[发明专利]一种基于数据剥离的网络安全隔离方法、装置及其搭建方法

说明书

本发明提供一种基于数据剥离的网络安全隔离方法、装置及其搭建方法，包括：通过IP或MAC地址绑定的方式，认证外网侧数据库服务器的身份；采集外网数据库中的数据，对数据内容进行格式检查和病毒查杀；将杀毒后数据封装打包成隔离所需的特有文件格式的格式文件，加密后发送给隔离设备；摆渡特有格式文件，解密并进行格式转换后装载到内网端的目标数据库中。本发明在特定应用环境下实现信息网络安全隔离及数据剥离的技术，用于隔离网络边界，保护内外网数据的真实性、完整性与可靠性。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于数据剥离的网络安全隔离方法、装置及其搭建方法。

背景技术

近年来，随着信息化的发展和互联网在各行各业的应用，在不同业务环境和不同安全域的网络应用中，数据的安全性越来越凸显，在电力系统中用户的数据安全和安全防护成为重点关注的问题，信息流从用户终端区经过中间网络逐级上报到电力应用主站过程中需要满足“安全分区、网络专用、横向隔离、纵向认证”的相关规章规定。因此，亟需通过相关技术手段解决网络边界安全和传输通道的风险，保障主站系统的正常运行，杜绝相关信息及指令和参数不被篡改、伪造、重放下发等违规行为发生。

现有的隔离设备存在吞吐量低、无法有效整合多种业务场景、损坏率高及通信效率低等问题，存在第三方非法人员窃取数据、渗透电力内网以及非法设备的违规部署接入等安全隐患。

发明内容

针对现有技术的上述不足，本发明提供一种基于数据剥离的网络安全隔离方法、装置及其搭建方法，以解决上述技术问题。

第一方面，本发明提供一种基于数据剥离的网络安全隔离方法，包括：

通过IP或MAC地址绑定的方式，认证外网侧数据库服务器的身份；

采集外网数据库中的数据，对数据内容进行格式检查和病毒查杀；

将杀毒后数据封装打包成隔离所需的特有文件格式的格式文件，加密后发送给隔离设备；

摆渡特有格式文件，解密并进行格式转换后装载到内网端的目标数据库中。

进一步的，所述方法还包括：记录数据交换整个过程，形成审计记录。

进一步的，所述对数据内容进行格式检查和病毒查杀，包括：

对数据内容进行格式检查，过滤不符合安全策略的数据；

调用杀毒引擎对数据中的字符大对象、二进制大对象的大字段内容进行病毒查杀。

进一步的，所述方法还包括：制定数据采集、格式检查以及格式转换执行时的策略规则。

第二方面，本发明提供一种基于数据剥离的网络安全隔离装置，包括：隔离外主机、隔离内主机以及隔离交互组件，所述隔离外主机、隔离内主机通过隔离交互组件连接；所述隔离交互组件用于数据的拆分和重组，以及为隔离内外主机的数据交互提供传输通道；

进一步的，所述隔离外主机包括：身份认证单元、数据采集单元、格式过滤单元、杀毒单元、加密单元、文件发送单元。

进一步的，所述隔离内主机包括：文件接收单元、解密单元、格式转换单元、数据装载单元、过程记录单元。

第三方面，本发明提供一种基于数据剥离的网络安全隔离装置的搭建方法，包括：

确定电力系统平台网络拓扑架构，明确业务需求和所用技术，确定隔离装置部署具体位置；

将隔离装置部署在电力内外网的网络边界处，完成设备内外主机与电力系统平台服务器的连接安装；

通过隔离装置的配置界面，实现IP及端口规则配置及用户过滤，实现电力系统平台内外网的数据隔离和摆渡。

本发明的有益效果在于，