shù)字證書技術(shù)對(duì)文件進(jìn)行 數(shù)字加密簽名并發(fā)送外網(wǎng)主機(jī)2 ;所述外網(wǎng)主機(jī)2通過單向光纖與內(nèi)網(wǎng)主機(jī)1光纖接口相 連用于接收內(nèi)網(wǎng)主機(jī)1數(shù)據(jù),并驗(yàn)證、解密數(shù)字簽名,確認(rèn)文件內(nèi)容沒有丟失,沒被篡改,保 證數(shù)據(jù)的完整性;所述內(nèi)網(wǎng)主機(jī)1的內(nèi)網(wǎng)主機(jī)光纖接口 13與外網(wǎng)主機(jī)2的外網(wǎng)主機(jī)光纖接 口 14通過單向光纖19相連。從而構(gòu)成實(shí)際的運(yùn)行技術(shù)環(huán)境;管理與配置模塊20 用于配置所述電力系統(tǒng)專用物理隔離裝置,設(shè)置通信鏈路規(guī) 則、通信協(xié)議、裝置地址。數(shù)據(jù)通信模塊21 用于將獲取網(wǎng)絡(luò)數(shù)據(jù)及分析結(jié)果遞交到主計(jì)算機(jī)進(jìn)行后臺(tái)處理。日志管理模塊22 用于記錄通過裝置進(jìn)入的應(yīng)用數(shù)據(jù)及未通過裝置而被丟失的 應(yīng)用數(shù)據(jù)進(jìn)行完整的記錄,發(fā)送到指定日志服務(wù)器,以便事后審計(jì)。
權(quán)利要求
千兆單向型網(wǎng)絡(luò)隔離裝置,包括內(nèi)網(wǎng)主機(jī)(1)和外網(wǎng)主機(jī)(2);內(nèi)網(wǎng)主機(jī)包括龍芯CPU(3)、內(nèi)存條(5)、FLASE存儲(chǔ)卡(7)、4個(gè)千兆網(wǎng)口(11)、光纖接口(13)、電源電路(15)、配置網(wǎng)口(17)、計(jì)算機(jī)主板;外網(wǎng)主機(jī)包括龍芯CPU(4)、內(nèi)存條(6)、FLASE存儲(chǔ)卡(8)、4個(gè)千兆網(wǎng)口(12)、光纖接口(14)、電源電路(16)、配置網(wǎng)口(17)、計(jì)算機(jī)主板。其特征在于它內(nèi)網(wǎng)主機(jī)(1)高密端網(wǎng)和外網(wǎng)主機(jī)(2)底密端網(wǎng)還包括有管理與配置模塊(20)用于配置所述電力系統(tǒng)專用物理隔離裝置,設(shè)置通信鏈路規(guī)則、通信協(xié)議、裝置地址。數(shù)據(jù)通信模塊(21)用于將獲取網(wǎng)絡(luò)數(shù)據(jù)及分析結(jié)果遞交到主計(jì)算機(jī)進(jìn)行后臺(tái)處理。日志管理模塊(22)用于記錄通過裝置進(jìn)入的應(yīng)用數(shù)據(jù)及未通過裝置而被丟失的應(yīng)用數(shù)據(jù)進(jìn)行完整的記錄,發(fā)送到指定日志服務(wù)器,以便事后審計(jì)。
2.根據(jù)權(quán)利要求1所述的千兆單向型網(wǎng)絡(luò)隔離裝置,其特征在于所述龍芯CPU(3)、內(nèi) 存條(5)、FLASE存儲(chǔ)卡(7)、4個(gè)千兆網(wǎng)口(11)、光纖接口(13)、電源電路(15)、配置網(wǎng)口 (17)與計(jì)算機(jī)主板相連組成內(nèi)網(wǎng)主機(jī)(1);
3.根據(jù)權(quán)利要求1所述的千兆單向型網(wǎng)絡(luò)隔離裝置,其特征在于所述龍芯CPU(4)、內(nèi) 存條(6)、FLASE存儲(chǔ)卡(8)、4個(gè)千兆網(wǎng)口(12)、光纖接口(14)、電源電路(16)、配置網(wǎng)口 (17)、與計(jì)算機(jī)主板相連組成外網(wǎng)主機(jī)(2);
