一种高密级网并行访问低密级网的系统论文和设计-万俊伟

全文摘要

本发明公开了一种高密级网并行访问低密级网的系统,所述高密级网处设置有使用高密级网的高密级网用户终端;所述系统包括网间安全隔离单元、代理服务器单元、文件服务器单元、审批服务器单元以及虚拟桌面单元,通过利用上述各个单元,实现高密级网用户终端对低密级网的安全访问,以及高密级网与低密级网间之间的信息安全可控交换。优点是:在不改变现有网络结构的前提下,基于一套用户网布线系统,通过单台用户终端即可实现高密级网用户终端对低密级网的安全访问,同时,高密级网与低密级网之间只交换截面显示和鼠标键盘信息,高密级网到低密级网的信息流动必须经过审核,因此能够有效排除恶意代码和主动泄密的风险。

主设计要求

1.一种高密级网并行访问低密级网的系统,所述高密级网处设置有使用高密级网的高密级网用户终端;其特征在于:所述系统包括网间安全隔离单元;设置在所述高密级网和所述低密级网之间,所述网间安全隔离单元用于实现高密级网与低密级网之间的安全隔离、实现IP阻断并阻止任何TCP和\/或IP的连接直接穿透;代理服务器单元;设置在所述低密级网中,所述代理服务器单元用于将应用显示界面经计算后传送给高密级网用户,并实现对登陆用户的身份鉴别、权限管理和行为审计;文件服务器单元;包括第一文件服务器和第二文件服务器,两者分别设置在所述高密级网和所述低密级网中;所述第一服务器和所述第二服务器均用于实现电子文件信息在低密级网和高密级网之间的共享、同步以及木马查杀;审批服务器单元;设置在所述高密级网中,用于审批从高密级网输出到低密级网的信息;虚拟桌面单元;设置在高密级网用户终端中,所述虚拟桌面单元用于在高密级网用户终端访问低密级网时登录所述代理服务器单元,并通过所述代理服务器单元访问低密级网。

设计方案

1.一种高密级网并行访问低密级网的系统,所述高密级网处设置有使用高密级网的高密级网用户终端;其特征在于:所述系统包括

网间安全隔离单元;设置在所述高密级网和所述低密级网之间,所述网间安全隔离单元用于实现高密级网与低密级网之间的安全隔离、实现IP阻断并阻止任何TCP和\/或IP的连接直接穿透;

代理服务器单元;设置在所述低密级网中,所述代理服务器单元用于将应用显示界面经计算后传送给高密级网用户,并实现对登陆用户的身份鉴别、权限管理和行为审计;

文件服务器单元;包括第一文件服务器和第二文件服务器,两者分别设置在所述高密级网和所述低密级网中;所述第一服务器和所述第二服务器均用于实现电子文件信息在低密级网和高密级网之间的共享、同步以及木马查杀;

审批服务器单元;设置在所述高密级网中,用于审批从高密级网输出到低密级网的信息;

虚拟桌面单元;设置在高密级网用户终端中,所述虚拟桌面单元用于在高密级网用户终端访问低密级网时登录所述代理服务器单元,并通过所述代理服务器单元访问低密级网。

2.根据权利要求1所述的高密级网并行访问低密级网的系统,其特征在于:所述代理服务器单元和高密级网用户终端间只传输键盘、鼠标和显示界面变化信息。

3.根据权利要求1所述的高密级网并行访问低密级网的系统,其特征在于:当高密级网用户终端需要访问低密级网时,用户启动虚拟桌面单元,通过所述网间安全隔离单元登录所述代理服务器单元,所述代理服务器单元在确认用户身份后,在授权范围内调用安装其自身的各类应用访问所述低密级网,所述代理服务器将应用显示界面经计算后传送给高密级网用户终端,完成高密级网用户终端对低密级网的访问。

4.根据权利要求1所述的高密级网并行访问低密级网的系统,其特征在于:当信息从低密级网导入高密级网时,用户将下载的低密级网信息打包发送到所述第二文件服务器,所述第二文件服务器调用病毒木马查杀工具对低密级网信息中需要导入的文件进行病毒木马查杀,所述网间安全隔离单元将需要导入的文件同步到第一文件服务器,高密级网用户终端从第一文件服务器中获取需要导入的文件。

