一种基于网络存储单向传输隔离的数据防勒索方法及装置与流程

1.本发明涉及信息安全技术计算机安全领域，具体涉及一种基于网络存储单向传输隔离的数据防勒索方法及装置。


背景技术：

2.勒索软件近年来攻击非常猖獗，它是一种恶意软件，通过加密或锁定用户的数据，威胁并强制用户支付赎金以恢复数据的访问权限。近年来，勒索软件攻击事件频繁发生，对企业和个人用户的数据安全造成了巨大的威胁和损失。勒索软件攻击手段不断升级，使得传统的数据安全保护手段难以有效应对。
3.现有的数据安全保护手段包括数据加密、数据备份、网络安全防护等，这些手段虽然可以提高数据的安全性，但是仍然存在一定的局限性。例如，数据加密可以保护数据的机密性，但是无法防止勒索软件直接侵入网络存储中的数据并进行破坏；数据备份可以保证数据的可恢复性，但是备份数据也可能被勒索软件攻击导致无法恢复。
4.本发明提供了一种基于网络存储单向传输隔离的数据防勒索方法及装置，通过在网络存储与外部网络之间设置单向传输隔离装置和控制网络存储的访问权限，防止勒索软件侵入网络存储并进行攻击，从而提高了网络存储的数据保护能力。本发明的解决方案可以有效避免现有数据安全保护手段的局限性，并且具有较高的实用性和可操作性。


技术实现要素：

5.本发明公开了一种基于网络存储单向传输隔离的数据防勒索方法及装置，该方法包括以下步骤：1) 在网络存储与外部网络之间设置单向传输隔离装置，该装置包括单向传输设备和隔离设备；2) 将网络存储中的数据进行加密处理，确保数据的机密性；3) 将加密后的数据通过单向传输设备传输到隔离设备；4) 隔离设备对传输过来的数据进行解密处理，确保数据的可读性息；5）控制网络存储的访问权限，确保只有授权用户才能访问网络存储中的数据。
6.本发明的技术方案如下：一种基于网络存储单向传输隔离的数据防勒索方法，其步骤为：1）在网络存储与外部网络之间设置单向传输隔离装置，该装置包括单向传输设备和隔离设备；2）将网络存储中的数据进行加密处理，确保数据的机密性；3）将加密后的数据通过单向传输设备传输到隔离设备；4）隔离设备对传输过来的数据进行解密处理，确保数据的可读性；5）控制网络存储的访问权限，确保只有授权用户才能访问网络存储中的数据。
7.更进一步，所述的方法，其特征在于，步骤1）中，所述的网络存储是指一种用于存储数据的设备或系统，可以通过网络进行访问和管理；网络存储可以是一台服务器、一组服务器、一个存储阵列、一个网络附加存储设备等；网络存储可以通过各种网络协议进行访
问，如nfs、cifs、iscsi等。
8.更进一步，所述的方法，其特征在于，步骤1）中，所述的外部网络是指网络存储所连接的除了内部网络以外的其他网络，包括公共互联网、私有互联网、局域网等；外部网络可以通过各种方式与网络存储进行连接，如通过路由器、交换机、防火墙等设备进行连接，也可以通过vpn等方式进行连接。
9.更进一步，所述的方法，其特征在于，步骤1）中，所述的单向传输隔离装置采用物理隔离的方式，确保外部网络无法直接访问网络存储的数据，其中所述的单向传输设备和隔离设备通过物理隔离的方式实现，单向传输设备只能将数据从网络存储传输到隔离设备，而无法将数据从隔离设备传输回网络存储或外部网络。
10.更进一步，所述的方法，其特征在于，步骤2）中，所述的加密处理采用对称加密或非对称加密的方式进行；其中，对称加密算法可以采用aes、des等常用算法，非对称加密算法可以采用rsa、ecc等常用算法；加密密钥可以由认证授权模块生成或由用户自行设置，并通过安全的方式存储在网络存储中。
11.更进一步，所述的方法，其特征在于，步骤3）中，所述的单向传输基于物理隔离的原理，即通过物理隔离的方式防止数据从隔离设备传输回网络存储设备或外部网络；为了实现物理隔离，单向传输设备通常采用单向传输光纤、单向传输网卡等专门的物理设备，确保数据只能单向传输；在数据传输过程中，单向传输设备会对传输的数据进行校验和验证，以确保数据的完整性和可靠性。
