一种安全隔离保护系统及安全隔离保护方法与流程

1.本技术涉及数据处理技术领域，尤其涉及一种安全隔离保护系统及安全隔离保护方法。


背景技术：

2.随着电子政务建设的不断深化发展，很多政府部门、金融机构、企事业单位、医疗行业、商业组织的内部网络与外部网络之间需要交换的信息越来越多、资源共享越来越频繁，对重要数据业务系统和数据应用系统依赖程度的日益增强，数据库安全及数据安全的问题受到普遍关注，传统的安全隔离与信息交换系统因其具有可靠的信息传输、安全的信息交换等优点被广泛应用，但传统的方法无法保证数据信息在传输过程中以及信息传输结束后的破坏和泄露，缺乏对信息安全的严格审查，在内外网之间进行信息交互的同时必须提供安全等级的保护措施。
3.目前隔离网络间是采用专用的协议通道和专有的传输协议完成内网和外网之间的数据传输和信息交换，数据传输的方向可以通过通道方向，即内网到外网的通道或者外网到内网的通道来完成，保证内网和外网是完全断开；然后通过协议解封与重组达到屏蔽会话层以下的网络威胁及安全数据的访问控制，但是该安全隔离与信息交换更侧重于隔离网之间涉及的传输，对于重要的信息或数据缺乏安全保障，导致无法保证传输过程中数据的篡改和泄漏。
4.因此，如何实现安全隔离网络中对重要信息或数据的保护，提升数据传输过程中数据的安全性是值得考虑的技术问题之一。


技术实现要素：

5.有鉴于此，本技术提供一种安全隔离保护系统及安全隔离保护方法，用以实现安全隔离网络中对重要信息或数据的保护，提升数据传输过程中数据的安全性。
6.具体地，本技术是通过如下技术方案实现的：
7.根据本技术的第一方面，提供一种安全隔离保护系统，包括：连接内网的内端处理单元和连接外网的外端处理单元，所述内端处理单元与所述外端处理单元通过数据控制单元交互，其中：
8.所述内端处理单元，用于对从内网接收到的第一报文进行安全检查，在检查通过后，对所述第一报文中的第一数据进行加密处理；按照设定的第一报文封装协议对加密得到的第一加密数据进行封装，得到第一加密报文；向所述数据控制单元发送所述第一加密报文；
9.所述数据控制单元，用于接收所述第一加密报文，并将所述第一加密报文发送给外端处理单元；
10.所述外端处理单元，用于按照所述设定的第一报文封装协议从接收到的所述第一加密报文中解析出所述第一加密数据；以及从所述第一加密数据中解密出所述第一数据，
并按照所述第一报文的报文封装协议对解密出的第一数据进行封装，得到第一封装报文；将所述第一封装报文发送至所述外网。
11.根据本技术的第二方面，提供一种安全隔离保护方法，应用于连接内网的内端处理单元中，所述方法，包括：
12.对从内网接收到的第一报文进行安全检查；
13.在检查通过后，对所述第一报文中的第一数据进行加密处理；
14.按照设定的第一报文封装协议对加密得到的第一加密数据进行封装，得到第一加密报文并向外网发送所述第一加密报文。
15.根据本技术的第三方面，提供一种安全隔离保护方法，应用于连接外网的外端处理单元中，所述方法，包括：
16.接收第一加密报文，其中，所述第一加密报文为对内网接收到的第一报文进行安全检查通过后，对所述第一报文中的第一数据进行加密并按照设定的第一报文封装协议封装得到的；
17.按照所述设定的第一报文封装协议从所述第一加密报文中解析出所述第一加密数据；
18.从所述第一加密数据中解密出所述第一数据；
19.按照所述第一报文的报文封装协议对解密出的第一数据进行封装，得到第一封装报文；
20.将所述第一封装报文发送至所述外网。
21.根据本技术的第四方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本技术实施例第一方面所提供的方法。
22.根据本技术的第五方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本技术实施例第一方面所提供的方法。
23.本技术实施例的有益效果：
24.内端处理网络会对从内网接收的第一报文进行安全检查，在检查通过后对第一报文中的数据进行加密，然后对第一加密数据进行封装后，将第一加密报文通过数据控制单元发送给外端处理单元，而外端处理单元在接收到第一加密报文后，可以从第一加密报文中解析出第一加密数据，然后对第一加密数据进行解密处理以得到第一数据，并利用对第一报文对应的报文封装协议对第一数据进行封装处理，以还原得到与第一报文格式相同的第一封装报文并发送给外网。这样，不仅实现了安全隔离网络中对重要信息或数据的保护，同时提升了数据传输过程中数据的安全性和准确性。
附图说明
25.图1是本技术实施例提供的一种安全隔离保护系统的结构示意图；
26.图2是本技术实施例提供的内端处理单元、数据控制单元和外端处理单元的交互流程示意图之一；
27.图3是本技术实施例提供的另一种安全隔离保护系统的结构示意图；
28.图4是本技术实施例提供的内端处理单元、数据控制单元和外端处理单元的交互流程示意图之二；
29.图5是本技术实施例提供的用户角色的示例图；
30.图6是本技术实施例提供的一种安全隔离保护方法的流程示意图；
31.图7是本技术实施例提供的另一种安全隔离保护方法的流程示意图；
