CN109639652A - 一种基于安全隔离的网间数据访问的方法及系统 - Google Patents
一种基于安全隔离的网间数据访问的方法及系统 Download PDFInfo
- Publication number
- CN109639652A CN109639652A CN201811400005.8A CN201811400005A CN109639652A CN 109639652 A CN109639652 A CN 109639652A CN 201811400005 A CN201811400005 A CN 201811400005A CN 109639652 A CN109639652 A CN 109639652A
- Authority
- CN
- China
- Prior art keywords
- network
- file
- instruction
- sent
- virtual desktop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Abstract
本发明实施例提供一种基于安全隔离的网间数据访问的方法及系统,所述方法应用于安全级别不同的第一网络和第二网络,包括:生成第二网络的虚拟桌面信息;将所述虚拟桌面信息通过第一通道发送至第一网络,并以虚拟桌面的形式展示给用户;获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道发送至第二网络;所述文件传输指令包括下载第二网络文件的指令;根据所述下载第二网络文件的指令,将第二网络根据该下载指令下载的文件通过第二通道发送至第一网络。本发明实施例提供了在多个网络间构建指令和数据传输的可靠通道,实现安全的虚拟桌面访问、文件资源交换,为用户提供一种便捷、安全的信息共享方式。
Description
技术领域
本发明属于信息安全和网络数据交换领域,尤其涉及一种基于安全隔离的网间数据访问的方法及系统。
背景技术
国家各级党政军机关经常面临使用两套甚至多套网络的情况,如党政部门的政务系统就有政务专网、政务内网、政务外网和互联网,军队部门也有自己园区网、政工网、指挥网等,而根据安全保密要求,这些网络通常需要进行物理或逻辑隔离,导致用户需要频繁切换使用多套网络,既不利于信息共享和网络管理,严重影响工作效率,又容易引发安全隐患和造成不必要资源浪费。因此,从降低网络管理、运行成本和复杂度,提高信息共享水平和工作效率的角度,有必要在确保符合安全保密规定的前提下,提供一种安全可靠的基于安全隔离的网间数据访问方法,以使得各套网络间进行适当一体化整合,从而实现安全、便捷的网络访问和资源获取。
发明内容
本发明的目的是提供一种基于安全隔离的网间数据访问的方法,以解决现有技术中不同安全级别的多个网络间信息共享运行成本高、运行复杂度高等问题。
为达到上述目的,一方面,本发明实施例提供了一种基于安全隔离的网间数据访问的方法,所述方法应用于安全级别不同的第一网络和第二网络,包括:
生成第二网络的虚拟桌面信息;
将所述虚拟桌面信息通过第一通道发送至第一网络,并以虚拟桌面的形式展示给用户;
获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道发送至第二网络;
所述文件传输指令包括下载第二网络文件的指令;
根据所述下载第二网络文件的指令,将第二网络根据该下载指令下载的文件通过第二通道发送至第一网络。
另一方面,本发明实施例提供了一种基于安全隔离的网间数据访问的系统,所述系统包括:
安全级别不同的第一网络和第二网络;
虚拟服务器,用于生成第二网络的虚拟桌面信息;
信息发送模块,用于将所述虚拟桌面信息通过第一通道发送至第一网络,并以虚拟桌面的形式展示给用户;
指令发送模块,获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道发送至第二网络;
获取文件模块,当所述文件传输指令为下载第二网络文件的指令时,根据所述下载第二网络文件的指令,将第二网络根据该下载指令下载的文件通过第二通道发送至第一网络。
上述技术方案具有如下有益效果:通过本发明的一种基于安全隔离的网间数据访问的方法,采用虚拟桌面技术以实现不同安全密级网络间的资源访问,通过安全隔离与交换设备对口令和图像进行传输,内网不使用外网数据和内存,安全性能得到保障。提供了在多个网络间构建指令和数据传输的可靠通道,实现安全的虚拟桌面访问、文件资源交换,为用户提供一种便捷、安全的信息共享方式。用户只需操作一台内网终端,即可受控访问各外网,既节省资源,又安全高效,使得安全级别不同的多个网的一体化运行简单、成本低、效率高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明之方法实施例的流程图;