12.更进一步，所述的方法，其特征在于，步骤4）中，所述的解密处理采用相应的解密算法进行；解密算法与加密算法相对应，可以采用相同的对称加密算法或非对称加密算法进行解密；解密密钥可以由认证授权模块生成或由用户自行设置，并通过安全的方式存储在隔离设备中。
13.更进一步，所述的方法，其特征在于，步骤5）中，所述授权用户是指经过认证授权模块审批和授权的用户，可以访问网络存储设备中的数据；授权用户需要通过身份认证模块进行认证，然后进行相应的访问授权，才能访问网络存储设备中的数据。
14.更进一步，所述的方法，其特征在于，步骤5）中，所述的控制网络存储的访问权限包括对用户的访问请求进行审批和授权，确保只有经过审批的用户才能访问网络存储中的数据；其中，身份认证模块可以采用用户名密码、数字证书、生物特征等方式对用户身份进行认证；权限授权模块可以根据用户身份和访问需求，对用户进行授权，授权方式可以包括读取、写入、删除等操作；访问审批模块可以对用户的访问请求进行审批，确保只有经过审批的用户才能访问网络存储中的数据；审批方式可以包括手动审批和自动审批，自动审批可以根据预设规则对访问请求进行自动审批。
15.本发明还公开了一种基于网络存储单向传输隔离的数据防勒索装置，其特征在于，在网络存储与外部网络之间设置单向传输隔离装置，实现了外部网络无法直接访问网络存储的数据，从而有效防止了勒索软件的攻击；其中，核心模块包括：单向传输隔离模块、数据加密模块、数据解密模块、认证授权模块、访问审批模块和数据存储模块；其中，所述单向传输隔离模块，用于实现网络存储与外部网络之间的单向传输隔离，包括单向传输设备和隔离设备，包括两个部分：发送端和接收端；发送端负责将数据从网络存储设备传输到接收端，而接收端则负责接收数据并将其存储在隔离设备中；
所述数据加密模块，用于根据采用的是对称加密或非对称加密的方式，对网络存储中的数据进行加密处理，确保数据的机密性；所述数据解密模块，用于对传输过来的数据进行解密处理，解密处理采用的解密算法与加密算法相对应，可以采用相同的对称或非对称加密算法进行解密，以确保数据的可读性；所述认证授权模块，用于对用户身份进行认证和对用户权限进行授权，包括身份认证模块和权限授权模块；认证授权模块可以确保只有经过认证和授权的用户才能访问网络存储设备中的数据，从而保障数据的安全性和机密性；所述访问审批模块，用于审批用户访问请求的模块；它可以根据用户的权限和访问需求，对用户的访问请求进行审批，确保只有被授权的用户才能进行访问；所述数据存储模块，用于存储网络存储设备中的数据的模块；它包括数据存储设备和数据存储管理软件两部分。
16.有益性效果本发明与现有技术相比的有益性效果在于：（1）本发明通过在网络存储与外部网络之间设置单向传输隔离装置和控制网络存储的访问权限，防止勒索软件侵入网络存储并进行攻击，从而提高了网络存储的数据保护能力；（2）本发明采用了单向传输隔离装置，将网络存储与外部网络隔离，避免了外部网络对数据的直接访问和攻击，从而提高了系统的稳定性，在一定程度上减少了系统崩溃和数据丢失的风险；（3）本发明通过控制网络存储的访问权限和审批用户访问请求，确保只有授权用户才能访问网络存储中的数据，从而提高了数据访问的控制能力，防止未经授权的用户访问网络存储中的数据。
实施方式
17.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.本发明包括：选择适当的单向传输设备和隔离设备，根据实际需求合理设计单向传输隔离装置；在网络存储与外部网络之间设置单向传输隔离装置，确保所有数据只能单向传输，避免攻击者对网络存储进行非法访问或篡改；选择适合的数据加密算法和密钥大小，确保数据加密的强度和可靠性；对网络存储中的数据进行加密处理，确保数据的机密性；选择合适的单向传输设备，确保数据只能单向传输，避免受到攻击或应用程序错误的影响；调整传输速度和数据包大小等参数，避免由于数据传输量过大而引起的性能问题； 选择适当的解密算法和解密密钥，确保解密能力的强度和可靠性；对传输过来的数据进行解密处理，确保数据的可读性；建立访问控制策略，确保只有授权用户才能访问网络存储中的数据；对所有访问网络存储的用户进行身份验证，以确保其被授权访问特定数据；对访问请求进行审批，确保只有获得相应访问权限的用户才能访问网络存储中的数据。
