[发明专利]网络安全隔离系统

说明书

技术领域

本发明涉及网络系统，具体为网络安全隔离系统，属于网络安全领域。

背景技术

网络是由节点和连线构成，表示诸多对象及其相互联系。在数学上，网络是一种图，一般认为专指加权图。网络除了数学定义外，还有具体的物理含义，即网络是从某种相同类型的实际问题中抽象出来的模型。在计算机领域中，网络是信息传输、接收、共享的虚拟平台，通过它把各个点、面、体的信息联系到一起，从而实现这些资源的共享。网络是人类发展史来最重要的发明，提高了科技和人类社会的发展。

由于政府、银行、证券和军队等安全性要求很高的部门的内部网络（简称内网）接入国际互联网（简称外网）需求越来越多，如何万无一失地保证内部网络的安全，显得非常重要。国家计算机信息系统联网保密管理条例明确规定：“涉国家秘密的计算机信息系统，不得直接或间接地与国际互联网其他公共信息网络相联接，必须实行物理隔离”。另外，根据电力二次系统安全防护方案规定，安全区I/II与安全区III之间必须进行横向单向隔离。

目前市场上还没有一种专门用于保护内网的网络安全产品，它在保证内、外网实现安全隔离的同时，又能实现内、外网适度的信息交换的网络安全隔离系统。

发明内容

本发明的目的正是为了解决上述问题，提供一种专门用于保护内网的网络安全产品，它在保证内、外网实现安全隔离的同时，又能实现内、外网适度的信息交换的网络安全隔离系统。网络安全隔离系统。

本发明通过以下技术方案来实现上述目的，网络安全隔离系统，包括内网关、外网关、安全隔离部件组成，其特征在于内网关、外网关分别通过各自的网络接口与内网、外网相连，内网关、外网关各有一组数据线与安全隔离部件相连，所述安全隔离部件逻辑上主要由存储介质构成，所述存储介质通过单一的数据总线和地址总线选择性地与内网关或与外网关相连。所述内网关、外网关均采用TCP/IP协议栈被裁剪掉的嵌入式LINUX操作系统。所述LINUX操作系统采用非X86指令集的低功耗嵌入式处理器。所述内网关可以收到两种数据：一种是通过串行口得到的用于设备参数设置和身份认证的数据，一种是内外网交换的数据，第一种数据被写在一个配置文件里供系统需要时调用，如果是第二种用于内外网交换的数据，则被收发数据模块接收，并把它送到数据包分析模块，该模块调用用户校验模块，用户校验模块会从系统状态链表中读取该用户的各种权限信息，如果是合法的用户，并准许被发送到外网，则该数据包会被写入IP缓冲区链表，等待被收发数据模块发送到中间的安全隔离控制器中，从安全隔离控制器方向接收到的数据，可以直接通过数据收发模块发到内网网卡。所述外网关的收发数据模块接收到从安全隔离控制器来的数据以后，会把数据送入内外网地址转换模块，该模块将内网主机IP地址和端口号替换为外网关IP地址和端口号，并将内网主机IP地址和端口号等信息写入内外网关地址映射表，然后由收发数据模块将替换过地址的数据包发到外网关的网卡缓冲区，准备被网卡发送。所述外网关接收到从网卡来的数据以后，首先把数据包交给数据包分析模块处理，数据包分析模块会调用内外网地址映射表，与表中的IP地址、端口号、序列号等信息进行比较，如果确定该数据包是内网所发的数据包的回应包，则交给内外网地址转换模块进行处理，把外网关的IP地址和端口号转换为内网主机的IP地址和端口号，然后把数据包写入IP缓冲区链表等待被发送，收发数据模块把IP缓冲区链表中的数据包取走发送到安全隔离控制器。

本发明所述网络安全隔离系统的内网关、外网关的TCP/IP协议被停掉，不能够提供任何服务，黑客无法在网络上通过TCP/IP协议发现此系统，并对该系统实施破坏或攻击。本系统用于安全性高的网络（内网）向安全性相对较低的网络（外网）传送文件使用，由于产品功能专业性强，禁止任何其他的网络功能和应用；同时，产品的设计思路采用了纯单向的数据传输，保证了内网不会受到外网的病毒和黑客的攻击，因此可以提供很高的安全性，用户不会有任何对病毒、木马或黑客攻击的困扰。同时，内网的用户只有通过安全认证，经过授权以后的用户才能使用相应的软件进行文件的发送，因此，可以解决机密文件外泄的问题。

附图说明

附图中，图1是本发明的内网关软件示意图，图2是本发明的外网关软件示意图。

具体实施方式