图2为本发明之系统实施例的结构框图;
图3为本发明又一实施例的结构框图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例基于安全隔离的网间数据访问的方法的流程图,所述方法应用于安全级别不同的第一网络和第二网络,包括:
S101,生成第二网络的虚拟桌面信息;
S102,将所述虚拟桌面信息通过第一通道发送至第一网络,并以虚拟桌面的形式展示给用户;
S103,获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道发送至第二网络;
所述文件传输指令包括下载第二网络文件的指令;
S104,根据所述下载第二网络文件的指令,将第二网络根据该下载指令下载的文件通过第二通道发送至第一网络。
优选地,所述将所述虚拟桌面信息通过第一通道发送至第一网络,并以虚拟桌面的形式展示给用户,包括:
通过第二网络的网络接口获取所述虚拟桌面信息;
根据内部专有的封装协议将所述虚拟桌面信息进行封装,得到封装数据;
将封装后的数据经隔离开关发送至第一网络;
通过第一网络的可信端解析所述封装数据并进行安全检查;
若解析后的数据通过安全检查,则将其重构至第一网络的服务器,并以虚拟桌面的形式展示给用户。
由此确保从第二网络至第一网络,只有虚拟桌面的图像能够传输到第一网络。
优选地,所述获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道发送至第二网络,包括:
通过第一网络的网络接口获取用户通过虚拟桌面输入的文件传输指令;
通过第一网络的可信端对所述文件传输指令进行安全检查;
若所述文件传输指令通过安全检查,则将所述文件传输指令经隔离开关发送至第二网络。
由此确保从第一网络至第二网络,只有文件传输指令能够反馈到第二网络端的虚拟服务器。
优选地,所述将第二网络根据该下载指令下载的文件通过第二通道发送至第一网络,包括:
根据下载指令将文件下载至第二网络的虚拟服务器;
将虚拟服务器中的文件发送至第二网络端云盘服务器Ⅱ;
将第二网络端云盘服务器Ⅱ中的文件单向同步到第一网络端云盘服务器Ⅱ。
优选地,所述文件传输指令还包括发送第一网络文件的指令;根据所述发送第一网络文件的指令,将第一网络中需要发送的文件提交审批,若所述文件通过审批,则将审批通过的文件通过第三通道发送至第二网络;所述则将审批通过的文件通过第三通道发送至第二网络,包括:将审批通过的文件发送到第一网络端云盘服务器Ⅰ;将第一网络段云盘服务器Ⅰ中的文件单向同步到第二网络端云盘服务器Ⅰ。。
分别独立控制数据的下载和发送,对下载和发送的文件独立处理,确保网络之间文件传输的安全可靠性。
如图2所示,为本发明又一实施例一种基于安全隔离的网间数据访问的系统的结构框图,所述系统包括:
安全级别不同的第一网络10和第二网络20;
虚拟服务器21,用于生成第二网络20的虚拟桌面信息;
信息发送模块22,用于将所述虚拟桌面信息通过第一通道30发送至第一网络10,并以虚拟桌面的形式展示给用户;
指令发送模块12,获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道30发送至第二网络20;
获取文件模块,当所述文件传输指令为下载第二网络文件的指令时,根据所述下载第二网络文件的指令,将第二网络20根据该下载指令下载的文件通过第二通道31发送至第一网络10。
优选地,所述信息发送模块22,具体用于:
通过第二网络20的网络接口获取所述虚拟桌面信息;
根据内部专有的封装协议将所述虚拟桌面信息进行封装,得到封装数据;
将封装后的数据经隔离开关发送至第一网络10;
通过第一网络10的可信端解析所述封装数据并进行安全检查;
若解析后的数据通过安全检查,则将其重构至第一网络10的服务器,并以虚拟桌面的形式展示给用户。
优选地,所述指令发送模块,具体用于:
通过第一网络10的网络接口获取用户通过虚拟桌面输入的文件传输指令;
通过第一网络10的可信端对所述文件传输指令进行安全检查;
若所述文件传输指令通过安全检查,则将所述文件传输指令经隔离开关发送至第二网络20。
优选地,所述系统还包括发送文件模块,所述发送文件模块用于,当所述文件传输指令为发送第一网络文件的指令时,根据所述发送第一网络文件的指令,将第一网络10中需要发送的文件提交审批,若所述文件通过审批,则将审批通过的文件通过第三通道32发送至第二网络20;所述则将审批通过的文件通过第三通道发送至第二网络,包括:将审批通过的文件发送到第一网络端云盘服务器Ⅰ;将第一网络段云盘服务器Ⅰ中的文件单向同步到第二网络端云盘服务器Ⅰ。。
