本發(fā)明涉及防水墻技術領域,具體為一種基于硬件防水墻的內網(wǎng)信息保護裝置。
背景技術:
防水墻是相對于防火墻的概念,是一種加強電腦系統(tǒng)內部安全的重要工具,主要為防止內部信息向外擴散;防水墻是一個內網(wǎng)監(jiān)控系統(tǒng),處于內部網(wǎng)絡中,隨時監(jiān)控內部主機的安全狀況;如果說防火是指防止外部威脅向內部蔓延的話,防水就是指防止內部信息的泄漏;具體說來,防水墻技術是一個以內網(wǎng)安全理論為基礎,以數(shù)據(jù)安全為核心,利用密碼學技術、pki技術、操作系統(tǒng)核心技術、訪問控制技術、審計跟蹤技術等技術手段,對涉密信息、重要業(yè)務數(shù)據(jù)和技術專利等敏感信息的存儲、傳播和處理過程實施安全限制保護,最大限度地防止敏感信息外泄的內網(wǎng)數(shù)據(jù)保護技術;但是現(xiàn)有的防水墻技術不夠成熟,單憑軟件防水墻不能夠有效應對復雜的環(huán)境要求。
技術實現(xiàn)要素:
針對以上問題,本發(fā)明提供了一種基于硬件防水墻的內網(wǎng)信息保護裝置,通過分級防護,有效提高了整體的防護性能,保護用戶信息安全,可以有效解決背景技術中的問題。
為實現(xiàn)上述目的,本發(fā)明提供如下技術方案:一種基于硬件防水墻的內網(wǎng)信息保護裝置,包括硬件控制平臺和分級防護單元,所述硬件控制平臺包括安裝保護盒,所述安裝保護盒的正表面鑲嵌有接線端口,用于與被保護裝置進行電氣連接,所述硬件控制平臺內部安裝有核心處理器,所述核心處理器連接有外圍電路,核心處理器的網(wǎng)絡端口連接有以太網(wǎng)控制模塊,以太網(wǎng)控制模塊的輸入端連接有網(wǎng)絡變壓器,所述網(wǎng)絡變壓器連接到接線端口;所述分級防護單元內置于核心處理器中,從上到下包括用戶接口層、安全服務層和功能模塊層,所述用戶接口層與物理接口相連接;所述核心處理器還連接有智能報警單元。
作為本發(fā)明一種優(yōu)選的技術方案,所述核心處理器采用嵌入式處理器atmega128,核心處理器的電源端連接有穩(wěn)壓變換器,穩(wěn)壓變換器的輸入端連接有usb充電接口,核心處理器內置有urat轉換串口和jtag調試接口。
作為本發(fā)明一種優(yōu)選的技術方案,所述外圍電路包括晶振電路、復位電路和看門狗,所述核心處理器還連接有數(shù)據(jù)存儲器。
作為本發(fā)明一種優(yōu)選的技術方案,所述以太網(wǎng)控制模塊包括以太網(wǎng)控制器,所述以太網(wǎng)控制器采用dm9000網(wǎng)卡芯片,其輸出端連接有調制解調器,所述調制解調器的輸出端連接到核心處理器。
作為本發(fā)明一種優(yōu)選的技術方案,所述用戶接口層包括數(shù)據(jù)包截取模塊,所述數(shù)據(jù)包截取模塊的輸入端連接有數(shù)據(jù)幀格式轉換模塊,數(shù)據(jù)包截取模塊的輸出端連接有數(shù)據(jù)包解析模塊。
作為本發(fā)明一種優(yōu)選的技術方案,所述安全服務層包括擴展身份認證模塊和數(shù)據(jù)加密模塊,所述擴展身份認證模塊用于進行訪客身份認證,所述數(shù)據(jù)加密模塊連接有非對稱秘鑰數(shù)據(jù)庫。
作為本發(fā)明一種優(yōu)選的技術方案,所述功能模塊層包括實時監(jiān)控模塊、文件安全防護模塊、系統(tǒng)資源管理模塊,所述實時監(jiān)控模塊用于進行訪問和輸出實時狀態(tài)監(jiān)控,所述文件安全防護模塊對文件存儲進行保護,所述系統(tǒng)資源管理模塊對系統(tǒng)軟硬件安裝卸載運行進行監(jiān)控。
