具有隔離與信息交換的網(wǎng)絡(luò)信息安全系統(tǒng)

林青 王瑋 張紅娜 張小林

摘 要 隨著互聯(lián)網(wǎng)+時(shí)代的發(fā)展，網(wǎng)絡(luò)化的社會(huì)不僅給人們?nèi)粘Ｉ顜?lái)諸多便利，但是也危及個(gè)人或企業(yè)的信息安全，甚至對(duì)國(guó)家安全和國(guó)際關(guān)系也產(chǎn)生了深刻的影響。

【關(guān)鍵詞】隔離 信息交換 網(wǎng)絡(luò) 信息安全

1 前言

目前網(wǎng)絡(luò)通訊安全通常采用的技術(shù)方案是：設(shè)置多種訪問(wèn)權(quán)限，每一位訪問(wèn)者根據(jù)不同的訪問(wèn)權(quán)限來(lái)對(duì)相應(yīng)的內(nèi)容進(jìn)行訪問(wèn)，但是一旦某一位訪問(wèn)者的密碼被破解，相應(yīng)的網(wǎng)絡(luò)安全防線也被破解，尤其是當(dāng)administrator的密碼被破解，所有安全防線將全部報(bào)廢。

還有的企業(yè)將企業(yè)內(nèi)部網(wǎng)絡(luò)定義為內(nèi)網(wǎng)，對(duì)應(yīng)的外部網(wǎng)絡(luò)為外網(wǎng)，他們?yōu)槊恳晃挥性L問(wèn)外網(wǎng)需求的員工配置兩臺(tái)工作電腦，一臺(tái)工作電腦僅能訪問(wèn)內(nèi)網(wǎng)，一臺(tái)工作電腦僅能訪問(wèn)外網(wǎng)，同時(shí)對(duì)內(nèi)網(wǎng)的所有電腦進(jìn)行監(jiān)控，這樣有效地提高了內(nèi)部網(wǎng)絡(luò)的安全，可以有效防范設(shè)置訪問(wèn)權(quán)項(xiàng)產(chǎn)生的安全漏洞，但是同時(shí)也會(huì)導(dǎo)致工作上的不便，例如，工作中需要到外網(wǎng)下載一個(gè)參考資料，需要先訪問(wèn)外網(wǎng)將資料下載在外網(wǎng)工作電腦中，然后通過(guò)U盤等外部設(shè)備進(jìn)行拷貝，將資料再傳輸?shù)絻?nèi)網(wǎng)工作電腦上，十分耗費(fèi)精力，導(dǎo)致工作效率降低。

因此，如何提供一種有效的、方便的網(wǎng)絡(luò)安全管理系統(tǒng)及方法是業(yè)界亟待解決的技術(shù)問(wèn)題。

2 工作原理

本文為了解決上述現(xiàn)有技術(shù)的問(wèn)題，提出一種網(wǎng)絡(luò)安全管理系統(tǒng)，包括連接外網(wǎng)網(wǎng)域的外網(wǎng)網(wǎng)口，連接內(nèi)網(wǎng)網(wǎng)域的內(nèi)網(wǎng)網(wǎng)口，還包括：

中間網(wǎng)口，所述中間網(wǎng)口包括第一中間網(wǎng)口至第N中間網(wǎng)口，所述第N中間網(wǎng)口可與內(nèi)網(wǎng)網(wǎng)口進(jìn)行通訊，N為自然數(shù)；

切換電路，設(shè)有兩種狀態(tài)，在第一種狀態(tài)下根據(jù)外網(wǎng)網(wǎng)口、第一中間網(wǎng)口至第N中間網(wǎng)口、內(nèi)網(wǎng)網(wǎng)口的順序?qū)W(wǎng)口進(jìn)行兩兩分組，允許同一組內(nèi)的兩個(gè)網(wǎng)口之間進(jìn)行通訊；在第二種狀態(tài)下根據(jù)第一中間網(wǎng)口至第N中間網(wǎng)口、內(nèi)網(wǎng)網(wǎng)口的順序?qū)W(wǎng)口進(jìn)行兩兩分組，允許同一組內(nèi)的兩個(gè)網(wǎng)口之間進(jìn)行通訊；

切換模塊，與外網(wǎng)網(wǎng)口相連接，通過(guò)切換電路與中間網(wǎng)口及內(nèi)網(wǎng)網(wǎng)口相連接，根據(jù)切換電路的不同狀態(tài)，控制相應(yīng)的網(wǎng)口之間連通；

控制模塊，對(duì)切換電路及切換模塊進(jìn)行控制，使切換電路不停地進(jìn)行狀態(tài)轉(zhuǎn)換，直至外網(wǎng)網(wǎng)口/內(nèi)網(wǎng)網(wǎng)口的命令或數(shù)據(jù)傳遞至內(nèi)網(wǎng)網(wǎng)口/外網(wǎng)網(wǎng)口為止。

數(shù)據(jù)處理模塊，通過(guò)上述模塊以及網(wǎng)口與外網(wǎng)進(jìn)行間接通訊，既隔離了內(nèi)網(wǎng)和外網(wǎng)，又可以使內(nèi)、外網(wǎng)之間的數(shù)據(jù)可以被間接傳遞。

數(shù)據(jù)處理模塊可以采用至少一種加密策略，對(duì)通訊的數(shù)據(jù)/命令進(jìn)行加密，從而進(jìn)一步提高系統(tǒng)的安全性?？刂颇K和數(shù)據(jù)處理模塊還分別具有用于存儲(chǔ)數(shù)據(jù)或算法的存儲(chǔ)器。