优选地,所述获取文件模块,具体用于,根据下载指令将文件下载至第二网络20的所述虚拟服务器21;
将虚拟服务器21中的文件发送至第二网络端云盘服务器Ⅱ23;
将第二网络端云盘服务器Ⅱ23中的文件单向同步到第一网络端云盘服务器Ⅱ13。
如图3所示,为本发明又一实施例一种基于安全隔离的网间数据访问的系统的结构框图,所述系统包括:
1.桌面访问通道
桌面访问通道采用C/S架构部署,通过安全隔离与信息交换设备模块,连接内网终端与外网虚拟服务器。虚拟桌面客户端虚拟化平台的配置结合安全隔离与信息交换设备模块的安全策略,确保只有鼠标键盘的操作信息能够反馈到虚拟服务器;只有虚拟桌面的图像能够传输到内网。
从外网到内网,只允许穿透桌面图像协议;从外网到内网,只允许穿透指定的SPICE协议,通过该协议传输鼠标键盘操作指令。虚拟服务器结合安全隔离与信息交换设备模块,负责确保接入计算机只能够与其交换桌面图像信息和鼠标键盘操作,而不允许访问内网的任何内容。内网终端在虚拟桌面上的每次键入和点击,都实时传递到虚拟服务器进行处理。客户端只用到了虚拟服务器的图像显示,不使用其本地计算和存储资源。用户从外网上下载的资源可临时存放到桌面镜像空间内,桌面镜像空间按照安装WIN7 64位操作系统分配20G空间(用于安装操作系统及应用程序)。
2.文件交换通道
内网与外网的文件交换,通过书房系统模块,并结合两台安全隔离与信息单向导入设备模块实现,分别独立控制文件的进入和输出。其中外网的数据进入内网时,采用无审批模式以及内外网木马病毒查杀;内网数据进入外网时,采用文件审批模式以及内外网木马病毒查杀,防止敏感数据的泄露。内/外云盘服务器为内网用户分配了独立的存储空间,用于外网数据同步到内网中,空间大小可灵活配置。
用户下载外网文件时,首先将外网文件下载到虚拟服务器中,然后选择性的将虚拟服务器的文件推送到外书房云盘服务器中,进而同步到内书房云盘服务器,内网终端通过书房客户端将文件下载到本地。
用户上传文件时,通过内网客户端中的审批流程,提交审批,待审批通过后,用户将文件上传至内书房云盘服务器,进而同步到外书房云盘服务器中,用户将文件下载到云桌面使用。
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的该实施例进行详细说明。
如图3所示,本发明的系统包括:虚拟桌面系统及服务器、审计系统、书房系统、书房云盘服务器、安全隔离与信息交换设备、安全隔离与信息导入设备、归档系统等。
所述虚拟桌面系统,构建在用户终端和后台业务服务器间。应用客户端集中部署在平台的服务器上,与后台服务间通过原有的通信方式进行交互。由于处在数据中心中,访问性能可以得到有效的保障。用户终端上部署平台客户端,通过平台的PCoIP协议建立对平台上桌面和应用的图像和操作访问。其支持真正无状态桌面的即时应用交付和用户环境管理,用户可以延展桌面和应用虚拟化的强大功能以支持工作区移动性,同时以更低的成本实现更高级别的运维效率。用户可以集中管理映像,从而精简管理、降低成本并保持合规性。可通过单一平台向终端用户交付虚拟化或托管桌面和应用。对于这些桌面和应用服务,均可以从一个统一工作区进行访问,从而以终端用户期望的速度以及业务要求的效率为终端用户提供全部所需资源。
所述虚拟桌面服务器,虚拟桌面服务器实际运行虚拟桌面系统,虚拟桌面系统运行所需的CPU、内存等资源由虚拟桌面服务器提供。虚拟桌面服务器存储虚拟桌面运行的镜像文件,虚拟桌面运行所需的所有系统文件都存放在虚拟桌面服务器上,提供虚拟桌面的快速安全克隆功能。
所述审计系统,由客户端、控制台、服务器组成,其中客户端和控制台部署用户虚拟桌面中,服务器可与外网虚拟桌面服务器复用。审计系统能有效的监控用户访问行为,掌握外网安全状态,对安全事件进行定位,并能够提供事后的追踪和取证。能够为管理人员提供系统安全状况审查和评价的依据,解决虚拟桌面安全审计的问题,符合等保三级和GJB5612中的相关审计要求。
所述书房系统,由内网(内网)书房服务控制程序、外网(外网)书房服务控制程序以及书房系统客户端(B/S架构)三部分组成。内/外网服务控制程序分别部署在内/外网云盘服务器上,书房客户端安装在内网终端上,内网与外网书房系统均可以使用B/S架构部署。方案中部署两套书房系统,分别独立控制数据的进入和输出。
所述云盘服务器,书房云盘服务器用于内网与外网数据临时交换,存放用户从外网上下载的数据,以及从内网上传的数据。
