CN108449310A - 一种国产网络安全隔离与单向导入***及方法 - Google Patents

一种国产网络安全隔离与单向导入***及方法 Download PDF

Info

Publication number
CN108449310A
CN108449310A CN201810078639.XA CN201810078639A CN108449310A CN 108449310 A CN108449310 A CN 108449310A CN 201810078639 A CN201810078639 A CN 201810078639A CN 108449310 A CN108449310 A CN 108449310A
Authority
CN
China
Prior art keywords
data
network
switch
security isolation
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810078639.XA
Other languages
English (en)
Other versions
CN108449310B (zh
Inventor
李岩
孙大军
刘强
蒋海波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chaoyue Technology Co Ltd
Original Assignee
Shandong Chaoyue CNC Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Chaoyue CNC Electronics Co Ltd filed Critical Shandong Chaoyue CNC Electronics Co Ltd
Priority to CN201810078639.XA priority Critical patent/CN108449310B/zh
Publication of CN108449310A publication Critical patent/CN108449310A/zh
Application granted granted Critical
Publication of CN108449310B publication Critical patent/CN108449310B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/25Arrangements specific to fibre transmission
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供一种国产网络安全隔离与单向导入***及方法,***包括外部处理模块、隔离交换模块以及内部处理模块;外部处理模块包括外部处理器、外部FPGA、第一网络接口、第一发送光电传感器;内部处理模块包括内部处理器、内部FPGA、第二网络接口、内部FPGA、第二接收光电传感器;隔离交换模块包括外部隔离交换模块和内部隔离交换模块;外部隔离交换模块包括第一接收光电传感器、第一安全隔离单元,第一安全隔离单元、第一交换单元;内部隔离交换模块包括第二发送光电传感器、第二安全隔离单元、第二交换单元;方法:通过处理模块实现协议解析、数据提取及接收发送,安全隔离单元实现数据格式化,交换单元实现数据缓存和安全交换。

