专利名称:基于nc系统的网络安全系统的制作方法
技术领域:
本实用新型涉及一种网络安全系统,特别是涉及一种基于NC系统的网络安全系统。
背景技术:
NC系统现在市场上流行的计算机设备有一个共同的特点,需要强劲的电源,硕大的机箱以及烦琐的散热设备,所以其成本高,维修也不方便。NC系统的目的就是克服计算机的这些缺点,为那些对性能没有苛刻要求的用户提供一种多功能的廉价选择。从最早的完全集中的计算模式,到后来的C/S结构模式,再到今天的分布式计算模式。计算模式的不断演变与发展一直影响并指导着计算机应用系统的体系结构和部署实施。计算环境的模式一直都随着计算机硬件和软件发展而发展,同时计算机应用领域需求的发展变化也影响计算模式的发展变化,所以离开不同时代的计算机软硬件环境和应用需求特点去谈计算模式是没有意义的。应用领域需求的特点变化、网络的快速发展,使基于网络的NC应用构架系统应运而生,这种框架的系统在安全性、扩展性、易管理性上都有了提高。如图所示这种NC应用构架系统是把所有的计算任务和资料放在一小部分性能相对较高的服务器(刀片式PC服务器)上,而各个终端只负责简单的与用户交互的任务,所以对终端的配置要求是相当低的。从本质上来分析,NC应用构架的系统属于C/S结构模式(Thin Client/Fat Server),更细致一点地说即为SBC计算模式(Serverd-based Computing),但它不同于其它许多应用环境下的瘦客户端,因为一般其它所谓的瘦客户端运行时至少还需要操作系统和其它系统软件支撑环境,但NC客户机却不需要这些,它只需要终端客户机能够进行图形显示就可以了,所有的计算任务将全部分配在多个刀片式PC服务器上,所以说NC客户机才是真正的超级瘦终端机。同时这种NC应用构架的系统具备有如下特点系统最初建设时需要投入的成本相对比较低廉。由于NC客户端的配置要求很低,所以构建一个计算能力与传统PC工作站结构相当的NC系统时所需投入的成本就降低了很多;虽然在整个NC系统中其所有节点没有硬盘,但作为NC系统的储存介质的电子盘,在整个系统中还是处于一种不安全的状况下,当系统与互联网或公用计算机网互连时,处于完全暴露状态,虽然可以在其边缘网络加装防火墙,但还是不能阻止日益强大的黑客技术,极易受到来自互联网或公用计算机网的恶意攻击。在为了解决其安全性的问题,我们采用真正的物理隔离方法来实现内外网的隔离。
实用新型内容本实用新型的目的在于提供一种不易受到来自互联网或公用计算机网的恶意攻击的、具有更好的安全性的基于NC系统的网络安全系统。
为实现上述目的,本实用新型的技术解决方案是本实用新型是一种基于NC系统的网络安全系统,它主要由计算机主板、内部电子盘、外部电子盘和隔离卡组成;所述的用于对网络进行物理隔断的隔离卡设置在内部电子盘与外部电子盘之间,内部电子盘与外部电子盘通过隔离卡连接计算机主板。
所述的隔离卡通过PCI接口方式连接计算机主板。
本实用新型还包括内网服务器、内网交换机、外网服务器、外网交换机;内部电子盘通过内网交换机与内网服务器连接,外部电子盘通过外网交换机与外网服务器连接。
本实用新型还包括内网服务器、内网交换机、外网服务器、外网交换机和网络安全隔离选择器;内部电子盘、外部电子盘通过隔离卡连接网络安全隔离选择器,网络安全隔离选择器分别通过内网交换机与内网服务器连接、通过外网交换机与外网服务器连接。
