杭州市城市建设档案馆 黄 宏   
  引言
    我国电子政务经过不断发展，逐渐转向基于网络、面向服务的中高级应用阶段，可访问性、服务性、移动性成为新一代电子政务的重要标志。随着应用的扩展和内外网信息的开放交互，如何使政府机关在提供公共服务的同时确保内部专网安全，是当前我国电子政务建设面临的重要课题。
    网闸技术的相关特性满足了电子政务对于信息安全的要求，通过将外网和政府内网进行物理隔离，在保证内网安全的前提下，达到了数据交换的目的。

网闸工作原理
    安全隔离网闸是一组具有多种控制功能的软硬件组成的网络安全设备，它在电路上切断了网络之间的链路层连接，并能够在网络间进行安全的应用数据交换。第二代网闸通过专用交换通道、高速硬件通信卡、私有通信协议和加密签名机制来实现高速、安全的内外网数据交换，使得处理能力较一代大大提高，能够适应复杂网络对隔离应用的需求；私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性。
    与同类产品比较，网闸具有更高的安全性和可靠性，作为目前业界公认的较为成熟可靠的网络隔离解决方案，在政府部门信息化建设中逐渐受到青睐。网闸通过内部控制系统连接两个独立网络，利用内嵌软件完成切换操作，并且增加了安全审查程序。作为数据传递“中介”，网闸在保证重要网络与其他网络隔离的同时进行数据安全交换。
由于互联网是基于TCP/IP协议实现连接，因此入侵攻击都依赖于OSI七层数据通信模型的一层或多层。理论上讲，如果断开OSI数据模型的所有层，就可以消除来自网络的潜在攻击。网闸正是依照此原理实现了信息安全传递，它不依靠网络协议的数据包转发，只有数据的无协议“摆渡”，阻断了基于OSI协议的潜在攻击，从而保证了系统安全。
    网闸工作的原理在于：中断两侧网络的直接相连，剥离网络协议并将其还原成原始数据，用特殊的内部协议封装后传输到对端网络。同时，网闸可通过附加检测模块对数据进行扫描，从而防止恶意代码和病毒，甚至可以设置特殊的数据属性结构实现通过限制。网闸不依赖于TCP/IP和操作系统，而由内嵌仲裁系统对OSI的七层协议进行全面分析，在异构介质上重组所有的数据，实现了“协议落地、内容检测”。因此，网闸真正实现了网络隔离，在阻断各种网络攻击的前提下，为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。
    1.网闸与防火墙的对比分析
    防火墙与网闸同属网络安全产品类别，但它与网闸是截然不同的。防火墙是基于访问控制技术，即通过限制或开放网络中某种协议或端口的访问来保证系统安全，主要包括静态包过滤、网络地址转换、状态检测包过滤、电路代理、应用代理等方法来进行安全控制，通过对IP包的处理，实现对TCP会话的控制，并通过访问控制的方式允许合法的数据包进入内部网络，从而防止非法用户获取内部重要信息，阻止黑客入侵。表1是对两者在各方面的对比：

防火墙在使用中存在以下问题：首先，防火墙侧重于网络层至应用层的策略隔离，在使用前需要对网络攻击特征规则库进行复杂的配置和动态维护，并及时更新安全策略才能满足用户安全需要；其次，多数防火墙是基于路由器的数据包分组过滤类型，防护能力较差。
    通过性能对比，防火墙与网闸存在的区别在于：
    首先，防火墙是访问控制类产品，它不能实现完全隔离，必须在网络互通的情况下进行访问控制。防火墙工作依赖于TCP/IP协议，在网络层对数据包作安全检查，因此无法保证数据安全性；而隔离网闸是在网络断开的情况下，以非网络方式进行数据交换，实现信息的共享。网闸数据交换不依赖于OSI模型，通过隔离硬件将内外网络在链路层断开，由仲裁系统在内外网对应节点上进行切换，在剥离协议并重新封装原始数据后，对硬件上的存储芯片进行读写来完成数据的交换，因此网闸实现了内外网完全隔离。
    其次，防火墙常用于保证网络层安全的边界安全（如DMZ区），而网闸主要保护内部网络的安全。防火墙通常用网络地址翻译及存取列表来限定某个地址范围或端口协议的访问。例如，防火墙应用代理的典型安全威胁是：木马程序通常利用操作系统漏洞绕过防火墙入侵应用代理服务器；而隔离网闸能够很好的解决高性能、高安全性、易用性之间的矛盾，网闸无需升级即可防止入侵，它切断所有的TCP连接，包括UDP、ICMP等其他各种协议，使各种木马程序无法通过网闸进行通讯。
    2、应用案例介绍
杭州市建委在信息化建设中，为了规范行业管理，体现政务公开，通过网闸隔离系统实现了内部OA系统和直属单位联网协同管理平台“杭州建设信用网”的信息交互。网络实现如图一所示：
    系统采用金电网安Ferryway2.0作为信息安全交互平台。该硬件产品采用三机模型设计，使建委WEB发布系统、内部OA、直属单位业务系统之间通过IP和端口设定实现了安全数据交互。以工程招投标管理流程为例说明：
    1.业主单位发出招标申请后，统一编号的工程招标项目信息进入招标办业务系统；招标系统结束内部流程后将投标企业和人员的诚信信息传至信用网。
    2.网闸外网机接收数据后将所有的协议剥离，并发起非TCP/IP协议的数据连接。当数据全部写入仲裁机存储介质后，外网机连接中断。
    3.内网机收到数据后，实现TCP/IP和应用协议的封装，发送给内网诚信信息管理系统；在完成数据交换任务之后，仲裁系统立即切断与内部主机的直接连接，恢复到网络断开状态。

结束语
    随着电子政务和行业应用的发展，人们对网络信息安全越来越重视。网闸实现了不同信任域网络间的数据安全交换，是目前网络隔离的有效手段。它不仅提供基于物理隔离的安全保障，还具有高速的数据交换能力和较强的系统集成能力，能够满足电子政务的应用需要，目前许多国产网闸品牌的安全性已经过国家信息安全机构的权威认定。今后随着技术的不断成熟，网闸将在政府电子政务建设中得到越来越广泛的应用。