GAP
隔離網閘
GAP,源於英文的"air gap",gap技術是一種通過專用硬體使兩個或者兩個以上的網路在不連通的情況下,實現安全數據傳輸和資源共享的技術。gap中文名字叫做安全隔離網閘,它採用獨特的硬體設計,能夠顯著地提高內部用戶網路的安全強度。
網閘的產生,最早是出現在美國、以色列等國的軍方,用以解決涉密網路與公共網路連接時的安全問題。隨著電子政務在中國的蓬勃發展,政府部門的高安全網路和其他低安全網路之間進行數據交換的需求日益明顯,出於國家安全考慮,政府部門一般傾向於使用國內安全廠商的安全產品,種種因素促使了網閘在中國的產生。中國第一款安全隔離網閘產生於2000年,現在已經廣泛應用於政府、金融、交通、能源等行業。
切斷網路之間的通用協議連接;將數據包進行分解或重組為靜態數據;對靜態數據進行安全審查,包括網路協議檢查和代碼掃描等;確認后的安全數據流入內部單元;內部用戶通過嚴格的身份認證機制獲取所需數據。
安全隔離與信息交換系統一般由三部分構成:內網處理單元、外網處理單元和專用隔離硬體交換單元。系統中的內網處理單元連接內部網,外網處理單元連接外部網,專用隔離硬體交換單元在任一時刻點僅連接內網處理單元或外網處理單元,與兩者間的連接受硬體電路控制高速切換。這種獨特設計保證了專用隔離硬體交換單元在任一時刻僅連通內部網或者外部網,既滿足了內部網與外部網網路物理隔離的要求,又能實現數據的動態交換。S-gap系統的嵌入式軟體系統里內置了協議分析引擎、內容安全引擎和病毒查殺引擎等多種安全機制,可以根據用戶需求實現複雜的安全策略。S-gap系統可以廣泛應用於銀行、政府等部門的內部網路訪問外部網路,也可用於內部網的不同信任域間的信息交互。
1)涉密網與非涉密網之間;
2)區域網與網際網路之間(內網與外網之間),有些區域網路,特別是政府辦公網路,涉及政府敏感信息,有時需要與網際網路在物理上斷開,用物理隔離網閘是一個常用的辦法。
3)辦公網與業務網之間,由於辦公網路與業務網路的信息敏感程度不同,例如,銀行的辦公網路和銀行業務網路就是很典型的信息敏感程度不同的兩類網路。為了提高工作效率,辦公網路有時需要與業務網路交換信息。為解決業務網路的安全,比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘,實現兩類網路的物理隔離。
4)電子政務的內網與專網之間,在電子政務系統建設中要求政府內網與外網之間用邏輯隔離,在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。
5)業務網與網際網路之間,電子商務網路一邊連接著業務網路伺服器,一邊通過網際網路連接著廣大民眾。為了保障業務網路伺服器的安全,在業務網路與網際網路之間應實現物理隔離。