采用上述方案后,由于本实用新型在NC系统的信息安全中,实行内部网(办公网或机密网)与外部网(例如因特网)进行电子盘的物理隔离。为了安全的从物理上隔离内部网络与外部网络,当内部网(外部网)启动后,内部网(外部网)所使用的电子盘和网络连接,而外部网(内部网)的电源或数据线断开使得其完全不能不可使用。这样就实现了在一台NC系统中分时段的连接内部网或外部网,从而真正实现了物理上的隔离。因此,基于NC的物理隔离系统,从物理上隔离涉密网与公网,避免了内部网遭受外部黑客、病毒的攻击,达到了“该共享的要共享,该保护的还要保护”的信息安全策略,解决了网络世界里黑客攻击内部网络的问题,具有更好的安全性,可节省75%为解决内外网隔离而投入的人力和物力,为政府、金融等单位节省上亿元的网络改造投入。对企业来讲,同样也适用,甚至很大程度上来讲NC的目标客户群主要的还是企业和一些窗口服务型行业。
以下结合附图和具体实施例对本实用新型作进一步的说明。
图1是习用典型NC构架系统结构示意图;图2A是本实用新型第一个实施例的结构示意图;图2B是本实用新型第一个实施例的结构框图;图3是本实用新型第二个实施例的结构示意图;图4A是本实用新型第三个实施例的结构示意图;图4B是本实用新型第三个实施例的结构框图。
具体实施方式
本实用新型的工作原理采用双电子盘方案双电子盘方案是指在一台计算机上安装两块电子盘,通过电源或数据线的切换来实现的,当需要使用内网时,启动相应的内部网电子盘(外网电子盘断开),同时连接相应的内部网或单机运行,当需要使用外部网时,启动相应的外部网电子盘(内网电子盘断开),同时连接相应的外部网络。
图2A、图2B是本实用新型第一个实施例(单机解决方案)。
本实用新型基于NC系统的网络安全系统主要由计算机主板1、内部电子盘2、外部电子盘3和隔离卡4组成。
所述的用于对网络进行物理隔断的隔离卡4设置在内部电子盘2与外部电子盘3之间,内部电子盘2与外部电子盘3分别连接隔离卡4,隔离卡4通过串口、USB口、PCI接口方式连接计算机主板1。计算机主板1通过Modem5连接互联网6或其它公共网络。
本实施例的工作过程通过物理隔离卡控制,在内网状态下,计算机主板1无法通过Modem5与外部网络联系,内部电子盘2加电启动而外部电子盘3处于断电的状态(完全的不可使用状态)同时连接网络的连线短开,当连接外部网络的时候,内部电子盘2断电(完全的不可使用状态)外部电子盘3加电启动,同时网络连线开启与外网进行通讯。因此存放涉密信息的内部电子盘2在工作状态下的安全得到保证。物理隔离卡单机安全物理隔离解决方案可满足单位或个人用户单机拨号上网的要求。
图3是本实用新型第二个实施例,它是一种双网解决方案(双网线)。
本实用新型基于NC系统的网络安全系统主要由NC终端系统1A(包括计算机主板、内部电子盘、外部电子盘)、隔离卡4A、网络安全隔离选择器5A、内网服务器6A、内网交换机7A、外网服务器8A、外网交换机9A组成。
所述的用于对网络进行物理隔断的隔离卡4设置在工作站1A与网络安全隔离选择器5A之间。内部电子盘(图中未示)经隔离卡4A、网络安全隔离选择器5A、内网交换机7A与内网服务器6A连接,外部电子盘经经隔离卡4A、网络安全隔离选择器5A、外网交换机9A与外网服务器8A连接。
