基本信息
- 项目名称:
- 网络安全隔离与文件交换系统
- 来源:
- 第十二届“挑战杯”省赛作品
- 小类:
- 信息技术
- 大类:
- 科技发明制作A类
- 简介:
- 网络安全隔离与文件交换系统采用多主机隔离的体系结构和专用安全芯片设计,其中内外网模块连接相应网络实现数据的收发及预处理等操作,数据迁移模块采用专用的硬件设计,在固化的硬件逻辑控制下,通过专有信道,采用私有协议实现与内外网模块进行数据交换,保证任意时刻内外网之间没有物理层和链路层以上的连接。一个网络上的数据只能以专用数据块方式静态地通过本产品进行“摆渡”,传送到与该网络物理隔离的另一个网络中。
- 详细介绍:
- 随着电子政务、电子金融等的普及,如何保障涉密网络和非涉密网络之间信息交换的安全,如何合理地解决网络开放性与安全性之间的矛盾日益成为一个迫切需要解决的问题。隔离网闸是一项企业级的隔离技术,它的产生正是为了解决网络安全中存在的上述问题。 网络安全隔离与文件交换系统属于网闸安全产品中的一种,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”的安全隔离发展到“安全隔离和可靠交换”的安全隔离。 关键创新点 1、 实现物理层硬件逻辑数据的单向无反馈数据传输技术,属信息安全技术领域。 本作品设计的跨安全域信息隔离和交换模块是由独立于主机系统的微处理器(CPU,如MC51、ARM、Intel Pentium II等)、PCI-E总线接口电路、RAM/ROM存储器、FLASH快闪存储器、单向数据总线和硬件控制逻辑组成。本项目研究从两个技术方面来提高其性能: 1)安全隔离交换模块的硬件卡均采用PCI-E总线接口实现,从而保证在数据能从存储缓冲高速交换到安全隔离交换卡内部,突破传统的PCI总线冲突瓶颈。 2)安全隔离交换卡之间采用32位专用数据总线进行连接,数据检验及差错控制由独立的控制总线独立自动完成,使内部数据交换带宽突破2Gbps。 安全隔离交换模块中安全隔离功能依赖于固化的硬件逻辑实现,通过控制接口电路物理断开与内网或外网的连接通道,以保证在任一时刻内外网络之间没有直接连通,且该控制操作是无法被改变的。 2、基于混沌数字加密的安全数据迁移技术方案,属信息安全技术领域。 本作品对有限精度条件下数字混沌的动力学退化、连续实数集上的混沌映射的离散化等问题加以研究,构造出跨安全域信息隔离和交换的高效混沌加密算法,将混沌数字签名和事务处理技术引入内外网数据迁移和交换平台, 采用专门定制的数字混沌加密安全方案,所有不需要的功能全部被裁减,完全为安全隔离与信息交换系统量身定制,具有极高的安全性。 3、跨安全域的客户端主机内网系列管理技术,属于信息安全技术领域。 本作品设计不同网络安全域环境联网设备级联监控管理方案:客户端设备级联监控管理体系,按全网统一监控策略实现了分布式监控,统一管理、统一策略、分布处理。系统设计了策略管理中心,建立了多级策略分发机制,实现了监控策略自动更新和监控软件的自动升级。系统具备良好的扩展性,可根据需要平滑扩展,系统同时具备了灵活的分级授权功能,可自定义不同操作人员的权限。 4、异构数据源多模式集成适配技术,属信息安全技术领域。 本作品基于软件总线方式,设计基于异构数据源多模式集成适配技术的适配器插件,构成多适配Agent系统。适配器是数据交换的入口,参与数据交换的数据源都通过适配器进入数据交换平台。适配器管理应用服务器系统采用SOA架构,对外提供开放消息传输接口,能够支持多种消息中间件和消息系统,实现跨系统、跨数据源的获取、传递、接收、处理、反馈等处理过程,可完成异构系统之间的消息传递、数据交换等复杂过程,从而实现应用系统功能交互、数据交换。
作品专业信息
设计、发明的目的和基本思路、创新点、技术关键和主要技术指标
