GAP技术的原理,实现机制和实现

　　安全专家认为，联网的计算机是有弱点的。随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重，防火墙的攻破率不断上升，在政府、军队、电力等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施。
　　
　　解读GAP技术
　　传统物理隔离卡技术虽确保了网络的安全性，却因缺乏信息交换机制的局限性，往往会形成流通不畅的“孤岛”，而限制了应用的发展。近期，国内外快速发展起来的GAP技术，以物理隔离为基础，在确保安全性的同时，解决了网络之间信息交换的困难，从而突破了因安全性造成的应用瓶颈。
　　
　　GAP源于英文的“Air Gap”，GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术。GAP中文名字叫做安全隔离网闸，它采用独特的硬件设计，能够显著地提高内部用户网络的安全强度。
　　

[[The No.1 Picture.]]
　　安全隔离网闸（GAP）工作示意图
　　
　　GAP技术的基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。
　　
　　与其他技术的区别
　　防火墙侧重于网络层至应用层的策略隔离，往往还会存在一些安全问题，如本身操作系统、内部系统的漏洞、通用协议的缺陷等会造成被攻击。而物理隔离卡等则侧重于物理链路层的硬隔离，所以存在着数据交换不方便的瓶颈，限制了应用的发展。
　　
　　GAP技术属于从物理层到数据级别的多层次隔离，所采用的技术包含了数据分片重组、协议转化、密码学、入侵检测、病毒及关键字过滤、身份验证及审计等多个范畴。GAP技术的安全性要高于防火墙，在数据交换方面远优于物理隔离卡。
　　
　　然而在我国，GAP技术发展的较晚，所以业内缺乏标准、规范和共识，致使研制出来的产品在功能和性能上差别很大，集中表现在两个方面。
　　
　　第一类是对于GAP本质缺乏深刻的理解而造成安全性参差不齐，致使出现“软隔离系统”的现象。如一些产品通过串口、并口、USB、1394甚至标准网卡等方式实现“软隔离”，这些方式通常是通过软件编码，在原有通用协议上做了分析检测和重组转化，属于基于软件策略的协议隔离。不同于GAP技术，通常是由硬件控制隔离，在安全性方面缺乏物理层面的保障，软件编码也存在着漏洞被利用和攻击的可能性。
　　
　　第二类是误认为GAP产品与隔离卡一样，将其理解为简单的文件摆渡服务器。实质上，GAP产品要解决两个问题：首先是安全性，专用隔离硬件确保内外任意时刻链路断开，同时在软件集成多种安全技术以形成软硬一体化防护。其次是数据交换性能，不单是传输效率和切换时间，更重要是满足多种交换方式以满足用户应用。而目前一些产品仅能提供自动文件交换功能，无法适应用户日益扩展的业务系统需求。
　　
　　由于GAP技术无法提供其他安全技术的透明性，但是可作为防火墙、入侵检测的合理补充，保护核心网络的数据安全，形成纵深的防御体系中的重要一环。
　　
　　GAP的实现机制
　　由于我国很多核心网络，如政府、公安、军队、能源等部门，采用的网络设备、CPU、操作系统大都是进口产品，漏洞和后门普遍存在，安全问题更加严峻。对此，我国非常重视GAP产品的研制与开发，在国家级“火炬计划”和“863计划”都将GAP技术的研究与开发列入其中。国内基于GAP技术的产品大都包含以下几个要点：
　　
　　专用硬件设计保证了物理隔离下的信息交流
　　GAP均采用专用隔离硬件的设计完成隔离功能，硬件设计保证在任意时刻网络间的链路层断开，阻断TCP/IP协议以及其他网络协议；同时该硬件不提供编程软接口，不受系统控制，仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权。隔离硬件工作在系统的最底层，保证即使系统硬件出现故障也不会导致安全问题产生。隔离硬件与暂存区的设计满足了数据传输的实时性和传输效率。
　　
　　集合多种安全技术消除数据交换中的安全隐患
　　只有合理的软件策略才可以保障多层面的安全，GAP在专用硬件基础上，紧密集成了内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模块。这些模块可以与隔离硬件结合形成整体的防御体系。
　　
　　如前面图示，网闸（GAP）以安全隔离为基础，并集成多种防护技术，其软硬一体设计形成整体多层面的安全防护。
　　
　　灵活高效数据交换形式确保应用需求
　　GAP产品都提供了多种数据交换方式以满足业务应用。如公安部信息通信局与天行网安公司联合研制的天行安全隔离网闸（Topwalk-GAP）提供了文件交换、邮件交换、数据库交换和提供API应用接口的消息模块，同时具有较高的传输速率和低延迟性。
　　
　　GAP的应用前景
　　目前，国内GAP产品可以满足信任网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等功能，同时已在电子政务中，如政府内部的领导决策支持系统、政务应用系统（OA系统、专用业务处理系统）和公共信息处理系统（信息采集系统、信息交换系统、信息发布系统等）得到应用，GAP产品很好地解决了安全隔离下的信息可控交换等问题，从而推动了电子政务走向应用时代。
　　
　　由于基于GAP技术的网闸，可以实现两个物理层断开网络间的信息摆渡，构建信息可控交换 “安全岛”，所以在政府、军队、电力等领域具有极为广阔的应用前景。有专家认为，GAP产品有可能会突破电子政务外网与内网之间数据交换的瓶颈，并消除政府部门之间因安全造成的信息孤岛效应；同时，待安全性进一步验证后，在特定环境和严格控制管理下，GAP会逐步取代物理隔离技术。
　　
　　GAP技术发展的趋势将向易用性、应用融合化等方向发展。目前GAP产品大都提供了文件交换、收发邮件、浏览网页等基本功能。天行网安提出的安全思路，改变过去将安全作为孤立的补丁角色，而是将网闸技术渗透到业务应用系统之中，使用户在