本技術(shù)方案中，切換模塊具有切換芯片，根據(jù)切換芯片端口的順序來(lái)順次與外網(wǎng)網(wǎng)口、第一中間網(wǎng)口至第N中間網(wǎng)口、內(nèi)網(wǎng)網(wǎng)口直接連接或間接連接，當(dāng)相鄰兩個(gè)端口對(duì)應(yīng)的網(wǎng)口需要通訊時(shí)，切換模塊將所述兩個(gè)端口對(duì)應(yīng)的VLAN寄存器的值置為1。

控制模塊具有控制芯片，所述數(shù)據(jù)處理模塊具有數(shù)據(jù)處理芯片，所述控制芯片和數(shù)據(jù)處理芯片的型號(hào)均為AM335X，所述切換芯片的型號(hào)為88E6172，所述切換芯片與控制芯片之間、控制芯片與數(shù)據(jù)處理芯片之間均通過(guò)RGMII接口連接。

外網(wǎng)網(wǎng)口通過(guò)網(wǎng)橋芯片與切換芯片相連接，中間網(wǎng)口及內(nèi)網(wǎng)網(wǎng)口分別通過(guò)不同的網(wǎng)橋芯片與切換電路相連接，內(nèi)網(wǎng)網(wǎng)口與控制芯片的eth0處于同一網(wǎng)段。

3 體系結(jié)構(gòu)

結(jié)構(gòu)示意圖如圖1所示。

本系統(tǒng)所述系統(tǒng)包括：網(wǎng)絡(luò)數(shù)據(jù)收發(fā)端和數(shù)據(jù)處理端，其中，網(wǎng)絡(luò)數(shù)據(jù)收發(fā)端的AM335x通過(guò)RGMII總線連接88E6172，88E6172的五個(gè)口上掛了五塊gst5009lf，其中四路經(jīng)過(guò)切換電路與4個(gè)RJ45連接，而剩下的一路直接掛RJ45。網(wǎng)絡(luò)數(shù)據(jù)收發(fā)端的AM335x通過(guò)SPI總線與FLASH連接，來(lái)讀寫FLASH。網(wǎng)絡(luò)數(shù)據(jù)收發(fā)端的AM335x通過(guò)EMIF接口掛了DDR3。網(wǎng)絡(luò)數(shù)據(jù)收發(fā)端的AM335x通過(guò)RGMII總線與數(shù)據(jù)處理端AM335x通信。數(shù)據(jù)處理端的AM335x通過(guò)EMIF接口掛了DDR3。數(shù)據(jù)處理端AM335x對(duì)數(shù)據(jù)進(jìn)行處理后，把重要的數(shù)據(jù)通過(guò)SPI總線存儲(chǔ)到FLASH上。這就出現(xiàn)了一個(gè)問(wèn)題：如何更好管理五個(gè)RJ45口下的不同網(wǎng)域的通信。于是，本發(fā)明提出了對(duì)88E6172軟設(shè)置及對(duì)切換電路的操作，實(shí)現(xiàn)某些網(wǎng)域可以訪問(wèn)數(shù)據(jù)處理端，而這幾個(gè)不同網(wǎng)域又能通信，以達(dá)到網(wǎng)絡(luò)安全管理的目的。

4 軟件流程

系統(tǒng)開(kāi)機(jī)后，先讀取GPIO2_25的值，然后詢問(wèn)是否啟動(dòng)切換電路。如果是，則啟動(dòng)切換電路，然后進(jìn)入while 1循環(huán)；如果否則直接進(jìn)入while 1循環(huán)。執(zhí)行while 1循環(huán)，系統(tǒng)詢問(wèn)lan1與lan2、lan3與lan4是否要數(shù)據(jù)通信，如果是，則執(zhí)行判斷是否啟動(dòng)切換電路，然后進(jìn)行數(shù)據(jù)通信；如果否則直接執(zhí)行數(shù)據(jù)通信。數(shù)據(jù)通信完畢，進(jìn)入判斷l(xiāng)an1與lan2、lan3與lan4是否要數(shù)據(jù)通信，如果是，則進(jìn)入判斷是否啟動(dòng)切換電路，如果是，則關(guān)閉切換電路，進(jìn)入數(shù)據(jù)通信。如果判斷是否啟動(dòng)切換電路為否，則直接進(jìn)入數(shù)據(jù)通信。數(shù)據(jù)通信完畢，再詢問(wèn)lan5與數(shù)據(jù)處理端是否要數(shù)據(jù)通信，如果是，則進(jìn)入判斷是否啟動(dòng)切換電路。判斷是否啟動(dòng)切換電路如果為是，則關(guān)閉切換電路，如果為否，則數(shù)據(jù)通信，然后再進(jìn)入while 1循環(huán)。

5 結(jié)語(yǔ)

本文提出了對(duì)88E6172軟設(shè)置及對(duì)切換電路的操作，實(shí)現(xiàn)某些網(wǎng)域可以訪問(wèn)數(shù)據(jù)處理端，而這幾個(gè)不同網(wǎng)域又能通信，以達(dá)到網(wǎng)絡(luò)安全管理的目的。

作者簡(jiǎn)介

林青（1985-），男，碩士學(xué)位。軟件工程師。研究方向?yàn)榍度胧礁咝阅苡?jì)算。

作者單位

深圳市億威爾信息技術(shù)股份有限公司 廣東省深圳市 518057