本发明专利技术公开了一种数据安全单向导出系统,适于从第一网络内导出数据至第二网络,包括:导出审核装置,适于接收来自第一网络的第一数据,根据第一数据生成第二数据,第二数据包括第一数据和校验数据;单向通信装置,包括单向接收端和单向输出端,单向接收端与审核装置连接,并适于接收第二数据,单向输出端适于将第二数据单向导出;数据校验装置,与单向通信装置中单向输出端连接,并适于接收第二数据,对第二数据中校验数据进行验证,若验证通过,则将第一数据导出至第二网络,否则不导出。本发明专利技术还公开了一种数据安全单向导出方法。
【技术实现步骤摘要】
本专利技术设及信息安全领域,尤其是。
技术介绍
随着行业信息化、电子商务等的蓬勃发展,特别是网络化电子政务的不断发展,大 多数企业机构、各级政府部口均建立了内部处理事务的网络W及应用系统,而彼此之间进 行数据交互的需求也日益迫切和频繁。然而随之而来的网络入侵和网络攻击也越来越频 繁,网间交互中的信息数据安全得不到有效地保障。 基于各网络安全等级各不相同的现状,例如各政府部口的相关网络属于高密级网 络,安全级别较高,互联网络安全级别较低,现有技术普遍使用基于单向物理隔离传输的网 间单向数据传输技术,例如,申请人原有的基于单向隔离光闽的单向导入系统。 运样,虽然实现了低密级网络数据向高密级网络单向导入的可靠性安全防护,但 对于高密级网络的数据单向导出,仍缺乏有效的保障。[000引因此,有需要提供一种数据安全单向导出方案,确保数据安全地单向导出。
技术实现思路
为此,本专利技术提供一种数据安全单向导出方案,W力图解决或者至少缓解上面存 在的至少一个问题。 根据本专利技术的一个方面,提供了一种数据安全单向导出系统,适于从第一网络内 导出数据至第二网络,包括:导出审核装置,适于接收来自第一网络的第一数据,根据第一 数据生成第二数据,第二数据包括第一数据和校验数据;单向通信装置,包括单向接收端和 单向输出端,单向接收端与审核装置连接,并适于接收第二数据,单向输出端适于将第二数 据单向导出; 数据校验装置,与单向通信装置中单向输出端连接,并适于接收第二数据,对第二 数据中校验数据进行验证,若验证通过,则将第一数据导出至第二网络,否则不导出。 可选地,在根据本专利技术的系统中,导出审核装置还适于检测第一数据的格式是否 为预定格式,若否,则将第一数据的格式转化为预定格式。 可选地,在根据本专利技术的系统中,校验数据包括哈希值,导出审核装置适于根据第 一数据生成哈希值,数据校验装置适于对哈希值进行验证。 可选地,在根据本专利技术的系统中,校验数据包括序列号,导出审核装置适于生成与 第一数据唯一关联的所述序列号。[001引可选地,在根据本专利技术的系统中,序列号包括用户ID、流水号和审核装置的MAC地 址,其中流水号包括日期和数字编号。可选地,在根据本专利技术的系统中,校验数据还包括动态验证码,导出审核装置存储 有密钥,并适于根据该密钥、哈希值和序列号通过预定算法生成动态验证码;数据校验装置 同样存储有该密钥,并适于根据密钥对动态验证码进行验证。 可选地,在根据本专利技术的系统中,预定算法为册TP算法,动态验证码为短整数。 可选地,在根据本专利技术的系统中,导出审核装置还适于对第二数据进行审核,若审 核通过,则将第二数据发送至单向通信装置。 可选地,在根据本专利技术的系统中,导出审核装置适于审核第二数据的导出时间是 否位于允许导出时间段,若是,则审核通过。 可选地,在根据本专利技术的系统中,导出审核装置适于审核第二数据的数据大小是 否超出允许导出数据量,若否,则审核通过。 可选地,在根据本专利技术的系统中,导出审核装置存储有数据格式规范,并适于审核 第二数据内容是否符合数据格式规范,若符合,则审核通过。 可选地,在根据本专利技术的系统中,数据安全单向导出系统还包括集中控制装置,集 中控制装置适于审核数据格式规范,若审核通过,则允许所述导出审核装置根据所述数据 格式规范审核第二数据内容。 