19.图1显示了本发明所述的一种基于网络存储单向传输隔离的数据防勒索方法的一个实施例的流程图，主要包括以下步骤：s101，选择适当的单向传输设备和隔离设备，根据实际需求合理设计单向传输隔离装置；s102，在网络存储与外部网络之间设置单向传输隔离装置，避免攻击者对网络存储进行非法访问或篡改；s201，选择适合的数据加密算法和密钥大小；s202，对网络存储中的数据进行加密处理；s301，选择合适的单向传输设备，确保数据只能单向传输，避免受到攻击或应用程序错误的影响；s302，调整传输速度和数据包大小等参数；s401，选择适当的解密算法和解密密钥；s402，对传输过来的数据进行解密处理；s501，建立访问控制策略，只有授权用户才能访问网络存储中的数据；s502，对所有访问网络存储的用户进行身份验证，以确保其被授权访问特定数据；s503，对访问请求进行审批，只有获得相应访问权限的用户才能访问网络存储中的数据。
20.具体来讲，本发明在步骤s101中，选择适当的单向传输设备和隔离设备是非常重要的，因为这直接关系到单向传输隔离装置的性能和可靠性。单向传输设备通常包括单向传输器、单向网关、单向传输卡等，而隔离设备则包括隔离器、隔离网关、隔离卡等。选择哪种设备取决于实际需求，如数据传输速度、网络规模、安全级别等。
21.在步骤s102中，在网络存储与外部网络之间设置单向传输隔离装置，确保所有数据只能单向传输，避免攻击者对网络存储进行非法访问或篡改。这是为了防止攻击者通过网络存储进行入侵或恶意修改数据。单向传输隔离装置可以确保数据只能从网络存储向外传输，而无法从外部网络进入网络存储。这样可以有效地保护网络存储中的数据安全。同时，单向传输隔离装置还可以防止病毒或其他恶意软件进入网络存储，从而保护整个网络的安全。
22.在步骤s201中，选择适合的数据加密算法和密钥大小是非常重要的，因为这直接关系到数据加密的强度和可靠性。在选择数据加密算法和密钥大小时，需要根据实际需求进行选择，通盘考虑安全性、可靠性和性能。例如，对于高安全性要求的数据，可以选择aes加密算法和256位密钥大小。
23.在步骤s202中，对网络存储中的数据进行加密处理，确保数据的机密性。加密可以有效地保护数据不被攻击者窃取或篡改。在加密数据之前，需要确定加密算法和密钥大小，并确保所有访问网络存储的用户都拥有相应的解密密钥。加密后的数据只能通过正确的密钥进行解密，保证了数据的机密性。同时，加密还可以防止病毒或其他恶意软件对数据进行攻击，从而保护了整个网络的安全。
24.在步骤s301中，选择合适的单向传输设备是非常重要的，因为它可以确保数据只能单向传输，避免受到攻击或应用程序错误的影响。单向传输设备可以防止数据在传输过程中被攻击者篡改或窃取，从而保证了数据的安全性。同时，单向传输设备还可以防止应用
程序错误导致的数据泄露或数据损坏，从而保证了数据的可靠性。
25.在步骤s302中，调整传输速度和数据包大小等参数是为了避免由于数据传输量过大而引起的性能问题。如果传输速度过慢或数据包大小过大，可能会导致数据传输过程中出现延迟或丢包等问题，从而影响数据传输的效率和可靠性。因此，需要根据实际情况调整传输速度和数据包大小等参数，以确保数据传输的效率和可靠性。同时，还需要对传输过程中的网络带宽和负载等因素进行监控和管理，以确保数据传输过程中不会出现性能问题。
26.在步骤s401中，选择适当的解密算法可以确保解密过程的安全性和可靠性，而选择适当的解密密钥可以确保数据能够被正确地解密。在选择解密算法和解密密钥时，需要考虑以下几个因素：安全性、可靠性和性能。
27.在步骤s402中，对传输过来的数据进行解密处理，在解密数据之前，需要确保所有访问数据的用户都拥有相应的解密密钥。解密后的数据可以被读取和使用，从而保证了数据的可读性。同时，解密还可以防止病毒或其他恶意软件对数据进行攻击，从而保护了整个系统的安全。