作為本發(fā)明一種優(yōu)選的技術方案,所述智能報警單元包括報警信號生成模塊和電子開關,所述報警信號生成模塊的輸出端連接有聲光報警器電子開關連接在網(wǎng)絡變壓器與以太網(wǎng)控制模塊之間。
與現(xiàn)有技術相比,本發(fā)明的有益效果是:該基于硬件防水墻的內網(wǎng)信息保護裝置,通過設置網(wǎng)絡變壓器,有效實現(xiàn)以太網(wǎng)控制模塊與外部信號的電壓隔離,減小外部電壓對內部元件的干擾,從而有效提高了裝置的穩(wěn)定性;通過設置擴展身份認證模塊,對訪客身份進行認證,通過設置數(shù)據(jù)加密模塊,利用非對稱秘鑰數(shù)據(jù)庫中的非對稱加密技術對數(shù)據(jù)進行加密,進一步提高數(shù)據(jù)的安全性能;通過設置實時監(jiān)控模塊、文件安全防護模塊和系統(tǒng)資源管理模塊,形成完備的監(jiān)管和防護體系,大大增強抗入侵能力。本發(fā)明設置通過軟硬件結合和分級防護,增加報警功能,有效提高了整體的防護性能,保護用戶信息安全。
附圖說明
圖1為硬件控制平臺結構示意圖;
圖2為分級防護單元結構示意圖;
圖3為外殼結構示意圖。
圖中:1-硬件控制平臺;2-分級防護單元;3-安裝保護盒;4-接線端口;5-核心處理器;6-外圍電路;7-以太網(wǎng)控制模塊;8-網(wǎng)絡變壓器;9-用戶接口層;10-安全服務層;11-功能模塊層;12-智能報警單元;13-穩(wěn)壓變換器;14-usb充電接口;15-晶振電路;16-復位電路;17-看門狗;18-數(shù)據(jù)存儲器;19-以太網(wǎng)控制器;20-調制解調器;21-數(shù)據(jù)包截取模塊;22-數(shù)據(jù)幀格式轉換模塊;23-數(shù)據(jù)包解析模塊;24-擴展身份認證模塊;25-數(shù)據(jù)加密模塊;26-非對稱秘鑰數(shù)據(jù)庫;27-實時監(jiān)控模塊;28-文件安全防護模塊;29-系統(tǒng)資源管理模塊;30-報警信號生成模塊;31-電子開關;32-聲光報警器。
具體實施方式
下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例,基于本發(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
實施例:
請參閱圖1至圖3,本發(fā)明提供一種技術方案:一種基于硬件防水墻的內網(wǎng)信息保護裝置,包括硬件控制平臺1和分級防護單元2,所述硬件控制平臺1包括安裝保護盒3,所述安裝保護盒3的正表面鑲嵌有接線端口4,用于與被保護裝置進行電氣連接,所述硬件控制平臺1內部安裝有核心處理器5,所述核心處理器5連接有外圍電路6,核心處理器5的網(wǎng)絡端口連接有以太網(wǎng)控制模塊7,以太網(wǎng)控制模塊7的輸入端連接有網(wǎng)絡變壓器8,所述網(wǎng)絡變壓器8連接到接線端口4;所述分級防護單元2內置于核心處理器5中,從上到下包括用戶接口層9、安全服務層10和功能模塊層11,所述用戶接口層9與物理接口相連接;所述核心處理器5還連接有智能報警單元12;
所述核心處理器5采用嵌入式處理器atmega128,核心處理器5的電源端連接有穩(wěn)壓變換器13,穩(wěn)壓變換器13的輸入端連接有usb充電接口14,核心處理器5內置有urat轉換串口和jtag調試接口;所述外圍電路6包括晶振電路15、復位電路16和看門狗17,所述核心處理器5還連接有數(shù)據(jù)存儲器18;所述以太網(wǎng)控制模塊7包括以太網(wǎng)控制器19,所述以太網(wǎng)控制器19采用dm9000網(wǎng)卡芯片,其輸出端連接有調制解調器20,所述調制解調器20的輸出端連接到核心處理器5;
