[发明专利]用于防止恶意代码被引入受保护网络的方法和系统

说明书

发明领域

本发明一般涉及用于保护计算机网络的系统和方法，尤其涉及用于防止恶意代码被引入受保护网络的系统和方法。

背景讨论

近年来，大量计算机电脑化攻击是通过经由网络连接将可在稍后的某个时间激活的恶意代码(例如，病毒、蠕虫等)引入计算机来执行的。一个解决办法是封闭网络并使到网络的连接只对授权的计算机可用。一些组织的确封闭它们的网络，要求遵守安全协议才能连接到网络上的计算机。虽然这类保护的程度实际上是变化的，但这些网络的所有者常常认为这类网络是“安全”网络。

然而，如图1中所示，这类安全网络所面对的问题之一是由“双重用途”计算机——例如，能在安全网络内部和外部可互换地使用的计算机——造成的安全性威胁。通过在与不安全的网络连接时——诸如当浏览因特网，接收外部电子邮件等时——双重使用计算机获取恶意代码就能成功地攻击这类双重用途计算机。如果后来同一计算机被连接到安全网络，则所获取的恶意代码就会被引入该安全网络。有时在计算机内或在与安全网络连接期间部署的病毒保护机制由于它们的反应性本质以及恶意代码的日益复杂化而常常不足以处理这类威胁。

用于解决上述问题的一种方案是完全封闭安全网络并排除安全计算机的这类“双重”连接。由于各种原因，许多组织抗拒这类措施。另外，即使组织实现了这类方案，在员工带着被授权连接至安全网络的据信为安全的膝上型或笔记本计算机在组织的控制区域之外旅行时，诸如当带着组织的安全膝上型计算机的员工在旅馆房间中连接至因特网时，这类隔离也很难执行。在此情景中，旅馆房间中的一个简单的因特网浏览会话就能导致恶意代码被引入该安全计算机，然后这些恶意代码在下一次与封闭网络的安全会话连接期间就会被引入组织的封闭网络中，即使在这一连接期间部署了最尖端的安全机制。

发明概要

因此，需要一种解决网络安全系统以及方法相关的上述和其它问题的方法、系统及设备。上述和其它需求由本发明的示例性实施例解决，它们提供了用于安全通信的方法、系统以及设备。这些示例性实施例包括：具有可能的双重用途或双重连接的诸如膝上型计算机、笔记本、PC等计算机被配置成包括“内部”或“安全”计算机以及“外部”或“非安全”计算机在内的能被不同程度地隔离的两个或多个计算机。例如，内部或安全计算机可被配置成通过因特网或以其它方式连接至相应的一个或多个安全网络，外部或非安全计算机可被配置成与内部或安全计算机相比受较少限制或没有任何限制地与因特网连接。能有利地防止被引入外部或非安全计算机的恶意代码被引入安全网络，其中由恶意代码引起的损害可被限制于该外部或非安全计算机。

相应地，在本发明的示例性方面，提供了一种用于安全通信的方法、系统和设备，包括用于将两个或多个计算机设备配置成单个计算机设备的装置以及用于将该两个或多个计算机设备与一个或多个计算机网络隔离的装置中的至少一个。

从以下详细说明中，简单地通过说明包括所构想的用于实现本发明的最佳模式在内的多个示例性实施例和实现，就能很容易地看出本发明的其它方面、特征和优点。本发明还能有其它和不同的实施例，并且可以在各方面对其几个细节进行修改而不会背离本发明的精神和范围。因此，附图和说明应被认为本质上是说明性而非限定性的。

附图简要说明

本发明的实施例是通过示例的而不是通过限定的方式来说明的，在附图中的各图中，相同的标号标示类似的要素，并且其中：

图1示出用于说明这些示例性实施例的双重用途计算机；以及

图2示出用于解决双重用途计算机相关问题的示例性安全通信系统。

优选实施方式的详细说明

对一种用于安全通信的改进方法、系统和设备进行说明。在以下说明中，为便于说明，阐述了许多具体细节以提供本发明的全面的理解。然而，对本领域的技术人员显而易见的是，不用这些具体细节或是实用等效设置也能实施本发明。在某些实例中，以框图的形式示出公知的结构和设备以避免不必要地混淆本发明。