[发明专利]一种双向网络安全隔离系统及方法

说明书

技术领域

本发明涉及一种双向网络安全隔离系统及方法，属于网络安全技术领域。

背景技术

随着互联网的应用普及，网络安全面临严峻的挑战，各种安全事件层出不穷。面对这一形势，对于一个组织的内部网络，希望既能连接到互联网上进行信息交互，又能尽可能的避免各种来自互联网的网络攻击。在传统防火墙、入侵检测系统等安全设备的防御下，网络安全隔离设备逐渐显露出了重要的作用。

网络安全隔离设备能够隔离组织的内网与外网的连接，对进出内网的数据流进行检查，过滤掉试图进入内网的恶意代码，以及试图流出到外网的敏感信息，并且凭借内外网的物理隔离，屏蔽基于网络连接的攻击行为，对于保护组织的内网起到了重要的作用。

目前网络安全隔离设备分为单向和双向两种。单向网络安全隔离设备只允许外网数据进入内网，不允许内网数据流出外网，这样就严格保证了内网中的敏感数据不会泄露到外网。而双向网络安全隔离设备允许内、外网之间的双向数据流动，通过严格的数据内容检查来防止敏感数据的泄露。

单向网络安全隔离设备的安全性是基于经典的BLP安全模型，能够在BLP模型下证明是安全的，但目前的双向网络安全隔离设备实际上是违反BLP安全模型的，无法从理论上证明目前的双向网络安全隔离设备是安全的。因此，如何设计新的双向网络安全隔离系统，既满足安全模型的要求，又能实现双向数据通信，就成为一个难点。

发明内容

针对上述不足，本发明提供了一种双向网络安全隔离系统及方法，其能够安全隔离不同安全等级的网络，并保证不同安全等级网络之间的双向数据通信。

本发明解决其技术问题采取的技术方案是：

本发明的一种双向网络安全隔离系统，其特征是，包括外网处理模块、内网处理模块和过渡区域，所述外网处理模块接入外网并通过单向数据链路与内网处理模块连接，所述内网处理模块接入内网并通过带开关的单向数据链路与过渡区域连接，所述过渡区域通过带开关的单向数据链路与外网处理模块连接。

优选地，所述外网处理模块通过单向数据链路将数据直接发送给内网处理模块，所述内网处理模块通过带开关的单向数据链路将数据发送给过渡区域进行过渡，所述过渡区域通过带开关的单向数据链路将过渡数据发送给外网处理模块。

优选地，所述外网处理模块包括身份认证模块、外网数据缓存区、外网协议转换模块和恶意代码过滤模块，所述身份认证模块用以对外网用户进行身份认证，如果通过认证则允许外网用户登录外网处理模块，否则拒绝外网用户的连接请求；所述外网数据缓存区用以存储外网发送给内网的数据和内网发送给外网的数据；所述外网协议转换模块用以按照TCP/IP协议对外网发给内网的网络数据包中应用层数据进行解析或按照TCP/IP协议将内网发送给外网的数据打包为网络数据包；所述恶意代码过滤模块用以对外网发给内网的网络数据包中应用层数据进行恶意代码检测并过滤掉其中可能存在的恶意代码。

优选地，所述内网处理模块包括内网数据缓存区、内网协议转换模块和敏感信息过滤模块，所述内网数据缓存区用以存储外网发送给内网的数据和内网发送给外网的数据；所述内网协议转换模块用以按照TCP/IP协议对内网发给外网的网络数据包中应用层数据进行解析或按照TCP/IP协议将外网发送给内网的数据打包为网络数据包；所述敏感信息过滤模块用以对内网发给外网的网络数据包中应用层数据进行敏感信息检测并过滤掉其中可能存在的敏感信息。

优选地，所述过渡区域包括过渡数据缓存区、系统还原模块和数据加密模块，所述过渡数据缓存区用以存储内网发送给外网数据时的过渡数据；所述数据加密模块用以对内网发送给外网的数据进行加密；所述系统还原模块用以清空过渡区域中的数据缓存区并将过渡区域还原为初始状态。

本发明的一种双向网络安全隔离方法，其特征是，外网向内网发送数据时外网处理模块通过单向数据链路将外网数据直接发送给内网处理模块；内网向外网发送数据时内网处理模块通过带开关的单向数据链路将内网数据先发送给过渡区域进行过渡，然后过渡区域通过带开关的单向数据链路将过渡数据再发送给外网处理模块。

进一步地，所述外网向内网发送数据的过程包括以下步骤：

步骤101：外网用户向外网处理模块中的身份认证模块进行身份认证，如果通过认证则允许外网用户登录网络处理模块，否则拒绝外网用户的连接请求；

步骤102：外网用户向外网处理模块按照TCP/IP协议传输要发送给内网用户的数据；

步骤103：外网协议转换模块按照TCP/IP协议将发送给内网用户的网络数据包中应用层数据解析出来并存入外网数据缓存区；