本實用新型專利技術涉及一種內外網隔離和數據交換裝置,能使網絡作為一個統一的整體,最大限度地阻止非法指令在內外網系統之間的傳遞的裝置。屬計算機信息安全領域。包括網絡間隔離和數據交換裝置、雙硬盤工作站硬盤間隔離裝置、單硬盤工作站硬盤內分區間隔離裝置、網線隔離裝置四個有機組成部分,四者之間通過計算機標準接口和網線相連。雙硬盤工作站硬盤間隔離裝置,通過一組內外網選擇聯動開關切換硬盤一根電源線或一根數據線。單硬盤內分區間隔離卡攔截譯碼硬盤指令。隔離軟件向硬盤發出設置最大地址、設置最大地址凍結鎖定指令。網絡間隔離和數據交換裝置,與內外網只通過傳輸接口物理相連,只交換純文本類的數據信息。(*該技術在2014年保護過期,可自由使用*)
【技術實現步驟摘要】
本技術涉及一種內外網隔離和數據交換裝置,尤其是能使網絡作為一個統一的整體,最大限度地阻止非法指令在內外網系統之間的傳遞的裝置。屬計算機信息安全領域。
技術介紹
目前,計算機安全領域的技術措施可分為兩大類,一類是基于“特征庫”的,如防病毒軟件;一類是基于“堵漏洞”的,如防火墻、網閘、隔離卡等。兩者均未能最大限度地阻止非法指令在內外網系統之間的傳遞。這是因為,非法指令在內外網系統之間的傳遞途徑有兩種,一種是通過內外網主CPU之間的直接通信傳遞,如各種各層通信協議;一種是通過在內外網交換的應用層數據信息中嵌入可執行代碼傳遞,如嵌入在文件或數據塊中可被正常程序加載執行的程序代碼。所以,不論是與內外網存在通信連接的網閘等硬件產品,還是難于提取可執行代碼“特征庫”的軟件產品,都難以證明不存在安全隱患。而只用于單機且不具備數據交換功能的工作站隔離產品,只是在軟件層次上的邏輯隔離而非物理隔離,或者是在雙硬盤間實現物理切換卻使切換裝置過于復雜,而且由于被切換的硬盤數據線數多速高,容易存在隱患。另外,計算機既已組成為網絡,網絡作為一個統一的整體,應當在各個主要部位同時采取安全措施,缺一不可,目前各自分立的產品難以滿足網絡安全的需要。
技術實現思路
為了克服現有的產品不能最大限度地阻止非法指令在內外網系統之間傳遞的不足,本技術提供一種內外網隔離和數據交換裝置,該裝置不僅在工作站上實現了內外網物理隔離,而且在網絡間切斷了非法指令在內外網系統之間的傳遞途徑,使網絡作為一個統一的整體,能最大限度地阻上非法指令在內外網系統之間的傳遞。本技術解決其技術問題所采用的技術方案是內外網隔離和數據交換裝置,連接內外網絡,包括內外網綜合隔離和數據交換裝置,包括網絡間隔離和數據交換裝置、雙硬盤工作站硬盤間隔離裝置、單硬盤工作站硬盤內分區間隔離裝置、網線隔離裝置四個有機組成部分,四者之間通過計算機標準接口和網線相連。所說通過計算機標準接口和網線相連,是指未在網絡中引入特殊的硬件設備和操作系統,不改變網絡結構,這與公知的產品要在網絡中引入特殊的硬件設備和操作系統不同,因此本技術也就具有了安全原理容易證明,成本低,容易實現的優越性。內外網隔離和數據交換裝置,包括雙硬盤工作站硬盤間隔離裝置,一個開關分別連接一個硬盤的電源線和另一個硬盤的電源線或者一個開關分別連接一個硬盤的數據線和另一個硬盤的數據線,開關的公共端對應連接工作站硬盤電源的電源線或工作站硬盤接口的數據線。內外網隔離和數據交換裝置,包括網線隔離裝置,一個開關分別連接內網網線的數據發送線或接收線,開關的公共端對應連接工作站網絡接口的數據發送線或接收線。實際上,雙硬盤工作站硬盤間隔離裝置、網線隔離裝置可集成于一組內外網選擇聯動開關,開關1分別連接硬盤1的一根電源線和硬盤2的一根電源線或者開關1分別連接硬盤1的一根數據線和硬盤2的一根數據線,開關2分別連接內網網線的一根數據發送線和外網網線的一根數據發送線,開關3分別連接內網網線的一根數據接收線和外網網線的一根數據接收線,開關1至開關3的公共端分別對應連接工作站硬盤電源的一根電源線或工作站硬盤接口的一根數據線、工作站網絡接口的一根數據發送線、工作站網絡接口的一根數據接收線。目前乙太網線只用第1、2、3、6四根線通信,1對發送(TX+和TX-),1對接收(RX+和RX-),所以只需用開關控制一根數據發送線和一根數據接收線,即可控制乙太網線的通信。