28.在步骤s501中，建立访问控制策略是非常重要的，因为它可以确保只有授权用户才能访问网络存储中的数据。建立访问控制策略可以限制对网络存储的访问，防止未经授权的用户访问和滥用敏感数据，从而保证数据的安全性。
29.在步骤s502中，对所有访问网络存储的用户进行身份验证，以确保其被授权访问特定数据。这可以保证用户的身份得到了确认，并且只有经过授权的用户才能访问网络存储中的数据。在进行身份验证时，需要使用安全的身份确认方式，例如基于密码的身份确认、双因素身份确认等，以确保用户身份的安全。
30.在步骤s503中，对访问请求进行审批，可以确保访问控制策略得到了执行，并且只有获得相应访问权限的用户才能访问数据。在进行访问审批时，需要根据访问控制策略进行审批，以确保所有访问请求都符合访问控制策略的要求。只有通过了审批的访问请求，才能获得访问网络存储中的数据的权限。
31.举例来讲，金融机构的交易系统。交易系统中包含了大量的交易数据和客户信息，需要确保数据的机密性和安全性。在金融机构的内部网络中，设置单向传输隔离装置，确保网络存储的数据只能单向传输到隔离设备中，而无法被外部网络访问。单向传输装置可以为金融机构提供了更高的安全级别，既保证了数据的安全性，也为数据传输提供了保障。
32.在金融机构的数据管理系统中，使用强加密算法对存储于网络存储中的数据进行加密，确保数据的机密性。加密后的数据可以在传输中不被非法获取。强加密算法可以保证金融数据的安全性和保密性，防止机密数据被盗取和泄漏。将加密后的数据通过单向传输设备传输到隔离设备，确保数据是单向传输，避免数据泄漏。单向传输可以防止从外部网络对数据进行攻击和威胁，从而确保了网络存储的数据安全。当数据被传输到隔离设备后，隔离设备对数据进行解密处理，恢复数据可读性。隔离设备能够保证数据只能单向传输，且只能从网络存储到隔离设备，确保了数据的安全性和可读性。
33.在金融机构的数据管理系统中，要通过访问控制策略对网络存储进行访问控制，确保只有获得授权的用户才能访问网络存储中的数据。例如，只有经过身份验证的授权交易员才能访问交易系统中的交易数据和客户信息。通过控制网络存储的访问权限，确保了网络存储中的数据安全，防止非法访问。
34.提供以上实施例仅仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。

技术特征：
1.一种基于网络存储单向传输隔离的数据防勒索方法，其步骤为：在网络存储与外部网络之间设置单向传输隔离装置，该装置包括单向传输设备和隔离设备；将网络存储中的数据进行加密处理，确保数据的机密性；将加密后的数据通过单向传输设备传输到隔离设备；隔离设备对传输过来的数据进行解密处理，确保数据的可读性；控制网络存储的访问权限，确保只有授权用户才能访问网络存储中的数据。2.根据权利要求1所述的方法，其特征在于，步骤1）中，所述的网络存储是指一种用于存储数据的设备或系统，可以通过网络进行访问和管理；网络存储可以是一台服务器、一组服务器、一个存储阵列、一个网络附加存储设备等；网络存储可以通过各种网络协议进行访问，如nfs、cifs、iscsi等。3.根据权利要求1所述的方法，其特征在于，步骤1）中，所述的外部网络是指网络存储所连接的除了内部网络以外的其他网络，包括公共互联网、私有互联网、局域网等；外部网络可以通过各种方式与网络存储进行连接，如通过路由器、交换机、防火墙等设备进行连接，也可以通过vpn等方式进行连接。4.根据权利要求1所述的方法，其特征在于，步骤1）中，所述的单向传输隔离装置采用物理隔离的方式，确保外部网络无法直接访问网络存储的数据，其中所述的单向传输设备和隔离设备通过物理隔离的方式实现，单向传输设备只能将数据从网络存储传输到隔离设备，而无法将数据从隔离设备传输回网络存储或外部网络。5.根据权利要求1所述的方法，其特征在于，步骤2）中，所述的加密处理采用对称加密或非对称加密的方式进行；其中，对称加密算法可以采用aes、des等常用算法，非对称加密算法可以采用rsa、ecc等常用算法；加密密钥可以由认证授权模块生成或由用户自行设置，并通过安全的方式存储在网络存储中。