[发明专利]一种用于数据单向传输的方法及其装置

说明书

技术领域

本发明涉及网络数据传输，尤其涉及一种数据单向传输的方法及其装置。

背景技术

随着网络的发展，目前我国大多数公司和政府部门都设有自己的内部网络，这些内部网络或涉及商业机密，或涉及政府信息，因而大部分都属于不同密级的涉密网络，并不对外连接。由于这些公司和政府部分同时也连接外部公共信息网络，获取所需的数据和文件，而许多内部网络和外部公共信息网络之间并没有有效的安全保密防护措施，这会导致黑客攻击和入侵其中的内部网络，从而造成机密信息的泄密。

为了保证涉密网络的安全运行，在涉密网络和公共信息网络之间实施物理隔离是一个行之有效的安全保密措施。目前的物理隔离技术有多种，如在国外采取的终端隔离技术和网络隔离技术，以及安全隔离与交换技术(也为安全网闸技术)，在国内采取隔离计算机、隔离集线器以及远程安全传输方式等物理隔离技术，以下分别就国外和国内的安全隔离技术进行分析。

1.国外隔离技术分析

美国、以色列、俄罗斯等国家都实行内部网与公共网的物理隔离，在物理隔离方面的技术和产品也都比较成熟，从很多方面的技术和产品来看，这几个网络技术发达国家的物理隔离大致可以分为隔离技术和安全隔离与交换技术(即“安全网闸”技术)。

(1)隔离技术

隔离技术在理论上可分为终端级和网络两个层次：终端级是通过存储器的隔离实现的，在单硬盘上划分安全区、非安全区以及交换区，通过使用特制的隔离卡，使安全区和非安全区不能同时使用，以达到信息隔离的效果；网络级的隔离通过在终端上使用特制的网络隔离卡，与安全集线器相配合，通过网络隔离卡上电信号的高低选择相应的网络进行连接，做到不能同时连接安全和非安全网络，与终端存储器的隔离相配合达到信息隔离的效果。

(2)安全隔离与交换技术

安全隔离与交换技术的主要原理是由两套各自独立的系统分别连接安全和非安全的网络，两套系统之间是一个类似“网闸”的装置，保证当安全的网络连通时，断开与非安全网络连接；当非安全网络连通时，断开与安全网络的连接，分时地使用两套系统中的数据通路进行数据交换，以达到隔离与交换的目的。在数据交换过程中要进行防病毒、防恶意代码等信息过滤，以保证信息的安全。

2.国内发展现状

方案一：建设两个独立的网络，一个是内部网络，用于存储、处理、传输涉密信息；一个是外部网络，与Internet相连。两个网络之间如果有数据交换需要，则采用人工操作(如通过软盘、磁带等)的方式。

方案二：采用安全隔离计算机(终端级解决方案)，用户使用一台客户端设备上内部网络和外部网络。主要类型可分为：双主板，双硬盘型：在一个机箱内设置两套计算机的设备，相当于两台计算机共用一台显示器，通过客户端开关分别选择两套计算机系统。单主板，双硬盘型：客户端通过增加一块隔离卡、一块硬盘，将硬盘接口通过添加的隔离卡转接到主板，网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备，同时选择相应的网络接口，达到物理隔离的效果；另外一种方案是在主板BIOS等更底层的技术方面进行设计，做到不同的网络选择不同的硬盘，达到物理隔离的目的。单主板，单硬盘型：客户端需要增加一块隔离卡，但不需要额外增加硬盘，将存储器通过隔离卡连接到主板，网卡也通过隔离卡引出两个网络接口。在原有硬盘上划分安全区、非安全区，通过该卡控制客户端存储设备分时使用安全区和非安全区，同时选择相应的网络接口，达到物理隔离的效果。

方案三：采用安全隔离集线器(集线器解决方案)，主要解决房间和楼层单网布线的问题。这种集线器需要和专用的安全隔离计算机相配合，只采用一个网络接口，通过网线将不同的网络选择信号传递到网络选择器，根据不同的选择信号，选择不同的网络连接。

方案四：属于物理隔离的远程安全传输方式，包括使用独立铺设线路和交换设备方式；在具备相应的认证和链路加密措施的前提下，使用面向连接的电路交换方式(如PSTN、ISDN、ADSL等)；使用永久虚电路(PVC)交换方式(如DDN、X.25、帧中继和ATM中使用永久虚电路构建的专线)。

方案五：企业级物理隔离系统。企业级物理隔离系统包括内网处理单元、外网处理单元和专用隔离硬件卡三个部分。系统中的专用隔离硬件卡分别连接内网处理单元和外网处理单元，这种独特设计保证了专用隔离硬件卡中的数据暂存区在任意时刻仅连通内网或者外网，既实现了内外网的物理隔离，又实现了数据的联机、动态和准实时交换。