Description

一种国产网络安全隔离与单向导入***及方法
技术领域
本发明属于数据安全隔离交换领域,具体涉及一种国产网络安全隔离与单向导入***及方法。
背景技术
随着数据价值不断提升以及存储技术不断发展,数据成为最核心的资产,在实际应用中存在数据交换需求,由于相关数据的重要性,国家相关规定只运行由低密级网络向高密级网络传输,该交换数据往往成为攻击者的首选目标,从而达到窃取、篡改或破坏数据的目的,如果没有安全防范措施,一旦攻击者成功窃取,其负面影响将是无法估计的,因此数据的安全隔离交换安全变得至关重要。
现有的网络安全隔离与单向导入方法,一般采用国外通用/专用处理器实现,无法从根本上避免后门植入、数据窃取风险,从而不能保证网络数据单向导入的正确性。
此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种国产网络安全隔离与单向导入***及方法,是非常有必要的。
发明内容
本发明的目的在于,针对上述现有网络安全隔离与单向导入方法无法保证网络数据单向导入正确性的缺陷,提供一种国产网络安全隔离与单向导入***及方法,以解决上述技术问题。
为实现上述目的,本发明给出以下技术方案:
一种国产网络安全隔离与单向导入***,包括外部处理模块、隔离交换模块以及内部处理模块;
外部处理模块包括外部处理器,外部处理器连接有外部FPGA和第一网络接口,外部FPGA连接有第一发送光电传感器;
内部处理模块包括内部处理器,内部处理器连接有内部FPGA和第二网络接口,内部FPGA连接有第二接收光电传感器;
第一网络接口连接有低密级网络设备,第二网络接口连接有高密级网络设备;
隔离交换模块包括外部隔离交换模块和内部隔离交换模块;
外部隔离交换模块包括第一接收光电传感器,第一接收光电传感器连接有第一安全隔离单元,第一安全隔离单元连接有第一交换单元;
内部隔离交换模块包括第二发送光电传感器,第二发送光电传感器连接有第二安全隔离单元,第二安全隔离单元连接有第二交换单元;
第一发送光电传感器与第一接收光电传感器通过单向光纤连接;
第二发送光电传感器与第二接收光电传感器通过单向光纤连接;
第一交换单元与第二交换单元连接。内部处理模块、外部处理模块均与隔离交换模块通过单向光纤连接,采用光通信的方式,从根本上杜绝数据在传输过程中被窃取;隔离交换模块是内部处理模块和外部处理模块之间唯一的连接部件,内部处理模块与外部处理模块之间不存在任何网络设备连接。***采用过程操作***、国产固件作为***平台,集成高速网卡驱动,实现网络数据包的高速收发处理。
进一步地,第一交换单元包括第一存储器和第一开关,第一开关连接有第一开关控制器;
第二交换单元包括第二存储器和第二开关,第二开关连接有第二开关控制器;
第一开关和第二开关均包括固定端、开关一端和开关二端;第一开关的固定端连接第一存储器,第一开关的开关一端连接第一安全隔离单元;
第二开关的固定端连接第二存储器,第二开关的开关一端连接第二安全隔离单元;
第一开关的开关二端与第二开关的开关二端连接。
进一步地,外部处理器包括第一协议分析单元、第一入侵检测单元、第一访问控制单元以及第一合规检查单元;
第一协议分析单元,用于对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为第一入侵检测单元、第一访问控制单元提供完整的网络数据信息;
第一入侵检测单元,用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;攻击行为包括蠕虫或病毒、木马、后门、DoS或DDoS攻击、探测或扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常以及IDS/IPS 逃逸攻击;
第一访问控制单元,用于对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
第一合规检查单元,用于根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元进行处理。
进一步地,第一安全隔离单元,用于根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元;
第一交换单元,用于外部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元通过第一开关连接第一存储器;
数据交换时,第一存储器通过第一开关连接第二开关,切断TCP/IP协议通讯,形成网络数据的单向导入;
第二交换单元,用于内部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器通过第二开关连接第一开关,切断TCP/IP协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器通过第二开关连接第二安全隔离单元;
第二安全隔离单元,用于将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器。
进一步地,内部处理器包括第二协议分析单元、第二入侵检测单元、第二访问控制单元以及第二合规检查单元;
第二合规检查单元,用于根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元进行处理;
第二访问控制单元,用于对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
第二入侵检测单元,用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
第二协议分析单元,用于对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为高密集网络设备提供完整的网络数据信息。
进一步地,第一安全隔离单元与第二安全隔离单元均采用安全隔离芯片,安全隔离芯片通过多线程并行固化处理将合法数据转化为私有协议格式的数据包;
第一交换单元和第二交换单元均采用交换芯片。
进一步地,外部处理器和内部处理器均采用国产申威处理器。采用国产申威处理器,从根本上杜绝了***漏洞、后门植入的风险。
