专利名称:一种在网络隔离状态下实现统一操作的一体化计算机设备及其应用的制作方法
技术领域:
本发明专利涉及网络安全及人机交互领域,具体涉及一种在需要网络隔离的环境下可实现双网应用界面统一操作的一体化计算机设备及其应用。
背景技术:
根据国家相关规定,在具有保密要求的党政军等机关单位必须使用具备网络物理隔离特性的计算机设备,以保证信息安全需要。现有的计算机网络隔离设备多为以下类型,对于网络服务隔离多采用网闸设备实现,此类方案架设复杂,内外网间仍有数据交换,虽然交换内容可控制但是不是完全的物理隔离,网络安全某种程度上依赖于对设备的管理和配置,操作人员需要较高的使用水平,无法满足苛刻的要求,也不适合桌面型设备所需要的简单易用特性。而人们应用最广泛、最为成熟的网络安全技术之一是防火墙,配置得当的防火墙可以阻止很大一部分的攻击行为。对网络起到很好的保护作用。但是,如果配置不当,防火墙就形同虚设起不到保护计算机的作用,安装防火墙只是能够在一定程度上防止不正当程序的入侵。防火墙因其自身的缺陷,使其不可能成为网络安全的最终解决方案。对于桌面应用的隔离目前多采用网络切换卡设备实现,网络切换卡为加装在计算机内部一张功能卡,在切换内外网的同时将存储设备也进行切换,一定程度上实现了内外网的物理隔离,但是此类装置仍存在漏洞,在双网切换时虽然切换了硬盘等外存储器和网络,但是计算机的内存仍会有数据残留,通过一定的技术手段可以将其获取,危害系统安全,且此种隔离方式使用复杂,在切换的同时需要重启计算机,不适合需要频繁切换的办公场合,使用效率低下。如专利申请号201010131604.1发明涉及一种网络隔离通讯方法,设置两个以上计算机终端,并在该计算机终端之间设置可编程控制模块,该可编程控制模块连接设置在任意两个需要建立通讯关系的该计算机终端之间,该计算机终端与该可编程控制模块之间通过总线互联实现信号传输,该可编程控制模块包括可编程控制模块电路,该可编程控制模块电路用于时序控制和数据的存储以及转发,为了实现该可编程控制模块的存储转发功能,在该可编程控制模块电路内开辟存储模块,其所采用的方式在一定程度上隔离并保护了收发信息,但是其采用的可编程控制模块,由于其仍然要在模块内部设置存储模块,并且使用软件开辟,会提高内容被盗窃的风险。另外,目前在政府机关、部队等行业的重要会议室中(通常是党组会议室或专业的会议室,如法院的审判委员会),传统信息化建设通常只是部署了音视频系统、大型会议桌、升降式显示器、中控等,或者根据行业上级的要求建设了远程视频会议系统。这些系统基本上只能提供人与机器的交互能力,信息的交互形式摆脱不了主持人、汇报人单向的“我说你听”、“填鸭式”的沟通模式,均不能明显地支持群体工作。HD-CMSS协作型会议支持系统(保密型)是针对部队、安全部门、公检法、政府机关等行业,专业开发的面向人机交互、群体多维协作的新一代网络多媒体会议管理系统,以其灵活的应用模式,简洁、可靠、安全的应用效果,为全国政府机关、部队等行业开创了新型、环保的新一代群体协作型的会议管理系统,它属于CSCW(计算机支持协同工作)研究领域的重要分支一合作科学研究范畴通过对通信技术、计算机技术以及网络技术的融合,建立多维的协同工作环境,改善会议室内与会者信息交流的方式,共同协调与协作来完成会议任务,从而节省工作人员的时间和精力,提高群体工作质量和效率。但是,目前实现HD-CMSS协作型会议支持系统(保密型)的技术手段落后,功能单一现有的会议信息化系统,大都是多年前设计和建设的,只能将电子文档单向分发到显示器或者投影荧幕上,一人操作,大家跟阅,存在功能单一、智能化程度不高等问题
1.沟通单向,交互受限在具体的应用中,每位与会者需要提出评审意见时,无法独立翻阅提供的电子文档材料进行斟酌,需要重点论证的环节难以多维共享、全面展示,交互上缺乏人性化;