- 一、发明目的和基本思路: 本作品属于信息安全技术领域。为了信息安全,需要在不同安全等级网络(即跨安全域)之间实现数据隔离与交换,来自互联网收集的信息迁移到安全级别较高的内部网络时,也需要数据安全隔离与交换。本作品针对跨安全域数据交换过程中存在严重安全隐患,重点研究基于网络的数据传输、基于移动存储设备的数据交换以及跨安全域数据的内网安全管理等关键技术,研发了一种在不同安全域、主机系统之间实现安全隔离和数据交换的软硬件系统,解决不同网络安全等级保护制度及重点网络对物理隔离环境下文件安全交换的难题。 二、创新点: 1、 实现物理层硬件逻辑数据的单向无反馈数据传输技术,属信息安全技术领域。 2、基于混沌数字加密的安全数据迁移技术方案,属信息安全技术领域。 3、跨安全域的客户端主机内网系列管理技术,属于信息安全技术领域。 4、异构数据源多模式集成适配技术,属信息安全技术领域。 三、关键技术: 1、基于跨安全域的数据传输 2、基于移动存储设备数据交换 3、基于跨安全域的内网数据安全保护 四、主要技术指标: (1)Linux专用安全操作系统(2)硬件配置(3)软件模块(4)电气性能(5)性能指标(6)物理环境(7)产品接口
科学性、先进性
- 本作品设计的跨安全域信息隔离和交换模块是由独立于主机系统的微处理器(CPU,如MC51、ARM、Intel Pentium II等)、PCI-E总线接口电路、RAM/ROM存储器、FLASH快闪存储器、单向数据总线和硬件控制逻辑组成。 传统的数据防护系统都是基于软件实现的,软件必须运行在主机上,当主机环境受到安全威胁时,数据防护系统也难以保证数据的安全。为此,项目组提出了将数据防护功能内置于基于USB的移动存储介质中,将数据的存储、传输和安全防护集于一体,从根本上保障数据的可靠传输和交换。系统由软件层及硬件层组成,软件运行于宿主机,通过内置的文件系统、日志文件系统、改进的USB Mass Storage协议实现对硬件层的控制。硬件层体现为一个U盘的形式,内置USB接口控制芯片、存储芯片、IC芯片(可选)及加解密芯片(可选)实现数据的安全存储及安全访问控制,该系统为存储器与PC间的数据传输提供了唯一的传输通道,保证了数据传输安全。
获奖情况及鉴定结果
- 无
作品所处阶段
- 生产阶段
技术转让方式
- 无
作品可展示的形式
- 实物、产品
使用说明,技术特点和优势,适应范围,推广前景的技术性说明,市场分析,经济效益预测
- 一、本系统特点: 高安全性:安全隔离与文件交换系统的数据迁移模块通过隔离迁移卡实现内外处理模块的安全隔离。隔离迁移卡采用专有安全芯片设计,具有如下特点: ▲专有芯片实现交换协议 ▲硬件独立控制逻辑 ▲可靠传输 ▲单向双通交换技术 高智能性:通过对硬件和软件的独特设计,实现了系统对用户的透明,充分体现了系统的智能性。具体有如下特点: ▲硬件自动协商 ▲专有协议交换 ▲数据分片重组 ▲多种应用支持 高效性:高速隔离交换卡是系统的硬件核心。高速隔离迁移卡采用专有安全隔离芯片设计,内部设计高速数据总线接口和独立的控制线,采用专用硬件隔离交换模块,实现DMA通道流水线数据传输技术,最大限度发挥总线带宽。 二、系统应用范畴 网络安全隔离与文件交换系统最主要的客户群是需要大量、实时地在两个互相物理隔离的网络之间迁移数据的对外政务服务的各行业单位,或者是有大量的数据在互联网上需要将其实时迁移到内网中进行存储和再处理工作的各行业单位。
同类课题研究水平概述
- 安全隔离技术首先出现在国外,在上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念,其后,以色列首先研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”的安全隔离发展到“安全隔离和可靠交换”的安全隔离。目前,美国军方、重要政府部门均采用隔离技术保障信息安全。我国的安全隔离技术的发展同样经历了类似的过程。 2000年1月1日,国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。该规定在互联网发展初期,具有前瞻性地提出了政府上网必须“物理隔离”,及时地将政府上网安全提到一个重要高度,具有重大意义。并由此而催生出安全隔离计算机、安全隔离卡等系列安全隔离安全产品。 网络安全隔离与文件交换系统采用多主机隔离的体系结构和专用安全芯片设计,其中内外网模块连接相应网络实现数据的收发及预处理等操作,数据迁移模块采用专用的硬件设计,在固化的硬件逻辑控制下,通过专有信道,采用私有协议实现与内外网模块进行数据交换,保证任意时刻内外网之间没有物理层和链路层以上的连接。一个网络上的数据只能以专用数据块方式静态地通过本产品进行“摆渡”,传送到与该网络物理隔离的另一个网络中。同时,本产品集成了多种安全技术手段,采用强制安全策略,可扩展支持病毒查杀模块,对数据内容进行安全检测,保障数据安全、可靠地交换。