基于物理隔離技術(shù)的安全信息交換系統(tǒng).pdf

1、近些年，互聯(lián)網(wǎng)的飛速發(fā)展和大規(guī)模應(yīng)用已經(jīng)成為當(dāng)今世界的又一次信息革命，隨著我國信息化建設(shè)程度的提高，互聯(lián)網(wǎng)已經(jīng)越來越多的成為人們工作、學(xué)習(xí)、生活中不可或缺的重要組成部分，尤其是電子商務(wù)、電子政務(wù)的發(fā)展與普及，帶來了巨大的便利和財富。另一方面，互聯(lián)網(wǎng)帶來的安全威脅也日益增多，各種新型攻擊手段不斷涌現(xiàn)，使得安全防護(hù)變得異常困難，而對于黨政軍、銀行、電力等特殊行業(yè)與部門，一旦被不法分子入侵導(dǎo)致安全問題，甚至?xí)斐蓢野踩耐{和人民財產(chǎn)的損失

2、。因此，很多單位為了安全而將內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)完全斷開，但內(nèi)外網(wǎng)仍有數(shù)據(jù)交換的需求。如何在保護(hù)其內(nèi)部網(wǎng)絡(luò)安全的同時還能與外部網(wǎng)絡(luò)之間能進(jìn)行一定程度的信息交換，滿足業(yè)務(wù)方面的需要，是一項很具有重要意義和挑戰(zhàn)性的工作。
　　本文實現(xiàn)了以物理隔離技術(shù)為基礎(chǔ)的安全信息交換系統(tǒng)，主要工作如下：
　　1.根據(jù)物理隔離技術(shù)的基本原理，設(shè)計出系統(tǒng)的整體架構(gòu)和工作方案，設(shè)計了具有物理隔離功能的硬件板卡的結(jié)構(gòu)和通信機(jī)制，系統(tǒng)由三部分組成：外網(wǎng)處理

3、單元，內(nèi)網(wǎng)處理單元，網(wǎng)絡(luò)隔離單元。外網(wǎng)處理單元與安全性較低的互聯(lián)網(wǎng)相連，處理從互聯(lián)網(wǎng)獲取的數(shù)據(jù)包并轉(zhuǎn)發(fā)內(nèi)網(wǎng)向互聯(lián)網(wǎng)發(fā)出的數(shù)據(jù)包；內(nèi)網(wǎng)處理單元與內(nèi)部高安全性業(yè)務(wù)網(wǎng)絡(luò)相連，處理內(nèi)網(wǎng)發(fā)出的請求并向內(nèi)網(wǎng)轉(zhuǎn)發(fā)過濾后的外網(wǎng)數(shù)據(jù)包；網(wǎng)絡(luò)隔離單元起到物理隔離作用，通過固化在硬件上的調(diào)度控制電路實現(xiàn)邏輯開關(guān)，保持內(nèi)網(wǎng)與外網(wǎng)在任意時刻不互相連通。在此基礎(chǔ)上選擇了相應(yīng)的芯片和器件，在Linux下編寫了運行在內(nèi)核空間的硬件設(shè)備驅(qū)動程序。
　　2.從外網(wǎng)捕

4、獲數(shù)據(jù)包，通過包過濾防火墻對這些數(shù)據(jù)包進(jìn)行過濾，轉(zhuǎn)送至用戶空間處理，系統(tǒng)從OSI模型的全部七層對網(wǎng)絡(luò)進(jìn)行斷開，利用協(xié)議剝離和重組的方法去除數(shù)據(jù)包各層首部，對數(shù)據(jù)包進(jìn)行協(xié)議剝離，只保留用戶數(shù)據(jù)和必要的恢復(fù)信息，通過對存儲介質(zhì)的寫入和讀出進(jìn)行信息的交換，消除應(yīng)用層協(xié)議以及TCP/IP協(xié)議簇在傳輸過程起到的作用，阻斷了基于通信協(xié)議的攻擊，更好的保障網(wǎng)絡(luò)安全。
　　3.搭建系統(tǒng)運行所需的軟硬件環(huán)境，并在運行時對系統(tǒng)進(jìn)行多方面的測試，通過網(wǎng)