在2004年度中国互联网大会的网络与信息安全论坛中，以"构建稳定、可信赖的网络"为主题，重点研讨"有关安全方面"的问题，涉及到对物理隔离交换(SGAP)技术、新一代病毒防范技术、最新密码应用技术和密码芯片技术、网络安全事件紧急响应等新技术、新产品的研讨。这次互联网大会的意义是重大的，这不仅在于互联网技术和安全技术的成熟，对涉及国家信息安全方面的问题有很好的推动作用。我们进行信息化建设要紧紧把握此次互联网大会出现的技术新趋势和产业新动向，力争把我国的信息化建设向技术先进同时又安全可靠的方向挺进。

　　如今，网络隔离技术已经得到越来越多用户的重视，重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术，即SCSI技术，双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术，双端口RAM也是模拟拷盘技术，物理单向传输技术则是二极管单向技术。本文就是和大家一起来探讨物理隔离交换技术的应用。

　　大家知道，随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重，防火墙的攻破率不断上升，在政府、军队、企业等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。在电子政务建设中，我们会遇到安全域的问题，安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密，但是涉及到本单位，本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密，是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定，政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术，以后根据需求，还会有更好的网闸技术出现。通过安全网闸，把内网和外网联系起来；因此网闸成为电子政务信息系统必须配置的设备，由此开始，网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。

　　二、网闸的概念

　　网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。

　　安全隔离与信息交换系统，即网闸，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

　　第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的，实现了在空气缝隙隔离(Air Gap)情况下的数据交换，安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。

　　第二代网闸正是在吸取了第一代网闸优点的基础上，创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端，第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的，虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的，但却提供了比第一代网闸更多的网络应用支持，并且由于其采用的是专用高速硬件通信卡，使得处理能力大大提高，达到第一代网闸的几十倍之多，而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性，从而在保证安全性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。

　　网闸(SGAP)与传统防火墙的技术特点对比如下表所示：

对比项目	传统防火墙	网闸（SGAP）
安全机制	采用包过滤、代理服务等安全机制，安全功能相对单一	在GAP技术的基础上，综合了访问控制、内容过滤、病毒查杀等技术，具有全面的安全防护功能。
硬件设计	防火墙硬件设计可能存在安全漏洞，遭受攻击后导致网络瘫痪。	硬件设计采用基于GAP技术的体系结构，运行稳定，不会因网络攻击而瘫痪。
操作系统设计	防火墙操作系统可能存在安全漏洞。	采用专用安全操作系统作为软件支撑系统，实行强制访问控制，从根本上杜绝可被黑客利用的安全漏洞。
网络协议处理	缺乏对未知网络协议漏洞造成的安全问题的有效解决办法。	采用专用映射协议代替原网络协议实现SGAP系统内部的纯数据传输，消除了一般网络协议可被利用的安全漏洞。
遭攻击后果	被攻破的防火墙只是个简单的路由器，将危及内网安全	即使系统的外网处理单元瘫痪，网络攻击也无法触及内网处理单元。
可管理性	管理配置有一定复杂性	管理配置简易
与其它安全设备联动性	缺乏	可结合防火墙、IDS、VPN等安全设备运行，形成综合网络安全防护平台。