32.图8是本技术实施例提供的一种实施安全隔离保护方法的电子设备的硬件结构示意图。
具体实施方式
33.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如本技术的一些方面相一致的装置和方法的例子。
34.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
35.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
36.下面对本技术提供的安全隔离保护系统及安全隔离保护方法进行详细地说明。
37.参见图1，图1是本技术提供的一种安全隔离保护系统的架构图，该系统可以包括：连接内网的内端处理单元和连接外网的外端处理单元，内端处理单元与外端处理单元通过数据控制单元交互，通过设置上述安全隔离保护系统，可以用于隔离网络之间数据传输和信息交互，其中：内端处理单元、外端处理单元与数据控制单元之间的交互流程可以参考图2所示，可以包括如下所示步骤：
38.s201、内端处理单元对从内网接收到的第一报文进行安全检查，在检查通过后，对所述第一报文中的第一数据进行加密处理。
39.本步骤中，内端处理单元与内网(内端网络)连接，用于对来自内网的流量数据进行预处理，然后再传输至外端处理单元。具体来说，内端处理单元在接收到来自内网的第一报文后，会对第一报文进行安全检查，以识别第一报文是否存在安全隐患，进而达到屏蔽网络攻击及非授权访问的目的。在对第一报文安全检查通过后，即确认第一报文不存在安全隐患时，内端处理单元则会从第一报文中解析出第一数据，并对解析出的第一数据进行加密处理。
40.具体来说，内端处理单元会对第一报文进行协议剥离，例如按照tcp/ip协议从第一报文中剥离网络协议包头，并从网络协议包头中获取用于安全检查的有效信息，然后对该有效信息进行安全检查。
41.可选地，内端处理单元可以按照下述方法对第一报文进行安全检查：内端处理单元根据预先配置的安全策略对第一报文进行安全检查。
42.具体地，安全策略是通过指定源ip地址、目的ip地址、协议、端口、用户和时间段等过滤条件匹配出特定的报文，并根据预先设定的策略动作对此报文进行处理；若报文未匹配上任何策略，则丢弃该报文。当安全策略中未配置过滤条件时，则该策略将匹配所有报文。基于以上原理，内端处理单元可以依据内置的安全策略规则对第一报文进行安全审查，以屏蔽网络攻击及非授权访问。
43.需要说明的是，当对第一报文安全检查不通过时，则可以丢弃该第一报文并进行日志记录。在此基础上，此外，内端处理单元还用于对内端处理单元中的安全策略、入侵检查、策略过滤和访问控制进行规则和记录，以形成完备的日志并展示给用户，方便用户跟踪定位。
44.具体来说，本实施例中的内端处理单元还可以包括内端日志审计模块，由该内端日志审计模块用于对内端处理单元中丢弃的报文进行记录，以形成日志进行展示，方便用户查看；此外，该内端日志审计模块，还可以用于对内端处理单元中的安全策略、入侵检查、策略过滤和访问控制进行规则和记录，以形成完备的日志并展示给用户，方便用户跟踪定位。
45.在此基础上，为了保证安全隔离网络中内网与外网之间数据传输的安全性及可靠性，内端处理单元在对上述有效信息的安全性验证通过时，会对第一报文中的第一数据进行加密操作，具体可以但不限于采用对称加密算法abe加密方法实现第一数据的加密，从而增加了数据的保密性和完整性。此外，由于abe加密算法实现较为成熟，相较于其他加密算法，该算法的安全性高、实用性强且计算速度快，对传输延迟影响较低，因此即使采用了abe加密算法也不会影响内网到外网数据传输的实时性。
46.可选地，内端处理单元内置有内端代理服务模块、内端安全策略模块、内端网络协议剥离模块、内端数据深度分析模块和内端数据加密模块，参考图3所示，其中，内端代理服务模块用于从内网接收第一报文，然后将第一报文发送给内端安全策略模块，由内端安全策略模块对第一报文进行安全检查，具体可以利用内置的安全策略对第一报文进行安全检查；待检查通过后，内端安全策略模块会将检查通过的第一报文发送给内端网络协议剥离模块，以使内端网络协议剥离模块从第一报文中剥离出网络协议包头，并从网络协议包头中获取用于安全检查的有效信息；并将有效信息和第一报文中的第一数据(负载数据)发送给内端数据深度分析模块，以使内端数据深度分析模块对有效信息进行识别处理，以确认该有效信息是否存在网络攻击或安全隐患；当有效信息不存在网络攻击和/或安全隐患时，则内端数据深度分析模块会将第一数据发送给内端数据加密模块，由内端数据加密模块对第一数据进行加密处理，从而保证了内网到外网传输过程中信息不被泄漏和破坏，进而实现数据信息的保密性、安全性和完整性的传输要求。
47.可选地，上述内端处理单元还包括内端策略管理模块，也请参考图3所示。该内端策略管理模块用于管理内端处理单元中的安全策略、业务规则等等。通过设置该内端策略管理模块，通过授权的用户可以使用该内端策略管理模块修改数据检查和过滤规则，这样，当内端安全策略模块进行安全检查时，就可以从内端策略管理模块获取到最新的安全策略，然后根据最新的安全策略对第一报文中的有效信息进行安全性检查，从而保证了安全
