网络安全建设中一个亟待解决的问题

在过去的几年里，网络安全问题已经上升为一个我们在任何时候都无法回避的问题。网络安全威胁无处不在，信息社会正处于一个极大繁荣而又不受控制的“喧嚣”阶段。

计算机网络的开放性产生了许多安全问题，网络攻击、信息泄漏、网上犯罪层出不穷，而采用以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，却难以解决涉密信息系统等重要网络的保护问题。对于涉密网络的保护，我国历来采用了物理断开的方法，国家保密局在《计算机信息系统国际联网保密管理规定 》中，将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。但是，断开了却严重影响了业务信息系统的运行。

目前，很多部委的重要业务系统都处于涉密网络，而业务系统需要的基础数据却来自外部业务网络，甚至互联网。物理断开造成了应用与数据的脱节，影响了政府执行能力和行政效率。包括国家保密局在内的信息化建设的主管部门都充分地认识到，断开不是目的，保护涉密网络的安全才是目的。现在之所以要断开，是因为还没有一种值得信赖的技术实现互联。看来，如何实现涉密信息系统与非涉密网络之间的连接问题，成为我国网络安全建设中一个亟待解决的问题。

断开了，数据如何进行交换？

但现在断开了，数据如何进行交换呢？如何解决安全与应用之间的矛盾？应用的需要和安全的需要催生了一种新型的技术——物理隔离技术GAP。这种技术逐步深化为一种适于网络应用的“数据泵”技术。

GAP技术是一种什么技术呢？从字面上理解，可以译为“缺口、豁口”，即在两个网络之间形成一个缺口。有了缺口当然就能保证安全。也有将GAP译为“Gap All Protocol”的说法，表明这个“缺口”不是什么都不让通过，而只是将协议隔离，应用数据还是可以利用这个缺口通过安全方式交换的。遵从这种理解方式，GAP应该是一个三系统的设备：一个外端机、一个内端机、一个中间交换缓存。内外端机用于终止网络协议，对解析出的应用数据进行安全处理。同时能够通过中间的交换缓存，通过非TCP/IP协议的方式进行数据交换。

中铁信息工程集团信息安全事业部总经理张鹏对记者说：“在网络安全领域，中铁信息工程集团并没有做通用的防火墙，而是从一开始就着力于创新，做一种能保证核心的、敏感的网络与外部网络之间连接交换的高安全产品。”基于GAP技术理念，中铁信研制成功了中铁信科博安全隔离与信息交换系统SRIE CopGap200，为自主知识产权的网络边界防护设备。这种设备可以放置在高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式；还原上层应用数据，并经过安全处理，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。保证内外网络在没有电气连接的情况下，实现应用数据的往返传输。这个产品俗称网闸，目前这项成果已获得国家保密局、公安部、中国信息安全测评认证中心、中国人民解放军信息安全测评认证中心的相关证书。中铁信息工程集团安全产品总监唐三平指出：“这个产品突出了两个功能：一是物理断开，即从物理上断开内外网络；二是安全数据交换，即在物理隔离的条件下进行安全可控的数据交换。这种安全隔离技术