所述安全隔离与交换设备,安全隔离与信息交换设备部署在网络边界区,连接内网终端和虚拟服务器。安全隔离与信息交换系统对于接收到的任何外部会话连接,首先通过外部网络接口将会话终止,然后利用协议解析模块将TCP/UDP数据格式打破,并采用内部专有的封装协议将分解得到的数据打包后通过隔离开关传输到内网可信端。在可信端数据经过一系列安全检查之后,协议解析模块对数据重组,并在内部网络接口重构到内部服务器的会话。确保只有鼠标键盘的操作信息能够反馈到虚拟服务区;只有虚拟桌面的图像能够传输到内网。
所述安全隔离与信息单向导入设备,安全隔离与信息单向导入设备部署在网络边界区,提供内网与外网数据单向传输功能。采用两台安全隔离与信息单向导入设备,结合两套书房系统,分别独立控制外网与内网数据交换。
所述归档系统,数据归档系统在部署时无需改变客户原有网络架构,在不影响业务系统正常运行的前提下,部署流程如下:
(1)部署归档服务器,将归档服务器安装归档服务端软件,两个网口,其中一个网口接入到内网,另一个网口连接蓝光光盘库。此外还需要一个MiniSAS口连接蓝光光盘库。
(2)部署蓝光光盘库,接通电源,网口连接归档服务器的私网口,接受管理。
(3)在内书房云盘服务器上部署归档客户端,通过归档策略将数据传输到归档服务器,进而刻录到光盘库中。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrativelogical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrativecomponents),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于安全隔离的网间数据访问的方法,其特征在于,所述方法应用于安全级别不同的第一网络和第二网络,包括:
生成第二网络的虚拟桌面信息;
将所述虚拟桌面信息通过第一通道发送至第一网络,并以虚拟桌面的形式展示给用户;
获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道发送至第二网络;
所述文件传输指令包括下载第二网络文件的指令;
根据所述下载第二网络文件的指令,将第二网络根据该下载指令下载的文件通过第二通道发送至第一网络。
2.根据权利要求1所述的基于安全隔离的网间数据访问的方法,其特征在于,所述将所述虚拟桌面信息通过第一通道发送至第一网络,并以虚拟桌面的形式展示给用户,包括:
通过第二网络的网络接口获取所述虚拟桌面信息;
根据内部专有的封装协议将所述虚拟桌面信息进行封装,得到封装数据;
将封装后的数据经隔离开关发送至第一网络;
通过第一网络的可信端解析所述封装数据并进行安全检查;
若解析后的数据通过安全检查,则将其重构至第一网络的服务器,并以虚拟桌面的形式展示给用户。
3.根据权利要求1所述的基于安全隔离的网间数据访问的方法,其特征在于,所述获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道发送至第二网络,包括:
通过第一网络的网络接口获取用户通过虚拟桌面输入的文件传输指令;
通过第一网络的可信端对所述文件传输指令进行安全检查;
若所述文件传输指令通过安全检查,则将所述文件传输指令经隔离开关发送至第二网络。
4.根据权利要求1所述的基于安全隔离的网间数据访问的方法,其特征在于,所述将第二网络根据该下载指令下载的文件通过第二通道发送至第一网络,包括:
根据下载指令将文件下载至第二网络的虚拟服务器;
将虚拟服务器中的文件发送至第二网络端云盘服务器Ⅱ;
将第二网络端云盘服务器Ⅱ中的文件单向同步到第一网络端云盘服务器Ⅱ。
5.根据权利要求1所述的基于安全隔离的网间数据访问的方法,其特征在于,所述文件传输指令还包括发送第一网络文件的指令;根据所述发送第一网络文件的指令,将第一网络中需要发送的文件提交审批,若所述文件通过审批,则将审批通过的文件通过第三通道发送至第二网络;
所述则将审批通过的文件通过第三通道发送至第二网络,包括:
将审批通过的文件发送到第一网络端云盘服务器Ⅰ;
将第一网络段云盘服务器Ⅰ中的文件单向同步到第二网络端云盘服务器Ⅰ。
6.一种基于安全隔离的网间数据访问的系统,其特征在于,所述系统包括:
安全级别不同的第一网络和第二网络;
虚拟服务器,用于生成第二网络的虚拟桌面信息;
信息发送模块,用于将所述虚拟桌面信息通过第一通道发送至第一网络,并以虚拟桌面的形式展示给用户;
指令发送模块,获取用户通过该虚拟桌面输入的文件传输指令,并将该文件传输指令通过第一通道发送至第二网络;