无法实现无纸化会议受传统会议信息化系统的局限,致使无法真正实现无纸化而需要分发大量的纸质材料,不但造成浪费,也不环保;
2.保密性有限有些类似会议系统未与单位内网有效隔离或未采取有效安全手段,都给会议内容的泄露留下隐患;而大量纸质材料的提供也因携带、保管不便,而难以保证信息的安全管理;
3.系统建设不足以往尝试建设的网络多媒体会议管理系统,大都存在系统易用度不高,功能简单、业务针对性差、软硬件系统架构脆弱、稳定性差等种种不足。
发明内容
本发明针对现有技术的不足提供一种在网络隔离状态下实现统一操作的一体化计算机设备及其应用。本发明的目的之 一是通过下述技术方案实现的一种在网络隔离状态下实现统一操作的一体化计算机设备,其设置有四个网络模块,分别为专网处理模块、内网处理模块、控制隔离模块和人机界面共享模块,专网处理模块、内网处理模块分别与专网、内网对应,专网处理模块和内网处理模块都与控制隔离模块相连进行双向控制指令通讯,专网处理模块和内网处理模块并分别与人机界面共享模块相连进行音视频及设备接口信号传输,控制隔离模块为在专网和内网模块间设置的非网络形式的通讯模块,其结构为两侧各设置一个通信处理模块,并各连接并口通讯模块,两侧并口通讯模块间为光电隔离。所述控制隔离模块的通信处理模块的作用是1、解析串口发送的指令,将符合格式要求的指令中的参数进行读取并保存,同时通过串口返回指令接收结果给发送端,实现一次完整的通讯过程;2、按照既定的通讯格式进行指令解析,只允许符合格式要求的数据进行通讯,从根本上避免了已有的各种攻击方式执行;3、实现看门狗功能,看门狗喂狗指令通过串口接收,当看门狗溢出后,立刻通知隔离通讯中另一端的主机,由另一主机进行处理。所述控制隔离模块的并口通讯模块的作用是1、将通讯模块解析后的指令参数通过并口进行发送和接收,并保证数据的完整性;2、同一时刻只允许一个方向的数据传输,对数据进行单向传输隔离,提高安全性。
所述控制隔离模块的光电隔离的作用是将电信号转换成光信号进行通讯,实现彻底的电气隔离。将具备光电隔离技术的非以太网通信模块应用于控制隔离模块并用来实现内、外专网的物理隔离是光电隔离在计算机领域的全新应用,该应用是控制隔离模块实现内、外网物理隔离的关键技术方案,即通信数据采用光电物理隔离解决了人们长期以来想解决但一直未能解决的内、外网转化时的数据保密问题,具有突出的技术效果和显著的技术进步,具有很高的甚至是划时代的创造性。所述控制隔离模块的作用是1.通过硬件隔断接收端向发送端传送数据;2.不使用以太网传输数据,对各类网络攻击免疫;3.发送与接收之间使用自定义协议转换,保证了攻击行为无法直接穿透;4.不进行直接的数据传输,使木马病毒失效。所述控制隔离模块的有益技术效果是1.控制隔离模块用于在内网和专网模块间传递控制和同步等指令,实现指令的纠错和检错重发机制;2.控制隔离模块实现指令的隔离转换,保证内网或者专网模块任何一端均无法通过此路径对另外一方进行任意指令穿透,保证双网隔离的独立性;3.采用全硬件实现,无软件参与功能实现,避免软件运行中遭受攻击或被改写;4.通讯协议转换后采用光电隔离通讯,无电气连接,保证了电气物理隔离的要求;5.实现分别针对内网和专网模块的看门狗功能,在任何一方出现故障的时候能通知另一方,并通过另一方进行系统复位等操作,实现系统的高可靠度运行。所述专网处理模块设置与控制网模块相连进行双向控制指令通讯,在专网运行模式或内网运行模式下模式更改可通过控制网模块,此操作独立于专网和内网之外,可以提供一个专门用于系统控制的专用网络,提高设备使用的安全性。所述人机界面共享模块设置与操作网模块互联,将人机界面共享模块当前的人机界面信号通过操作网进行发布,实现了人机界面的远程操作。
