基本信息
- 項目名稱:
- 網(wǎng)絡(luò)安全隔離與文件交換系統(tǒng)
- 小類:
- 信息技術(shù)
- 大類:
- 科技發(fā)明制作A類
- 簡介:
- 網(wǎng)絡(luò)安全隔離與文件交換系統(tǒng)采用多主機隔離的體系結(jié)構(gòu)和專用安全芯片設(shè)計,其中內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)的收發(fā)及預(yù)處理等操作,數(shù)據(jù)遷移模塊采用專用的硬件設(shè)計,在固化的硬件邏輯控制下,通過專有信道,采用私有協(xié)議實現(xiàn)與內(nèi)外網(wǎng)模塊進行數(shù)據(jù)交換,保證任意時刻內(nèi)外網(wǎng)之間沒有物理層和鏈路層以上的連接。一個網(wǎng)絡(luò)上的數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地通過本產(chǎn)品進行“擺渡”,傳送到與該網(wǎng)絡(luò)物理隔離的另一個網(wǎng)絡(luò)中。
- 詳細介紹:
- 隨著電子政務(wù)、電子金融等的普及,如何保障涉密網(wǎng)絡(luò)和非涉密網(wǎng)絡(luò)之間信息交換的安全,如何合理地解決網(wǎng)絡(luò)開放性與安全性之間的矛盾日益成為一個迫切需要解決的問題。隔離網(wǎng)閘是一項企業(yè)級的隔離技術(shù),它的產(chǎn)生正是為了解決網(wǎng)絡(luò)安全中存在的上述問題。 網(wǎng)絡(luò)安全隔離與文件交換系統(tǒng)屬于網(wǎng)閘安全產(chǎn)品中的一種,利用專有硬件實現(xiàn)兩個網(wǎng)絡(luò)在不連通的情況下數(shù)據(jù)的安全交換和資源共享,從而使安全隔離技術(shù)從單純實現(xiàn)“網(wǎng)絡(luò)隔離禁止交換”的安全隔離發(fā)展到“安全隔離和可靠交換”的安全隔離。 關(guān)鍵創(chuàng)新點 1、 實現(xiàn)物理層硬件邏輯數(shù)據(jù)的單向無反饋數(shù)據(jù)傳輸技術(shù),屬信息安全技術(shù)領(lǐng)域。 本作品設(shè)計的跨安全域信息隔離和交換模塊是由獨立于主機系統(tǒng)的微處理器(CPU,如MC51、ARM、Intel Pentium II等)、PCI-E總線接口電路、RAM/ROM存儲器、FLASH快閃存儲器、單向數(shù)據(jù)總線和硬件控制邏輯組成。本項目研究從兩個技術(shù)方面來提高其性能: 1)安全隔離交換模塊的硬件卡均采用PCI-E總線接口實現(xiàn),從而保證在數(shù)據(jù)能從存儲緩沖高速交換到安全隔離交換卡內(nèi)部,突破傳統(tǒng)的PCI總線沖突瓶頸。 2)安全隔離交換卡之間采用32位專用數(shù)據(jù)總線進行連接,數(shù)據(jù)檢驗及差錯控制由獨立的控制總線獨立自動完成,使內(nèi)部數(shù)據(jù)交換帶寬突破2Gbps。 安全隔離交換模塊中安全隔離功能依賴于固化的硬件邏輯實現(xiàn),通過控制接口電路物理斷開與內(nèi)網(wǎng)或外網(wǎng)的連接通道,以保證在任一時刻內(nèi)外網(wǎng)絡(luò)之間沒有直接連通,且該控制操作是無法被改變的。 2、基于混沌數(shù)字加密的安全數(shù)據(jù)遷移技術(shù)方案,屬信息安全技術(shù)領(lǐng)域。 本作品對有限精度條件下數(shù)字混沌的動力學(xué)退化、連續(xù)實數(shù)集上的混沌映射的離散化等問題加以研究,構(gòu)造出跨安全域信息隔離和交換的高效混沌加密算法,將混沌數(shù)字簽名和事務(wù)處理技術(shù)引入內(nèi)外網(wǎng)數(shù)據(jù)遷移和交換平臺, 采用專門定制的數(shù)字混沌加密安全方案,所有不需要的功能全部被裁減,完全為安全隔離與信息交換系統(tǒng)量身定制,具有極高的安全性。 3、跨安全域的客戶端主機內(nèi)網(wǎng)系列管理技術(shù),屬于信息安全技術(shù)領(lǐng)域。 本作品設(shè)計不同網(wǎng)絡(luò)安全域環(huán)境聯(lián)網(wǎng)設(shè)備級聯(lián)監(jiān)控管理方案:客戶端設(shè)備級聯(lián)監(jiān)控管理體系,按全網(wǎng)統(tǒng)一監(jiān)控策略實現(xiàn)了分布式監(jiān)控,統(tǒng)一管理、統(tǒng)一策略、分布處理。系統(tǒng)設(shè)計了策略管理中心,建立了多級策略分發(fā)機制,實現(xiàn)了監(jiān)控策略自動更新和監(jiān)控軟件的自動升級。