传统隔离方式信息交换不方便

2002年FBI/CSI调查报告显示，计算机攻击事件正以每年64%的速度增加。这种威胁对我国关键领域一直存在，特别是“金盾“、“金审”、“金财”、“金税”等政务工程的核心政务网（涉密网）、政务专网等核心系统，运行着很多重要涉密信息，网络与信息的安全性尤为重要。

目前国家明确规定政府的涉密网络应与互联网保持物理隔离，确保信息安全。这样确实有效避免了来自Internet 的网络威胁。然而涉密网络之间如行业内部上下级与不同行业部门之间是相互不信任的关系，当信息流通时就面临带来的安全问题；如公安内网中的敏感信息需要流通到检委内网，同时两个部门涉密网内部都具有高度的信息敏感资源，相互是不信任关系，再比如工商内网与税务内网、财政内网与海关内网之间的信息流通都面临涉密网的安全与互通问题。所以必须采取相应的安全措施来保障涉密内网的安全问题，目前常用以下两种方法。

用人工拷贝实现隔离下的信息交换

目前，涉密网络通常与外界实现物理隔离，当涉密网之间需要交换信息时，通常在中间区域设置双方数据服务器，通过可信人员通过人工拷贝来实现。通过人工拷贝的方式，的确避免了来自不信任网络的黑客攻击等威胁，然而也带来新的问题。首先，人工投入管理开销比较大，双方必须投入人员参与数据拷贝工作；其次，人工拷贝实时性较差，无法发挥网络信息技术带来的快速的通信便利等优点；最后，由于频繁使用软盘或其他存储介质，增加了病毒和木马程序传播的途径和几率，带来新的安全问题。所以该方式无法适应电子政务的发展趋势。

用防火墙等逻辑机制保护涉密内网的安全

除采用保证物理隔离条件下采用人工拷贝实现信息交换的方式外，另一些部门涉密内网之间采用了防火墙来实现与其他专网之间的逻辑隔离。但防火墙发展到现在仍存在以下弱点。

　　图1 单方不信任涉密内网之间安全隔离解决方案

首先防火墙无法抵御数据驱动式攻击，即大量合法的数据包导致网络阻塞而使正常通信瘫痪；其次，防火墙很难阻止由通用协议本身漏洞发起的入侵；再次，防火墙系统本身的缺陷也是影响内部网络安全的重要问题；另外，只有正确、合理配置防火墙才能起到本身的安全作用，而配置的复杂为网管人员带来烦琐工作量的同时，也增加了配置不当带来的隐患。由于目前能攻破防火墙的技术正不断发展，所以对于涉密网络中使用防火墙做屏障是不可靠的防御手段。

由上面分析可知，第一种解决方案虽实现了物理隔离，但缺乏信息实时机制，而且人员管理开销较大；第二种方案采用了安全防御机制不太严密的逻辑隔离技术来保护涉密网络的信息安全，无疑为数据泄秘和黑客破坏等提供了可能。故两者不能算完整的解决方案。而目前渐渐兴起的GAP技术可以为涉密网络提供可靠的保护，该技术利用专用硬件保证两个网络在物理链路层断开的前提下实现数据安全传输和资源共享，并能够显著提高内部用户网络的安全强度。

1 2 3 下一页>>