所述专网处理模块设置与采集模块单向连接传输,用于采集内网音频信号和外来音频信号。采集模块通过直接接入并处理音视频模拟信号的方式进行工作,不涉及网络等数字化的操作模式,因此不存在信息泄密问题。所述专网和内网处理模块均各自设置有独立的安全存储模块,保证了数据存储的安全性。所述安全存储模块使用易失性存储器代替磁盘等传统存储设备,设备掉电后此存储器内的所有数据即刻消失,不可还原,用于存放保密要求高的数据,实现更高的业务安全度。本发明所述的一种在网络隔离状态下实现统一操作的一体化计算机设备的工作过程为开启设备,专网处理模块和内网处理模块同时启动,同时进入工作状态,此时计算机设备默认处于专网运行模式,可进行专网应用的操作,当用户需要切换到内网运行模式时,可通过点击显示屏幕上的软件按钮或者设备上的按钮进行切换,切换形式可按照具体要求更改,此切换动作通过控制隔离模块将内网处理模块的切换请求指令传递到专网处理模块,同时控制人机界面共享模块进行信号切换,实现在使用中随时切换的功能。反之,当用户需要从内网运行模式切换到专网运行模式时,切换请求由内网处理模块发出经由控制隔离模块传递到专网运行模块,同时控制人机界面共享模块进行切换,完成双网两种运行模式间的转换。上述技术方案中,专网指网络安全要求高的网络,或指为某项专门应用而架设的网络。内网指网络安全要求较低或者应用类型不同的网络。控制网指针对此专利描述的设备进行网络以外的特有功能控制的专用网络。操作网指针对此专利描述的设备进行人机界面操作支持的专用网络。专网处理模块处理专网应用的计算模块。内网处理模块处理内网应用的计算模块。本发明的优点在于具备多种网络模式接入,可在不影响专网和内网这两个主要网络应用的同时,实现控制网和操作网的独立使用,使得设备的控制和人机界面的操作与主要业务网络隔离,互不影响,可同时进行操作
与传统网络隔离设备相比,本发明在完整实现网络隔离操作的情况下,其设备体积更小,集成度更高,成本更合理,更加适合桌面应用和专门的行业应用。与传统的隔离设备相比,本发明操作更便捷,无需重启设备,或者更换网络线路的物理连接,就可实现随时的双网操作切换,并且具备统一的人机操作界面,真正实现在一套人机操作界面下同时处理双网各自相互独立的应用。与传统个人化的双网隔离设备相比,本发明更具安全性,内网和专网模块具备完全独立的运算设备和存储设备,互相不共用,同一时刻只有一个模块处于用户操作下,无法通过任何一个模块获取另一个模块中的数据,安全性高。与传统的计算机设备相比,本发明具备人机界面的远程操作能力和多操作人互操作能力,因此设备的使用摆脱了空间局限性,可进行更大规模和更大范围的部署,极大地扩展了使用灵活度,并且人机界面的远程扩展不依赖于主要业务网络,安全性高。传统磁盘存储器在删除文件后,如果不对相应的存储扇区进行彻底的抹除操作,则删除的文件信息极易被还原,而本发明描述的设备具备独立的安全存储模块,此模块内的信息掉点后即不复存在,没有技术还原的可能性,安全程度极高。本发明的另一目的在于提供一种在网络隔离状态下实现统一操作的一体化计算机设备的应用,即一种在网络隔离状态下实现统一操作的一体化计算机设备于HD-CMSS协作型会议支持系统的应用,具体应用方法为将一体化计算机设备(以下简称为主机设备)作为每个与会人员的操作机以及会议管理人员的管理主机,将主机设备中内网模块和专网模块对应的单位内网和会议专网进行应用划分,会议专网作为对会议内容进行应用支持的网络,用于会议流程所需的信息交互,需要保密与其他网络隔离,单位内网作为单位内公开网络的接入方式,提供会议以外的相关信息查询或者办公系统操作支持。所述的一体化主机设备的终端设备与操作网直接接入,使用操作网接入方式,实现每个与会者人机界面的远程传输。所述的一体化主机设备以控制网作为会议支持系统的控制链路,实现对 会议主机的远程开关机功能。根据会议系统的应用需要,采用所述的控制网对每个与会者主机设备进行阐述配置,实现在双网隔离的情况下,通过控制网这种双网之外独立网络进行统一配置。所述的控制网还用于接收切换指令,实现对人机界面共享模块的切换功能,并且配合操作网,实现远程人机界面的切换。