安全隔离与信息交换系统(安全隔离网闸)研究报告.pdfVIP

安全隔离与信息交换系统（安全隔离网闸） 研究报告 2009 年 8 月 1 目 录 1 前言 Michael Bobbin （《计算机安全杂志》主编）说，“保证一个系统真正安全的途径只有一 个：断开网络，这也许正在成为一个真正的解决方案。” 在政府、国防、能源等很多重要领域，对数据机密性、网络平稳性、业务连续性要求极 高，坚如磐石的安全保障尤其关键。市场需求催生了安全技术的创新，在上世纪 90 年代中期 2 俄罗斯人 Ry Jones 首先提出 “AirGap ”隔离概念，然后，以色列研制成功物理隔离卡，实现 网络之间的安全隔离；其后，美国Whale Communications 公司和以色列 SpearHead 公司先后 推出了 e-Gap 和 NetGap 产品，利用专有硬件实现两个网络在不连通的情况下数据的安全交 换和资源共享，从而使安全隔离技术从单纯实现 “网络隔离禁止交换”发展到 “安全隔离和 可靠交换”。目前，美国军方、重要政府部门均采用隔离技术保障信息安全，我国的安全隔离 技术的发展同样经历了类似的过程。 2000 年 1 月 1 日，国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确 要求 “涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网 络相连，必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物 理隔离”，及时的把政府上网安全提到一个重要的高度，具有重大意义。并由此而发展出了安 全隔离计算机、安全隔离卡等系列安全隔离安全产品。 2 基本概念和技术介绍 随着我国信息化建设的加快，信息安全已经成为各个行业关注的焦点，特别是电子政务、 军队、能源等行业，在这些行业应用中，防火墙、防病毒、入侵检测、VPN 、审计系统等安 全产品都得到了较好的应用。但是从网络防御角度来看， 防御的深度愈深，网络就愈安全。 对此，国内外提出了一种较新的技术，称为隔离技术，产品称为安全隔离与信息交换系统。 这种产品的应用，能够从一定程度上更有效的保护内部网络。 从安全隔离与信息交换系统的组成来看，它主要由三部分组成，即外部处理系统、内部 处理系统以及隔离硬件。 3 其基本原理是截断网络之间直接的通用协议连接，将数据包进行分解、重组为静态数据， 并对静态数据进行安全审查。确认后的安全数据流入内部系统，内部用户通过严格的身份认 证机制获取所需数据。重要的是，安全隔离与信息交换系统不单纯检查网络传输协议(TCP/IP)， 还把(TCP/IP)协议头剥离掉，还原成第七层之上的数据。 以收电子邮件为例，外部的邮件服务器发起对隔离设备的非TCP/IP 协议的数据连接， 隔离设备将所有的协议剥离，将原始的数据写入存储介质。一旦数据完全写入隔离设备的存 储介质，隔离设备立即中断与外网的连接。转而发起对内网的非 TCP/IP 协议的数据连接。 隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行 TCP/IP 的封装和应用 协议的封装，并交给应用系统。这时内网电子邮件系统就收到了外网的电子邮件系统通过隔 离设备转发的电子邮件。整个过程中，隔离设备都经历了数据的接受，存储和转发三个过程。 因此，它可作为防火墙、入侵检测的合理补充，保护核心网络的数据安全，形成纵深的 防御体系中的重要一环。 从安全隔离与信息交换系统的应用上看，它可以应用到涉密网之间、安全域与非安全域 之间、局域网与互联网之间（内网与外网之间）、办公网与业务网之间、电子政务的内网与专 网之间、业务网与互联网之间等。 2.1 基本概念和应用场合 2.1.1 概述 安全隔离与信息交换系统又叫安全隔离网闸，简称网闸，英文名称是 “GAP ”。 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连 接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 安全隔离与