| 出版日期:2003-11-24 总期号:1269 本年期号:88 |
|
 |
怎样才是真正的GAP技术
GAP技术渐渐成为电子政务一个重要安全技术,今年来也有许多厂家纷纷涉足此领域,市面上出现了各种标准的GAP技术。一些厂家鱼目混珠,把简单用加密卡传输数据的产品当做GAP卖给用户,更有甚者竟然用简化的产品冒充通过政府部门认证的网络安全产品欺骗用户,这些不但造成对用户和行业的误导,并将成为国家信息化建设的安全隐患。 本文主要是通过客观公正的角度,剖析GAP的四个必备特征。让读者对真正GAP技术有一个全面的了解。 现有的各种网络安全技术中,防火墙等访问控制技术产品成为主流,多数的用户都选择并依赖于防火墙来保证自身应用系统的高可用性和一定程度上的网络安全。然而遗憾的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也屡见不鲜。 亡羊补牢、打补丁等被动防御的方法几乎是目前网络安全产品的共同特征。 针对日益严重的网络安全问题,各国重要政府部门、金融机构和大型企业为了实现重要机密数据的高安全性纷纷采用了物理隔离的理念。将内部重要网络和数据与外部网络在物理上进行隔断,保证内部网络安全的唯一办法就是将网络断开与外界的连接。而电子政务的对外应用需求又要求与外网的数据交换,这样,促生了一些网络安全新的理念和技术的诞生。这就是目前被广泛所知的GAP技术-安全隔离与信息交换系统(俗称隔离网闸)。 GAP技术其宗旨就是在物理隔离的情况下,逻辑实现网络间的安全数据交换。与传统的网络安全产品在网络上利用特征库过滤攻击行为不同,GAP技术是先用物理的硬件隔离开关结构阻断所有的网络连接,然后通过协议分析和重组、高粒度的访问控制和自定义的安全策略等综合技术将安全的请求和数据传递到内网。其实际的思想是:打破了传统的先重应用而被动安全防护方式,改为先重安全然后可控通过应用的方式-即主动安全防御的安全思想。 由于国内对GAP技术的理解不同,缺乏标准,所以各个厂家的产品在功能和设计思路上有比较大的差别,使得市场上出现了两类GAP产品: 一种是采用串、并口,1394,USB,网卡或加密卡等实现隔离的安全产品,采用所谓的私有协议或加密信道来传输数据,希望达到隔离内外网的作用。其实这与传统的被动防护的安全思想相同,由于没有硬件的开关隔离装置,没有在物理链路层上的保障,使得系统仍然具有传统安全技术一样的漏洞隐患和被攻击的可能。 另一种其核心特性就是采用了GAP技术标志——硬件的物理开关。通过物理隔离开关实现物理链路层上的断开,隔断网络协议,其硬件的不可编程特性在物理层保证系统的安全性。同时通过独立的存储介质与开关的分时连通实现数据的高效逻辑传输。 GAP产品是以硬件隔离部件为基础的软硬件有机整合的网络安全产品。一个高安全强度的GAP产品必须具有如下四个重要安全特性:硬件的物理隔离开关部件、协议的分拆和重组、细粒度的访问控制和日志管理和安全策略的灵活自定义。 |
||||||||||||||||||||||||||||