策略的时新性，进而保证安全检查的有效性。
48.需要说明的是，上述第一报文可以为数据报文也可以为业务报文，本技术对此不进行限定。
49.s202、内端处理单元按照设定的第一报文封装协议对加密得到的第一加密数据进行封装，得到第一加密报文。
50.本步骤中，为了保证第一加密数据传输到外网，内端处理单元会按照其与外端处理单元协商的第一报文封装协议对第一加密数据进行封装处理，从而得到第一加密报文。
51.值得注意的是，内端处理单元还包括内端专用协议封装模块，也请参考图3所示。在此基础上，内端数据加密模块会将加密得到的第一加密数据发送给内端专用协议封装报文，以由内端专用协议封装报文利用设定的第一报文封装协议对第一加密数据进行封装处理，从而得到第一加密报文。
52.可选地，上述第一报文封装协议可以但不限于为专用协议，例如自定义的非标准通信协议等等。
53.s203、内端处理单元向所述数据控制单元发送所述第一加密报文。
54.本步骤中，内端处理单元与数据控制单元之间设置有第一专用通道，在此基础上，内端处理单元可以将第一加密报文通过前述第一专用通道发送给数据控制单元。
55.具体地，当内端控制单元包括图3所示的各模块时，内端专用协议封装模块可以实现通过第一专用通道将第一加密报文发送给所述数据控制单元的目的。
56.需要说明的是，上述第一专用通道可以但不限于为支持tcp、udp、http、ftp等协议的通道，具体可以根据实际情况进行配置。
57.s204、数据控制单元接收所述第一加密报文，并将所述第一加密报文发送给外端处理单元。
58.本步骤中，数据控制单元接收到第一加密报文后，可以通过摆渡的方式将第一加密报文转发给外端处理单元。
59.值得注意的是，数据控制单元一般通过第二专用通道与外端处理单元进行交互，在此基础上，数据控制单元可以通过第二专用通道将第一加密报文转发给外端处理单元。而外端处理单元与外网连接，从而也就实现了内网的数据安全到达外网的目的。
60.需要说明的是，上述第二专用通道可以但不限于为支持tcp、udp、http、ftp等协议的通道，具体可以根据实际情况进行配置。
61.s205、外端处理单元按照所述设定的第一报文封装协议从接收到的所述第一加密报文中解析出所述第一加密数据。
62.本步骤中，为了能够将第一数据准确的送达外网，外端处理单元在接收到第一加密报文后，会按照第一报文封装协议从第一加密报文中解析出第一加密数据。
63.需要说明的是，内端处理单元与外端处理单元可以预先协商好报文封装协议，然后在执行数据封装或解封装时，就可以按照协商好的封装协议执行对应操作即可。
64.可选地，上述外端处理单元包括外端专用协议解析模块，还可以参考图3所示。在此基础上，外端专用协议解析模块会获取到第一加密报文，然后按照第一报文封装协议对第一加密报文进行解析处理，从而可以解析出第一加密数据。
65.s206、外端处理单元从所述第一加密数据中解密出所述第一数据，并按照所述第
一报文的报文封装协议对解密出的第一数据进行封装，得到第一封装报文。
66.本步骤中，由于第一加密数据已安全送达与外网连接的外端处理单元中，由于到达外网的数据如果是加密的话，外网中的设备可能因为不知道解密算法则可能造成无法从第一加密数据中解密出第一数据，因此外端处理单元需要对第一加密数据进行解密处理，以解密出第一数据。具体来说，外端处理单元可以利用abe解密算法实现第一加密数据的解密处理，从而解密出第一数据。待解密出第一数据后，为了能够让第一数据按内网发出的格式发送到外网，外端处理单元会按照第一报文对应的报文封装协议对第一数据进行封装处理，从而可以得到报文格式与第一报文的报文格式相同的第一封装报文。
67.需要说明的是，外端处理单元和内端处理单元会预先内置解密和加密算法等等，以便后续数据解密/加密处理。
68.可选地，上述外端处理单元还包括外端数据解密模块和外端协议还原模块，也请参考图3所示。在此基础上，外端专用协议解析模块会将解析出的第一加密数据发送给外端数据解密模块，然后由外端数据解密模块利用与内端数据加密模块执行的加密算法对应的解密算法从第一加密数据中解析出第一数据，并将解密出的第一数据发送给外端协议还原模块，以由外端协议还原模块利用第一报文对应的报文封装格式对第一数据进行封装处理，从而得到第一封装报文。
69.s207、外端处理单元将所述第一封装报文发送至所述外网。
70.本步骤中，外端处理单元在按照第一报文对应的报文封装协议将第一数据封装得到第一封装报文后，由于第一封装报文与第一报文的报文格式相同，可以理解为还原了第一报文，从而就可以将第一封装报文发送给外网。
71.可选地，外端处理单元还包括外端代理服务模块，也请参考图3所示。在此基础上，外端协议还原模块可以将第一封装报文发送给外端代理服务模块，以由外端代理服务模块将第一封装报文发送给外网。从而也就实现了内网数据安全且准确地到达外网的目的。