5.根据权利要求4所述的高密级网并行访问低密级网的系统,其特征在于:所述第二文件服务器中设置有文件导入目录,所述低密级网信息存储在所述文件导入目录中,所述第二文件服务器对文件导入目录中需要导入的文件进行木马查杀,所述网间安全隔离单元将第二文件服务器中进行过木马查杀后的需要导入的文件同步到所述第一文件服务器中。

6.根据权利要求1所述的高密级网并行访问低密级网的系统,其特征在于:当高密级网向低密级网输出信息时,任何需要输出的信息在输出前都必须经过所述审批服务器单元审批。

7.根据权利要求6所述的高密级网并行访问低密级网的系统,其特征在于:当高密级网向低密级网输出高密级网信息时,高密级网用户终端向所述审批服务器单元发送信息导出申请,所述信息导出申请经所述审批服务器单元审批通过后,所述高密级网用户终端将高密级网信息发送到所述第一文件服务器中,所述网间安全隔离单元将所述高密级信息中需要导出的文件同步到所述第二服务器中,之后由低密级网上的应用和\/或用户调用。

8.根据权利要求7所述的高密级网并行访问低密级网的系统,其特征在于:所述第一文件服务器中设置有文件导出目录,所述高密级网信息存储在所述文件导出目录中,所述网间安全隔离单元将所述文件导出目录中需要导出的文件同步到所述第二文件服务器中。

9.根据权利要求1所述的高密级网并行访问低密级网的系统,其特征在于:所述代理服务器单元、所述文件服务器单元和所述审批服务器单元均为可信计算机。

设计说明书

技术领域

本发明涉及计算机安全技术领域,尤其涉及一种高密级网并行访问低密级网的系统。

背景技术

在军队单位,普遍存在多个不同密级的网络系统,出于安全考虑,不同密级网络系统之间往往采取物理隔离措施,造成多个事实上的信息孤岛,不仅网间信息共享困难,而且造成用户多终端问题。

目前,不同密级网络系统之间通常采用单向网闸等网间安全隔离手段,实现信息从低密级网向高密级网的单向流动,但高密级网用户不能直接访问低密级网,无法解决多终端问题。

针对多终端问题,目前一般的解决方案是用户终端改用无盘工作站或瘦客户机,通过物理切换、分时方式实现对不同密级网络的访问,该方式的缺点,一是需多套用户网布线,二是未解决网间信息共享问题,三是用户需在不同网络系统之间物理切换,分时访问,使用不便。

发明内容

本发明的目的在于提供一种高密级网并行访问低密级网的系统,从而解决现有技术中存在的前述问题。

为了实现上述目的,本发明采用的技术方案如下:

一种高密级网并行访问低密级网的系统,所述高密级网处设置有使用高密级网的高密级网用户终端;所述系统包括

网间安全隔离单元;设置在所述高密级网和所述低密级网之间,所述网间安全隔离单元用于实现高密级网与低密级网之间的安全隔离、实现IP阻断并阻止任何TCP和\/或IP的连接直接穿透;

代理服务器单元;设置在所述低密级网中,所述代理服务器单元用于将应用显示界面经计算后传送给高密级网用户,并实现对登陆用户的身份鉴别、权限管理和行为审计;

文件服务器单元;包括第一文件服务器和第二文件服务器,两者分别设置在所述高密级网和所述低密级网中;所述第一服务器和所述第二服务器均用于实现电子文件信息在低密级网和高密级网之间的共享、同步以及木马查杀;

审批服务器单元;设置在所述高密级网中,用于审批从高密级网输出到低密级网的信息;

虚拟桌面单元;设置在高密级网用户终端中,所述虚拟桌面单元用于在高密级网用户终端访问低密级网时登录所述代理服务器单元,并通过所述代理服务器单元访问低密级网。

优选的,所述代理服务器单元和高密级网用户终端间只传输键盘、鼠标和显示界面变化信息。

优选的,当高密级网用户终端需要访问低密级网时,用户启动虚拟桌面单元,通过所述网间安全隔离单元登录所述代理服务器单元,所述代理服务器单元在确认用户身份后,在授权范围内调用安装其自身的各类应用访问所述低密级网,所述代理服务器将应用显示界面经计算后传送给高密级网用户终端,完成高密级网用户终端对低密级网的访问。