4.根據(jù)權(quán)利要求1、2所述的千兆單向型網(wǎng)絡(luò)隔離裝置,其特征在于內(nèi)網(wǎng)主機(jī)(1)通 過千兆網(wǎng)口與內(nèi)網(wǎng)網(wǎng)絡(luò)(9)相連,用于發(fā)送內(nèi)網(wǎng)端數(shù)據(jù)安全數(shù)據(jù),對(duì)接收到內(nèi)網(wǎng)端數(shù)據(jù)通 過數(shù)字證書技術(shù)對(duì)文件進(jìn)行數(shù)字加密簽名并發(fā)送到外網(wǎng)主機(jī)(2);
5.根據(jù)權(quán)利要求1、2所述的千兆單向型網(wǎng)絡(luò)隔離裝置,其特征在于外網(wǎng)主機(jī)(2)通 過單向光纖與內(nèi)網(wǎng)主機(jī)(1)相連用于接收內(nèi)網(wǎng)主機(jī)(1)數(shù)據(jù),并驗(yàn)證、解密數(shù)字簽名,確認(rèn) 文件內(nèi)容沒有丟失,沒被篡改,保證數(shù)據(jù)的完整性。
6.根據(jù)權(quán)利要求1、2、3所述的千兆單向型網(wǎng)絡(luò)隔離裝置,其特征在于內(nèi)網(wǎng)主機(jī)(1) 的內(nèi)網(wǎng)主機(jī)光纖接口(13)與外網(wǎng)主機(jī)(2)的外網(wǎng)主機(jī)光纖接口(14)通過單向光纖(19) 相連。
全文摘要
千兆單向型網(wǎng)絡(luò)隔離裝置,包括外網(wǎng)主機(jī)和內(nèi)網(wǎng)主機(jī)兩套獨(dú)立的主機(jī),每套主機(jī)包括4個(gè)千兆網(wǎng)口、1個(gè)配置網(wǎng)口、龍芯CPU、計(jì)算機(jī)主板、FLASE存儲(chǔ)卡、內(nèi)存條、光纖接口、電源電路與數(shù)據(jù)通信模塊、配置與管理模塊、日志管理模塊組成;本發(fā)明配備高速的保密性、完整性和高可用性的單向光接口高速傳遞技術(shù),確保高密級(jí)網(wǎng)絡(luò)向低密級(jí)網(wǎng)數(shù)據(jù)傳輸時(shí)無反向數(shù)據(jù)傳輸;本發(fā)明安全保密策略采用單向光纖網(wǎng)絡(luò)隔離技術(shù)對(duì)高密級(jí)網(wǎng)絡(luò)和低密級(jí)網(wǎng)絡(luò)進(jìn)行強(qiáng)隔離;保證涉密數(shù)據(jù)不從高密級(jí)網(wǎng)絡(luò)流向低密級(jí)網(wǎng)絡(luò)。數(shù)據(jù)傳輸在線、實(shí)時(shí)和連續(xù),確保低安全性的網(wǎng)絡(luò)連接到高安全性的網(wǎng)絡(luò),沒有任何風(fēng)險(xiǎn)的數(shù)據(jù)丟失或入侵的高安全性網(wǎng)絡(luò)。從而實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換,并且保證安全物理隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)聯(lián)通。
文檔編號(hào)H04L29/06GK101986638SQ20101028560
公開日2011年3月16日 申請(qǐng)日期2010年9月16日 優(yōu)先權(quán)日2010年9月16日
發(fā)明者劉智勇, 陳良漢 申請(qǐng)人:珠海市鴻瑞軟件技術(shù)有限公司