72.通过实施图2所示的安全隔离防护方法，内端处理网络会对从内网接收的第一报文进行安全检查，在检查通过后对第一报文中的数据进行加密，然后对第一加密数据进行封装后，将第一加密报文通过数据控制单元发送给外端处理单元，而外端处理单元在接收到第一加密报文后，可以从第一加密报文中解析出第一加密数据，然后对第一加密数据进行解密处理以得到第一数据，并利用对第一报文对应的报文封装协议对第一数据进行封装处理，以还原得到与第一报文格式相同的第一封装报文并发送给外网。这样，不仅实现了安全隔离网络中对重要信息或数据的保护，同时提升了数据传输过程中数据的安全性和准确性。
73.基于上述任一实施例，本实施例中，当所述第一报文为数据访问报文时，所述第一数据包括用户的用户数据；则上述内端处理模块，还用于从所述第一数据中解析出所述用户数据，并对所述用户数据进行识别，确认所述用户的用户角色；根据确定出的用户角色，控制所述用户访问所述内网的访问权限。
74.具体地，为了实现数据访问控制，引入了用户角色这一功能，以实现不同的基于不同的用户角色实现不同程度的数据访问控制，进而实现用户角色的细粒度访问控制。
75.具体来说，上述用户角色可以但不限于包括系统用户角色、业务用户角色、临时用户角色等等，其中，上述系统用户角色是安全隔离系统自身系统用户，可以但不限于为系统
管理员、系统操作员和系统审计员等等，参考图5所示；而业务用户角色是根据业务访问需求添加的用户，可以但不限于为web应用的用户、数据库应用用户和ftp应用的用户等等，也请参考图5所示；临时用户角色是提供给外来人员或针对特殊群体设置的用户角色；一个用户角色相当于一个用户组，针对不同的用户角色可自定义设置不同的用户权限、数据操作权限和数据访问范围，由此可以解决用户数量多的情况下设备资源的消耗过多的问题，同时降低了用户管理的复杂度，即提高了管理效率。
76.需要说明的是，图5仅是一个对用户角色的举例说明，并不构成对用户角色的限定。
77.在此基础上，外端处理单元在接收到第一数据后，可以识别出第一数据中的用户数据，进而识别用户数据以确定用户的用户角色，然后根据用户角色控制该用户后续的数据访问权限，该数据访问权限可以但不限于为数据操作权限和数据访问范围中的至少一个。由此实现了对不同用户角色的访问权限的控制，从而提升了用户的管理效率，同时也达到了低权限的用户无法获取到权限高的数据(重要)的目的。
78.可选地，上述外端处理单元中的外端代理模块可以在获取到第一封装报文后，可以由于从第一封装报文与第一报文对应，因此，外端代理模块可以从第一封装报文中解析出第一数据，然后从第一数据中识别出用户数据，并确定用户角色，然后根据确定出的用户角色，对用户的访问权限进行控制。
79.基于上述任一实施例，本实施例中，当第一报文为业务报文时，所述第一数据包括用户的岗位属性；则上述外端处理模块，还用于从所述第一数据中解析出所述岗位属性；根据所述岗位属性，控制所述用户的业务处理权限。
80.具体地，为了实现业务处理的控制，引入了岗位属性这一功能，以实现不同的基于不同的岗位属性实现不同程度的业务处理权限控制，进而实现基于岗位属性的业务处理的细粒度访问控制。通过引入岗位属性，实现基于不同的业务需求进行对应岗位属性的业务处理。
81.具体来说，本实施例中将数据权限与业务权限分开，用户的角色决定用户的数据权限，用户所处的岗位决定其可访问的应用业务类别，以提高对业务访问的灵活性和安全性。基于此原理，本技术在外端处理单元可以在数据和业务两个层面自定义业务访问规则，基于不同的业务需求进行细粒度业务访问控制，用户可访问的业务受规则引擎中的规则集约束，不同的规则集对应不同的岗位属性，每个岗位属性及规则的属性包含：客户端地址、岗位、应用类别、协议类别和优先级等等。在此基础上，当外端处理单元从第一封装报文中的第一数据中解析出岗位属性后，可以利用岗位属性匹配对应的可访问的业务规则引擎，进而确认该用户可访问的应用业务，以到达对用户的业务处理进行控制的目的。
82.可选地，上述外端处理单元还包括外端访问控制模块，也请参考图3所示。在此基础上，当外端代理模块从第一封装报文中解析出第一数据后，可以将第一数据发送给外端访问控制模块，这样，外端访问控制模块就可以从第一数据中解析出用户的岗位属性，然后根据岗位属性来控制用户的业务处理权限。由此实现了业务访问的灵活性和安全性。
83.可选地，基于上述任一实施例，本实施例中内端处理单元和外端处理单元还可以执行图4所示的交互流程，可以包括以下步骤：
84.s401、外端处理单元从外网接收第二报文，在对所述第二报文检查通过后，对所述
第二报文中的第二数据进行加密处理。
85.本步骤中，外端处理单元与外网(外端网络)连接，用于对来自外网的流量数据进行预处理，然后再传输至内端处理单元。具体来说，外端处理单元在接收到来自外网的第二报文后，会对第二报文进行安全检查，以识别第二报文是否存在安全隐患，进而达到屏蔽网络攻击及非授权访问的目的。在对第二报文安全检查通过后，即确认第二报文不存在安全隐患时，外端处理单元则会从第二报文中解析出第二数据，并对解析出的第二数据进行加密处理。
86.具体来说，外端处理单元会对第二报文进行协议剥离，例如按照tcp/ip协议从第二报文中剥离网络协议包头，并从网络协议包头中获取用于安全检查的有效信息，然后对该有效信息进行安全检查。
87.可选地，外端处理单元可以按照下述方法对第二报文进行安全检查：外端处理单元根据预先配置的安全策略对第二报文进行安全检查。
