[发明专利]一种基于硬件控制逻辑的数据转发控制方法及系统

权利要求书

1.一种基于硬件控制逻辑的数据转发控制方法，包括：

将终端防护设备外接于被保护主机上，该终端防护设备包括接口控制模块和系统控制模块，设置所述硬件控制逻辑模块、对内接口、对外接口以及转发接口位于接口控制模块上，将被保护主机的全部数据接口分别与终端防护设备上的多个对内接口按照接口类型对应一一连接，将所述转发接口连接到所述系统控制模块；

当有外部设备需要导入数据到被保护主机时，终端防护设备内部的硬件控制逻辑模块连通所述外部设备接入的对外接口与转发接口之间的物理线路，并保持转发接口与其他接口之间物理线路处于断开状态，将所述导入数据仅通过转发接口传输到系统控制模块，以控制数据在外部设备与被保护主机之间交互，使得当所述外部设备需要导入数据到被保护主机时，被保护主机处于数据隔离状态；

通过所述硬件控制逻辑模块连通所述终端防护设备内部的对外接口与系统控制模块之间的物理线路；

通过系统控制模块对外部设备进行安全鉴权，确认所述外部设备是否为许可接入设备；

当所述通过系统控制模块对外部设备进行安全鉴权后，确认所述外部设备不是许可接入设备时，所述硬件控制逻辑模块断开所述外部设备接入的对外接口与其他接口的物理线路的状态，从而对所述外部设备接入后的数据传输进行过滤禁止；和/或

当所述系统控制模块对外部设备进行安全鉴权后，确认所述外部设备为许可接入设备时，所述硬件控制逻辑模块连通所述外部设备接入的对外接口与其他接口的物理线路。

2.如权利要求1所述的数据转发控制方法，进一步包括，

在所述被保护主机处于数据隔离状态下，系统控制模块对所述导入数据进行安全性检测；

当所述导入数据通过安全性检测后，再通过接口控制模块中的内部存储器隔离转存所述导入数据。

3.如权利要求2所述的数据转发控制方法，其中，所述通过接口控制模块中的内部存储器隔离转存所述导入数据，进一步包括：

所述硬件控制逻辑模块控制连通所述转发接口与接口控制模块的内部存储器之间的物理线路，并断开所述对外接口与转发接口、内部存储器与对内接口之间的物理线路，将所述导入数据通过上述转发接口拷贝到接口控制模块的内部存储器。

4.如权利要求2所述的数据转发控制方法，其进一步包括：

所述硬件控制逻辑模块断开对外接口与内部存储器之间的物理线路，控制内部存储器与对内接口的物理线路连通；

将内部存储器中的所述导入数据通过对内接口发送给所述被保护主机，期间硬件控制逻辑模块保持对外接口与转发接口、转发接口与内部存储器的物理线路的断开状态；

所述被保护主机通过所述对内接口接收到所述导入数据。

5.如权利要求1所述的数据转发控制方法，进一步包括，

当所述被保护主机需要导出数据到外部设备时，通过接口控制模块中的内部存储器隔离转存所述导出数据。

6.如权利要求5所述的数据转发控制方法，所述通过接口控制模块中的内部存储器隔离转存所述导出数据，进一步包括，

通过所述硬件控制逻辑模块连通所述内部存储器与对内接口之间的物理线路，将所述被保护主机中的导出数据经由所述对内接口发送给所述内部存储器，并保持所述内部存储器与其他接口之间物理线路处于断开状态。

7.如权利要求6所述的数据转发控制方法，当所述被保护主机中的导出数据经由所述对内接口发送给所述内部存储器后，进一步包括，

通过所述硬件控制逻辑模块断开所述内部存储器与对内接口之间的物理线路，连通所述内部存储器与所述转发接口之间的物理线路；

将所述内部存储器中的所述导出数据通过转发接口发送给系统控制模块；

所述系统控制模块对所述导出数据进行合规性检查，确认导出数据是否符合设定的合规策略，同时硬件控制逻辑模块保持对外接口与转发接口、对内接口与内部存储器之间的物理线路连接处于断开状态。