所述用戶接口層9包括數(shù)據(jù)包截取模塊21,所述數(shù)據(jù)包截取模塊21的輸入端連接有數(shù)據(jù)幀格式轉換模塊22,數(shù)據(jù)包截取模塊21的輸出端連接有數(shù)據(jù)包解析模塊23;所述安全服務層10包括擴展身份認證模塊24和數(shù)據(jù)加密模塊25,所述擴展身份認證模塊24用于進行訪客身份認證,所述數(shù)據(jù)加密模塊25連接有非對稱秘鑰數(shù)據(jù)庫26;
所述功能模塊層11包括實時監(jiān)控模塊27、文件安全防護模塊28、系統(tǒng)資源管理模塊29,所述實時監(jiān)控模塊27用于進行訪問和輸出實時狀態(tài)監(jiān)控,所述文件安全防護模塊28對文件存儲進行保護,所述系統(tǒng)資源管理模塊29對系統(tǒng)軟硬件安裝卸載運行進行監(jiān)控;所述智能報警單元12包括報警信號生成模塊30和電子開關31,所述報警信號生成模塊30的輸出端連接有聲光報警器32,電子開關31連接在網(wǎng)絡變壓器8與以太網(wǎng)控制模塊7之間。
本發(fā)明的工作原理:
所述硬件控制平臺1搭建實現(xiàn)了硬件防水墻,便于與被保護的裝置進行連接,所述分級防護單元2通過分級軟件裝置進行保護;所述安裝保護盒3采用絕緣材料制成,能夠有效保護內部的電氣元件,延長使用壽命,所述接線端口4通過接線端子連接到待保護裝置上;
dm9000網(wǎng)卡控制芯片支持8位、16位、32位模式的處理器,dm9000通過引腳eedo和wakeup設置總線寬度。本系統(tǒng)使用的atmega128是一款8位的處理器,所以wakeup設置為高電平,eedo設置為低電平。ior和iow是dm9000的讀寫選擇引腳,低電平有效,即低電平時進行讀(ior)寫(iow)操作;aen是芯片選通引腳,低電平有效,該引腳為低時才能進行讀寫操作;cmd的命令/數(shù)據(jù)切換引腳,低電平時讀寫命令操作,高電平時讀寫數(shù)據(jù)操作。dm9000工作的默認基地址為0x300。
(1)所述核心處理器5采用嵌入式處理器atmega128,所述usb充電接口14的直接連接到移動電源或者直接連接到電腦的usb輸出端口,將連接到的裝置連接到穩(wěn)壓變換器13,所述穩(wěn)壓變換器13的輸出端將接入的電壓變換成核心處理器5所需要的電壓;
接通電源后,所述核心處理器5通過jtag調試接口連接電腦進行程序下載,所述晶振電路15在上電后開始工作,提供時鐘周期,便于裝置進行工作,所述復位電路16上電后開始復位操作,所述看門狗17可以在程序跑飛時強制退出,保證裝置安全;所述數(shù)據(jù)存儲器18采用sdram數(shù)據(jù)存儲器,實現(xiàn)數(shù)據(jù)的同步動態(tài)隨機存儲;
(2)所述以太網(wǎng)控制模塊7用于進行以太網(wǎng)接入控制,所述以太網(wǎng)控制器19通過網(wǎng)絡變壓器8連接到接線端口4連接到以太網(wǎng)絡;所述網(wǎng)絡變壓器8主要有傳輸信號、匹配阻抗、修復波形、抑制雜波和電壓隔離的作用。在rj45和dm9000之間接入網(wǎng)絡變壓器,使dm9000芯片與外部隔離,增強了抗干擾能力;同時也對dm9000進行了電壓匹配,需要把rj45的5v電壓變換成3.3v的dm9000工作電壓;
所述以太網(wǎng)控制器19從網(wǎng)絡變壓器8的輸出端進行數(shù)據(jù)讀取,并且將讀取到的數(shù)據(jù)送入到調制解調器20,講過調制解調器20將數(shù)據(jù)進行解調還原后送入到核心處理器5;
