[实用新型]基于单向分光的数据单向导入设备

说明书

所属技术领域

本实用新型涉及一种信息安全领域的单向数据传输设备，可以用于低安全等级网内的数据向高安全等级网内单向传输数据。

背景技术

在信息安全等级保护领域内常常需要从低安全等级的系统/网络里向高安全等级系统拷贝数据，或者平级跨系统拷贝数据，需要数据具备单向拷贝的特性，即数据没有任何回馈地拷贝到目标系统，但是数据必须是完整的。

有很多设备或者方式来实现这一工作，例如使用一次性刻录光盘的只写一次的特性，或者使用光纤分光的原理进行数据单向数据传输。后者在海量长时间连续数据导入的时候经常用到。其系统结构如图1所示。

图1中，低安全等级网络里的服务器1向服务器2利用FTP或者Web Service服务发送数据，两个服务器间使用千兆光卡和光纤直连。两个光路的光纤各自串接一个分光器，使得各多分出一路光来，单向地传输到高安全等级网络里的服务器3，实现数据的安全单向传输。

高安全等级网络里的服务器3安装2块光卡运行在混杂模式，运行还原程序实现协议的隔离，将单向光路上的协议数据还原为原来的文件，通过电口将数据发送给系统内的服务器4。

系统中需要至少2台专用的PC服务器2和PC服务器3，其硬件成本高昂，并且需要对其各自进行维护，2台服务器会导致空间占用、耗电和噪音的问题，目前尚未见到专用设备。

实用新型的内容

为了实现从系统外单向导入数据而不用考虑系统内数据的泄露，单向数据导入是一种理想的方案。本实用新型提出一种可以长期、连续进行数据单向导入的专用设备，对设备的功能进行针对性的优化，具体的技术方案如下。

本实用新型的单向数据导入设备结构上包括位于低安全等级网络内的第一微系统(2)、第一单向分光器和第二单向分光器，以及位于高安全等级网络内的第二微系统(3)，第一微系统(2)与第一单向分光器和第二单向分光器一起屏蔽封装，第二微系统(3)单独屏蔽封装，从而构成两个屏蔽体，第一微系统(2)上设有用于导入数据的千兆光卡，该千兆光卡的收、发两个传输方向上分别使用第一单向分光器、第二单向分光器分流一束光线给第二微系统(3)，第二微系统(3)里设有两块千兆光卡，分别接收第一单向分光器、第二单向分光器分流出的光线。

详细的技术方案如下：

一种进行数据单向导入的专用设备，仍然利用前面提到的技术方案，但是对里面的设备、操作系统和服务进行定制和优化，将服务服务器2、服务器3、分光器1和分光器2集成在一起，成为一套专用系统，将服务器2、服务器3、分光器1和分光器2在一起，成为一套专用系统，配置内置的电源系统，如图2所示：

1、使用微系统代替相应的服务器，并对操作系统的功能进行裁剪和定制；

服务器2的代替者，微系统2，只提供FTP、Web Service和SSH服务，其中SSH服务用于系统简单维护，FTP、Web Service服务用于传输数据，也可以使用其他服务来传输数据。数据不进行缓存。传输的数据来源于专用设备外的服务器1的光卡。

服务器3的代替者，微系统3，安装2块千兆光卡和1个千兆自适应电口。两块千兆光卡接受低安全等级网络里2路单向分光的光纤，这两块光卡运行在混杂模式，能够听到光卡上任意的报文；微系统3上运行协议还原程序，将前述传输的数据进行协议还原，并通过电口发送出本专用设备，发送给高安全等级系统里的服务器4。微系统3提供SSH服务用于系统的简单维护。可以在微系统3上安装专用的数据发送和管理程序，实现系统的数据管理机制的定制。

2、系统可以使用集中供电，冗余备份电源，而对电源、微系统2和微系统3分开屏蔽，分光模块与微系统2在同一个屏蔽空间；两个系统间的设备除了电源和单向光纤通道外没有其他可能是数据的通道；专用设备也可以为两个微系统提供独立的，以降低数据串扰的可能性，并提高系统连续工作时间。

3、微系统2可以不配备硬盘，直接做成Flash芯片或者CF卡等类型的启动系统，不需要对FTP或者Web Service的数据进行缓存；微系统3配备硬盘，可以从Flash芯片/CF卡启动，也可以从该硬盘启动，硬盘作为还原数据的缓存，并有程序进行缓存的管理。

4、支持多线程并发的数据传输。

5、该专用设备外部只有三个接口：一个千兆光卡接口用于数据的导入；一个千兆的自适 应电缆接口用于数据的导出；一个电源接线。

6、提供状态指示灯和电源开关、复位按钮等操作界面。

7、服务器2的维护从千兆光卡接口登录过去进行。服务器3的维护通过千兆电缆接口登录过去进行。