进一步地,外部处理模块和内部处理模块均还包括板级管理芯片、管理串口、热备串口、DDR内存、桥片以及电源。
***接收到网络数据后,依次进行协议分析、入侵检测、访问控制、合规检查以及数据格式化处理,最终将格式化数据交由隔离交换模块的交换单元进行单向导入,真正实现网络数据安全隔离和单向导入。
本发明还给出如下技术方案:
一种基于上述权利要求1-6的国产网络完全隔离与单向导入方法,包括如下步骤:
步骤1. 外部处理器对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,提供完整的网络数据信息;
步骤2. 外部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
步骤3. 外部处理器对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
步骤4. 外部处理器根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元进行处理;
步骤5. 第一安全隔离单元根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元;
步骤6. 外部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元通过第一开关连接第一存储器;
数据交换时,第一存储器通过第一开关连接第二开关,切断TCP/IP协议通讯,形成网络数据的单向导入;
步骤7. 内部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器通过第二开关连接第一开关,切断TCP/IP协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器通过第二开关连接第二安全隔离单元;
步骤8. 第二安全隔离单元将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器;
步骤9.内部处理器根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元进行处理;
步骤10. 内部处理器对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
步骤11. 内部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
步骤12. 内部处理器对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为高密集网络设备提供完整的网络数据信息。
本发明的有益效果在于:
本发明采用国产申威处理器根本上杜绝了***漏洞、后门植入的风险;采用光纤通信,从根本上杜绝数据在传输过程中被窃取,通过内外部处理器进行协议分析、入侵检测、访问控制、合规检查以及数据格式化处理,最终将格式化数据交由隔离交换模块的交换单元进行单向导入,真正实现网络数据安全隔离和单向导入。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
图1为本发明的***连接示意图;
图2为本发明的外部处理器的结构示意图;
图3为本发明的内部处理器的结构示意图;
图4为本发明的方法流程图;
其中,1-外部处理模块;2-隔离交换模块;3-内部处理模块;4.1-外部处理器;4.2-内部处理器;5.1-外部FPGA;5.2-内部FPGA;6.1-第一网络接口;6.2-第二网络接口;7.1-第一发送光电传感器;7.2-第二发送光电传感器;8.1-第一接收光电传感器;8.2-第二接收光电传感器;9-外部隔离交换模块;10-内部隔离交换模块;11.1-第一安全隔离单元;11.2-第二安全隔离单元;12-第一交换单元;12.1-第一存储器;12.2-第一开关;12.3-第一开关控制器;13-第二交换单元;13.1-第二存储器;13.2-第二开关;13.3-第二开关控制器;14-低密级网络设备;15-高密级网络设备;16.1-第一协议分析单元;16.2-第二协议分析单元;17.1-第一入侵检测单元;17.2-第二入侵检测单元;18.1-第一访问控制单元;19.1-第一合规检查单元;19.2-第二合规检查单元。
具体实施方式:
为使得本发明的目的、特征、优点能够更加的明显和易懂,下面将结合本发明具体实施例中的附图,对本发明中的技术方案进行清楚、完整地描述。
如图1所示,本发明提供一种国产网络安全隔离与单向导入***,包括外部处理模块1、隔离交换模块2以及内部处理模块3;
外部处理模块1包括外部处理器4.1,外部处理器4.1连接有外部FPGA 5.1和第一网络接口6.1,外部FPGA 5.1连接有第一发送光电传感器7.1;外部处理器采用国产申威处理器;
内部处理模块3包括内部处理器4.2,内部处理器4.2连接有内部FPGA 5.2和第二网络接口6.2,内部FPGA 5.2连接有第二接收光电传感器8.2;内部处理器采用国产申威处理器;
外部处理模块和内部处理模块均还包括板级管理芯片、管理串口、热备串口、DDR内存、桥片以及电源;
第一网络接口6.1连接有低密级网络设备14,第二网络接口6.2连接有高密级网络设备15;
隔离交换模块2包括外部隔离交换模块9和内部隔离交换模块10;
外部隔离交换模块9包括第一接收光电传感器8.1,第一接收光电传感器8.1连接有第一安全隔离单元11.1,第一安全隔离单元11.1连接有第一交换单元12;
内部隔离交换模块10包括第二发送光电传感器7.2,第二发送光电传感器7.2连接有第二安全隔离单元11.2,第二安全隔离单元11.2连接有第二交换单元13;
第一发送光电传感器7.1与第一接收光电传感器8.1通过单向光纤连接;
第二发送光电传感器7.2与第二接收光电传感器8.2通过单向光纤连接;
第一交换单元12与第二交换单元13连接;
第一交换单元12包括第一存储器12.1和第一开关12.2,第一开关12.2连接有第一开关控制器12.3;第一交换单元12采用交换芯片;
第二交换单元13包括第二存储器13.1和第二开关13.2,第二开关13.2连接有第二开关控制器13.3;第二交换单元13采用交换芯片;
