具有隔離與信息交換的網絡信息安全系統

林青 王瑋 張紅娜 張小林

摘 要 隨著互聯網+時代的發展，網絡化的社會不僅給人們日常生活帶來諸多便利，但是也危及個人或企業的信息安全，甚至對國家安全和國際關系也產生了深刻的影響。

【關鍵詞】隔離 信息交換 網絡 信息安全

1 前言

目前網絡通訊安全通常采用的技術方案是：設置多種訪問權限，每一位訪問者根據不同的訪問權限來對相應的內容進行訪問，但是一旦某一位訪問者的密碼被破解，相應的網絡安全防線也被破解，尤其是當administrator的密碼被破解，所有安全防線將全部報廢。

還有的企業將企業內部網絡定義為內網，對應的外部網絡為外網，他們為每一位有訪問外網需求的員工配置兩臺工作電腦，一臺工作電腦僅能訪問內網，一臺工作電腦僅能訪問外網，同時對內網的所有電腦進行監控，這樣有效地提高了內部網絡的安全，可以有效防范設置訪問權項產生的安全漏洞，但是同時也會導致工作上的不便，例如，工作中需要到外網下載一個參考資料，需要先訪問外網將資料下載在外網工作電腦中，然后通過U盤等外部設備進行拷貝，將資料再傳輸到內網工作電腦上，十分耗費精力，導致工作效率降低。

因此，如何提供一種有效的、方便的網絡安全管理系統及方法是業界亟待解決的技術問題。

2 工作原理

本文為了解決上述現有技術的問題，提出一種網絡安全管理系統，包括連接外網網域的外網網口，連接內網網域的內網網口，還包括：

中間網口，所述中間網口包括第一中間網口至第N中間網口，所述第N中間網口可與內網網口進行通訊，N為自然數；

切換電路，設有兩種狀態，在第一種狀態下根據外網網口、第一中間網口至第N中間網口、內網網口的順序對網口進行兩兩分組，允許同一組內的兩個網口之間進行通訊；在第二種狀態下根據第一中間網口至第N中間網口、內網網口的順序對網口進行兩兩分組，允許同一組內的兩個網口之間進行通訊；

切換模塊，與外網網口相連接，通過切換電路與中間網口及內網網口相連接，根據切換電路的不同狀態，控制相應的網口之間連通；

控制模塊，對切換電路及切換模塊進行控制，使切換電路不停地進行狀態轉換，直至外網網口/內網網口的命令或數據傳遞至內網網口/外網網口為止。

數據處理模塊，通過上述模塊以及網口與外網進行間接通訊，既隔離了內網和外網，又可以使內、外網之間的數據可以被間接傳遞。

數據處理模塊可以采用至少一種加密策略，對通訊的數據/命令進行加密，從而進一步提高系統的安全性。控制模塊和數據處理模塊還分別具有用于存儲數據或算法的存儲器。

本技術方案中，切換模塊具有切換芯片，根據切換芯片端口的順序來順次與外網網口、第一中間網口至第N中間網口、內網網口直接連接或間接連接，當相鄰兩個端口對應的網口需要通訊時，切換模塊將所述兩個端口對應的VLAN寄存器的值置為1。

控制模塊具有控制芯片，所述數據處理模塊具有數據處理芯片，所述控制芯片和數據處理芯片的型號均為AM335X，所述切換芯片的型號為88E6172，所述切換芯片與控制芯片之間、控制芯片與數據處理芯片之間均通過RGMII接口連接。

外網網口通過網橋芯片與切換芯片相連接，中間網口及內網網口分別通過不同的網橋芯片與切換電路相連接，內網網口與控制芯片的eth0處于同一網段。

3 體系結構

結構示意圖如圖1所示。

本系統所述系統包括：網絡數據收發端和數據處理端，其中，網絡數據收發端的AM335x通過RGMII總線連接88E6172，88E6172的五個口上掛了五塊gst5009lf，其中四路經過切換電路與4個RJ45連接，而剩下的一路直接掛RJ45。網絡數據收發端的AM335x通過SPI總線與FLASH連接，來讀寫FLASH。網絡數據收發端的AM335x通過EMIF接口掛了DDR3。網絡數據收發端的AM335x通過RGMII總線與數據處理端AM335x通信。數據處理端的AM335x通過EMIF接口掛了DDR3。數據處理端AM335x對數據進行處理后，把重要的數據通過SPI總線存儲到FLASH上。這就出現了一個問題：如何更好管理五個RJ45口下的不同網域的通信。于是，本發明提出了對88E6172軟設置及對切換電路的操作，實現某些網域可以訪問數據處理端，而這幾個不同網域又能通信，以達到網絡安全管理的目的。

4 軟件流程

系統開機后，先讀取GPIO2_25的值，然后詢問是否啟動切換電路。如果是，則啟動切換電路，然后進入while 1循環；如果否則直接進入while 1循環。執行while 1循環，系統詢問lan1與lan2、lan3與lan4是否要數據通信，如果是，則執行判斷是否啟動切換電路，然后進行數據通信；如果否則直接執行數據通信。數據通信完畢，進入判斷lan1與lan2、lan3與lan4是否要數據通信，如果是，則進入判斷是否啟動切換電路，如果是，則關閉切換電路，進入數據通信。如果判斷是否啟動切換電路為否，則直接進入數據通信。數據通信完畢，再詢問lan5與數據處理端是否要數據通信，如果是，則進入判斷是否啟動切換電路。判斷是否啟動切換電路如果為是，則關閉切換電路，如果為否，則數據通信，然后再進入while 1循環。

5 結語

本文提出了對88E6172軟設置及對切換電路的操作，實現某些網域可以訪問數據處理端，而這幾個不同網域又能通信，以達到網絡安全管理的目的。

作者簡介

林青（1985-），男，碩士學位。軟件工程師。研究方向為嵌入式高性能計算。

作者單位

深圳市億威爾信息技術股份有限公司 廣東省深圳市 518057