一种用于网络安全的物理隔离卡 【技术领域】
本发明属于网络信息安全技术领域,具体而言,是一种集成了10M/100M自适应网卡功能的网络安全物理隔离卡。本发明可应用于政府机关、金融证券、军事部门、大中型企业、科研机构和学校等各个领域的网络信息安全工程之中。它将网络分为内部网和外部网两个部分,实现安全环境和非安全环境的绝对物理隔离,做到既开放又安全,既保护机密数据又方便用户与国际互联网的连接。
背景技术
在网络犯罪手段与网络安全技术相互斗法,竞争不断升级的形势下,网络攻击者和防御者都失去了技术方面的屏障,网络安全技术经常会变得不是那么有效。因此,机密数据的安全不能完全依赖于各种安全技术的保护,物理隔离可以说是网络信息安全的最后一道防线。
目前,已经广泛应用的各种物理隔离技术有如下几种:
(1)计算机采用两个独立硬盘分别对应于内部网和公共网,这两个硬盘分别拥有各自的操作系统并通过各自的专用接口与网络连接;同时依靠继电器来控制分区间的转换和网络连接,以保证内网与外网的隔离。
(2)使用PC网络安全隔离卡,当计算机处于内部网络或外部网络中的一个网络环境时,物理隔离部件保证被隔离的硬盘或硬盘分区以及相应网络彼此不连通。在计算机与内网相连时,可以选用物理隔离部件,禁止用户使用软驱和光驱;计算机在内网与外网之间转换时,必须重新启动,这样即使内存也都不能被重用,因此不会发生残留信息泄密的问题。
(3)把安全隔离开关安装在内外网之间,通过软件控制,智能切换实现内网与外网地隔离。当该软件进行信息采集时,应与外网连接,与内网断开;当进行信息传递时与内网连接,与外网断开。
可以看出,传统的物理隔离办法存在以下缺陷:
(1)采用两套系统,包括两套布线、两套网络设备以及两套终端,布线还要加一些屏蔽手段来防范电磁辐射,进而造成了网络建设的巨大浪费。
(2)采用双盘型和或单盘双驱(操作系统)型等双网机隔离方式,造成了投资的浪费。此外,操作复杂,需采用两个硬盘或在单硬盘上进行硬盘分区,切换时要重新启动系统,使用繁琐不便。
(3)采用两块网卡,分别接到内部网络和外部网络,占用了计算机较多插槽资源。
【发明内容】
本发明的目的在于克服上述不足之处,提供一种网络安全物理隔离卡;该卡在使用时只采用一种操作系统和一块硬盘,不需要在硬盘上进行数据分区。
本发明提供的一种网络安全物理隔离卡,其特征在于:该物理隔离卡包括依次相连的周边元件扩展接口电路、网络接口芯片、切换逻辑控制电路和二个网线座,配置存储器与网络接口芯片相连;其中周边元件扩展接口电路提供物理隔离卡与PC机主板的周边元件扩展接口通信协议;网络接口芯片提供网络接口,使物理隔离卡具备上网功能;配置存储器是具有串行输入功能的EEPORM,用来存储物理隔离卡的启动配置参数;切换逻辑控制电路用于使物理隔离卡在内网和外网之间进行切换;网线座用于使物理隔离卡与标准的双绞线连接。
本发明具有以下功能特点:
(1)本发明将计算机网络分为内部网和外部网两部分,并对内外网进行物理隔离,同时又能根据需要保证业务数据的交换。
(2)本发明运行于同时与内外网有物理联接的一台协作服务器之上。在工作过程中,该卡根据上层管理程序发出的指令切换内外网状态。在任意时刻,该服务器只允许与内网或外网中的一个进行连通。
(3)本发明集成了10M/100M自适应网卡功能,代替了一块常规物理隔离卡和两块网卡,用一块卡实现了三块卡的功能。本发明具备自动协商功能,能自动识别所连接交换机、集线器等网络设备的速率和工作方式,并自动将网卡的速率、工作方式调整到正确的模式以与之相适应(10M/100M、全/半双工)。
(4)本发明采用一种网络芯片实现上网功能,方便功能扩展。
(5)本发明采用切断所有网线的物理隔离方式,不使用高速网闸和专用的网络操作系统,经济可靠地实现内部网和外部网的安全隔离。
(6)本发明的驱动程序采用WDM(Windows Driver Model)实现,能工作在Windows 98/2000/NT操作系统中。
(7)本发明改变了传统的双硬盘、双操作系统或不同网络配置的方法,使用单一硬盘和单一操作系统,在内外网切换时不需要重新启动计算机。
(8)本发明在工作过程中,可人工选择其在外网和内网之间的任意工作状态,也可利用上层管理软件自动进行状态切换,并可动态设置内部网络和外部网络的IP地址和子网掩码,此外不需要在硬盘上设置数据交换区。
【附图说明】
图1为网络安全物理隔离卡的一种具体实施方式的结构示意图;
图2为网络安全物理隔离卡的工作流程图;
图3为上层管理软件和物理隔离卡的接口。
具体实现方式
下面结合附图和实例对本发明做进一步的详细说明。
如图1所示,物理隔离卡由周边元件扩展接口电路(即PCI接口电路)4、网络接口芯片5、配置存储器6、切换逻辑控制电路7和二个网线座8、9等构成。其中PCI接口电路4提供物理隔离卡与PC机主板的PCI通信协议;网络接口芯片5提供网络接口,使物理隔离卡具备上网功能;配置存储器6是具有串行输入功能的电可擦除只读存储器(即EEPORM),用来存储物理隔离卡的启动配置参数。切换逻辑控制电路7用于使物理隔离卡在内网和外网之间进行切换。网线座8、9用于使物理隔离卡与标准的双绞线连接。
下面以实例说明本发明的使用过程。将物理隔离卡1插在计算机的PCI总线插槽2中,而内网与外网入口3分别连接到本发明的RJ8-45网线插座中。在正常情况下,物理隔离卡1相当于一块普通网卡,用户可通过物理隔离卡连接内网或外网。物理隔离卡在进行内外网切换工作时,系统首先发出控制指令,通过主板上的PCI总线插槽2,然后再经过物理隔离卡的PCI接口电路4和RTL8139网络接口芯片5,到达切换逻辑控制电路7,该电路采用继电器,以实现该卡的内外网工作状态的切换。
图2是物理隔离卡的工作流程。装有物理隔离卡的计算机初始化后,本发明的默认状态处于内网,此时该计算机与外网处于隔离状态。当需要切换到外网时,上层管理软件发出一个切换到外网的指令,此时系统会检测计算机当前是否处于内网数据交换状态,如果是,则系统会等到内网数据交换完成后,才断开内网,切换到外网状态;如果不是,就会立即断开内网,切换到外网。当计算机处于外网状态时,如果需要切换到内网状态,上层管理软件发出一个切换到内网的指令,此时系统检测计算机当前是否处于数据交换阶段,如果是,则系统会等到外网数据交换完成后,才断开外网,切换到内网状态;如果不是,就会立即断开外网,切换到内网。
图3是物理隔离卡的软件流程图。物理隔离卡在内外网工作时,上层管理软件发出切换内外网状态的指令,调用自定义函数,通过Windows操作系统调用Win32函数,按照网络驱动程序接口规范,然后调用驱动程序,进行内外网的切换。每进行一次状态切换,网络物理隔离卡小端口驱动程序将返回执行的状态值,通过Windows操作系统,发送给上层管理软件。