88.具体地，安全策略是通过指定源ip地址、目的ip地址、协议、端口、用户和时间段等过滤条件匹配出特定的报文，并根据预先设定的策略动作对此报文进行处理；若报文未匹配上任何策略，则丢弃该报文。当安全策略中未配置过滤条件时，则该策略将匹配所有报文。基于以上原理，外端处理单元可以依据内置的安全策略规则对第二报文进行安全审查，以屏蔽网络攻击及非授权访问。
89.需要说明的是，当对第二报文安全检查不通过时，则可以丢弃该第二报文并进行日志记录。在此基础上，此外，外端处理单元还用于对外端处理单元中的安全策略、入侵检查、策略过滤和访问控制进行规则和记录，以形成完备的日志并展示给用户，方便用户跟踪定位。具体来说，本实施例中的外端处理单元还可以包括外端日志审计模块，由该外端日志审计模块用于对外端处理单元中丢弃的报文进行记录，以形成日志进行展示，方便用户查看；此外，该外端日志审计模块，还可以用于对外端处理单元中的安全策略、入侵检查、策略过滤和访问控制进行规则和记录，以形成完备的日志并展示给用户，方便用户跟踪定位。
90.在此基础上，为了保证安全隔离网络中外网到内网之间数据传输的安全性及可靠性，外端处理单元在对上述有效信息的安全性验证通过时，会对第二报文中的第二数据(可以理解为应用层数据)进行加密操作，具体可以但不限于采用abe加密方法实现第二数据的加密，从而增加了数据的保密性和完整性。此外，由于abe加密算法实现较为成熟，相较于其他加密算法，该算法的安全性高、实用性强且计算速度快，对传输延迟影响较低，因此即使采用了abe加密算法也不会影响外网到内网数据传输的实时性。
91.可选地，外端处理单元内置有外端代理服务模块、外端安全策略模块、外端网络协议剥离模块、外端数据深度分析模块和外端数据加密模块，也请参考图3所示。其中，外端代理服务模块用于从外网接收第二报文，然后将第二报文发送给外端安全策略模块，由外端安全策略模块对第二报文进行安全检查，具体可以利用内置的安全策略对第二报文进行安全检查；待检查通过后，外端安全策略模块会将检查通过的第二报文发送给外端网络协议剥离模块，以使外端网络协议剥离模块从第二报文中剥离出网络协议包头，并从网络协议包头中获取用于安全检查的有效信息；并将有效信息和第二报文中的第二数据(负载数据)发送给外端数据深度分析模块，以使外端数据深度分析模块对有效信息进行识别处理，以确认该有效信息是否存在网络攻击或安全隐患；当有效信息不存在网络攻击和/或安全隐
患时，则外端数据深度分析模块会将第二数据发送给外端数据加密模块，由外端数据加密模块对第二数据进行加密处理，从而保证了外网到内网传输过程中信息不被泄漏和破坏，进而实现数据信息的保密性、安全性和完整性的传输要求。
92.可选地，上述外端处理单元还包括外端策略管理模块，也请参考图3所示。该外端策略管理模块用于管理外端处理单元中的安全策略、业务规则等等。通过设置该外端策略管理模块，通过授权的用户可以使用该外端策略管理模块修改数据检查和过滤规则，这样，当外端安全策略模块进行安全检查时，就可以从外端策略管理模块获取到最新的安全策略，然后根据最新的安全策略对第二报文中的有效信息进行安全性检查，从而保证了安全策略的时新性，进而保证安全检查的有效性。此外，外端处理单元中的业务规则可以设置在外端安全策略管理模块中，在此基础上，外端访问控制模块在进行业务权限控制时，就可以从外端安全策略管理模块中获取规则，进而根据用户岗位确认用户的业务处理权限。
93.需要说明的是，上述第二报文可以为数据报文也可以为业务报文，本技术对此不进行限定。
94.s402、外端处理单元按照设定的第二报文封装协议对加密得到的第二加密数据进行封装，得到第二加密报文。
95.本步骤中，为了保证第二加密数据传输到内网，外端处理单元会按照其与内端处理单元协商的第二报文封装协议对第二加密数据进行封装处理，从而得到第二加密报文。
96.值得注意的是，外端处理单元还包括外端专用协议封装模块，也请参考图3所示。在此基础上，外端数据加密模块会将加密得到的第二加密数据发送给外端专用协议封装报文，以由外端专用协议封装报文利用设定的第二报文封装协议对第二加密数据进行封装处理，从而得到第二加密报文。
97.可选地，上述第二报文封装协议可以但不限于为专用协议，例如自定义的非标准通信协议等等。
98.s403、外端处理单元向所述数据控制单元发送所述第二加密报文。
99.本步骤中，外端处理单元与数据控制单元之间设置有第二专用通道，在此基础上，外端处理单元可以将第二加密报文通过前述第二专用通道发送给数据控制单元。
100.具体地，当外端控制单元包括图3所示的各模块时，外端专用协议封装模块可以实现通过第二专用通道将第二加密报文发送给数据控制单元的目的。
101.需要说明的是，上述第二专用通道可以但不限于为支持tcp、udp、http、ftp等协议的通道，具体可以根据实际情况进行配置。
102.s404、数据控制单元接收所述第二加密报文，并将所述第二加密报文转发给所述内端处理单元。
103.本步骤中，数据控制单元接收到第二加密报文后，可以通过摆渡的方式将第二加密报文转发给内端处理单元。具体来说，数据控制单元可以通过其与内端处理单元之间的第一专用通道将第二加密报文发送给内端处理单元。