获取文件模块,当所述文件传输指令为下载第二网络文件的指令时,根据所述下载第二网络文件的指令,将第二网络根据该下载指令下载的文件通过第二通道发送至第一网络。
7.根据权利要求6所述的基于安全隔离的网间数据访问的系统,其特征在于,所述信息发送模块,具体用于:
通过第二网络的网络接口获取所述虚拟桌面信息;
根据内部专有的封装协议将所述虚拟桌面信息进行封装,得到封装数据;
将封装后的数据经隔离开关发送至第一网络;
通过第一网络的可信端解析所述封装数据并进行安全检查;
若解析后的数据通过安全检查,则将其重构至第一网络的服务器,并以虚拟桌面的形式展示给用户。
8.根据权利要求6所述的基于安全隔离的网间数据访问的系统,其特征在于,所述指令发送模块,具体用于:
通过第一网络的网络接口获取用户通过虚拟桌面输入的文件传输指令;
通过第一网络的可信端对所述文件传输指令进行安全检查;
若所述文件传输指令通过安全检查,则将所述文件传输指令经隔离开关发送至第二网络。
9.根据权利要求6所述的基于安全隔离的网间数据访问的系统,其特征在于,所述获取文件模块,具体用于,根据下载指令将文件下载至第二网络的所述虚拟服务器;
将虚拟服务器中的文件发送至第二网络端云盘服务器Ⅱ;
将第二网络端云盘服务器Ⅱ中的文件单向同步到第一网络端云盘服务器Ⅱ。
10.根据权利要求6所述的基于安全隔离的网间数据访问的系统,其特征在于,所述系统还包括发送文件模块,所述发送文件模块用于,当所述文件传输指令为发送第一网络文件的指令时,根据所述发送第一网络文件的指令,将第一网络中需要发送的文件提交审批,若所述文件通过审批,则将审批通过的文件通过第三通道发送至第二网络;
所述将审批通过的文件通过第三通道发送至第二网络,具体为:
将审批通过的文件发送到第一网络端云盘服务器Ⅰ;
将第一网络段云盘服务器Ⅰ中的文件单向同步到第二网络端云盘服务器Ⅰ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811400005.8A CN109639652B (zh) | 2018-11-22 | 2018-11-22 | 一种基于安全隔离的网间数据访问的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811400005.8A CN109639652B (zh) | 2018-11-22 | 2018-11-22 | 一种基于安全隔离的网间数据访问的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109639652A true CN109639652A (zh) | 2019-04-16 |
| CN109639652B CN109639652B (zh) | 2021-08-27 |
Family
ID=66068981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811400005.8A Active CN109639652B (zh) | 2018-11-22 | 2018-11-22 | 一种基于安全隔离的网间数据访问的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109639652B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381040A (zh) * | 2019-06-28 | 2019-10-25 | 中国人民解放军63921部队 | 一种高密级网并行访问低密级网的系统 |
| CN111131220A (zh) * | 2019-12-19 | 2020-05-08 | 广州极尚网络技术有限公司 | 多网络环境间数据传输方法、装置、设备和存储介质 |
| CN111327593A (zh) * | 2020-01-20 | 2020-06-23 | 耀灵人工智能(浙江)有限公司 | 物理隔离的内网间实现跨网协作的方法与跨网协作系统 |
| CN111988292A (zh) * | 2020-08-08 | 2020-11-24 | 于奎 | 一种内网终端访问互联网的方法、装置及系统 |
| CN112073442A (zh) * | 2020-11-11 | 2020-12-11 | 杭州云嘉云计算有限公司 | 一种基于双单向协议互转通道的数据传输方法及监控系统 |
