一种信息安全传输方法及系统 【技术领域】
本发明属于信息安全技术, 具体涉及一种信息安全传输方法及系统。背景技术 为了将信息与外界隔离, 防止相关信息外泄, 通常设置一台不连任何外部网络的 独立计算机 ( 简称中间机 ), 若用户需要将外界信息与内网进行交互时, 必须首先通过中间 机将信息转移到具有 “只读性质” 的中间介质上, 再通过中间介质进行第二次信息转移, 以 达到杜绝信息外泄的目的。其中, 中间介质必须为 “只读” , 否则无法防范特种木马病毒的 “摆渡” 功能, 如图 1 所示。
目前, 常用的中间机为一台不连内网的带有刻录机的独立计算机, 如图 2 所示。用 户与外界的信息交互需要在中间机上刻录光盘, 通过只读光盘完成单向传输。 例如 : 用户如 果需要将外单位优盘中的信息复制进入内网, 则需通过一系列的操作链才能完成外部信息 导入至内网, 具体为 : 先将外单位优盘接入中间机, 通过中间机杀毒后刻录为只读光盘, 再 将光盘接入内网计算机的光驱。上述中间机在实际操作中, 存在如下缺点 :
(1) 操作困难 : 中间机的操作要求使用者必须熟悉刻录软件, 能够独立进行光盘 的刻录, 但实际工作中, 限于用户的计算机操作水平, 大多数用户不会操作光盘刻录。
(2) 浪费资源 : 每一次信息的交互, 都需要额外刻录一张光盘, 造成资源的大量浪 费。此外, 由于频繁刻录光盘, 刻录机损耗巨大。
(3) 效率低 : 由于光盘刻录的时间较长, 用户即使传输一份文档通常需要消耗较 长的时间, 据统计, 95%以上的内外信息交互数据量都在 1M 字节左右。
(4) 无法有效防范木马病毒 : 中间机对于木马病毒的防护仅仅依靠杀毒软件, 而 目前市面上的杀毒软件并不能完全防护特种木马的攻击。 使用光盘刻录方式虽然可以防止 木马病毒 “摆渡” , 但无法防止内网被感染, 因此光盘刻录方式仍然存在较大的防护漏洞。
(5) 难以查询原始资料 : 如果要在多张光盘中, 很难查找某一份文件的内容、 传输 时间、 用户信息等。
发明内容 本发明克服了现有技术中的不足, 提供了一种安全传输信息的方法及系统, 信息 传输安全系数高。
本发明的技术方案是 :
一种信息安全传输方法, 其步骤包括 :
1) 设置一台独立的中间机和一连接内网的计算机, 两者之间通过 KVM 切换器相连 接, 上述独立中间机和连接内网计算机共享一显示器、 一 USB 存储设备和一键盘 ;
2) 将上述 USB 存储设备设定为可读、 写状态, 通过中间机或连接内网计算机的操 作, 将信息导入上述 USB 存储设备中 ;
3) 当用户确认已将信息全部导入上述 USB 存储设备后, 给上述 USB 存储设备加锁,
并设定为只读状态 ;
4) 通过 KVM 切换器, 用户操作另一台计算机, 将 USB 存储设备内的信息传输到指定 位置。
所述步骤 3) 中, 对导入到上述 USB 存储设备内的信息进行检查, 判断是否有木马 病毒。
一种信息传输系统, 包括一台独立的中间机和一连接内网的计算机, 其特征在于, 两者之间通过 KVM 切换器相连接, 上述独立中间机和连接内网计算机共享一显示器、 一可 加解锁的 USB 存储设备和一键盘。
进一步, 所述中间机的操作系统安装在一带硬件锁的大容量存储卡上。
进一步, 所述连接内网计算机的操作系统安装在一带硬件锁的大容量存储卡上。
还包括一监控模块, 用于监测 USB 存储设备中的存储信息, 并在相应的数据库中 记录当前操作时间、 当前登录操作系统的用户, 以及输入、 输出和保存在 USB 存储设备中的 存储信息。
还包括一木马识别模块, 用于判断 USB 存储设备中的存储信息是否带有木马病 毒。 与现有技术相比, 本发明的有益效果是 :
本发明在硬件上采用可加解锁的 USB 存储设备作为中间介质, 根据信息传输流程 控制 USB 存储设备加解锁, 并通过 KVM 切换器, 对中间机与链接内网的计算机进行整合, 可 杜绝信息外泄, 有效防范木马病毒, 使信息传输的安全系数更高, 且可监控信息传输的整个 过程 ; 通过软、 硬件的相互结合, 使信息传输操作更便捷、 更规范和更有效。
附图说明
图 1 为非 “只读” 中间介质被特种木马病毒 “摆渡” 文件的流程图 ;
图 2 为现有带有刻录机的中间机的信息传输示意图 ;
图 3 为本发明外部信息导入内网示意图 ;
图 4 为本发明内网信息安全导出示意图 ;
图 5 为本发明外部信息导入内网的流程图 ;
图 6 为本发明内网信息安全导出的流程图。 具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细描述 :
参考图 3、 图 4, 本发明传输系统包括一中间机和一连接内网的计算机, 该中间机 与连接内网的计算机分别与 KVM 切换器连接, 这两台计算机共用一显示器、 一 USB 存储设备 和一键盘。