104.s405、内端处理单元按照所述设定的第二报文封装协议从接收到的第二加密报文中解析出所述第二加密数据。
105.本步骤中，为了能够将第二数据准确地送达内网，内端处理单元在接收到第二加密报文后，会按照第二报文封装协议从第二加密报文中解析出第二加密数据。
106.需要说明的是，外端处理单元与内端处理单元可以预先协商好报文封装协议，然后在执行数据封装或解封装时，就可以按照协商好的封装协议执行对应操作即可。
107.可选地，上述内端处理单元包括内端专用协议解析模块，还可以参考图3所示。在此基础上，内端专用协议解析模块会获取到第二加密报文，然后按照第二报文封装协议对第二加密报文进行解析处理，从而可以解析出第二加密数据。
108.s406、内端处理单元从所述第二加密数据中解析出所述第二数据，并按照所述第二报文的报文封装协议对解密出的第二数据进行封装，得到第二封装报文。
109.本步骤中，由于第二加密数据已安全送达与内网连接的内端处理单元中，由于到达内网的数据如果是加密的话，内网中的设备可能因为不知道解密算法则可能造成无法从第二加密数据中解密出第二数据，因此内端处理单元需要对第二加密数据进行解密处理，以解密出第二数据。具体来说，内端处理单元可以利用abe解密算法实现第二加密数据的解密处理，从而解密出第二数据。待解密出第二数据后，为了能够让第二数据按外网发出的格式发送到内网，内端处理单元会按照第二报文对应的报文封装协议对第二数据进行封装处理，从而可以得到报文格式与第二报文的报文格式相同的第二封装报文。
110.需要说明的是，内端处理单元和外端处理单元会预先内置解密和加密算法等等，以便后续数据解密/加密处理。
111.可选地，上述内端处理单元还包括内端数据解密模块和内端协议还原模块，也请参考图3所示。在此基础上，内端专用协议解析模块会将解析出的第二加密数据发送给内端数据解密模块，然后由内端数据解密模块利用与外端数据加密算模块执行的加密算法对应的解密算法从第二加密数据中解析出第二数据，并将解密出的第二数据发送给内端协议还原模块，以由内端协议还原模块利用第二报文对应的报文封装格式对第二数据进行封装处理，从而得到第二封装报文。
112.s407、内端处理单元将所述第二封装报文发送至所述内网。
113.本步骤中，内端处理单元在按照第二报文对应的报文封装协议将第二数据封装得到第二封装报文后，由于第二封装报文与第二报文的报文格式相同，可以理解为还原了第二报文，从而就可以将第二封装报文发送给内网。
114.可选地，由于内端处理单元还包括内端代理服务模块，也请参考图3所示。在此基础上，内端协议还原模块可以将第二封装报文发送给内端代理服务模块，以由内端代理服务模块将第二封装报文发送给内网。从而也就实现了外网数据安全且准确地到达内网的目的。
115.通过实施图4所示的安全隔离防护方法，外端处理网络会对从外网接收的第二报文进行安全检查，在检查通过后对第二报文中的数据进行加密，然后对第二加密数据进行封装后，将第二加密报文通过数据控制单元发送给内端处理单元，而内端处理单元在接收到第二加密报文后，可以从第二加密报文中解析出第二加密数据，然后对第二加密数据进行解密处理以得到第二数据，并利用对第二报文对应的报文封装协议对第二数据进行封装处理，以还原得到与第二报文格式相同的第二封装报文并发送给内网。这样，不仅实现了安全隔离网络中对重要信息或数据的保护，同时提升了数据传输过程中数据的安全性和准确性。
116.可选地，当所述第二报文为数据访问报文时，所述第二数据包括用户的用户数据；
所述内端处理模块，还用于从所述第二数据中解析出所述用户数据，并对所述用户数据进行识别，确认所述用户的用户角色；根据确定出的用户角色，控制所述用户访问所述内网的访问权限。
117.具体地，上述用户角色的描述可以参考图内端处理单元中用户角色的描述，此处不再一一详细说明。在此基础上，内端处理单元在接收到第二数据后，可以识别出第二数据中的用户数据，进而识别用户数据以确定用户的用户角色，然后根据用户角色控制该用户后续的数据访问权限，该数据访问权限可以但不限于为数据操作权限和数据访问范围中的至少一个。由此实现了对不同用户角色的访问权限的控制，从而提升了用户的管理效率，同时也达到了低权限的用户无法获取到权限高的数据(重要)的目的。
118.可选地，上述内端处理单元中的内端代理模块可以在获取到第二封装报文后，可以由于从第二封装报文与第二报文对应，因此，内端代理模块可以从第二封装报文中解析出第二数据，然后从第二数据中识别出用户数据，并确定用户角色，然后根据确定出的用户角色，对用户的访问权限进行控制。
119.基于上述任一实施例，本实施例中，当第二报文为业务报文时，所述第二数据包括用户的岗位属性；则上述内端处理模块，还用于从所述第二数据中解析出所述岗位属性；根据所述岗位属性，控制所述用户的业务处理权限。
120.具体地，为了实现业务处理的控制，在内端处理模块中引入了岗位属性这一功能，以实现不同的基于不同的岗位属性实现不同程度的业务处理权限控制，进而实现基于岗位属性的业务处理的细粒度访问控制。通过引入岗位属性，实现基于不同的业务需求进行对应岗位属性的业务处理。