| CN112115500A (zh) * | 2020-11-20 | 2020-12-22 | 北京联想协同科技有限公司 | 一种访问文件的方法、装置及系统 |
| CN112187759A (zh) * | 2020-09-21 | 2021-01-05 | 浙江网商银行股份有限公司 | 跨网数据传输方法及装置 |
| CN112448957A (zh) * | 2020-11-27 | 2021-03-05 | 成都新希望金融信息有限公司 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
| CN115065498A (zh) * | 2022-04-15 | 2022-09-16 | 北京全路通信信号研究设计院集团有限公司 | 一种外设摆渡装置及其系统 |
| CN115118720A (zh) * | 2022-06-23 | 2022-09-27 | 中国民航信息网络股份有限公司 | 分析辅助工具、数据处理系统、辅助分析方法和相关设备 |
| CN115643109A (zh) * | 2022-12-21 | 2023-01-24 | 四川汉科计算机信息技术有限公司 | 一种基于虚拟化平台的远程控制方法、系统、设备、介质 |
| CN116938602A (zh) * | 2023-09-15 | 2023-10-24 | 天津卓朗昆仑云软件技术有限公司 | 一种基于云桌面的数据传输方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080052708A1 (en) * | 2004-12-31 | 2008-02-28 | Juhang Zhong | Data Processing System With A Plurality Of Subsystems And Method Thereof |
| CN103747089A (zh) * | 2014-01-14 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种基于堡垒机的文件传输审计系统及方法 |
| CN105007272A (zh) * | 2015-07-21 | 2015-10-28 | 陈巨根 | 一种具有安全隔离的信息交换系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103384195B (zh) * | 2013-07-04 | 2016-08-10 | 电子科技大学 | 一种基于xen平台桌面协议的隔离方法 |
| CN103997495A (zh) * | 2014-05-23 | 2014-08-20 | 中国人民解放军理工大学 | 一种安全隔离文件传输控制方法 |
| CN105812387A (zh) * | 2016-05-09 | 2016-07-27 | 北京航天数控系统有限公司 | 一种单向数据安全交换设备 |
| CN106254364B (zh) * | 2016-08-19 | 2019-11-22 | 湖南麒麟信安科技有限公司 | 一种多网络隔离环境下的计算机桌面服务访问装置及方法 |
| CN108306847A (zh) * | 2017-01-13 | 2018-07-20 | 北京国双科技有限公司 | 通信系统及方法 |
| CN107579791B (zh) * | 2017-09-21 | 2020-12-08 | 上海卫星工程研究所 | 适用于单向通讯网络的卫星在轨遥测数据实时监测系统 |
| CN108449324B (zh) * | 2018-02-14 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 一种网间数据的安全交换方法及系统 |
-
2018
- 2018-11-22 CN CN201811400005.8A patent/CN109639652B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080052708A1 (en) * | 2004-12-31 | 2008-02-28 | Juhang Zhong | Data Processing System With A Plurality Of Subsystems And Method Thereof |
| CN103747089A (zh) * | 2014-01-14 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种基于堡垒机的文件传输审计系统及方法 |