本实施例的工作过程实现内部涉密网络与国际互联网或其他公共网络的物理隔离,在用户具有两套局域网络的情况下,应采用双布线结构,在NC终端系统加装物理隔离卡,对网络进行物理隔离,每个网络有各自独立的服务器、交换机及网络传输线路。内部电子盘与内部网络相连,外部电子盘与互联网相连,当内部电子盘加电启动时外部电子盘断电(不可使用)与互联网断开,这时用户与交换机连接只能与内部网络用户进行通讯,当外部电子盘加电启动时,内部电子盘断电(不可使用)与互联网相连同时与内部交换机断开,这时用户不能与内部网络通讯,可与外部互联网进行通讯。在此方案中使用了网络安全物理隔离选择器,它具有交换和安全选择的功能,支持单网线双网线数据传输主要进行隔离卡的安全选择。当用户需要联接两个不同的网络,比如LAN和Internet,这将导致了重复的网络设施,或者用户在已有的网络结构上如需再联结一个网,也会需要安装整体的结构改造,这都会导致很大的额外成本、繁重的工作和大量的时间。而作为物理隔离卡的一项配套产品,将是一个完善的解决方式,这将节省额外的布线,并可使用已有的单条以大网/快速以太网,将已装有物理隔离卡的用户安全地从桌面联接到两个不同的网络上去。在安装了物理隔离卡的NC终端系统上,实际上存在着安全区与公共区两种状态,当NC终端系统通过网络安全隔选择器联结内外网时,当NC终端系统处于公共状态说,将只能联结外部网,而处于安全状态时,则只能联结内部网。网络安全隔离选择器是一个标准修补面板,支持8或24个终端用户工作站。这种设备不能视为以太网设备,它对以太网信号的减弱可以忽略不计。连接于现有集线器开关与LAN之间的网络电缆通过网络安全隔离选择器(控制以太网/快速以太网)进行排线。在电线(TX与RX对)增加一个″超带″DC(直电流)电压信号能够可靠地控制两个不同网络间的转接。信号的极性可以测定哪一个网络通过网络安全隔离选择器与NC终端系统连接。网络安全隔离选择器抹去DC元素,并用清晰、标准的IEEE802.3信号将网络端口呈现在″背面″。如果没有检测到DC电流,两个网络都会被全部切断,这样减小了安全区的工作站被错误地连接上未分类网络的风险。这种网络安全隔离选择器的设置允许用户顺利地进行额外的网络工作,避免了向桌面铺设新电缆的争论。所有的附属设施被连接在通信机箱与后面的中枢上。此外,数据安全隔离选择器操作是全透明的,无需维修,且对以太网/快速以太网的标准通信没有任何影响。那些对安全要求高的机构一方面寻求向他们的用户提供Internet连接,另一方面保证内部数据的安全。这样的话,这些机构只需在桌面工作站内安装数据安全保护器,然后添加普通的商业Internet访问解决方案即可。
图4A、图4B所示是本实用新型第三个实施例,它是一种双网解决方案(单网线)。
本实用新型基于NC系统的网络安全系统主要由计算机主板1B、内部电子盘2B、外部电子盘3B、隔离卡4B、网络安全隔离选择器5B、内网服务器6B、内网交换机7B、外网服务器8B、外网交换机9组成。
所述的用于对网络进行物理隔断的隔离卡4B设置在内部电子盘2B与外部电子盘3B之间。内部电子盘2B与外部电子盘3B分别连接隔离卡4B,隔离卡4B通过PCI接口方式连接计算机主板1B。内部电子盘2B经隔离卡4B、网络安全隔离选择器5B、内网交换机7B与内网服务器6B连接,外部电子盘经隔离卡4B、网络安全隔离选择器5B、外网交换机9B与外网服务器8B连接。
本实施例的工作过程为实现内部涉密网络与国际互联网或其他公共网络的物理隔离,在用户只有单布线结构的情况下,在NC终端系统加装网络安全选择器及物理隔离卡,隔离卡通过选择器的线路选择功能利用单布线结构实现对网络进行完全物理隔离,每个网络有各自独立的服务器、交换机及网络传输线路。如图所示网络选择器一边连入内网,一边连入外网对网络进行切换,当要访问内网的时候,内网电子盘电源或数据线启动,外网电子盘处于完全关闭状态中,终端NC系统使用一根网线与网络选择器相连自动与内部网络连接,与外部网络断开,这样就杜绝了来自外部网络的恶意攻击。