优选的,当信息从低密级网导入高密级网时,用户将下载的低密级网信息打包发送到所述第二文件服务器,所述第二文件服务器调用病毒木马查杀工具对低密级网信息中需要导入的文件进行病毒木马查杀,所述网间安全隔离单元将需要导入的文件同步到第一文件服务器,高密级网用户终端从第一文件服务器中获取需要导入的文件。

优选的,所述第二文件服务器中设置有文件导入目录,所述低密级网信息存储在所述文件导入目录中,所述第二文件服务器对文件导入目录中需要导入的文件进行木马查杀,所述网间安全隔离单元将第二文件服务器中进行过木马查杀后的需要导入的文件同步到所述第一文件服务器中。

优选的,当高密级网向低密级网输出信息时,任何需要输出的信息在输出前都必须经过所述审批服务器单元审批。

优选的,当高密级网向低密级网输出高密级网信息时,高密级网用户终端向所述审批服务器单元发送信息导出申请,所述信息导出申请经所述审批服务器单元审批通过后,所述高密级网用户终端将高密级网信息发送到所述第一文件服务器中,所述网间安全隔离单元将所述高密级信息中需要导出的文件同步到所述第二服务器中,之后由低密级网上的应用和\/或用户调用。

优选的,所述第一文件服务器中设置有文件导出目录,所述高密级网信息存储在所述文件导出目录中,所述网间安全隔离单元将所述文件导出目录中需要导出的文件同步到所述第二文件服务器中。

优选的,所述代理服务器单元、所述文件服务器单元和所述审批服务器单元均为可信计算机。

本发明的有益效果是:1、本发明能够有效排除恶意代码和主动泄密的风险,高密级网用户终端对低密级网的信息访问和应用都在代理服务器单元上执行,其信息的处理和存储都在低密级网中,高密级网与低密级网之间只交换截面显示和鼠标键盘信息,另外,高密级网到低密级网的信息流动必须经过审核,因此能够有效排除恶意代码和主动泄密的风险。2、本发明无需改变用户单位现有网络结构,只需1台用户终端、1套用户网布线,即可实现高密级网用户终端对本单位其他低密级网的安全访问。3、本发明中用户通过1台用户终端可同时实现对高密级网和低密级网的安全访问,比现有物理冷切换、分时访问方式更加方便快捷;而且高密级网与低密级网间的信息交换通过网间安全隔离单元自动进行,避免了人工倒盘带来的使用不便和管理成本。

附图说明

图1是本发明实施例中所述系统的结构示意图;

图2是本发明实施例中高密级网用户终端访问低密级网过程示意图;

图3是本发明实施例中低密级网到高密级网信息导入过程示意图;

图4是本发明实施例中高密级网到低密级网信息导出过程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不用于限定本发明。

实施例一

如图1所示,本发明提供了一种高密级网并行访问低密级网的系统,所述高密级网处设置有使用高密级网的高密级网用户终端;所述系统包括

网间安全隔离单元;设置在所述高密级网和所述低密级网之间,所述网间安全隔离单元用于实现高密级网与低密级网之间的安全隔离、实现IP阻断并阻止任何TCP和\/或IP的连接直接穿透;

代理服务器单元;设置在所述低密级网中,所述代理服务器单元用于将应用显示界面经计算后传送给高密级网用户,并实现对登陆用户的身份鉴别、权限管理和行为审计;

文件服务器单元;包括第一文件服务器和第二文件服务器,两者分别设置在所述高密级网和所述低密级网中;所述第一服务器和所述第二服务器均用于实现电子文件信息在低密级网和高密级网之间的共享、同步以及木马查杀;

审批服务器单元;设置在所述高密级网中,用于审批从高密级网输出到低密级网的信息;