| CN105007272A (zh) * | 2015-07-21 | 2015-10-28 | 陈巨根 | 一种具有安全隔离的信息交换系统 |
Non-Patent Citations (5)
| Title |
|---|
| "安全隔离网闸在公安系统中的应用", 《信息安全与通信保密》 * |
| M. SHCHERBAKOV ET AL: ""An On-Line and Off-Line Pipeline-Based Architecture of the System for Gaps and Outlier Detection in Energy Data Stream"", 《2013 3RD EASTERN EUROPEAN REGIONAL CONFERENCE ON THE ENGINEERING OF COMPUTER BASED SYSTEMS》 * |
| 孙政,闫连山,钟能: ""面向控制网络协议安全的隔离平台设计与实现"", 《铁道通信信号》 * |
| 杨得新,龚追飞主编: "《物联网信息处理与安全》", 30 June 2013, 东软电子出版社 * |
| 韦鹏程,贺方成,黄思行著: "《基于虚拟化技术的云计算架构的技术与实践探究》", 30 June 2018, 电子科学技术大学出版社 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381040A (zh) * | 2019-06-28 | 2019-10-25 | 中国人民解放军63921部队 | 一种高密级网并行访问低密级网的系统 |
| CN111131220B (zh) * | 2019-12-19 | 2022-01-04 | 广州极尚网络技术有限公司 | 多网络环境间数据传输方法、装置、设备和存储介质 |
| CN111131220A (zh) * | 2019-12-19 | 2020-05-08 | 广州极尚网络技术有限公司 | 多网络环境间数据传输方法、装置、设备和存储介质 |
| CN111327593A (zh) * | 2020-01-20 | 2020-06-23 | 耀灵人工智能(浙江)有限公司 | 物理隔离的内网间实现跨网协作的方法与跨网协作系统 |
| CN111327593B (zh) * | 2020-01-20 | 2022-05-10 | 耀灵人工智能(浙江)有限公司 | 物理隔离的内网间实现跨网协作的方法与跨网协作系统 |
| CN111988292A (zh) * | 2020-08-08 | 2020-11-24 | 于奎 | 一种内网终端访问互联网的方法、装置及系统 |
| CN112187759A (zh) * | 2020-09-21 | 2021-01-05 | 浙江网商银行股份有限公司 | 跨网数据传输方法及装置 |
| CN112073442A (zh) * | 2020-11-11 | 2020-12-11 | 杭州云嘉云计算有限公司 | 一种基于双单向协议互转通道的数据传输方法及监控系统 |
| CN112115500A (zh) * | 2020-11-20 | 2020-12-22 | 北京联想协同科技有限公司 | 一种访问文件的方法、装置及系统 |
| CN112448957A (zh) * | 2020-11-27 | 2021-03-05 | 成都新希望金融信息有限公司 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
| CN112448957B (zh) * | 2020-11-27 | 2023-04-25 | 成都新希望金融信息有限公司 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
| CN115065498A (zh) * | 2022-04-15 | 2022-09-16 | 北京全路通信信号研究设计院集团有限公司 | 一种外设摆渡装置及其系统 |
| CN115065498B (zh) * | 2022-04-15 | 2024-03-22 | 北京全路通信信号研究设计院集团有限公司 | 一种外设摆渡装置及其系统 |
| CN115118720A (zh) * | 2022-06-23 | 2022-09-27 | 中国民航信息网络股份有限公司 | 分析辅助工具、数据处理系统、辅助分析方法和相关设备 |
