物理隔離是一種基本的網(wǎng)絡(luò)安全防護(hù)措施，其核心理念是通過物理手段將網(wǎng)絡(luò)與其它網(wǎng)絡(luò)或系統(tǒng)進(jìn)行隔離，防止數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊。伊朗“震”網(wǎng)事件和“水蝮蛇”設(shè)備都證明了物理隔離網(wǎng)絡(luò)并不是天然屏障，同樣存在安全隱患，不可掉以輕心。

近日，一種代號為“水蝮蛇”的美方竊密設(shè)備引發(fā)了網(wǎng)絡(luò)安全領(lǐng)域的廣泛關(guān)注。該設(shè)備偽裝成常見的USB接頭，能夠模擬成鍵盤、鼠標(biāo)等外設(shè)，逃避相關(guān)安全軟件檢測，一旦接入到原本被認(rèn)為安全的物理隔離網(wǎng)絡(luò)設(shè)備上，便能悄無聲息地竊取數(shù)據(jù)，并通過特殊信號方式將敏感信息發(fā)送出去。這樣無疑對“物理隔離”這一傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段的有效性提出了嚴(yán)峻挑戰(zhàn)。

物理隔離是一種基本的網(wǎng)絡(luò)安全防護(hù)措施，其核心理念是通過物理手段將網(wǎng)絡(luò)與其它網(wǎng)絡(luò)或系統(tǒng)進(jìn)行隔離，防止數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊。伊朗“震”網(wǎng)事件和“水蝮蛇”設(shè)備都證明了物理隔離網(wǎng)絡(luò)并不是天然屏障，同樣存在安全隱患，不可掉以輕心。

網(wǎng)絡(luò)安全的本質(zhì)是對抗，對抗的核心是攻防兩端能力的較量，最終是人性的較量。攻方在暗處，守方在明處，往往只要給攻方足夠的時間，利用信息、能力、空間、時間上的不對等，基本上都可以突破守方，給對方造成一定的損失。

我國在航天、航空等軍工領(lǐng)域都建設(shè)了大量的涉密網(wǎng)絡(luò)，不管是甲方單位還是乙方安全廠商，普遍存在一個僥幸心理，認(rèn)為物理隔離網(wǎng)絡(luò)首先就是天然屏障，只要加強(qiáng)管控就可以了，這些安全廠商普遍缺乏網(wǎng)絡(luò)攻防對抗的意識，把重點放在終端管控上?！八笊摺痹O(shè)備的出現(xiàn)實際上是顛覆了大家的認(rèn)知，因為他是針對你的物理隔離網(wǎng)絡(luò)的管控設(shè)計的，可以逃逸安全軟件的監(jiān)測和管控，證明對手也是在不斷研究我們的安全產(chǎn)品功能和參數(shù)，不怕賊偷就怕賊惦記，充分說明美國是在不斷研究我們的物理隔離網(wǎng)絡(luò)的，不斷在尋找突破口。

我們現(xiàn)在必須樹立這樣的意識，物理隔離網(wǎng)絡(luò)也是存在風(fēng)險隱患的。國外情報機(jī)關(guān)一定會大量搜集我國用在物理隔離網(wǎng)絡(luò)中的安全設(shè)備和安全軟件的資料，甚至包括涉密網(wǎng)絡(luò)相關(guān)的國家政策發(fā)文和技術(shù)標(biāo)準(zhǔn)等，還甚至?xí)ㄟ^一些渠道購買相關(guān)產(chǎn)品進(jìn)行研究，從而有針對性的設(shè)計攻破物理隔離網(wǎng)絡(luò)的技術(shù)、方法及工具，“水蝮蛇”只是冰山一角。

這個領(lǐng)域很多廠商及員工是不重視保密工作的，產(chǎn)品和方案中經(jīng)常會寫一些涉密的信息在里面，主觀上認(rèn)為只要不是涉密文件就無所謂，一到檢查的時候就把電腦中敏感字去掉或轉(zhuǎn)移，有責(zé)任心的話建議搞搞突擊檢查，不是打了個標(biāo)就是涉密，應(yīng)當(dāng)是內(nèi)容檢查；廠商及員工的電腦沒有做保密限制，保密資料隨便傳播和拷貝，也沒有限制互聯(lián)網(wǎng)訪問，電腦上的一些破解軟件都有可能嵌入了釣魚木馬；廠商的研發(fā)人員上網(wǎng)也沒有進(jìn)行管控，都有可能被境外情報機(jī)關(guān)實施網(wǎng)絡(luò)釣魚，甚至有可能連開發(fā)產(chǎn)品的源代碼都泄露了。國外情報機(jī)關(guān)雖然攻不破涉密網(wǎng)絡(luò)，但是可以通過供應(yīng)鏈攻擊，也就是從這些安全廠商入手。目前對這類廠商的管控還是不嚴(yán)格的，之前有很多廠商直接把相關(guān)產(chǎn)品暴露在官網(wǎng)上，其實這類廠商應(yīng)當(dāng)連官網(wǎng)都沒有的，甚至有些廠商的產(chǎn)品銷售也沒有管控好，都有可能通過一些代理都賣到國外情報機(jī)關(guān)手上了。

如果要保護(hù)物理隔離的涉密網(wǎng)絡(luò)安全，也要重視供應(yīng)鏈的管理，對業(yè)務(wù)和工作需要的硬件和軟件進(jìn)行嚴(yán)格檢測，對廠商的人員和辦公要求也應(yīng)當(dāng)嚴(yán)格管理；對安全廠商的安全硬件和軟件也要進(jìn)行嚴(yán)格檢測，對安全公司的人員和辦公要求也應(yīng)當(dāng)嚴(yán)格管理。物理隔離網(wǎng)絡(luò)保護(hù)也要重視起來，通過供應(yīng)鏈和社工的方式是極其容易攻破的，不要抱有幻想，合規(guī)只是基礎(chǔ)，還是得通過攻防的思路去防范物理隔離網(wǎng)絡(luò)。

總之，物理隔離網(wǎng)絡(luò)的安全，一是要堅持發(fā)展信創(chuàng)，達(dá)到自主可控；二是要防范供應(yīng)鏈和釣魚攻擊，加強(qiáng)對相關(guān)供應(yīng)鏈廠商和其產(chǎn)品的管控；三是要加強(qiáng)對內(nèi)部人員和外部人員的管控；四是要避免出現(xiàn)涉密文件內(nèi)容出現(xiàn)在一些招投標(biāo)文件、和產(chǎn)品資料中。物理隔離網(wǎng)絡(luò)安全是相對的，一旦對手要突破你，他們就會千方百計研究你，會制定各種攻擊戰(zhàn)略和戰(zhàn)術(shù)，無所不用其極，一旦使用殺傷力巨大，作為安全廠商更應(yīng)當(dāng)知道攻防對抗和保密工作的重要性。