虚拟桌面单元;设置在高密级网用户终端中,所述虚拟桌面单元用于在高密级网用户终端访问低密级网时登录所述代理服务器单元,并通过所述代理服务器单元访问低密级网。

本实施例中,所述代理服务器单元和高密级网用户终端间只传输键盘、鼠标和显示界面变化信息。

本实施例中,所述虚拟桌面单元为设置在哎所述高密级用户终端中的软件。

本实施例中,所述代理服务器单元、所述文件服务器单元和所述审批服务器单元均为可信计算机。

实施例二

如图1所示,本实施例中,详细说明了高密级网用户终端访问低密级网的过程。具体为:当高密级网用户终端需要访问低密级网时,用户启动虚拟桌面单元,通过网间安全隔离单元登录代理服务器单元,代理服务器单元在确认用户身份后,在授权范围内调用安装其自身的各类应用访问低密级网,所述代理服务器将应用显示界面经计算后传送给高密级网用户终端,完成高密级网用户终端对低密级网的访问。

本实施例中,所述安装在所述代理服务器单元上的各类应用为浏览器、电子邮件等。

实施例三

如图3所示,本实施例中,详细说明了低密级网到高密级网的信息导入过程。具体为:当信息从低密级网导入高密级网时,用户将下载的低密级网信息打包发送到第二文件服务器,所述第二文件服务器调用病毒木马查杀工具对低密级网信息中需要导入的文件进行病毒木马查杀,网间安全隔离单元将需要导入的文件同步到第一文件服务器,高密级网用户终端从第一文件服务器中获取需要导入的文件。

本实施例中,所述第二文件服务器中设置有文件导入目录,所述低密级网信息存储在所述文件导入目录中,所述第二文件服务器对文件导入目录中需要导入的文件进行木马查杀,所述网间安全隔离单元将第二文件服务器中进行过木马查杀后的需要导入的文件同步到第一文件服务器中。

实施例四

如图4所示,本实施例中,详细说明了高密级网到低密级网的信息导出过程。具体为:当高密级网向低密级网输出信息时,任何需要输出的信息在输出前都必须经过审批服务器单元审批。

本实施例中,当高密级网用户终端向低密级网输出高密级网信息时,高密级网用户终端向审批服务器单元发送信息导出申请,所述信息导出申请经所述审批服务器单元审批通过后,之后将高密级网信息发送到第一文件服务器中,所述网间安全隔离单元将所述高密级信息中需要导出的文件同步到第二服务器中,之后又低密级网上的应用和\/或用户调用。

本实施例中,所述第一文件服务器中把设置有文件导出目录,所述高密级网信息存储在所述文件导出目录中,所述网间安全隔离单元将第一服务器中需要导出的文件同步到第二文件服务器中。

通过采用本发明公开的上述技术方案,得到了如下有益的效果:

本发明提供了一种高密级网并行访问低密级网的系统,本系统能够有效排除恶意代码和主动泄密的风险,高密级网用户终端对低密级网的信息访问和应用都在代理服务器单元上执行,其信息的处理和存储都在低密级网中,高密级网与低密级网之间只交换截面显示和鼠标键盘信息,另外,高密级网到低密级网的信息流动必须经过审核,因此能够有效排除恶意代码和主动泄密的风险。本无需改变用户单位现有网络结构,只需1台用户终端、1套用户网布线,即可实现高密级网用户终端对本单位其他低密级网的安全访问。本系统中用户通过1台用户终端可同时实现对高密级网和低密级网的安全访问,比现有物理冷切换、分时访问方式更加方便快捷;而且高密级网与低密级网间的信息交换通过网间安全隔离单元自动进行,避免了人工倒盘带来的使用不便和管理成本。

以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。

设计图

一种高密级网并行访问低密级网的系统论文和设计

相关信息详情

申请码:申请号:CN201910573077.0

申请日:2019-06-28

公开号:CN110381040A

公开日:2019-10-25

国家:CN

国家/省市:11(北京)

授权编号:授权时间:主分类号:H04L 29/06

专利分类号:H04L29/06;H04L29/08

范畴分类:39B;

申请人:中国人民解放军63921部队

第一申请人:中国人民解放军63921部队

申请人地址:100094 北京市海淀区北清路26号院航天城

发明人:万俊伟;陈洪雁

第一发明人:万俊伟

当前权利人:中国人民解放军63921部队

代理人:于国栋

代理机构:11337

代理机构编号:北京市盛峰律师事务所

优先权:关键词:当前状态:审核中

类型名称:外观设计

标签:;  ;  ;  

一种高密级网并行访问低密级网的系统论文和设计-万俊伟
下载Doc文档

猜你喜欢