其中, KVM 切换器根据切换控制模块发出的控制信号, 为用户选择适当的计算机 ( 独立中间机或连接内网计算机 ) 进行操作, 具体过程为 :
信息由外部进入内网时, 用户在中间机上进行操作, 将需要传入内网的数据复制 到 USB 存储设备后, 中间机通过切换控制模块向 KVM 切换器发出一信号, KVM 切换器收到信 号后, 为用户选择连接内网的计算机进行操作, 并等待用户将 USB 存储设备中的信息通过网络复制到用户指定地点。
信息由内网输出到外部时, 用户在连接内网的计算机上进行操作, 将需要从内网 输出的数据复制到 USB 存储设备中, 连接内网的计算机通过切换控制模块向 KVM 切换器发 出一信号, KVM 切换器收到信号后, 为用户选择中间机进行操作, 并等待用户将 USB 存储设 备中的信息复制到外来的存储介质中。
在每次 KVM 切换时, 通过加解锁模块将 USB 存储设备分别设定为只读状态或可读、 写状态。使 USB 存储设备都会与用户当前操作的计算机进行连接, 并断开与非操作计算机 的连接, 完成中间介质的自动转移。
中间机, 为普通 PC 计算机配件组装而成, 所有硬件功能与普通 PC 计算机一致, 但 安装操作系统的存储设备不是硬盘, 而是带硬件锁的大容量存储卡。管理员在计算机模块 中安装操作系统及应用的软件后, 将存储卡调整为只读状态, 防止木马病毒对计算机操作 系统的侵害和攻击。
连接内网计算机, 为普通 PC 计算机配件组装而成, 所有硬件功能与普通 PC 计算机 一致, 但安装操作系统的存储设备不是硬盘, 而是带硬件锁的大容量存储卡。 管理员在计算 机模块中安装操作系统及应用的软件后, 将存储卡调整为只读状态, 防止木马病毒对计算 机操作系统的侵害和攻击。
进一步, 还包括一监控模块, 用于记录审计日志。自动分析目前 USB 存储设备中存 储的信息, 并在相应的数据库中记录当前操作时间、 当前登录操作系统的用户、 用户所作为 操作是信息传入内网还是信息从内网传出以及 USB 存储设备中存储的信息 ( 用户需要传入 内网或从内网输出的电子信息或文件 )。
如图 5 所示, 当用户要将外部信息传输到内网时, 具体步骤如下 :
1) 系统首先判断中间机是否为操作状态, 如目前中间机不是操作状态, 系统向 KVM 切换器发出切换信号, 为用户选择中间机操作。
2) 系统将 USB 存储设备设定为可读、 写状态, 同时清空 USB 存储设备中所有文件, 处于等待用户操作状态 ;
3) 用户将外部信息拷入 USB 存储设备中, 并确认完成 ;
4) 系统发出锁定 USB 存储设备的信息, USB 存储设备为只读状态 ;
5) 系统判断 USB 存储设备中是否可能被注入了木马病毒 ( 根据 USB 存储设备中是 否含有 AUTORUN 文件以及相应的 WINDOWS 可执行文件 ), 如发现, 则向用户发出警告 ;
6) 系统由中间机向 KVM 切换器发出切换信号, 切换到连接内网的计算机操作, 登 录内网, 将外部信息传输到指定位置 ;
7) 软件监控模块自动运行, 对本次操作的所有相关信息进行记录。
8) 用户使用完毕后, 连接内网的计算机向 KVM 切换器发出切换信号, 切换到中间 机操作状态, 自动重复第二步的操作等待下一位用户操作。
参考图 6, 用户将内网信息导出的具体操作如下 :
1) 系统首先判断连接内网计算机是否为操作状态, 如目前连接内网计算机不是操 作状态, 系统向 KVM 切换器发出切换信号, 为用户选择连接内网计算机操作 ;
2) 系统将 USB 存储设备设定为可读、 写状态, 同时清空 USB 存储设备中所有文件, 处于等待用户操作状态 ;3) 用户登录连接内网计算机后, 将内网信息拷入 USB 存储设备中, 并确认完成 ;
4) 系统发出锁定 USB 存储设备的信息, USB 存储设备为只读状态 ;
5) 软件监控模块自动运行, 对本次操作的所有相关信息进行记录。
6) 系统由连接内网的计算机向 KVM 切换器发出切换信号, 切换到独立中间机操 作, 用户再将外来介质接入中间机, 将信息导出, 即使外来介质含有木马病毒, 也无法感染 中间机和当前具有只读属性的 USB 存储设备, 更无法感染连接内网的计算机, 直接保障了 用户内网的安全 ;
7) 用户使用完毕后, 系统由中间机向 KVM 切换器发出切换信号, 切换到连接内网 的计算机操作状态, 自动重复第二步的操作等待下一位用户操作。
尽管为说明目的公开了本发明的具体实施方法和附图, 其目的在于帮助理解本发 明的内容并据以实施, 但是本领域的技术人员可以理解 : 在不脱离本发明及所附的权利要 求的精神和范围内, 各种替换、 变化和修改都是可能的。 本发明不应局限于本说明书和附图 所公开的内容, 本发明要求保护的范围以权利要求书界定的范围为准。