可选地,在根据本专利技术的系统中,导出审核装置还适于与集中控制装置建立连接, 当导出审核装置与集中控制装置无法建立连接时,数据安全单向导出系统停止导出。 可选地,在根据本专利技术的系统中,还包括备份装置,备份装置与单向通信装置中单 向输出端连接,并适于备份单向通信装置单向导出的数据。 可选地,在根据本专利技术的系统中,数据校验装置还适于对校验数据验证通过后,删 除校验数据。可选地,在根据本专利技术的系统中,单向通信装置包括单向隔离光闽。 根据本专利技术的另一方面,提供了一种数据安全单向导出方法,该方法包括:接收来 自第一网络的第一数据,根据第一数据生成第二数据,第二数据包括第一数据和校验数据; 通过单向通信装置将第二数据单向导出,并对第二数据中校验数据进行验证,若验证通过, 则将第一数据单向导出至第二网络,否则不导出。 可选地,在根据本专利技术的方法中,根据第一数据生成第二数据的步骤之前还包括: 检测第一数据的格式是否为预定格式,若否,则将第一数据的格式转化为预定格式。 可选地,在根据本专利技术的方法中,校验数据包括哈希值、序列号和动态验证码,根 据第一数据生成第二数据的步骤包括:根据第一数据生成哈希值;生成与第一数据唯一关 联的序列号;W及根据哈希值、序列号和预先存储的密钥通过预定算法生成动态验证码。 可选地,在根据本专利技术的方法中,还包括步骤:审核第二数据内容是否符合数据格 式规范,若符合,则审核通过。 可选地,在根据本专利技术的方法中,对第二数据中校验数据进行验证的步骤包括:对 哈希值和动态验证码进行验证。 根据本专利技术的数据安全单向导出方案,通过单向通信装置单向隔离的物理特性实 现了数据的单向导出,避免信息泄漏;通过对数据内容进行标准审核,使得导出数据更加规 范可靠;同时,采取在单向导出后为导出数据生成校验数据,导出后对该校验数据进行验证 的方式,可确保数据在导出过程中未被篡改,有效保证了数据的安全导出。 进一步地,通过布置备份装置留存单向导出数据副本的机制,利用保留在该备份 装置中导出数据的序列号可便于对数据导出的追根溯源,实现对导出数据的完全可知可 控,同时方便查询。此外,通过布置集中控制装置可实现数据导出的实时监测与控制,进一 步提高了数据导出的安全性。【附图说明】 为了实现上述W及相关目的,本文结合下面的描述和附图来描述某些说明性方 面,运些方面指示了可W实践本文所公开的原理的各种方式,并且所有方面及其等效方面 旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述 W及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的 部件或元素。 图1示出了根据本专利技术的一个示例性实施方式的数据安全单向导出系统100的构 造框图; 图2示出了根据本专利技术另一个示例性实施方式的数据安全单向导出系统200的结 构框图;W及 图3示出了根据本专利技术一个示例性实施方式的数据安全单向导出方法300的流程 图。当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种数据安全单向导出系统,适于从第一网络内导出数据至第二网络,包括:导出审核装置,适于接收来自第一网络的第一数据,根据所述第一数据生成第二数据,所述第二数据包括第一数据和校验数据;单向通信装置,包括单向接收端和单向输出端,所述单向接收端与所述审核装置连接,并适于接收所述第二数据,所述单向输出端适于将所述第二数据单向导出;数据校验装置,与所述单向通信装置中单向输出端连接,并适于接收所述第二数据,对所述第二数据中校验数据进行验证,若验证通过,则将所述第一数据导出至第二网络,否则不导出。
【技术特征摘要】
【专利技术属性】
技术研发人员:李志鹏,王洪波,
申请(专利权)人:北京天行网安信息技术有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。