最近兩年來生產的主流計算機,都可同時接兩個MAST(主)硬盤當其中一個MAST硬盤加電而另一個MAST硬盤斷電時,從加電的一個MAST硬盤啟動計算機,這正是通過開關控制兩個硬盤的一根電源線實現隔離的基礎。同時,由于早期生產的計算機不支持兩個MAST(主)硬盤同時在線(數據線)時,從一個MAST硬盤啟動計算機,即使另一個MAST硬盤不加電,因此公知的隔離產品,采用了復雜的斷開所有硬盤數據線的技術,但是實際上,只要斷開硬盤數據線中的一根(如,第23根IOW-)即可,這正是通過開關控制兩個硬盤的一根數據線實現隔離的基礎。這樣,雙硬盤工作站硬盤間隔離裝置只需3組雙擲開關即可實現內外物理隔離,結構大大簡化,非常容易實現(例如,只通過1只3刀雙擲鈕子開關即可實現,當然使用電動開關則容易實現智能化)。內外網隔離和數據交換裝置,包括單硬盤工作站硬盤內分區間隔離裝置,它包括硬盤內分區間隔離卡或軟件隔離裝置,隔離卡對計算機系統總線或硬盤接口總線上的指令進行譯碼。軟件隔離裝置,包括存有隔離軟件的存儲介質、被隔離軟件控制的硬盤,二者通過計算機標準接口物理相連,通過隔離軟件執行指令控制硬盤操作邏輯相連。隔離軟件在計算機加電后優先獲得CPU控制權,根據硬盤本身要求的指令輸入條件首先向硬盤發出控制指令,發出硬盤本身要求的參數和命令。隔離卡根據內外網選擇聯動開關的狀態對計算機系統總線或硬盤接口總線上的指令進行譯碼,含有硬盤地址譯碼、地址表示方式譯碼、硬盤讀寫命令譯碼。隔離卡輸入連接計算機控制硬盤的接口(例如計算機系統總線、ATA硬盤接口總線),輸出通過一個三態開關串接在ATA硬盤接口和硬盤之間,內外網選擇聯動開關中連接網線的與雙硬盤工作站硬盤間隔離裝置一樣。當計算機通過一組寄存器向硬盤發送訪問指令時,隔離卡中的寄存器將指令中的硬盤地址、地址表示方式、硬盤讀寫命令、48位地址標志(3F6控制寄存器的高位D7為1)等分別進行譯碼,判斷出計算機將要對硬盤的哪個區域進行何種操作,放過當前允許的指令,阻止不允許的指令。實際工作中,將內外網系統分別安裝在硬盤的不同分區中,計算機啟動時做出內外網啟動選擇,隔離卡據此判斷指令的合法性,實現內外網物理隔離的目的。軟件隔離裝置,包括內外網選擇聯動開關、存有隔離軟件的存儲介質、含有至少兩個分區的硬盤,三者分別通過計算機標準IO端口接口、標準存儲介質接口、標準硬盤接口物理相連,三者分別通過隔離軟件執行開關量讀入指令、啟動引導計算機指令、控制硬盤操作隔離指令邏輯相連。內外網選擇聯動開關中連接網線的與雙硬盤工作站硬盤間隔離裝置一樣,其中有1只開關分別連接+5V和接地,其公共端連接LPT(并行口)的1個輸入位(如,第10腳D3)。隔離軟件的存儲介質,可以是能啟動計算機的各種標準存儲介質(如;軟盤、硬盤、網卡啟動芯片、包括系統BIOS芯片),只要在系統BIOS啟動計算機之后或同時優先接管計算機控制權即可。隔離軟件在計算機加電后優先獲得CPU控制權,讀入內外網選擇聯動開關狀態開關量(如,并口3F9的D3狀態),根據硬盤本身要求的指令輸入條件(如,設置最大地址指令及最大地址凍結鎖定指令要求開機后第一次的輸入有效)首先向硬盤發出控制指令(如,設置最大地址指令、最大地址凍結鎖定指令),發出硬盤本身要求的參數和命令(如,設置最大地址指令要求提供硬盤LBA各位地址,并要求緊接在讀最大地址指令之后)。隔離軟件獲得CPU控制權后,首先從并口3F9的D3(并口第10腳)讀入開關狀態。根據內外網選擇開關處在啟動內網狀態或處在啟動外網狀態,判斷哪個主分區(分別存有內網系統、外網系統)啟動。向硬盤發出SET MAX ADDRESS(設置最大地址)指令,硬盤執行該指令后,對超過設置的最大地址的區域的讀寫操作指令將不在執行本文檔來自技高網...
【技術保護點】
硬盤內分區間隔離卡,其特征是:隔離卡對計算機硬盤接口總線上的指令進行譯碼,含有硬盤地址譯碼、地址表示方式譯碼、硬盤讀寫命令譯碼,隔離卡輸入連接計算機控制硬盤的ATA硬盤接口總線接口,輸出通過一個三態開關串接在ATA硬盤接口和硬盤之間。
【技術特征摘要】
【專利技術屬性】
技術研發人員:肖勇,
申請(專利權)人:肖勇,
類型:實用新型
國別省市:11[中國|北京]
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。