在会议系统应用中,将所述主机设备的采集模块作为外部非网络信号的引入功能模块,使用采集模块采集内网处理模块的音视频信号即采集模块对内、外网的音视频信号分别进行输入,实现在不切换网络的情况下在专网处理模块应用界面上查看内网的音视频信息,在不中断专网应用的同时能够兼顾内网应用的内容,加大会议系统实际应用的灵活度。在保密性会议系统的应用要求下,将涉密文件存储在主机设备的专网和内网处理模块的安全存储模块内,安全存储模块具有同通用磁盘系统一致的应用接口,方便应用的开发,当会议结束,主机关闭后,其内存储的文件立即销毁,且不存在技术复原的可能性。一体化主机设备的终端设备即操作网终端设备如液晶屏、鼠标、键盘等可进行灵活设置,每个主机设备的角色根据设定进行预订的操作,如超级管理员控制台、会议管理员控制台、院长座席、专家座席、汇报人座席、座席内网应用、外来人员接入、幻灯接入、投影机接入等9种以上应用模式,随着应用的深入将产生更多细化的角色和功能定义。管理员通过会议管理员控制台可以实现各座席间的屏幕界面自由切换、共享,实现多维的会议交互共享,大大提高沟通的质量。所述会议系统可以提供多达24种屏幕切换方式,如
1.控制台一投影屏幕、指定座席、座席组、全部座席
2.投影屏幕一指定座席、座席组、全部座席
3.指定座席机一投影屏幕、指定座席、座席组、全部座席 4.指定内网机一投影屏幕、指定座席、座席组、全部座席
5.外来便携电脑一投影屏幕、指定座席、座席组、全部座席
6.幻灯机一投影屏幕、指定座席、座席组、全部座席 并,可以同时共存I个以上的信号源。本发明通过部署会议室专网和联结单位内网的双网络系统,实现网络隔离,实现更高层次的会议机密保护,该网络隔离方式并非采用防火墙等设备进行部署,而类似于物理隔离,在会议室专网采用数据网络和指令网络隔离,即数据传输通过以太网络,指令操作通过工业控制总线,不但进一步提高了会议机密的保护能力,也大大提高了各项操作的高响应度。
下面结合附图和实施例对本发明作进一步说明
图1为本发明装置系统原理方框 图2为本发明装置控制隔离模块示意框 图3为本发明装置一种实施方式示意图。
具体实施例方式如图f图2所示,一种在网络隔离状态下实现统一操作的一体化计算机设备,其设置有四个网络模块,分别为专网处理模块、内网处理模块、控制隔离模块和人机界面共享模块,其对应专网与内网,专网处理模块和内网处理模块都与控制隔离模块相连进行双向控制指令通讯,专网处理模块和内网处理模块并分别与人机界面共享模块相连进行音视频及设备接口信号传输,控制隔离模块为在专网和内网模块间设置的非网络形式的通讯模块,其结构为两侧各设置一个通信处理模块,并各连接并口通讯模块,两侧并口通讯模块间为光电隔离。所述控制网模块设置与专网处理模块相连进行双向控制指令通讯,在专网运行模式或内网运行模式下模式更改可通过控制网模块,此操作独立于专网和内网之外,可以提供一个专门用于系统控制的专用网络,提高设备使用的安全性。所述操作网模块设置与人机界面共享模块互联,将人机界面共享模块当前的人机界面信号通过操作网进行发布,实现了人机界面的远程操作。所述采集模块设置与专网处理模块单向连接传输,用于采集内网音频信号和外来音频信号。采集模块通过直接接入并处理音视频模拟信号的方式进行工作,不涉及网络等数字化的操作模式,因此不存在信息泄密问题。所述专网·和内网处理模块设置有独立的安全存储模块,保证了数据存储的安全性。所述的安全存储模块使用易失性存储器代替磁盘等传统存储设备,设备掉电后此存储器内的所有数据即刻消失,不可还原,用于存放保密要求高的数据,实现更高的业务安全度。设备开启后,专网处理模块和内网处理模块同时启动,同时进入工作状态,但此时计算机设备默认处于专网运行模式,可进行专网应用的操作,当用户需要切换到内网运行模式时,可通过点击显示屏幕上的软件按钮或者设备上的按钮进行切换,切换形式可按照具体要求更改,此切换动作通过控制隔离模块将内网处理模块的切换请求指令传递到专网处理模块,同时控制人机界面共享模块进行信号切换,实现在使用中随时切换的功能。