第一开关12.2和第二开关13.2均包括固定端、开关一端和开关二端;第一开关12.2的固定端连接第一存储器12.1,第一开关12.2的开关一端连接第一安全隔离单元11.1;
第二开关13.2的固定端连接第二存储器13.1,第二开关13.2的开关一端连接第二安全隔离单元11.2;
第一开关12.2的开关二端与第二开关13.2的开关二端连接;
如图2所示,外部处理器4.1包括第一协议分析单元16.1、第一入侵检测单元17.1、第一访问控制单元18.1以及第一合规检查单元19.1;
第一协议分析单元16.1,用于对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为第一入侵检测单元17.1、第一访问控制单元18.1提供完整的网络数据信息;
第一入侵检测单元17.1,用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
第一访问控制单元18.1,用于对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
第一合规检查单元19.1,用于根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元11.1进行处理;
第一安全隔离单元11.1,用于根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元12; 第一安全隔离单元11.1采用安全隔离芯片,通过多线程并行固化处理将合法数据转化为私有协议格式的数据包;
第一交换单元12,用于外部隔离交换模块9的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元11.1通过第一开关12.2连接第一存储器12.1;
数据交换时,第一存储器12.1通过第一开关12.2连接第二开关12.2,切断TCP/IP协议通讯,形成网络数据的单向导入;
第二交换单元13,用于内部隔离交换模块10的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器13.1通过第二开关12.2连接第一开关12.2,切断TCP/IP协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器13.1通过第二开关13.2连接第二安全隔离单元11.2;
第二安全隔离单元11.2,用于将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器4.2;第二安全隔离单元11.2采用安全隔离芯片,通过多线程并行固化处理将合法数据转化为私有协议格式的数据包;
如图3所示,内部处理器4.2包括第二协议分析单元16.2、第二入侵检测单元17.2、第二访问控制单元18.2以及第二合规检查单元19.2;
第二合规检查单元19.2,用于根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元18.1进行处理;
第二访问控制单元18.2,用于对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
第二入侵检测单元17.2,用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
第二协议分析单元16.2,用于对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为高密集网络设备15提供完整的网络数据信息 。
如图4所示,本发明提供的一种国产网络完全隔离与单向导入方法,包括如下步骤:
步骤1. 外部处理器对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,提供完整的网络数据信息;
步骤2. 外部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
步骤3. 外部处理器对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
步骤4. 外部处理器根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元进行处理;
步骤5. 第一安全隔离单元根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元;
步骤6. 外部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元通过第一开关连接第一存储器;
数据交换时,第一存储器通过第一开关连接第二开关,切断TCP/IP协议通讯,形成网络数据的单向导入;
步骤7. 内部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器通过第二开关连接第一开关,切断TCP/IP协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器通过第二开关连接第二安全隔离单元;
步骤8. 第二安全隔离单元将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器;
步骤9.内部处理器根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元进行处理;
步骤10. 内部处理器对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
步骤11. 内部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
步骤12. 内部处理器对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为高密集网络设备提供完整的网络数据信息。
本发明的实施例是说明性的,而非限定性的,上述实施例只是帮助理解本发明,因此本发明不限于具体实施方式中所述的实施例,凡是由本领域技术人员根据本发明的技术方案得出的其他的具体实施方式,同样属于本发明保护的范围。

