[发明专利]一种网间数据的安全交换方法及系统

说明书

技术领域

本发明涉及数据安全领域，尤其涉及一种网间数据的安全交换方法及系统。

背景技术

近年来，随着信息化系统在企业集团和金融银行内部的应用普及，IT系统的安全设计也受到越来越多的重视。本着降低数据泄漏风险的原则，在金融行业单位内部IT系统的建设过程中，普遍是按照生产网络和办公网络的物理或者逻辑隔离的方案来搭建基础网络。在电子政务领域，政府事业单位的网络建设也是内网和外网进行物理或者逻辑的隔离。

网络隔离能够很好的保证内网的安全性，但是不利效果也很明显，其中一个很重要的问题就是给生产网和办公网、内网和外网、高密级网络和低密级网络之间交换数据带来很大的不便。

目前解决网络隔离最传统的技术方案是网闸(GAP)技术。安全隔离网闸是由软件和硬件组成。隔离网闸分为两种架构，一种为双主机的2+1结构，另一种为三主机的三系统结构。2+1的安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内外网处理单元连接，为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境。三系统的安全隔离网闸的硬件也由三部分组成：外部处理单元(外端机)、内部处理单元(内端机)、仲裁处理单元(仲裁机)，各单元之间采用了隔离安全数据交换单元。

安全隔离网闸的主要功能：

1：阻断网络的直接物理连接：物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接，而不能同时与两个网络连接；

2：阻断网络的逻辑连接：物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离，将原始数据通过P2P的非TCP/IP连接方式，通过存储介质的“写入”与“读出”完成数据转发；

3：数据传输机制的不可编程性：物理隔离网闸的数据传输机制具有不可编程的特性；

4：安全审查：物理隔离网闸具有安全审查功能，即网络在将原始数据“写入”物理隔离网闸前，根据需要对原始数据的安全性进行检查，把可能的病毒代码、恶意攻击代码消灭干净等。

此外，相关的专利技术文献如下：

文献1：CN105871902A，公开日期：2016-08-27，发明名称：数据加密及隔离系统。

文献2：CN104298756A，公开日期：2015-01-21，发明名称：一种基于内外网的数据库之间数据的交换方法。

文献1公开了一种数据加密及隔离系统，包括由内网计算机组成的内网和由外网计算机组成的外网；内网和外网之间通过物理隔离模块或者逻辑隔离模块连接；所述物理隔离模块或者逻辑隔离模块用于将内网的数据进行加密并导出到外网；所述物理隔离模块或者逻辑隔离模块还用于将外网的非加密数据进行单向导入内网；所述物理隔离模块或者逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。本发明采用量子数据加密+数据中转器安全交换的解决方案来保障内部网之间的安全通信和内外部网之间安全数据交换，杜绝泄密事件的发生。

文献2公开了一种基于内外网的数据库之间数据的交换方法，该技术适用于内网可以访问外网，外网不能访问内网的情况下，在内网区域中建立一个中间库，作为内外网访问的桥梁，然后在中间库中创建存储过程以及针对外网数据库的dblink，通过中间库的存储过程以及dblink对外网数据库。

而与本发明最接近的是联软科技的UniNXG安渡数据摆渡解决方案。

如图1，在一台物理服务器上虚拟出两台服务器(外网、内网各一台)，通过虚拟化技术使该这两台服务器分别链接到内外网或不同的安全区域中通过模拟PCI硬件设备的方式达到虚拟机与宿主机之间安全可靠的数据通讯。

现有技术的缺点如下：

(1)物理服务器需要较高的性能以支撑虚拟出两台机器的计算和读写压力。

(2)物理服务器存储容量的限制对于数据摆渡速度有较大的影响。

(3)无论是外网还是内网，都有PC直连服务器虚拟主机的情况，对于安全存在一定的风险，如DDos攻击，恶意访问等可以轻松的导致服务器服务宕机。

发明内容

为解决上述技术问题，本发明提供了一种网间数据的安全交换方法，进行网间数据交换的用户处于互不联通的网络中，其特征在于，该方法包括以下步骤：

1).用户通过存储管理模块SMC与所在网络的存储器进行数据管理交互；

2).通过存储管理模块SMC向数据安全交换网关请求交换数据文件X；