(3)所述用戶接口層9以實時更新的內網(wǎng)拓撲結構為基礎,抓取數(shù)據(jù)包并獲取系統(tǒng)配置、策略配置、實時監(jiān)控、審計報告、安全告警等信息;所述數(shù)據(jù)幀格式轉換模塊22將主機輸出的數(shù)據(jù)格式轉換成防水墻處理的數(shù)據(jù)格式,所述數(shù)據(jù)包截取模塊21用于截取從主機中輸出的數(shù)據(jù)流,從中抓取數(shù)據(jù)包,所述數(shù)據(jù)包解析模塊23對抓取的數(shù)據(jù)包進行解析操作,并將獲取的信息傳輸至下一層;
(4)所述安全服務層10用于從高層收集實時信息,并對接收到的數(shù)據(jù)信息進行分析實現(xiàn)安全防護操作,所述擴展身份認證模塊24通過設置安全域、授權、對文件加密實現(xiàn)內網(wǎng)用戶之間文件共享互傳;所述數(shù)據(jù)加密模塊25通過從非對稱秘鑰數(shù)據(jù)庫26中讀取動態(tài)密鑰,對需要傳輸出去的數(shù)據(jù)進行加密操作,有效防止了文件在傳輸途中可能造成的泄密;也有效防止了電腦丟失可能造成的數(shù)據(jù)丟失;
(5)所述功能模塊層11用于實現(xiàn)實時監(jiān)控、文件防護和資源管理操作;所述實時監(jiān)控模塊27通過實時抓取并記錄內部網(wǎng)主機的屏幕,來監(jiān)視內部人員的安全狀況,在安全問題發(fā)生后,提供分析其來源的依據(jù),在必要時,也可直接控制涉及安全問題的主機的i/o設備,如鍵盤、鼠標等;所述文件安全防護模塊28提供了對敏感文件的安全防護,引入了加密域的概念。加密域是一組防水墻系統(tǒng)用戶的組合,每個文件在加密時均選擇加密域,只有處于選擇域內的用戶才能進行解密查看,有效地防止了文件在傳輸途中可能造成的泄密;
所述系統(tǒng)資源管理模塊29限制系統(tǒng)軟硬件的安裝、卸載,控制特定程序的運行,限制系統(tǒng)進入安全模式,控制文件的重命名和刪除等操作,收集受控主機上的軟硬件信息,并上傳至服務器作為初始資源信息備份;
(6)所述智能報警單元12在檢測到出現(xiàn)異常時被觸發(fā),所述報警信號生成模塊30根據(jù)檢測到的不同的異常情況,生成不同的報警指令,進一步通過核心處理器5控制聲光報警器32發(fā)出不同類型的報警信號,同時在出現(xiàn)嚴重泄漏時,會指示斷開電子開關31,將網(wǎng)絡變壓器8與以太網(wǎng)控制模塊7之間的通路斷開,從而防止信息泄露。
該基于硬件防水墻的內網(wǎng)信息保護裝置,通過設置網(wǎng)絡變壓器8,有效實現(xiàn)以太網(wǎng)控制模塊7與外部信號的電壓隔離,減小外部電壓對內部元件的干擾,從而有效提高了裝置的穩(wěn)定性;通過設置擴展身份認證模塊24,對訪客身份進行認證,通過設置數(shù)據(jù)加密模塊25,利用非對稱秘鑰數(shù)據(jù)庫26中的非對稱加密技術對數(shù)據(jù)進行加密,進一步提高數(shù)據(jù)的安全性能;通過設置實時監(jiān)控模塊27、文件安全防護模塊28和系統(tǒng)資源管理模塊29,形成完備的監(jiān)管和防護體系,大大增強抗入侵能力。本發(fā)明設置通過軟硬件結合和分級防護,增加報警功能,有效提高了整體的防護性能,保護用戶信息安全。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內所作的任何修改、等同替換和改進等,均應包含在本發(fā)明的保護范圍之內。