Claims (9)

1.一种国产网络安全隔离与单向导入***,其特征在于,包括外部处理模块(1)、隔离交换模块(2)以及内部处理模块(3);
外部处理模块(1)包括外部处理器(4.1),外部处理器(4.1)连接有外部FPGA(5.1)和第一网络接口(6.1),外部FPGA(5.1)连接有第一发送光电传感器(7.1);
内部处理模块(3)包括内部处理器(4.2),内部处理器(4.2)连接有内部FPGA(5.2)和第二网络接口(6.2),内部FPGA(5.2)连接有第二接收光电传感器(8.2);
第一网络接口(6.1)连接有低密级网络设备(14),第二网络接口(6.2)连接有高密级网络设备(15);
隔离交换模块(2)包括外部隔离交换模块(9)和内部隔离交换模块(10);
外部隔离交换模块(9)包括第一接收光电传感器(8.1),第一接收光电传感器(8.1)连接有第一安全隔离单元(11.1),第一安全隔离单元(11.1)连接有第一交换单元(12);
内部隔离交换模块(10)包括第二发送光电传感器(7.2),第二发送光电传感器(7.2)连接有第二安全隔离单元(11.2),第二安全隔离单元(11.2)连接有第二交换单元(13);
第一发送光电传感器(7.1)与第一接收光电传感器(8.1)通过单向光纤连接;
第二发送光电传感器(7.2)与第二接收光电传感器(8.2)通过单向光纤连接;
第一交换单元(12)与第二交换单元(13)连接。
2.如权利要求1所述的一种国产网络安全隔离与单向导入***,其特征在于,第一交换单元(12)包括第一存储器(12.1)和第一开关(12.2),第一开关(12.2)连接有第一开关控制器(12.3);
第二交换单元(13)包括第二存储器(13.1)和第二开关(13.2),第二开关(13.2)连接有第二开关控制器(13.3);
第一开关(12.2)和第二开关(13.2)均包括固定端、开关一端和开关二端;第一开关(12.2)的固定端连接第一存储器(12.1),第一开关(12.2)的开关一端连接第一安全隔离单元(11.1);
第二开关(13.2)的固定端连接第二存储器(13.1),第二开关(13.2)的开关一端连接第二安全隔离单元(11.2);
第一开关(12.2)的开关二端与第二开关(13.2)的开关二端连接。
3.如权利要求2所述的一种国产网络安全隔离与单向导入***,其特征在于,外部处理器(4.1)包括第一协议分析单元(16.1)、第一入侵检测单元(17.1)、第一访问控制单元(18.1)以及第一合规检查单元(19.1);
第一协议分析单元(16.1),用于对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为第一入侵检测单元(17.1)、第一访问控制单元(18.1)提供完整的网络数据信息;
第一入侵检测单元(17.1),用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
第一访问控制单元(18.1),用于对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
第一合规检查单元(19.1),用于根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元(11.1)进行处理。
4.如权利要求3所述的一种国产网络安全隔离与单向导入***,其特征在于,
第一安全隔离单元(11.1),用于根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元(12);
第一交换单元(12),用于外部隔离交换模块(9)的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元(11.1)通过第一开关(12.2)连接第一存储器(12.1);
数据交换时,第一存储器(12.1)通过第一开关(12.2)连接第二开关(12.2),切断TCP/IP协议通讯,形成网络数据的单向导入;
第二交换单元(13),用于内部隔离交换模块(10)的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器(13.1)通过第二开关(12.2)连接第一开关(12.2),切断TCP/IP协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器(13.1)通过第二开关(13.2)连接第二安全隔离单元(11.2);
第二安全隔离单元(11.2),用于将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器(4.2)。
5.如权利要求4所述的一种国产网络安全隔离与单向导入***,其特征在于,
内部处理器(4.2)包括第二协议分析单元(16.2)、第二入侵检测单元(17.2)、第二访问控制单元(18.2)以及第二合规检查单元(19.2);
第二合规检查单元(19.2),用于根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元(18.1)进行处理;
第二访问控制单元(18.2),用于对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
第二入侵检测单元(17.2),用于对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
第二协议分析单元(16.2),用于对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为高密集网络设备(15)提供完整的网络数据信息。
6.如权利要求1所述的一种国产网络安全隔离与单向导入***,其特征在于,第一安全隔离单元(11.1)与第二安全隔离单元(11.2)均采用安全隔离芯片,安全隔离芯片通过多线程并行固化处理将合法数据转化为私有协议格式的数据包;
第一交换单元(12)和第二交换单元(13)均采用交换芯片。
7.如权利要求1所述的一种国产网络安全隔离与单向导入***,其特征在于,外部处理器和内部处理器均采用国产申威处理器。
8.如权利要求1所述的一种国产网络安全隔离与单向导入***,其特征在于,外部处理模块和内部处理模块均还包括板级管理芯片、管理串口、热备串口、DDR内存、桥片以及电源。
9.一种基于上述权利要求1-8的国产网络完全隔离与单向导入方法,其特征在于,包括如下步骤:
步骤1. 外部处理器对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,提供完整的网络数据信息;
步骤2. 外部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
步骤3. 外部处理器对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
步骤4. 外部处理器根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第一安全隔离单元进行处理;
步骤5. 第一安全隔离单元根据网络数据包属性信息、数据内容进行数据私有格式化处理,并将私有格式化后数据交由第一交换单元;
步骤6. 外部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第一安全隔离单元通过第一开关连接第一存储器;
数据交换时,第一存储器通过第一开关连接第二开关,切断TCP/IP协议通讯,形成网络数据的单向导入;
步骤7. 内部隔离交换模块的数据的临时缓存和安全交换;
数据临时缓存时,第二存储器通过第二开关连接第一开关,切断TCP/IP协议通讯,形成网络数据的单向导入;
数据交换时,第二存储器通过第二开关连接第二安全隔离单元;
步骤8. 第二安全隔离单元将私有格式化数据进行处理,形成带有属性信息和数据内容的网络数据包,提供给内部处理器;
步骤9.内部处理器根据***白名单策略和数据密级标识信息,判断数据处理策略并执行;若数据包不合规,则禁止数据包通过;若数据包合规,则允许数据包通过,将数据包交第二访问控制单元进行处理;
步骤10. 内部处理器对网络数据进行基于网络报文源IP、目的IP、源端口、目的端口、时间、服务、用户、脚本以及MAC地址方式的细粒度的访问控制,对网络数据进行流量管理、连接数控制、IP+MAC绑定以及用户认证;
步骤11. 内部处理器对网络数据进行行为分析、关联分析、流量异常检测以及协议异常检测,对攻击行为进行检测并处理,记录入侵的攻击名称、类型和参考ID;
步骤12. 内部处理器对接收到网络数据包进行协议解析处理,对IP碎片进行重组,对TCP数据流进行重组,为高密集网络设备提供完整的网络数据信息。
CN201810078639.XA 2018-01-26 2018-01-26 一种国产网络安全隔离与单向导入***及方法 Active CN108449310B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810078639.XA CN108449310B (zh) 2018-01-26 2018-01-26 一种国产网络安全隔离与单向导入***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810078639.XA CN108449310B (zh) 2018-01-26 2018-01-26 一种国产网络安全隔离与单向导入***及方法

