您的位置: 网界网 > 周报全文 > 正文

[周报全文]GAP让攻击不复存在

2002年10月07日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:GAP让攻击不复存在

标签
    国外正在兴起的GAP技术利用专用硬件对黑客攻击的物质基础—网络介质进行隔离,保证两个网络在链路层断开的前提下实现数据安全传输和资源共享。


    GAP让攻击不复存在

    张少波


    造成网络被非法入侵的原因很多,归纳起来主要有四条,网络通用协议自身的缺陷、系统和软件的漏洞、网络与系统的配置过于复杂以及信息资源的开放性。针对这些缺陷与漏洞,由防火墙+入侵检测为核心构成的网络安全解决方案被广泛认为是比较有效的防护措施,但仍然存在一些缺陷。

    防火墙是在内部网络与外界之间设置的屏障。但是防火墙无法抵御数据驱动式攻击,无法阻止协议漏洞发起的入侵。另外,防火墙本身的缺陷也是影响内部网络安全的重要问题。当黑客绕过防火墙攻击到内部时,防火墙形同虚设。入侵检测是只一种检测机制,本身并没有防御机制,需要与防火墙联动才可以发挥自身作用。它对于大规模分布式攻击、攻击信息加密欺骗等方式仍没有有效的应对措施。而入侵检测本身作为一个系统,也存在自身的系统漏洞和系统处理能力限制,当网络流量大时,漏报和误报的情况时有发生。

    防火墙与IDS都需要依赖一个攻击特征规则库。当前黑客的攻击技术与手段变得越来越先进而隐蔽,用规则特征描述越来越困难,对未知的入侵手段防御问题也成为传统信息安全技术的“瓶颈”。配置得当的防火墙+入侵检测的联动防御机制,对于大部分企业网络来说应该是有效的措施,但对于涉密网络,还不能称得上是十分可靠的防护机制。

    目前国外流行的GAP技术可以为涉密网络提供可靠的保护。GAP技术就是利用专用硬件保证两个网络在链路层断开的前提下实现数据安全传输和资源共享。由于基于GAP技术的产品采用独特的硬件设计,能够显著提高内部用户网络的安全强度,现已被美国、以色列等国家的军政、航天、金融等要害部门以及其他电子政务网络广泛采用。由于与不信任网络存在安全隔离,所以GAP与防火墙、入侵检测有很大区别。防火墙、IDS技术从正面抗击黑客入侵技术,而GAP产品则从攻击技术的物质基础—网络介质做了隔离,使黑客技术失去了用武之地。

    GAP技术在国外的代表产品有Whale 公司的e-GAP、Spearhead公司的AirGAP系列。以上产品均可以在链路层隔离的前提下提供各种形式的信息共享。GAP使得黑客基于网络协议的攻击失效,这样不但消除了TCP/IP协议给网络带来的威胁,同时也使内部的系统与软件的后门和漏洞不会被外网利用(+微信关注网络世界),即使是目前最难对付的DoS、DDoS攻击,对该产品本身和内部网络也没有影响。

    GAP从本质上来说也是一种隔离,防火墙也是隔离,所不同的是前者是基于链路层的硬隔离,后者则是在网络层以上的软隔离,所以两者提供的互通性与安全性都是不同的,目前也不存在取代彼此的可能性。要建立企业或政府的网络信息安全,还应该建立多层次防御体系,比如防火墙系统与入侵检测联动实现企业与外部网络连接的安全防护,安全漏洞评估系统能对网络的漏洞与风险提供评估报告,涉及核心数据与机密信息的内部网络,可采用基于GAP技术的安全产品做隔离情况下的信息共享与交换,如此一来便可以为网络构筑主动、立体、坚固的信息安全长城。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]