反之,当用户需要从内网运行模式切换到专网运行模式时,切换请求由内网处理模块发出经由控制隔离模块传递到专网运行模块,同时控制人机界面共享模块进行切换,完成双网两种运行模式间的转换。如图3所示,一种在网络隔离状态下实现统一操作的一体化计算机设备的应用,即一种在网络隔离状态下实现统一操作的一体化计算机设备于HD-CMSS协作型会议支持系统的应用,具体应用方法为将一体化计算机设备5 (以下简称为主机设备)作为每个与会人员的操作机以及会议管理人员的管理主机,将主机设备中内网模块和专网模块对应的单位内网2和会议专网I进行应用划分,并通过对应的内网交换机4和专网交换机3与主机设备5相连,会议专网I作为对会议内容进行应用支持的网络,用于会议流程所需的信息交互,需要保密与其他网络隔离,单位内网作2为单位内公开网络的接入方式,提供会议以外的相关信息查询或者办公系统操作支持。所述的一体化主机的终端设备5与操作网直接接入,使用操作网接入方式,实现每个与会者人机界面的远程传输。所述的一体化主机设备5通过控制网交换机7以控制网6作为会议支持系统的控制链路,实现对会议主机的远程开关机功能。根据会议系统的应用需要,采用所述的控制网对每个与会者主机设备5进行阐述配置,实现在双网隔离的情况下,通过控制网这种双网之外独立网络进行统一配置。所述的控制网6还用于接收切换指令,实现对人机界面共享模块的切换功能,并且配合操作网,实现远程人机界面的切换。
在会议系统应用中,将所述主机设备5的采集模块作为外部非网络信号的引入功能模块,使用采集模块采集内网处理模块的音视频信号即采集模块对内、外网的音视频信号分别进行输入,实现在不切换网络的情况下在专网处理模块应用界面上查看内网的音视频信息,在不中断专网应用的同时能够兼顾内网应用的内容,加大会议系统实际应用的灵活度。在保密性会议系统的应用要求下,将涉密文件存储在主机设备的专网和内网处理模块的安全存储模块内,安全存储模块具有同通用磁盘系统一致的应用接口,方便应用的开发,当会议结束,主机关闭后,其内存储的文件立即销毁,且不存在技术复原的可能性。操作网终端设备即液晶屏、鼠标、键盘等可进行灵活设置,每个主机设备的角色根据设定进行预订的操作,如超级管理员控制台、会议管理员控制台、院长座席、专家座席、汇报人座席、座席内网应用、外来人员接入、幻灯接入、投影机接入等9种以上应用模式,随着应用的深入将产生更多细化的角色和功能定义。管理员通过会议控制台可以实现各座席间的屏幕界面自由切换、共享,实现多维的会议交互共享,大大提高沟通的质量。所属会议系统可以提供多达24种屏幕切换方式,如
1.控制台一投影屏幕、指定座席、座席组、全部座席
2.投影屏幕一指定座席、座席组、全部座席
3.指定座席机一投影屏幕、指定座席、座席组、全部座席
4.指定内网机一投影屏幕、指定座席、座席组、全部座席
5.外来便携电脑一投影屏 幕、指定座席、座席组、全部座席
6.幻灯机一投影屏幕、指定座席、座席组、全部座席 并,可以同时共存I个以上的信号源。本发明通过部署会议室专网和联结单位内网的双网络系统,实现网络隔离,实现更高层次的会议机密保护,该网络隔离方式并非采用防火墙等设备进行部署,而类似于物理隔离,在会议室专网采用数据网络和指令网络隔离,即数据传输通过以太网络,指令操作通过工业控制总线,不但进一步提高了会议机密的保护能力,也大大提高了各项操作的高响应度,同时对操作终端可以进行灵活的角色设定,多维的交互共享,极大的加强了实用性和灵活性。
权利要求