Publications (2)

Publication Number Publication Date
CN108449310A true CN108449310A (zh) 2018-08-24
CN108449310B CN108449310B (zh) 2020-11-24

Family

ID=63191069

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810078639.XA Active CN108449310B (zh) 2018-01-26 2018-01-26 一种国产网络安全隔离与单向导入***及方法

Country Status (1)

Country Link
CN (1) CN108449310B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111585972A (zh) * 2020-04-16 2020-08-25 网御安全技术(深圳)有限公司 面向网闸的安全防护方法、装置及网络***
CN112671719A (zh) * 2020-12-08 2021-04-16 山东鲁能软件技术有限公司 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法
CN114629730A (zh) * 2022-05-16 2022-06-14 华能国际电力江苏能源开发有限公司 一种区域公司计算机网络安全互联方法及***
CN114788230A (zh) * 2019-12-19 2022-07-22 西门子交通有限责任公司 用于传输数据的传输设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN205318283U (zh) * 2015-12-22 2016-06-15 无锡市同芯恒通科技有限公司 基于申威410处理器和申威套片的专用隔离设备主板
CN105871849A (zh) * 2016-04-05 2016-08-17 山东超越数控电子有限公司 一种防火墙***架构
US20160285913A1 (en) * 2015-03-27 2016-09-29 International Business Machines Corporation Creating network isolation between virtual machines
CN206075195U (zh) * 2016-07-13 2017-04-05 无锡市同芯恒通科技有限公司 基于申威411处理器和申威套片的cpci工控机主板
CN106686005A (zh) * 2017-03-01 2017-05-17 北京博众益友科技有限公司 一种用于工业控制***的安全防护***及防护方法
CN106803826A (zh) * 2017-01-17 2017-06-06 北京科罗菲特科技有限公司 一种数据摆渡装置和方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160285913A1 (en) * 2015-03-27 2016-09-29 International Business Machines Corporation Creating network isolation between virtual machines
CN205318283U (zh) * 2015-12-22 2016-06-15 无锡市同芯恒通科技有限公司 基于申威410处理器和申威套片的专用隔离设备主板
CN105871849A (zh) * 2016-04-05 2016-08-17 山东超越数控电子有限公司 一种防火墙***架构
CN206075195U (zh) * 2016-07-13 2017-04-05 无锡市同芯恒通科技有限公司 基于申威411处理器和申威套片的cpci工控机主板
CN106803826A (zh) * 2017-01-17 2017-06-06 北京科罗菲特科技有限公司 一种数据摆渡装置和方法
CN106686005A (zh) * 2017-03-01 2017-05-17 北京博众益友科技有限公司 一种用于工业控制***的安全防护***及防护方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
唐晋: "网络单向隔离控制***的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
王海洋: "基于光纤的数据单向传输***设计与实现", 《第26次全国计算机安全学术交流会论文集》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114788230A (zh) * 2019-12-19 2022-07-22 西门子交通有限责任公司 用于传输数据的传输设备
CN111585972A (zh) * 2020-04-16 2020-08-25 网御安全技术(深圳)有限公司 面向网闸的安全防护方法、装置及网络***
CN112671719A (zh) * 2020-12-08 2021-04-16 山东鲁能软件技术有限公司 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法
CN114629730A (zh) * 2022-05-16 2022-06-14 华能国际电力江苏能源开发有限公司 一种区域公司计算机网络安全互联方法及***
CN114629730B (zh) * 2022-05-16 2022-08-12 华能国际电力江苏能源开发有限公司 一种区域公司计算机网络安全互联方法及***

