网闸、光闸

1、网闸、光闸的产生

目前市场上的安全隔离产品主要有3类：网络隔离产品【网闸】、网络单项导入产品【光闸】、终端隔离产品【硬件隔离主板或专用计算机】；目前光闸和网闸仍保存着数亿元的市场规模，而终端隔离产品逐渐消失；

网闸市场的发展起源于2000年，由于当时政府信息化和电子政务系统建设步伐加加快，在电子政务内外网和专网间的交换信息成为基本需求，但是在政府内网的安全性与对外提供的电子政务外网存在着显著差异，我们需要保证内网和专网的资源信息安全，从而构建民众方便快捷的信息资源共享服务平台成为电子政务系统建设中需要重点解决的技术问题；根据《计算机信息系统国际联网保密管理规定》第二章第六条规定：“设计国家秘密的计算机不得直接或间接的与国际互联网或其他公共信息网络相连接，必须实行物理隔离。”于是，我国的物理隔离和网络隔离技术快速的兴起，也是我国信息安全产品早起发展中的一个新的产品领域。

隔离技术发展经历多个阶段发展，从早起人工拷贝方式实现的物理隔离，到中期的硬件隔离卡或专用隔离计算机，以及现在主流的双隔离主机+专用隔离部件的网络隔离形式；隔离产品的安全性被认为是远远高于防火墙等网关类型产品，主要作用就是切断不同安全域之间实时的逻辑链接和协议链接，内外网间的信息的交换格式不再是依据传统TCP/IP协议而是采用数据文件读写形式的无协议（或者私有协议）按需摆渡，减少TCP/IP网络环境下的受攻击面，从而实现最后一道防线的效果。

网闸：解决电子政务兴起时带来的政务内外网之间的安全隔离、适度可控的数据交换的需求，是基于双向的，即通过配置，是允许高安全网络和低安全网络之间的双向数据交换的。

光闸：是在网闸的基础上对专用隔离部件进行改造和加强，简历发送端向接收端的绝对单项传输路径，保证反方向上无任何反馈信息，通过构造这种物理固化、软件不可修改的单项传输特性切断内外网间的数据流双向交互，实现数据由外网向内网的可靠单向流动，起到对内网更高级别的防护。

目前的市场上的隔离类产品具备较高的钢业属性，如公安、政府、军队、医疗、能源等行业，因为对内部专网的防护要求较高，是产品应用最为广泛的行业，并且随着客户场景的不断细分和变化（视频专网、文件专网、控制系统专网等），专用型网闸/光闸的细分产品也在增多；为了在保证交互性的前提下提高安全性，已经逐步采用两台光闸代替一台网闸的方案。由于独特的物理架构和功能特性，隔离类产品在边界防护的场景下具备较强的不可替代性。

2、网闸和光闸的定义

1、网闸 - GAP

1、安全隔离网闸（GAP），简称“网闸”技术，其中包含硬件和软件；

2、组成部分：内部处理单元、隔离硬件（存储单元、数据交换）、外部处理单元；

内<—>单项传输单元<—>外

常见的处理单元：CPU\GPU\TPU

CPU：中央处理器，负责所有的计算，控制计算机的全部工作；

GPU：图形处理器，控制显示器的图形计算；“统一计算机构（CUDA）”可以多核同时做一件事，比CPU控制电路简单，计算快；

TPU：针对特定张量计算的处理器，【张量：原本是数学概念，表示各种向量或者数值之间的关系】；前提是这种芯片至少要有上百万片，否则不值得做，因为一个样片就是上百美元，而设计成本就是上千万。

3、数据安全：切分链路层、实现内外网安全隔离+适度可控数据交换；

4、特点：高效、可靠、高安全

5、GAP使用带有多种控制功能的固态开关读写介质链接两个独立主机系统的信息安全设备，在电路上切断网络之间的链路层链接，并且能够在网络之间进行数据交换的网络安全设备；

6、由于物理隔离所链接的两个独立主机系统之间，不存在通信的物理链接、逻辑链接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令，所以物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切链接，使“黑客”无法入侵、无法攻击、无法破坏，实现真正的安全；

7、第一代网闸的技术原理是利用单刀双掷开关，使得内外网的处理单元分时存取共享存储设备来完成数据交换的，实现了在空气缝隙隔离（AriGap）情况下的数据交换，安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果；

8、第二代网闸是在西区了第一代网闸有点的基础上，创造性的利用全新理念的专用交换通道PET技术【优先级编程传输】，通过专用硬件通信卡、私有通信协议和加密签名机制来实现，不过还是通过应用层数据提取与安全审查达到杜绝基于协议层的功能和增强应用层安全的效果，但是比第一代网闸多了更多网络应用支持。其中的专用硬件通信卡，提高处理能力；而使用通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性、可信性，在保证安全性的同事，提高了更好的处理性能，并且能够适应复杂网络对隔离应用的需求；

PET：该框架针对于任意的数据传输，数据的优先级由用户指定，然后根据优先级来计算数据的冗余数据分配，该框架主要从信息论的角度分析冗余数据分配的下界。但是该框架并没有针对视频传输的特点进行冗余数据的分配；

9、安全隔离网闸是由软硬组成。主要分为两种结构：一种为双主机的2+1结构，另一种为主机的三系统结构；

2+1结构：硬件设备由三部分组成：外部处理单元、内部处理单元、隔离安全数据交互单元；安全数据交换单元不同时与内外网处理单元连接。隔离网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境；

三系统结构：硬件设备由三部分组成：外部处理单元（外端机）、内部处理单元（内端机）、仲裁处理单元（仲裁机），个单元之间采用了隔离安全数据交换单元。

2、光闸 - FGAP

1、光闸是一种由安全隔离网闸（GAP）基础上发展而成的，基于光的单项性的单项隔离软硬件系统；

2、组成部分：外部单元、内部单元、分光单项传输单元；

内—>单项传输单元—>外    内<—单项传输单元<—外

3、定义：光闸用于对安全性要求极高的网络的数据交换场景，如涉密网络与非涉密网络之间，行业内网与公共网络之间；按照信息保密技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与互联网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络；若非涉密网络与互联网是逻辑隔离时，则采用单项网闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。