1.一种在网络隔离状态下实现统一操作的一体化计算机设备,其特征在于,该设备设置有四个网络模块,分别为专网处理模块、内网处理模块、控制隔离模块和人机界面共享模块,专网处理模块、内网处理模块分别与专网、内网对应,专网处理模块和内网处理模块都与控制隔离模块相连进行双向控制指令通讯,专网处理模块和内网处理模块并分别与人机界面共享模块相连进行音视频及设备接口信号传输,控制隔离模块为在专网和内网模块间设置的非网络形式的通讯模块,其结构为两侧各设置一个通信处理模块,并各连接并口通讯模块,两侧并口通讯模块间为光电隔离。
2.根据权利要求1所述的一种在网络隔离状态下实现统一操作的一体化计算机设备, 其特征在于,所述专网处理模块设置与控制网模块相连进行双向控制指令通讯,在专网运行模式或内网运行模式下模式更改通过控制网模块完成。
3.根据权利要求1所述的一种在网络隔离状态下实现统一操作的一体化计算机设备, 其特征在于,所述人机界面共享模块设置与操作网模块互联,人机界面共享模块当前的人机界面信号通过操作网进行发布。
4.根据权利要求1所述的一种在网络隔离状态下实现统一操作的一体化计算机设备, 其特征在于,所述专网处理模块设置与采集模块单向连接传输,采集模块用于采集内网音频信号和外来音频信号。
5.根据权利要求1所述的一种在网络隔离状态下实现统一操作的一体化计算机设备, 其特征在于,所述专网和内网处理模块均各自设置有独立的安全存储模块,其安全存储模块使用易失性存储器代替传统存储设备。
6.根据权利要求1所述的一种在网络隔离状态下实现统一操作的一体化计算机设备的应用,即一种在网络隔离状态下实现统一操作的一体化计算机设备于HD-CMSS协作型会议支持系统的应用,其具体应用方法为将一体化计算机设备作为每个与会人员的操作机以及会议管理人员的管理主机,将主机设备中内网模块和专网模块对应的单位内网和会议专网进行应用划分,会议专网作为对会议内容进行应用支持的网络,单位内网作为单位内公开网络的接入方式,提供会议以外的相关信息查询或者办公系统操作支持。
7.根据权利要求6所述的一种在网络隔离状态下实现统一操作的一体化计算机设备的应用,其特征在于,所述的一体化主机设备的终端设备与操作网直接接入,使用操作网接入方式,实现每个与会者人机界面的远程传输。
8.根据权利要求6所述的一种在网络隔离状态下实现统一操作的一体化计算机设备的应用,其特征在于,所述的一体化主机设备以控制网作为会议支持系统的控制链路,所述的控制网对每个与会者主机设备进行阐述配置,。
9.根据权利要求6所述的一种在网络隔离状态下实现统一操作的一体化计算机设备的应用,其特征在于,涉密文件存储在主机设备的专网和内网处理模块的安全存储模块内, 安全存储模块具有同通用磁盘系统一致的应用接口。
10.根据权利要求7所述的一种在网络隔离状态下实现统一操作的一体化计算机设备及其应用,其特征在于,操作网终端设备进行灵活设置,每个主机设备的角色根据设定进行预订的操作,应用模式包括但不限于以下任一种超级管理员控制台、会议管理员控制台、 院长座席、专家座席、汇报人座席、座席内网应用、外来人员接入、幻灯接入或投影机接入。
全文摘要
本发明公开了一种在网络隔离状态下实现统一操作的一体化计算机设备,其设置有四个网络模块,分别为专网处理模块、内网处理模块、控制隔离模块和人机界面共享模块,专网处理模块、内网处理模块分别与专网、内网对应,控制隔离模块为在专网和内网模块间设置的非网络形式的通讯模块,其结构为两侧各设置一个通信处理模块,并各连接并口通讯模块,两侧并口通讯模块间为光电隔离。本发明优点在于具备多种网络模式接入,可在不影响专网和内网这两个主要网络应用的同时,实现控制网和操作网的独立使用,使得设备的控制和人机界面的操作与主要业务网络隔离,互不影响,可同时进行操作。
文档编号H04L29/06GK103036876SQ20121052234
公开日2013年4月10日 申请日期2012年12月7日 优先权日2012年12月7日
发明者吕江波, 郑禧 申请人:福州和达电子科技有限公司