實體隔離網路真的安全嗎?

2024.10.22

近日,一種代號為「水蝮蛇」的美方竊密設備引發了網路安全領域的廣泛關注。該設備偽裝成常見的USB接頭,能夠模擬成鍵盤、滑鼠等外設,逃避相關安全軟體檢測,一旦接入原本被認為安全的物理隔離網絡設備上,便能悄無聲息地竊取數據,並透過特殊訊號方式將敏感訊息發送出去。這樣無疑對「物理隔離」這項傳統網路安全防護手段的有效性提出了嚴峻挑戰。

實體隔離是一種基本的網路安全防護措施,其核心理念是透過實體手段將網路與其它網路或系統進行隔離,防止資料外洩和網路攻擊。伊朗「震」網事件和「水蝮蛇」設備都證明了物理隔離網絡並非天然屏障,同樣存在安全隱患,不可掉以輕心。

網路安全的本質是對抗,對抗的核心是攻防兩端能力的較量,最終是人性的較量。攻方在暗處,守方在明處,往往只要給攻方足夠的時間,利用資訊、能力、空間、時間上的不對等,基本上都可以突破守方,對對方造成一定的損失。

我國在航太、航空等軍工領域都建立了大量的涉密網絡,不管是甲方單位還是乙方安全廠商,普遍存在一個僥倖心理,認為物理隔離網絡首先就是天然屏障,只要加強管控就可以了,這些安全廠商普遍缺乏網路攻防對抗的意識,把重點放在終端管控上。 「水蝮蛇」設備的出現其實是顛覆了大家的認知,因為他是針對你的物理隔離網絡的管控設計的,可以逃逸安全軟體的監測和管控,證明對手也是在不斷研究我們的安全產品功能和參數,不怕賊偷就怕賊惦記,充分說明美國是在不斷研究我們的物理隔離網絡的,不斷在尋找突破口。

我們現在必須樹立這樣的意識,而物理隔離網路也是存在風險隱憂的。國外情報機關一定會大量蒐集我國用在實體隔離網路中的安全設備和安全軟體的資料,甚至包括涉密網路相關的國家政策發文和技術標準等,還甚至會透過一些管道購買相關產品進行研究,從而有針對性的設計攻破實體隔離網路的技術、方法及工具,「水蝮蛇」只是冰山一角。

這個領域很多廠商及員工是不重視保密工作的,產品和方案中經常會寫一些涉密的信息在裡面,主觀上認為只要不是涉密文件就無所謂,一到檢查的時候就把電腦中敏感字去掉或轉移,有責任心的話建議搞搞突擊檢查,不是打了個標就是涉密,應是內容檢查;廠商及員工的電腦沒有做保密限制,保密資料隨便傳播和拷貝,也沒有限制互聯網訪問,電腦上的一些破解軟體都有可能嵌入了釣魚木馬;廠商的研發人員上網也沒有進行管控,都有可能被境外情報機關實施網絡釣魚,甚至有可能連開發產品的源代碼都洩露了。國外情報機關雖然攻不破涉密網絡,但是可以透過供應鏈攻擊,也就是從這些安全廠商著手。目前對這類廠商的管控還是不嚴格的,之前有很多廠商直接把相關產品暴露在官網上,其實這類廠商應當連官網都沒有的,甚至有些廠商的產品銷售也沒有管控好,都有可能透過一些代理商都賣到國外情報機關手上了。

若要保護實體隔離的涉密網路安全,也要重視供應鏈的管理,對業務和工作所需的硬體和軟體進行嚴格檢測,對廠商的人員和辦公要求也應嚴格管理;安全廠商的安全硬體和軟體也要進行嚴格檢測,對安全公司的人員和辦公室要求也應嚴格管理。實體隔離網路保護也要重視起來,透過供應鏈和社工的方式是極其容易攻破的,不要抱有幻想,合規只是基礎,還是得透過攻防的思路去防範物理隔離網絡。

總之,實體隔離網路的安全,一是要堅持發展信創,達到自主可控;二是要防範供應鏈和釣魚攻擊,加強對相關供應鏈廠商和其產品的管控;三是要加強對內部人員和外部人員的管控;四是要避免出現涉密文件內容出現在一些招標文件、和產品資料中。實體隔離網路安全是相對的,一旦對手要突破你,他們就會千方百計研究你,會制定各種攻擊戰略和戰術,無所不用其極,一旦使用殺傷力巨大,作為安全廠商更應當知道攻防對抗和保密工作的重要性。