解读电子政务时代的GAP技术

2003-01-08 17:21

有人说，2002年是全球的"电子政务年"，也有人说，2002年是信息安全产业的黄金年。在电子政务的网络安全平台上，基于物理隔离技术的GAP技术因其安全实用而成为公众和媒体关注的热点。那么何谓GAP技术呢？

　　GAP 不是防火墙

　　无论从功能还是实现原理上讲，GAP和防火墙都是完全不同的两类产品。

　　很多人都知道，GAP的中文名称是安全隔离网闸。它是一种由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接，同时能够在网络间进行安全适度的应用数据交换的网络安全设备。GAP通常布置信任网络和非信任网络之间，管理员仅可以从信任网络一方对安全隔离网闸进行管理。

　　GAP通过专用隔离硬件在链路层断开，彻底切断网络连接，仅允许仅有的四种指定静态数据进行交换，对外不接受请求，并且在内部用户访问外部网络时采用静态页面返回（过滤ActiveX、Java、cookie等），木马无法通过安全隔离网闸进行通讯，因此内部网络针对外部的攻击根本无需升级。

　　防火墙一般是在进行IP包转发的同时，通过对IP包的处理，实现对TCP会话的控制。它并不切断网络连接，只在网络层对数据包作安全检查，而对应用数据的内容一般不进行检查。当然，这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。一段时间以来，Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证。

　　由此可见，防火墙是保证网络层安全的边界安全工具，而GAP重点是保护内部网络的安全。由于定位的不同，因此两种产品不能相互取代。此前，在公安电子政务系统以及需要内外网交换数据的工商业务系统中，已经采用的是防火墙和IDS再加上天行安全隔离网闸（Topwalk-GAP），这种防御体系将得到广泛的应用。

　　国内的GAP安全性能更强

　　GAP通常具备七大安全功能模块：安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计和身份认证。如果针对网络七层协议，GAP是在硬件链路层上断开。从网络架构上讲，GAP是处在网关的位置，其安全性不言而喻。

　　首先，GAP的安全性体现在链路层断开，在网络之间交换的数据都是应用层的数据。一般单个IP包中不包含完整的应用数据，所以无法进行全面的内容检查和控制，基于此，GAP从不直接或者间接地转发IP包形式的数据，真正保证应用层的安全。

　　其次，GAP可以防止未知和已知的木马攻击。通常见到的木马大部分是基于TCP的，而GAP从原理实现上就切断所有的TCP连接，包括UDP、ICMP等其他各种协议，使各种木马无法通过安全隔离网闸进行通讯。

　　最后，鉴于GAP保护的主要是内部网络，GAP上的数据交换全部由管理员来进行配置，其所有的请求都由GAP主动发起，不接受外来请求，不支持交互式访问，不支持反向代理，不提供任何系统服务。另一方面，由于cookie需要在客户端上进行数据读写，因此从安全性上考虑，GAP也不支持cookie。

　　另外， GAP对邮件采用证书认证机制可以防止未知病毒滥发邮件。笔者曾做过调查，由于内嵌了防病毒模块，GAP能有效防止Nimda和Code Red II。

　　值得注意的是，单系统的设备如（信息流转器）不是GAP设备。类似的单系统一旦系统遭受到攻击，攻击者完全有可能在单系统的两张网卡之间建立起路由，从而内部网络会完全暴露。事实上，GAP在隔离硬件上固化了模拟开关，无法通过软件编程方式进行改变；这与市场上出现的用1394设备连接的伪网闸也有本质区别。伪网闸通过1394或者串口连接两台或多台系统，通过软件来实现隔离切换，其安全性和用标准以太网卡相连的两台PC无异，这种"软隔离"在安全性上和GAP相差甚远。

　　目前，国外的GAP产品主要有有Spearhead的NetGAP以及whale公司的e-GAP。国外的GAP从硬件到软件都是国外制造，对于国人来讲没有自主版权，即使OEM其秘密仍然掌握在外人手中，很难保证没有后门程序。国内的GAP由于设计以及保护重点的不同，最终在功能上和国外的GAP产品有很多差异。如NetGAP产品的功能类似于内容检查的防火墙，接受非信任方的请求，支持交互式访问；而国内的GAP如Topwalk-GAP更多的是侧重于保护内部网络，不支持交互式访问如建立会话，仅允许仅有的几种数据交换。因此从安全角度来讲，国内的GAP安全功能更强。 <script language=JavaScript>function recommend(){ OpenWindow = window.open('http://other.chinabyte.com/chinabyte/other/email.shtm?url=http%3A%2F%2Fwww.chinabyte.com%2F20030108%2F1647602.shtml','Ewin','toolbar=no,location=no,scrollbars=no,menubar=no,width=470,height=470') }</script>

        交换数据是GAP的关键功能

　　安全性的提高总会带来性能和功能上的损失。拔掉网线，断开网络也许是真正最好的安全方法，但是失去互通性和互操作性的安全解决方案最终将没有任何市场价值，因此，在笔者看来，增强GAP竞争力的关键要素就是增强它信息交换的能力。

　　为了交换数据，隔离硬件在两个网络上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换，实现可信网络和不可信网络之间的数据、资源和信息的安全交换。必须指出，GAP在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。路由器、交换机则保持链路层畅通，在链路层之上进行IP包等网络层数据的直接转发，没有考虑网络安全和数据安全的问题。GAP直接处理网络间的应用层数据，利用存储转发的方法进行应用数据的交换，在交换的同时，对应用数据进行的各种安全检查。

　　安装了相应的应用模块之后，GAP可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。事实上，GAP支持百兆网络，对于千兆网络，可以采用多台安全隔离网闸进行负载均衡。据不完全统计，系统数据交换速率目前国内最快的可以达到120MBps，而天行安全隔离网闸（Topwalk-GAP）硬件切换时间快至5毫秒。

　　GAP技术为电子政务护航

　　电子政务的"天罗地网"上存储着重要的数据、运行着重要的应用，既需要保证高强度的安全，又需要保证与其它不信任网络进行信息交换，如果采用物理隔离卡，信息交换的需求将无法满足；如果采用防火墙，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，避免了物理隔离卡和防火墙的不足之处，是最好的选择。

　　我国电子政务建设从1999年的"政府上网工程"开始起步，如今，在巨大的安全需求背后，一个巨大的市场逐渐兴起，业界预计，电子政务将是国内IT企业最大的机会。最近，作为GAP领域的领导企业，天行网安与国家公安部联合成功开发了天行安全隔离网闸Topwalk-GAP。这是国内网络安全领域首款达到世界领先技术水平、且具有自主核心技术的网闸。目前已经成功应用在北京市公安局、北京市卫生局、北京市劳动局、北京市民政局和北京市工商局等数家需要内外网交换数据的电子政务系统中。大量的实案运作证实：天行安全隔离网闸Topwalk-GAP比其他从国外引进的同类GAP产品更符合中国国情。

　　业内人士评论，GAP技术在电子政务中的应用，有利于提高政府公共服务质量水平、增强政务公开的透明度，整合政务信息资源，促进政府机构改革和政府职能的转变，为广大企业和群众提供便利。

<script language=JavaScript>function recommend(){ OpenWindow = window.open('http://other.chinabyte.com/chinabyte/other/email.shtm?url=http%3A%2F%2Fwww.chinabyte.com%2F20030108%2F1647602.shtml','Ewin','toolbar=no,location=no,scrollbars=no,menubar=no,width=470,height=470') }</script>