系統(tǒng)具備良好的擴展性,可根據(jù)需要平滑擴展,系統(tǒng)同時具備了靈活的分級授權(quán)功能,可自定義不同操作人員的權(quán)限。 4、異構(gòu)數(shù)據(jù)源多模式集成適配技術(shù),屬信息安全技術(shù)領(lǐng)域。 本作品基于軟件總線方式,設(shè)計基于異構(gòu)數(shù)據(jù)源多模式集成適配技術(shù)的適配器插件,構(gòu)成多適配Agent系統(tǒng)。適配器是數(shù)據(jù)交換的入口,參與數(shù)據(jù)交換的數(shù)據(jù)源都通過適配器進入數(shù)據(jù)交換平臺。適配器管理應(yīng)用服務(wù)器系統(tǒng)采用SOA架構(gòu),對外提供開放消息傳輸接口,能夠支持多種消息中間件和消息系統(tǒng),實現(xiàn)跨系統(tǒng)、跨數(shù)據(jù)源的獲取、傳遞、接收、處理、反饋等處理過程,可完成異構(gòu)系統(tǒng)之間的消息傳遞、數(shù)據(jù)交換等復(fù)雜過程,從而實現(xiàn)應(yīng)用系統(tǒng)功能交互、數(shù)據(jù)交換。
作品專業(yè)信息
設(shè)計、發(fā)明的目的和基本思路、創(chuàng)新點、技術(shù)關(guān)鍵和主要技術(shù)指標
- 一、發(fā)明目的和基本思路: 本作品屬于信息安全技術(shù)領(lǐng)域。為了信息安全,需要在不同安全等級網(wǎng)絡(luò)(即跨安全域)之間實現(xiàn)數(shù)據(jù)隔離與交換,來自互聯(lián)網(wǎng)收集的信息遷移到安全級別較高的內(nèi)部網(wǎng)絡(luò)時,也需要數(shù)據(jù)安全隔離與交換。本作品針對跨安全域數(shù)據(jù)交換過程中存在嚴重安全隱患,重點研究基于網(wǎng)絡(luò)的數(shù)據(jù)傳輸、基于移動存儲設(shè)備的數(shù)據(jù)交換以及跨安全域數(shù)據(jù)的內(nèi)網(wǎng)安全管理等關(guān)鍵技術(shù),研發(fā)了一種在不同安全域、主機系統(tǒng)之間實現(xiàn)安全隔離和數(shù)據(jù)交換的軟硬件系統(tǒng),解決不同網(wǎng)絡(luò)安全等級保護制度及重點網(wǎng)絡(luò)對物理隔離環(huán)境下文件安全交換的難題。 二、創(chuàng)新點: 1、 實現(xiàn)物理層硬件邏輯數(shù)據(jù)的單向無反饋數(shù)據(jù)傳輸技術(shù),屬信息安全技術(shù)領(lǐng)域。 2、基于混沌數(shù)字加密的安全數(shù)據(jù)遷移技術(shù)方案,屬信息安全技術(shù)領(lǐng)域。 3、跨安全域的客戶端主機內(nèi)網(wǎng)系列管理技術(shù),屬于信息安全技術(shù)領(lǐng)域。 4、異構(gòu)數(shù)據(jù)源多模式集成適配技術(shù),屬信息安全技術(shù)領(lǐng)域。 三、關(guān)鍵技術(shù): 1、基于跨安全域的數(shù)據(jù)傳輸 2、基于移動存儲設(shè)備數(shù)據(jù)交換 3、基于跨安全域的內(nèi)網(wǎng)數(shù)據(jù)安全保護 四、主要技術(shù)指標: (1)Linux專用安全操作系統(tǒng)(2)硬件配置(3)軟件模塊(4)電氣性能(5)性能指標(6)物理環(huán)境(7)產(chǎn)品接口
科學(xué)性、先進性
- 本作品設(shè)計的跨安全域信息隔離和交換模塊是由獨立于主機系統(tǒng)的微處理器(CPU,如MC51、ARM、Intel Pentium II等)、PCI-E總線接口電路、RAM/ROM存儲器、FLASH快閃存儲器、單向數(shù)據(jù)總線和硬件控制邏輯組成。 傳統(tǒng)的數(shù)據(jù)防護系統(tǒng)都是基于軟件實現(xiàn)的,軟件必須運行在主機上,當(dāng)主機環(huán)境受到安全威脅時,數(shù)據(jù)防護系統(tǒng)也難以保證數(shù)據(jù)的安全。為此,項目組提出了將數(shù)據(jù)防護功能內(nèi)置于基于USB的移動存儲介質(zhì)中,將數(shù)據(jù)的存儲、傳輸和安全防護集于一體,從根本上保障數(shù)據(jù)的可靠傳輸和交換。系統(tǒng)由軟件層及硬件層組成,軟件運行于宿主機,通過內(nèi)置的文件系統(tǒng)、日志文件系統(tǒng)、改進的USB Mass Storage協(xié)議實現(xiàn)對硬件層的控制。硬件層體現(xiàn)為一個U盤的形式,內(nèi)置USB接口控制芯片、存儲芯片、IC芯片(可選)及加解密芯片(可選)實現(xiàn)數(shù)據(jù)的安全存儲及安全訪問控制,該系統(tǒng)為存儲器與PC間的數(shù)據(jù)傳輸提供了唯一的傳輸通道,保證了數(shù)據(jù)傳輸安全。