121.具体来说，本实施例中将数据权限与业务权限分开，用户的角色决定用户的数据权限，用户所处的岗位决定其可访问的应用业务类别，以提高对业务访问的灵活性和安全性。基于此原理，本技术在内端处理单元可以在数据和业务两个层面自定义业务访问规则，基于不同的业务需求进行细粒度业务访问控制，用户可访问的业务受规则引擎中的规则集约束，不同的规则集对应不同的岗位属性，每个岗位属性及规则的属性包含：客户端地址、岗位、应用类别、协议类别和优先级等等。在此基础上，当内端处理单元从第二封装报文中的第二数据中解析出岗位属性后，可以利用岗位属性匹配对应的可访问的业务规则引擎，进而确认该用户可访问的应用业务，以到达对用户的业务处理进行控制的目的。
122.可选地，上述内端处理单元还包括内端访问控制模块，也请参考图3所示。在此基础上，当内端代理模块从第二封装报文中解析出第二数据后，可以将第二数据发送给内端访问控制模块，这样，内端访问控制模块就可以从第二数据中解析出用户的岗位属性，然后根据岗位属性来控制用户的业务处理权限。由此实现了业务访问的灵活性和安全性。
123.此外，内端处理单元中的业务规则可以设置在内端安全策略管理模块中，在此基础上，内端访问控制模块在进行业务权限控制时，就可以从内端安全策略管理模块中获取规则，进而根据用户岗位确认用户的业务处理权限。
124.基于同一发明构思，本实施例还提供了一种连接内网的内端处理单元的安全隔离保护方法，该内端处理单元对于内网来说是可信的，该内端处理单元可以为用于执行安全隔离保护方法的电子设备；内端处理单元在执行上述方法时，可以按照图6所示的流程实施，包括以下步骤：
125.s601、对从内网接收到的第一报文进行安全检查。
126.s602、在检查通过后，对所述第一报文中的第一数据进行加密处理。
127.s603、按照设定的第一报文封装协议对加密得到的第一加密数据进行封装，得到第一加密报文并向外网发送所述第一加密报文。
128.需要说明的是，内端处理单元在执行步骤s601～s603的处理过程可以参考上述图2中内端处理单元的相关描述，此处不再一一详细说明。
129.可选地，本实施例提供的安全隔离保护方法，还可以包括下述过程：接收第二加密报文，所述第二加密报文为对外网接收到的第二报文进行安全检查通过后，对所述第二报文中的第二数据进行加密并按照设定的第二报文封装协议封装得到的；按照所述设定的第二报文封装协议从接收到的第二加密报文中解析出所述第二加密数据；从所述第二加密数据中解析出所述第二数据；按照所述第二报文的报文封装协议对解密出的第二数据进行封装，得到第二封装报文；将所述第二封装报文发送至所述内网。
130.具体地，本实施例的实施过程可以参考图4中内端处理单元的相关执行过程，此处不再一一详细说明。
131.可选地，内端处理单元对从内网接收到的第一报文进行安全检查时，可以按照下述过程实施：根据预先配置的安全策略对所述第一报文进行安全检查。
132.具体地，内端处理单元对第一报文进行检查的处理过程可以参考内端处理单元对图2中步骤s201的相关描述，此处不再一一详细说明。
133.值得注意的是，当对第一报文安全检查不通过时，则可以丢弃该第一报文并进行日志记录。在此基础上，此外，内端处理单元还用于对内端处理单元中的安全策略、入侵检查、策略过滤和访问控制进行规则和记录，以形成完备的日志并展示给用户，方便用户跟踪定位。
134.可选地，基于上述任一实施例，本实施例中，当所述第二报文为数据访问报文时，所述第二数据包括用户的用户数据；在此基础上，本实施例提供的安全隔离保护方法，还包括：从所述第二数据中解析出所述用户数据；对所述用户数据进行识别，确认所述用户的用户角色；根据确定出的用户角色，控制所述用户访问所述内网的访问权限。
135.具体地，上述过程的实施可以参考图4所示实施例中涉及的内端处理单元的描述过程，此处不再一一详细说明。
136.可选地，基于上述任一实施例，本实施例中，当所述第二报文为业务报文时，所述第二数据包括用户的岗位属性；则在此基础上，本实施例提供的安全隔离保护方法，还包括：从所述第二数据中解析出所述岗位属性；根据所述岗位属性，控制所述用户的业务处理权限。
137.具体地，上述过程的实施可以参考图4所示实施例中涉及的内端处理单元的描述过程，此处不再一一详细说明。
138.通过实施图6所示的流程，内端处理网络会对从内网接收的第一报文进行安全检查，在检查通过后对第一报文中的数据进行加密，然后对第一加密数据进行封装后，将第一加密报文通过数据控制单元发送对外发送，这样，不仅实现了安全隔离网络中对重要信息或数据的保护，同时提升了数据传输过程中数据的安全性和准确性。
139.基于同一发明构思，本实施例还提供了一种连接外网的外端处理单元的安全隔离
保护方法，该外端处理单元对于外网来说是可信的，该外端处理单元可以为用于执行安全隔离保护方法的电子设备；外端处理单元在执行上述方法时，可以按照图7所示的流程实施，包括以下步骤：
140.s701、接收第一加密报文，其中，所述第一加密报文为对内网接收到的第一报文进行安全检查通过后，对所述第一报文中的第一数据进行加密并按照设定的第一报文封装协议封装得到的。
141.s702、按照所述设定的第一报文封装协议从所述第一加密报文中解析出所述第一加密数据。
