硬盘和网络安全隔离卡方案


概述

安全隔离卡用于将普通计算机分为安全环境(内网)和开放环境(外网),内网和外网使用不同的硬盘并且连接到不同的网络,从而能够避免硬盘中的重要数据通过 网络等方式泄露。一般的双网卡方案、多重引导卡或者多用户管理卡只是在逻辑层提供硬盘数据隔离,而硬盘和网络安全隔离卡的特点主要是在物理层提供硬盘数据 隔离,确保更高的数据安全性。
现有的技术方案主要是单网卡、双硬盘物理切换隔离,通常都需要在启动时选择内网或者外网,这些选择界面和切换操作通常由扩展ROM 中的启动程序完成。

用户的功能需求分析

  1. 用户需要在开机后选择将使用内网的安全环境,还是外网的开放环境,所以安全隔离卡应该能够在开机时向用户提供选择界面,而且应该是在DOS 或者Windows 等操作系统引导之前。
  2. 当用户选择完后,安全隔离卡需要执行内外网的环境切换,也就是说,需要在选择界面(软件)与隔离卡切换电路(硬件)之间建立通讯。
  3. 当启动时切换选择后,必须确保不能在Windows 等系统的运行过程中被黑客无意或者恶意的切换,否则将导致硬盘数据不完整以及数据通过外网泄露,所以安全隔离卡需要一个切换锁定装置。当隔离卡在启动时切 换完成后,必须锁定防止再被切换,直到关机或者重启才能解除。
  4. 美观需求。早期产品是从计算机后壳引出电线接一个电器开关到桌面,由用户随时拨动开关,所以就很难做到美观,也不完全,容易无意中碰到,完全不象一个高科技的IT 产品。
  5. 方便性和智能化,体现在软件功能上。新式的隔离卡通常采用扩展ROM 程序,根据用户的使用习惯提供仿Windows 中文界面和智能提示,以及个性化的启动图片。
  6. 方案的统一性和可升级性。同一方案既能支持PATA并口硬盘,也能支持SATA串口硬盘,便于批量采购和备货,便于简化售后服务。
  7. 软硬件的兼容性,由所采用的技术方案而定。例如,IDE 接口只用于硬盘和光驱产品,当前的UDMA133硬盘工作在133MHz高频上,如果通过拦截硬盘IDE接口获取扩展ROM发出的切换指令,那么就会增加 IDE 接口的负载,对于更高速度的SATA 接口则问题更严重,很容易产生主板兼容性问题,或者影响硬盘数据的传输速度,好的技术方案应该尽量采用成熟的标准化技术,例如通过PCI-Express 总线的I/O 端口获取扩展ROM 发出的切换指令。

我们的技术方案

根据上述分析,可以采用PCIe 扩展ROM 专用控制芯片CH366Q,主要是考虑:

  1. CH366具有支持锁定的控制输出引脚,可以实现切换锁定,防止被WINDOWS下的黑客应用软件意外切换导致数据泄密。
  2. CH366可以预置切换信息,支持在下次开机时或者重新启动时自动加载,方便在WINDOWS下进行切换。即先在WINDOWS 下预置,再在重启时执行切换,防止立即切换导致死机。
  3. CH366支持睡眠和唤醒,可以设定在关机后数秒内自动重新开机,通过关机来清空内存中的数据,避免遗留在内存的的重要数据在切换后被带到外网。
  4. CH366 提供Flash-ROM闪存,支持在线擦写,便于在用户端远程升级,容量从64KB到1MB,可以记忆用户上次的选择,也可以记忆进入内网时所需的密码,或者保存产品序列号等。
  5. CH366 支持扩展ROM,并且可以使用厂家随芯片提供的免费授权使用的BRM 程序库,基于BRM程序库和参考样例,设计出个性化的选择界面将非常容易。
  6. CH366 具有I/O 端口读写功能,不需要拦截硬盘数据就可以在标准的PCIe总线上获得扩展ROM发出的切换指令,用于在合适的时间点实现内外网络环境切换和判断。
  7. CH366 提供了常用的串行通讯扩展接口,能够方便地与单片机或者CPLD/FPGA 交换数据,对产品进行加密或者解密。
  8. CH366 是CH364 芯片的升级版本,继承了CH364 的优点并做了改良。

另外,真正的安全性必须是在公开技术方案后仍然保持原来的安全性,基于CH366Q 设计的安全隔离卡,由于通过I/O端口获取切换指令并且采用切换锁定技术,所以,在公开技术方案的情况下,依然能够保持原来的安全性,而不怕任何恶意的黑 客程序和病毒。
总之,与通用芯片相比,CH366 在隔离卡应用方面,更加专业、更加安全、综合成本更低。

CH366ISL.jpg

参考价:598元/块