Also Published As

Publication number Publication date
CN108449310B (zh) 2020-11-24

Similar Documents

Publication Publication Date Title
CN108449310A (zh) 一种国产网络安全隔离与单向导入***及方法
CN103491072B (zh) 一种基于双单向隔离网闸的边界访问控制方法
CN105282169B (zh) 基于SDN控制器阈值的DDoS攻击预警方法及其***
CN100464548C (zh) 一种阻断蠕虫攻击的***和方法
CN108494729B (zh) 一种零信任模型实现***
CN107979562A (zh) 一种基于云平台的混合型蜜罐动态部署***
CN103795735B (zh) 安全设备、服务器及服务器信息安全实现方法
US20080301810A1 (en) Monitoring apparatus and method therefor
US20130198845A1 (en) Monitoring a wireless network for a distributed denial of service attack
CN110071929A (zh) 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法
CN105024977A (zh) 基于数字水印和蜜罐技术的网络追踪***
CN106534168A (zh) 基于fpga的tcpip协议栈安全化处理***
KR20110037645A (ko) 분산 서비스 거부 방어 장치 및 그 방법
CN102026199B (zh) 一种WiMAX***及其防御DDoS攻击的装置和方法
Xing et al. Research on the defense against ARP spoofing attacks based on Winpcap
CN107248911A (zh) 一种基于地址敲门的扩展序列隐蔽认证方法
CN101483649A (zh) 一种基于fpga的网络安全内容处理卡
CN109165508A (zh) 一种外部设备访问安全控制***及其控制方法
CN110061991A (zh) 一种实现高速公路收费专网安全接入互联网的网关设置方法
CN110324346A (zh) 一种物联网信息安全管理***及方法
CN109309644A (zh) 一种基于双正交载体的网络水印标记方法及***
CN103457953A (zh) 端口安全接入方式下防802.1x协议攻击的处理机制
CN103441952B (zh) 基于多核或众核嵌入式处理器的网络数据包处理方法
CN1326365C (zh) 使用基于硬件的模式匹配的蠕虫阻击***和方法
US20200213355A1 (en) Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 250101 no.2877 Kehang Road, Suncun Town, high tech Zone, Jinan City, Shandong Province

Patentee after: Chaoyue Technology Co.,Ltd.

Address before: 250101 no.2877 Kehang Road, Suncun Town, high tech Zone, Jinan City, Shandong Province

Patentee before: SHANDONG CHAOYUE DATA CONTROL ELECTRONICS Co.,Ltd.

CP01 Change in the name or title of a patent holder