网络安全建设中一个亟待解决的问题
计算机网络的开放性产生了许多安全问题,网络攻击、信息泄漏、网上犯罪层出不穷,而采用以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求,却难以解决涉密信息系统等重要网络的保护问题。对于涉密网络的保护,我国历来采用了物理断开的方法,国家保密局在《计算机信息系统国际联网保密管理规定》中,将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。但是,断开了却严重影响了业务信息系统的运行。
目前,很多部委的重要业务系统都处于涉密网络,而业务系统需要的基础数据却来自外部业务网络,甚至互联网。物理断开造成了应用与数据的脱节,影响了政府执行能力和行政效率。包括国家保密局在内的信息化建设的主管部门都充分地认识到,断开不是目的,保护涉密网络的安全才是目的。现在之所以要断开,是因为还没有一种值得信赖的技术实现互联。
断开了,数据如何进行交换?
断开了,数据如何进行交换呢?如何解决安全与应用之间的矛盾?应用的需要和安全的需要催生了一种新型的技术——物理隔离技术GAP。这种技术逐步深化为一种适于网络应用的“数据泵”技术。
GAP技术是一种什么技术呢?从字面上理解,可以译为“缺口、豁口”,即在两个网络之间形成一个缺口。有了缺口当然就能保证安全。这个“缺口”不是什么都不让通过,而只是将协议隔离,应用数据还是可以利用这个缺口通过安全方式交换的。
中铁信息工程集团信息安全事业部总经理张鹏对记者说:“基于GAP技术理念,中铁信研制成功了中铁信科博安全隔离与信息交换系统SRIE CopGap200,为自主知识产权的网络边界防护设备。这个产品突出了两个功能:一是物理断开,即从物理上断开内外网络;二是安全数据交换,即在物理隔离的条件下进行安全可控的数据交换。这种安全隔离技术能够避免黑客使用各种方法对受保护网络进行控制和攻击,将网络安全提高到了一个新的台阶。目前这项成果已获得国家保密局、公安部、中国信息安全测评认证中心、中国人民解放军信息安全测评认证中心的相关证书。
中铁信息工程集团安全产品总监唐三平列举了银监会的案例,银监会的业务系统在内网,为涉密网络,通过互联网与36个地方银监局联系。2006年10月起,银监会统一采购了SRIE CopGap200,部署到全国36个地方银监局,保证了数据交换的安全可控。
涉密和非涉密如何互联?
从目前国家的一些重要的业务系统的实际运行情况来说,涉密网络与外界完全断开不现实,从业务流程、可用投资和发展潮流上都不允许。到底什么技术可能实现这种突破呢?国内外又在做哪些尝试呢?国际上浮出水面的一种技术是“数据二极管”(Data Diode)的纯单向技术。“数据二极管”技术以其纯单向性,能够保证数据信息从低密级网络向上流动,同时保证高密级信息不可能流到低密级网络中,从而达到数据推移、防止泄密的有效折衷。
中铁信息工程集团安全产品总监唐三平介绍,中铁信科博应用数据二极管SRIE CopAdd(简称科博单向网闸)决定了其适用于如下两种应用场景:其一为数据导入,保证内网信息不在导入过程中泄漏到外网;其二为信息单向发布,保证内网在向外网单向推移数据时,外网无法入侵内部敏感网络。
从目前来看,这个产品的需求量非常大,但是国内外都没有同类产品,其市场规模应该在1.36亿~1.45亿元之间。