网络隔离技术(GAP)在办公信息化内部网络防护中的应用

目前，我国各行各业信息化建设得到高速发展。宽带网己经得到普及，业界电子商务的开展，海量的网络信息，日趋丰富的网络功能使得“网上办公”条件己经成熟。随着我国电子政务的进一步发展，政府对企事业单位的管理将更多地从网络上进行，因此企业办公将不再局限于传统模式，其内部办公计算机通过局域网连接起来，形成了信息化办公的群体效益，而企业内部网络搭上Internet互联网这个信息高速直通车后，使得信息交换传递更加快捷及时，现代办公己经发展到办公信息化的时代。

办公信息化带来的是办公效率质的飞跃，但办公信息化的安全，特别是内部办公网络的安全问题，也极大地引起人们的关注和思考。正如我们所知道的那样，70%的安全威胁来自网络内部。一种全新安全防护防范理念的网络安全技术，即网络隔离技术应运而生。

一、网络隔离技术（GAP）简介

1.GAP技术

GAP是指通过专用硬件使两个或以上的网络在不连通的情况下进行网络之间的安全数据传输和资源共享的技术。简而言之，就是在不连通的网络之间提供数据传输，但不允许这些网络间运行交互式协议。GAP一般包括二个部分：内网处理单元、外网处理单元、专用隔离交换单元。其内、外网处理单元各拥有一个网络接口及相应的IP地址，分别对应连接内网（网）和外网（互联网），专用隔离交换单元受硬件电路控制高速切换，在任一瞬间仅连接内网处理单元或外网处理单元之一。

GAP切断网络之间的TCP/IP连接，分解或重组TCP/IP数据包，进行安全审查，包括网络协议检查和内容确认等，在同一时间只与一边的网络连接，与之进行数据交换。

2.GAP的数据传递过程

内网处理单元内网用户的网络服务请求，将数据通过专用隔离硬件交换单元转移至外网处理单元，外网处理单元负责向外网服务器发出连接请求并取得网络数据，然后通过专用隔离交换单元将数据转移回内网处理单元，再由其返回给内网用户。

3.GAP具有的高安全性

GAP设备具有安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计和身份认证等七种安全功能。由于GAP断开链路层并切断所有的TCP连接，并对应用层的数据交换按安全策略进行安全检查，因此能够保证数据的安全性并防止未知病毒的感染破坏。

二、使用网络隔离技术（GAP）进行内部防护

我们知道，单台的计算机出现感染病毒或操作错误是难以避免的，而这种局部的问题较易解决并且带来的损失较小。但是，在办公信息化的条件下，如果这种错误在网络所允许的范围内无限制地扩大，则造成的损失和破坏就难以想象。因此，对办公内部网络的安全防范不是确保每一台网络内的计算机不发生安全问题，而是确保发生的安全问题只限于这一台计算机或这一小范围，控制其影响的区域。目前，对内网采取“多安全域划分”的技术较好地解决这个问题，而GAP系统的一个典型的应用就是对内网的多个不同信任域的信息交换和访问进行控制。因此，使用GAP系统来实现办公内网的“多安全域划分”，是一个比较理想的方法。

1.“多安全域划分”技术

“多安全域划分”技术就是根据内网的安全需求将内网中具有不同信任度（安全等级）网段划分成独立的安全域，通过在这此安全域间加载独立的访问控制策略来限制内网中不同信任度的网络之间的相互访问。这样，即使某个低安全级别区域出现了安全问题，其他安全域也不会受到形响。

2.利用网络隔离技术（GAP）实现办公内网的“多安全域划分”

首先，必须根据办公内网的实际情况将内网划分出不同的安全区域，根据需要赋予这些安全区域不同的安全级别。安全级别越高则相应的信任度越高，安全级别较低则相应的信任度较低。然后按照所划分的安全区域对GAP设备进行安装。系统管理员依照不同安全区域的信任度高低设置GAP设备的连接方向，GAP设备的内网处理单元安装在高安全级别区域，GAP设备的外网处理单元安装在低信任度的安全区域，专用隔离硬件交换单元则布置在这两个安全区域之间。内网处理单元高安全级别区域（假设为A区域）用户的网络服务请求，外网处理单元负责从低安全级别区域（设为B区域）取得网络数据，专用隔离硬件则将B区域的网络数据转移至A区域，最终该网络数据返回给发出网络服务请求的A区域用户。这样，A区域内用户可通过GAP系统访问B区域内的服务器、邮件服务器、进行邮件及网页浏览等。同时，A区域内管理员可以进行A区域与B区域之间的批量数据传输、交互操作，而B区域的用户则无法访问A区域的资源。这种访问的不对称性符合不同安全区域信息交互的要求，实现信息只能从低安全级别区域流向高安全级别区域的“安全隔离与信急单向传输”。

这样，较易出现安全问题的低安全区（包括人员和设备）就不会对高安全区造成安全威胁，保证了核心信息的机密性和完整性。同时，由于在GAP外网单元上集成了入侵检测和防火墙模块，GAP本身综合了访问控制、检测、内容过滤、病毒查杀，可限制指定格式的文件，采用专用映射协议实现系统内部的纯数据传输等技术，因此限定了内网局部安全问题只能影响其所在那个安全级别的区域，控制了其扩散的范围。

3.“多安全域划分”的防护效果

由于GAP实现内网的信任度划分和安全区域设定，使办公内网的安全性极大提高，办公内网易出现的安全问题得到有效控制。

首先，在安装GAP设备并进行内网的信任度划分时，会使单位领导形成内网安全级别的概念，明白其所在的安全区域具有较高的安全级别，因血对于网络基本情况，包括网络规模、网络结构、网络设备、网络出口等了解知情。对内网安全的关注将使其重视对内部办公人员进行安全技术培训和安全意识教育并建立相应的办公网络安全岗位和安全管理制度。

此外，对于内部办公人员，无论其安全意识是否淡漠或别有用心进行破坏，在GAP设备的有效防护下，内部人员无法拷贝到核心的机密信息或将其修改删除。因为他们所在的区域根本就不被允许对高安全级别的区域进行访问。即使内部人员实施了不安全的行为如私自拨号上网或在办公计算机上运行黑客软件等，也只能将损失限制在其所在的低安全区域，不会给整个办公内部网络造成太大的影响，而且根据发生安全问题的区域还能够很快找出越轨的内部人员。同时，网络病毒在内网的广泛传播也将得到有效的遏制。