獲獎情況及鑒定結(jié)果
- 無
作品所處階段
- 生產(chǎn)階段
技術(shù)轉(zhuǎn)讓方式
- 無
作品可展示的形式
- 實物、產(chǎn)品
使用說明,技術(shù)特點和優(yōu)勢,適應(yīng)范圍,推廣前景的技術(shù)性說明,市場分析,經(jīng)濟效益預(yù)測
- 一、本系統(tǒng)特點: 高安全性:安全隔離與文件交換系統(tǒng)的數(shù)據(jù)遷移模塊通過隔離遷移卡實現(xiàn)內(nèi)外處理模塊的安全隔離。隔離遷移卡采用專有安全芯片設(shè)計,具有如下特點: ▲專有芯片實現(xiàn)交換協(xié)議 ▲硬件獨立控制邏輯 ▲可靠傳輸 ▲單向雙通交換技術(shù) 高智能性:通過對硬件和軟件的獨特設(shè)計,實現(xiàn)了系統(tǒng)對用戶的透明,充分體現(xiàn)了系統(tǒng)的智能性。具體有如下特點: ▲硬件自動協(xié)商 ▲專有協(xié)議交換 ▲數(shù)據(jù)分片重組 ▲多種應(yīng)用支持 高效性:高速隔離交換卡是系統(tǒng)的硬件核心。高速隔離遷移卡采用專有安全隔離芯片設(shè)計,內(nèi)部設(shè)計高速數(shù)據(jù)總線接口和獨立的控制線,采用專用硬件隔離交換模塊,實現(xiàn)DMA通道流水線數(shù)據(jù)傳輸技術(shù),最大限度發(fā)揮總線帶寬。 二、系統(tǒng)應(yīng)用范疇 網(wǎng)絡(luò)安全隔離與文件交換系統(tǒng)最主要的客戶群是需要大量、實時地在兩個互相物理隔離的網(wǎng)絡(luò)之間遷移數(shù)據(jù)的對外政務(wù)服務(wù)的各行業(yè)單位,或者是有大量的數(shù)據(jù)在互聯(lián)網(wǎng)上需要將其實時遷移到內(nèi)網(wǎng)中進行存儲和再處理工作的各行業(yè)單位。
同類課題研究水平概述
- 安全隔離技術(shù)首先出現(xiàn)在國外,在上世紀90年代中期俄羅斯人Ry Jones首先提出“AirGap”隔離概念,其后,以色列首先研制成功物理隔離卡,實現(xiàn)網(wǎng)絡(luò)之間的安全隔離;其后,美國Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap產(chǎn)品,利用專有硬件實現(xiàn)兩個網(wǎng)絡(luò)在不連通的情況下數(shù)據(jù)的安全交換和資源共享,從而使安全隔離技術(shù)從單純實現(xiàn)“網(wǎng)絡(luò)隔離禁止交換”的安全隔離發(fā)展到“安全隔離和可靠交換”的安全隔離。目前,美國軍方、重要政府部門均采用隔離技術(shù)保障信息安全。我國的安全隔離技術(shù)的發(fā)展同樣經(jīng)歷了類似的過程。 2000年1月1日,國家保密局發(fā)布實施《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》明確要求“涉及國家秘密的計算機信息系統(tǒng),不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連,必須實行物理隔離”。該規(guī)定在互聯(lián)網(wǎng)發(fā)展初期,具有前瞻性地提出了政府上網(wǎng)必須“物理隔離”,及時地將政府上網(wǎng)安全提到一個重要高度,具有重大意義。并由此而催生出安全隔離計算機、安全隔離卡等系列安全隔離安全產(chǎn)品。 網(wǎng)絡(luò)安全隔離與文件交換系統(tǒng)采用多主機隔離的體系結(jié)構(gòu)和專用安全芯片設(shè)計,其中內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)的收發(fā)及預(yù)處理等操作,數(shù)據(jù)遷移模塊采用專用的硬件設(shè)計,在固化的硬件邏輯控制下,通過專有信道,采用私有協(xié)議實現(xiàn)與內(nèi)外網(wǎng)模塊進行數(shù)據(jù)交換,保證任意時刻內(nèi)外網(wǎng)之間沒有物理層和鏈路層以上的連接。一個網(wǎng)絡(luò)上的數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地通過本產(chǎn)品進行“擺渡”,傳送到與該網(wǎng)絡(luò)物理隔離的另一個網(wǎng)絡(luò)中。同時,本產(chǎn)品集成了多種安全技術(shù)手段,采用強制安全策略,可擴展支持病毒查殺模塊,對數(shù)據(jù)內(nèi)容進行安全檢測,保障數(shù)據(jù)安全、可靠地交換。