[发明专利]一种网络信息交互方法及网络安全系统

说明书

【技术领域】

本发明涉及计算机安全保护领域，具体涉及一种网络信息交互方法及网络安全系统。

【背景技术】

企事业单位、政府部门等的内部网络由于涉及商业机密或敏感数据，必须与外部网络物理隔离，但又往往需要获取外部网络的实时数据。现有的物理隔离数据交换技术包括网闸和光闸两个方面的技术。

自2000年，我国产生了安全隔离网闸(GAP)(简称“网闸”)技术，它解决了电子政务兴起带来的政务内网和外网之间安全隔离、适度可控的数据交换的需求，网闸技术是基于双向的，即通过配置，是允许高安全网络和低安全网络之间双向数据交换的。网闸的硬件设备由三部分组成：外部处理单元、内部处理单元和隔离硬件，其原理是在网闸内部专用隔离硬件双向传输的基础上通过修改电路，通过时钟开关控制，实现数据的单向写入和单向读出，从而实现数据的单向传递。

但在一些安全级别极高的网络，如涉密网络中，按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与外网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络；若非涉密网络与外网是逻辑隔离的，则采用单向网闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。光闸技术(FGAP)的产生即为满足这一类单向隔离场景的需求。光闸由内网单元、外网单元、分光单向传输单元三部分组成。其原理是利用光纤网卡的光发射、光接收为完全独立的两条光纤条件，将其中一条光纤截断，从而实现物理光单向技术。

以上数据单向传输方法存在两个方面的问题：一是物理连接的问题。这些物理隔离数据传输技术，不管是电路的还是光路的，总是不可避免地需要在不同密级的网络之间建立物理连接；二是数据筛选的问题。采用这种技术建立的物理连接，其在瞬间建立的物理通道对于应用程序来说是透明的，设备对数据并不进行精细有效的筛选，理论上存在被黑客控制数据流，导致传入不安全数据的可能性，从而产生灾难性的后果。

【发明内容】

本发明的目的在于提供一种采用物理隔离方式的网络信息交互方法，使内外网设备不存在任何形式上的物理连接，彻底断绝黑客、病毒等不安全因素对内网系统的攻击可能，本发明的另一目的是提供基于所述方法的网络安全系统

本发明的技术方案是：一种网络信息交互方法，包括以下步骤：

首先，构建外网异构数据协同服务器，所述外网数据异构系统包括异构数据协同服务器和显示器，异构数据协同服务器将以不同形式显示的外网数据，还原成XML格式的信息，再进行筛选和一致化处理，将XML格式的信息翻译成Unicode代码；

其次，构建内网识别控制系统，所述内网识别控制系统包括摄影或摄像装置和数据识别控制服务器，所述摄影或摄像装置用于将所述显示器屏幕上显示的数据转化为图像文件，所述数据识别控制服务器采用OCR识别技术将所述图像文件还原为XML信息；

第三，所述异构数据协同服务器在所述显示器屏幕上显示翻译成Unicode代码的信息，以及至少一个可变换颜色的控制标识；当控制标识变为特定颜色时，所述摄影或摄像装置启动拍照程序，截取当前显示器屏幕所显示内容，所拍摄的图像文件在所述数据识别控制服务器中还原为XML信息，并通过数据接口导入到相应的内网数据库中。

一种采用上述网络信息交互方法的网络安全保护系统，包括外网数据异构系统和内网识别控制系统两部分，所述外网数据异构系统包括异构数据协同服务器和显示器，所述异构数据协同服务器将来自互联网或其他不安全网络的多源异构数据源进行集成和一致化处理，并按统一格式在所述显示器上显示出来；所述内网识别控制系统包括摄影或摄像装置和数据识别控制服务器，所述摄影或摄像装置用于将所述屏幕上显示的数据转化为图像文件，所述数据识别控制服务器用于对所述数据的图像文件进行识别并还原成数据。

作为上述方案的进一步改进，所述异构数据协同服务器中设有数据筛选接口模块，用于对来自外网的多源异构数据进行精细筛选后再进行一致化处理。

作为上述方案的另一种改进，所述数据识别控制服务器中设有数据筛选接口模块，用于对所述还原后的数据进行精细筛选后再导入到相应数据库。

本发明原理在于：系统采用多种技术手段解决了现有数据单向传输的问题：一是在不同安全等级的网络之间，采用图像识别方法通过显示器和摄影或摄像装置进行信息传输，不建立任何形式的物理连接，从根本上避免了黑客、病毒等因素对内网系统的攻击。二是开发异构数据接口程序，对多源数据精细筛选。按照业务需求，开发相应的数据筛选接口模块，对数据进行双层精细筛选。