6.根据权利要求1所述的方法，其特征在于，步骤3）中，所述的单向传输基于物理隔离的原理，即通过物理隔离的方式防止数据从隔离设备传输回网络存储设备或外部网络；为了实现物理隔离，单向传输设备通常采用单向传输光纤、单向传输网卡等专门的物理设备，确保数据只能单向传输；在数据传输过程中，单向传输设备会对传输的数据进行校验和验证，以确保数据的完整性和可靠性。7.根据权利要求1所述的方法，其特征在于，步骤4）中，所述的解密处理采用相应的解密算法进行；解密算法与加密算法相对应，可以采用相同的对称加密算法或非对称加密算法进行解密；解密密钥可以由认证授权模块生成或由用户自行设置，并通过安全的方式存储在隔离设备中。8.根据权利要求1所述的方法，其特征在于，步骤5）中，所述授权用户是指经过认证授权模块审批和授权的用户，可以访问网络存储设备中的数据；授权用户需要通过身份认证模块进行认证，然后进行相应的访问授权，才能访问网络存储设备中的数据。9.根据权利要求1所述的方法，其特征在于，步骤5）中，所述的控制网络存储的访问权限包括对用户的访问请求进行审批和授权，确保只有经过审批的用户才能访问网络存储中的数据；其中，身份认证模块可以采用用户名密码、数字证书、生物特征等方式对用户身份进行认证；权限授权模块可以根据用户身份和访问需求，对用户进行授权，授权方式可以包
括读取、写入、删除等操作；访问审批模块可以对用户的访问请求进行审批，确保只有经过审批的用户才能访问网络存储中的数据；审批方式可以包括手动审批和自动审批，自动审批可以根据预设规则对访问请求进行自动审批。10.一种基于网络存储单向传输隔离的数据防勒索装置，其特征在于，在网络存储与外部网络之间设置单向传输隔离装置，实现了外部网络无法直接访问网络存储的数据，从而有效防止了勒索软件的攻击；其中，核心模块包括：单向传输隔离模块、数据加密模块、数据解密模块、认证授权模块、访问审批模块和数据存储模块；其中，所述单向传输隔离模块，用于实现网络存储与外部网络之间的单向传输隔离，包括单向传输设备和隔离设备，包括两个部分：发送端和接收端；发送端负责将数据从网络存储设备传输到接收端，而接收端则负责接收数据并将其存储在隔离设备中；所述数据加密模块，用于根据采用的是对称加密或非对称加密的方式，对网络存储中的数据进行加密处理，确保数据的机密性；所述数据解密模块，用于对传输过来的数据进行解密处理，解密处理采用的解密算法与加密算法相对应，可以采用相同的对称或非对称加密算法进行解密，以确保数据的可读性；所述认证授权模块，用于对用户身份进行认证和对用户权限进行授权，包括身份认证模块和权限授权模块；认证授权模块可以确保只有经过认证和授权的用户才能访问网络存储设备中的数据，从而保障数据的安全性和机密性；所述访问审批模块，用于审批用户访问请求的模块；它可以根据用户的权限和访问需求，对用户的访问请求进行审批，确保只有被授权的用户才能进行访问；所述数据存储模块，用于存储网络存储设备中的数据的模块；它包括数据存储设备和数据存储管理软件两部分。

技术总结
本发明公开了一种基于网络存储单向传输隔离的数据防勒索方法及装置，该方法包括以下步骤：1)在网络存储与外部网络之间设置单向传输隔离装置，该装置包括单向传输设备和隔离设备；2)将网络存储中的数据进行加密处理，确保数据的机密性；3)将加密后的数据通过单向传输设备传输到隔离设备；4)隔离设备对传输过来的数据进行解密处理，确保数据的可读性息；5）控制网络存储的访问权限，确保只有授权用户才能访问网络存储中的数据。本发明通过在网络存储与外部网络之间设置单向传输隔离装置，实现了外部网络无法直接访问网络存储的数据，确保只有授权用户才能访问网络存储中的数据，从而有效防止了勒索软件的攻击，提高了数据的安全性。性。性。


技术研发人员：邓高见 马多耀 李宜花 李晓明 赵生群
受保护的技术使用者：中科天御（苏州）科技有限公司
技术研发日：2023.06.26
技术公布日：2023/9/20