| CN115118720B (zh) * | 2022-06-23 | 2024-02-09 | 中国民航信息网络股份有限公司 | 分析辅助工具、数据处理系统、辅助分析方法和相关设备 |
| CN115643109A (zh) * | 2022-12-21 | 2023-01-24 | 四川汉科计算机信息技术有限公司 | 一种基于虚拟化平台的远程控制方法、系统、设备、介质 |
| CN116938602A (zh) * | 2023-09-15 | 2023-10-24 | 天津卓朗昆仑云软件技术有限公司 | 一种基于云桌面的数据传输方法和装置 |
| CN116938602B (zh) * | 2023-09-15 | 2023-12-01 | 天津卓朗昆仑云软件技术有限公司 | 一种基于云桌面的数据传输方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109639652B (zh) | 2021-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639652A (zh) | 一种基于安全隔离的网间数据访问的方法及系统 | |
| CN104838630B (zh) | 基于策略的应用程序管理 | |
| CN105247529B (zh) | 在目录服务之间同步凭证散列 | |
| CN101083607B (zh) | 一种用于内外网络隔离的因特网访问服务器及其处理方法 | |
| KR101742474B1 (ko) | 서비스로서 디바이스들을 제공하는 방법 | |
| US9389893B2 (en) | Method and system for migration of virtual machines and virtual applications between cloud-computing facilities through multiplexed secure tunnels | |
| KR20230021642A (ko) | 너츠: 유연한 계위 객체 그래프 | |
| CN101986651B (zh) | 远程存储的方法及其系统及客户端 | |
| CN103718164A (zh) | 虚拟计算机和服务 | |
| BR112017016047A2 (pt) | métodos de transmissão de um pacote e de pacotes contendo dados digitais através de uma nuvem e de transmissão de dados digitais através de uma nuvem. | |
| CN104268479B (zh) | 一种文本操作隔离的方法、装置及移动终端 | |
| KR101764199B1 (ko) | 클라우드 기반 가상 모바일 디바이스 | |
| KR20140075785A (ko) | 보안 애플리케이션 생성 방법 및 시스템 | |
| JP2012529086A (ja) | 通信ネットワークによる情報の安全な記憶及び速度を増した送信 | |
| CN109634619A (zh) | 可信执行环境实现方法及装置、终端设备、可读存储介质 | |
| CN104348838B (zh) | 一种文档管理系统和方法 | |
| CN106844489A (zh) | 一种文件操作方法、装置以及系统 | |
| US20140122867A1 (en) | Encryption and decryption of user data across tiered self-encrypting storage devices | |
| CN109154968A (zh) | 用于组织内的安全且高效的通信的系统和方法 | |
| JP2024503327A (ja) | セキュアなデータ移動 | |
| CN112738200B (zh) | 一种基于封闭式公网系统的便捷运维工具及方法 | |
| CN101272396A (zh) | 直接访问式微小体积型网络存储装置及网络存储方法 | |
| CN106254442A (zh) | 一种基于虚拟加密磁盘的云盘数据传输方法及装置 | |
| CN111131308B (zh) | 一种基于服务的调用系统及方法 | |
| WO2014073760A1 (ko) | 셋톱박스 기반의 클라우드 서비스 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |