气隙隔离
本文约需 2 分钟阅读
气隙是指将受保护的系统与互联网及其他网络在物理上完全隔离的安全手段。它是从原理上使经由网络的攻击成为不可能的最强防御措施,被采用于军事系统、核电站的控制系统、金融机构的结算核心系统等要求最高级别安全的环境中。截至 2025 年,利用声波和电磁波跨越气隙的攻击研究正在推进,人们正逐渐认识到仅靠物理隔离并不万无一失。
现场使用案例
“我们用气隙隔离了控制系统网络,但由于需要经由 USB 存储器进行数据传递,因此引入了专用的数据二极管设备。它在物理上保证仅单向的数据传输,完全切断了向控制系统反方向的通信。”
气隙概念图
互联网
外部网络
物理切断
受保护的系统
控制系统 / 机密系统
气隙的实现与运维
在气隙环境中,数据的输入输出通过 USB 存储器或光学介质等物理媒介进行。这种物理媒介存在成为攻击途径的风险, 2010 年的 Stuxnet 就是经由 USB 存储器侵入伊朗核设施气隙环境的著名案例。在实务中,与网络隔离相结合的多层防御较为常见。物理安全入门书 (Amazon)可以系统性地学习。
优点与制约
气隙的最大优点是能够在物理上阻断来自远程的攻击。即使勒索软件经由网络扩散,气隙环境中的备份仍能安全地保持。另一方面,运维成本高、实时数据同步困难、软件更新繁琐是其课题。加密资产的冷钱包也是气隙的应用实例,通过将私钥保管在离线环境中来降低被盗风险。请用强随机密码保护气隙环境的物理访问管理系统,防止非法媒介被带入。控制系统安全的书籍 (Amazon)也可以作为参考。
这篇文章对您有帮助吗?