本实用新型通讯方式的选择根据物理隔离卡与计算机通讯方式的同我们将其分为以下三种类型1.手动切换方式即硬切换。它的最大特点是无需安装软件。内外网通过手动开关上的指示灯或者其按键高低来显示。这样的隔离卡在市场上已趋于淘汰。
2.串口通讯方式它是通过软件控制,实现计算机网络状态的切换。隔离卡与计算机的通讯方式是通过串口来实现的。它的最大特点,智能化高,能自动监测出当前的网络状态。并且界面友好,使用方便,还具有软盘、光盘提示等功能。这种类型的隔离卡市场上较为普遍。
3.PCI接口方式它是通过软件控制的方式来实现内外网络状态的检测和切换,同串口通讯方式相比它最大的特点是节省了有限的串口资源。PCI总线是一种不依附于某个具体处理器的局部总线。从结构上看,PCI是在CPU和原来的系统总线之间插入的一级总线,具体由一个桥接电路实现对这一层的管理,并实现上下之间的接口以协调数据的传送。管理器提供了信号缓冲,使之能支持10种外设,并能在高时钟频率下保持高性能。PCI总线也支持总线主控技术,允许智能设备在需要时取得总线控制权,以加速数据传送。它的主要性能,支持10台外部设备,最大数据传输速率133MB/S,时钟同步方式,不受CPU及时钟频率影响总线宽度32位(5V)64位(3.3V),而且能自动识别外部设备。
而NC系统要求提高整体的性能,所以我们的隔离卡采用效率最高的PCI接口方式来与计算机进行通讯。
在NC系统之中我们采用电源或数据线控制方式对其进行控制,通过切断电子盘电源或数据线来实现内外网电子盘的转换。当启动内网(外网)的时候启动内网(外网)电源或数据线,同时关闭外网(内网)电源或数据线,这样在使用时就可以只使用单一的网络,而另一网络处于完全的关闭状态。
从布线的角度基于NC系统,我们又将双电子盘隔离卡分为双网、单网、和支持MODEM功能。
权利要求1.一种基于NC系统的网络安全系统,其特征在于它主要由计算机主板、内部电子盘、外部电子盘和隔离卡组成;所述的用于对网络进行物理隔断的隔离卡设置在内部电子盘与外部电子盘之间,内部电子盘与外部电子盘通过隔离卡连接计算机主板。
2.根据权利要求1所述的基于NC系统的网络安全系统,其特征在于所述的隔离卡通过PCI、串口、USB接口方式连接计算机主板。
3.根据权利要求1所述的基于NC系统的网络安全系统,其特征在于它还包括内网服务器、内网交换机、外网服务器、外网交换机;内部电子盘通过内网交换机与内网服务器连接,外部电子盘通过外网交换机与外网服务器连接。
4.根据权利要求1所述的基于NC系统的网络安全系统,其特征在于它还包括内网服务器、内网交换机、外网服务器、外网交换机和网络安全隔离选择器;内部电子盘、外部电子盘通过隔离卡连接网络安全隔离选择器,网络安全隔离选择器分别通过内网交换机与内网服务器连接、通过外网交换机与外网服务器连接。
专利摘要本实用新型公开了一种基于NC系统的网络安全系统,它主要由计算机主板、内部电子盘、外部电子盘和隔离卡组成。所述的用于对网络进行物理隔断的隔离卡设置在内部电子盘与外部电子盘之间,内部电子盘与外部电子盘通过隔离卡连接计算机主板。由于本实用新型在NC系统的信息安全中,实行内部网与外部网进行电子盘的物理隔离。在一台NC系统中分时段的连接内部网或外部网,从而真正实现了物理上的隔离。因此,本实用新型从物理上隔离涉密网与公网,避免了内部网遭受外部黑客、病毒的攻击,解决了网络世界里黑客攻击内部网络的问题,具有更好的安全性。
文档编号H04L12/24GK2785015SQ200520069089
公开日2006年5月31日 申请日期2005年2月3日 优先权日2005年2月3日
发明者张职亮 申请人:张职亮