142.s703、从所述第一加密数据中解密出所述第一数据。
143.s704、按照所述第一报文的报文封装协议对解密出的第一数据进行封装，得到第一封装报文。
144.s705、将所述第一封装报文发送至所述外网。
145.需要说明的是，外端处理单元在执行步骤s701～s705的处理过程可以参考上述图2中外端处理单元的相关描述，此处不再一一详细说明。
146.通过实施图7所示的方法，内端处理网络会对从内网接收的第一报文进行安全检查，在检查通过后对第一报文中的数据进行加密，然后对第一加密数据进行封装后，将第一加密报文通过数据控制单元发送给外端处理单元，而外端处理单元在接收到第一加密报文后，可以从第一加密报文中解析出第一加密数据，然后对第一加密数据进行解密处理以得到第一数据，并利用对第一报文对应的报文封装协议对第一数据进行封装处理，以还原得到与第一报文格式相同的第一封装报文并发送给外网。这样，不仅实现了安全隔离网络中对重要信息或数据的保护，同时提升了数据传输过程中数据的安全性和准确性。
147.可选地，本实施例提供的安全隔离保护方法，还可以包括下述过程：从外网接收第二报文；在对所述第二报文检查通过后，对所述第二报文中的第二数据进行加密处理；按照设定的第二报文封装协议对加密得到的第二加密数据进行封装，得到第二加密报文；向所述数据控制单元发送所述第二加密报文。
148.具体地，本实施例的实施过程可以参考图4中外端处理单元的相关执行过程，此处不再一一详细说明。
149.可选地，外端处理单元可以按照下述方法对所述第二报文进行检查：根据预先配置的安全策略对所述第二报文进行安全检查。
150.具体地，外端处理单元对第一报文进行检查的处理过程可以参考外理单元对图4中步骤s401的相关描述，此处不再一一详细说明。
151.值得注意的是，当对第二报文安全检查不通过时，则可以丢弃该第二报文并进行日志记录。在此基础上，此外，外端处理单元还用于对外端处理单元中的安全策略、入侵检查、策略过滤和访问控制进行规则和记录，以形成完备的日志并展示给用户，方便用户跟踪定位。
152.可选地，当所述第一报文为数据访问报文时，所述第一数据包括用户的用户数据；在此基础上，本实施例提供的安全隔离保护方法，还包括：从所述第一数据中解析出所述用户数据；对所述用户数据进行识别，确认所述用户的用户角色；根据确定出的用户角色，控制所述用户访问所述内网的访问权限。
153.具体地，上述过程的实施可以参考图2所示实施例中涉及的外端处理单元的描述过程，此处不再一一详细说明。
154.可选地，基于上述任一实施例，本实施例中，当所述第一报文为业务报文时，所述第一数据包括用户的岗位属性；则在此基础上，本实施例提供的安全隔离保护方法，还包括：从所述第一数据中解析出所述岗位属性；根据所述岗位属性，控制所述用户的业务处理权限。
155.具体地，上述过程的实施可以参考图2所示实施例中涉及的外端处理单元的描述过程，此处不再一一详细说明。
156.基于同一发明构思，本技术实施例提供了一种电子设备，该电子设备可以为安全隔离保护系统中连接内网的设备，或者为安全隔离保护系统中连接外网的设备。如图8所示，该电子设备包括处理器801和机器可读存储介质802，机器可读存储介质802存储有能够被处理器801执行的计算机程序，处理器801被计算机程序促使执行本技术任一实施例所提供的安全隔离保护方法。此外，该电子设备还包括通信接口803和通信总线804，其中，处理器801，通信接口803，机器可读存储介质802通过通信总线804完成相互间的通信。
157.上述电子设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
158.通信接口用于上述电子设备与其他设备之间的通信。
159.存储器可以包括随机存取存储器(random access memory，ram)、ddr sram(double data rate synchronous dynamic random access memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
160.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
161.另外，本技术实施例提供了一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本技术实施例所提供的安全隔离保护方法。
162.对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
163.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
164.上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
165.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
166.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。