Interested Article - Воздушный зазор (сети передачи данных)

Физическая изоляция ( англ. air gap «воздушный зазор» ) — одна из мер обеспечения информационной безопасности , которая заключается в том, что безопасная компьютерная сеть физически изолирована от небезопасных сетей: интернета и локальных сетей с низким уровнем безопасности . Физическая изоляция применяется в компьютерных сетях при необходимости обеспечить высокий уровень безопасности. Механизм физической изоляции может и не являться «воздушным зазором» в буквальном смысле. Например, с помощью отдельных криптографических устройств, которые туннелируют трафик через небезопасные сети, при этом не выдавая изменения объёма сетевого трафика и размера пакетов, создаётся канал связи. Но даже в этом случае нет возможности для компьютеров на противоположных сторонах воздушного зазора установить связь.

Ограничения

Ограничения на устройства, используемые в этих условиях, могут включать в себя запрет на входящее беспроводное соединение с сетью с высоким уровнем безопасности, исходящее беспроводное соединение или похожие ограничения на утечки электромагнитного излучения из сети с высоким уровнем безопасности путём применения ПЭМИН ( англ. ) или клетки Фарадея . Одним из известных примеров является « Флоппинет », когда соединение между двумя устройствами или сетями осуществляется человеком, физически переносящим носители с информацией: дискеты, лазерные диски, USB -диски, магнитные ленты и т. п.

Применение

В условиях, когда сети или устройства разделены разными уровнями безопасности, два не имеющих соединения устройства или две сети называются «нижний уровень» и «верхний уровень»: нижний — несекретный и верхний — секретный, или классифицированный высшей степенью секретности. Их также называют (из терминологии АНБ ) . Для того, чтобы переместить данные с верхнего уровня на нижний, необходимо записать данные на физический носитель и перенести носитель с данными к устройству на нижнем уровне. Согласно модели Белла — Лападулы , данные могут переходить от нижнего уровня к верхнему с минимальными затратами, в то время как перенос данных с верхнего уровня на нижний требует значительно более строгой процедуры для обеспечения защиты данных на более высоком уровне секретности.

Концепция представляет собой почти максимальную защиту одной сети от другой. У пакета или дейтаграммы нет возможности «перепрыгнуть» через воздушный зазор из одной сети в другую, но ряд компьютерных вирусов (например, Stuxnet и Agent.BTZ ) стали известны благодаря тому, что смогли преодолеть зазор, используя эксплойт съёмных носителей. Иногда вирусы также пытаются использовать для преодоления зазора беспроводные сети.

Сеть, использующая воздушный зазор, в целом может рассматриваться как закрытая система (с точки зрения информации, сигналов и побочных электромагнитных излучений), недоступная из внешнего мира. Побочным эффектом является то, что передача полезной информации в сеть извне — чрезвычайно трудоёмкая задача, часто требующая участия человека в анализе безопасности будущих программ или данных, которые будут внесены за воздушный зазор и, возможно, даже ручной ввод и анализ безопасности новых данных .

Примеры

Тонкости

В виду очевидных недостатков протокола USB , предпочтительным при переносе данных через воздушный зазор является использование оптических носителей: Mini CD , CD , DVD и Blu-Ray -дисков .

Существует точка зрения, что носитель, к которому единожды получила доступ сеть за воздушным зазором, подлежит уничтожению либо изоляции и никогда больше не подключается к устройствам из недоверенной сети.

Исследователи описывают различные способы .

См. также

Примечания

  1. . Дата обращения: 13 ноября 2013. 13 ноября 2013 года.
  2. (англ.) . Glossary; CNSSI 4009-2015 . NIST COMPUTER SECURITY RESOURCE CENTER. Дата обращения: 18 ноября 2017. 1 декабря 2017 года.
  3. . CNET . 2012-04-12. из оригинала 23 августа 2013 . Дата обращения: 8 сентября 2013 .
  4. Lemos, Robert . ZDNet News . CBS Interactive, Inc. (1 февраля 2001). — «For example, top-secret data might be kept on a different computer than data classified merely as sensitive material. Sometimes, for a worker to access information, up to six different computers can be on a single desk. That type of security is called, in typical intelligence community jargon, an air gap. ». Дата обращения: 12 октября 2012. 9 октября 2012 года.
  5. Rist, Oliver . Infoworld . IDG Network (29 мая 2006). — «In high-security situations, various forms of data often must be kept off production networks, due to possible contamination from nonsecure resources — such as, say, the Internet. So IT admins must build enclosed systems to house that data — stand-alone servers, for example, or small networks of servers that aren't connected to anything but one another. There's nothing but air between these and other networks, hence the term air gap , and transferring data between them is done the old-fashioned way: moving disks back and forth by hand, via ' '.» Дата обращения: 16 января 2009. Архивировано из 24 июля 2008 года.
  6. . — «NIPRNet functions as an “airgapped” analogue to SIPRNet. “Airgapping” is a security feature often utilized in non-military areas such as nuclear power plants, aviation, and medical records and equipment.» Дата обращения: 19 сентября 2013. 3 февраля 2013 года.
  7. 35. insurancenewsnet.com (15 ноября 2012). — «Stock exchange internal network computer systems are so sensitive that they are “air gapped” and not attached to the internet, in order to protect them from attack, intrusion, or other malicious acts by third party adversaries.» Дата обращения: 8 сентября 2013. Архивировано из 3 декабря 2013 года.
  8. Zetter, Kim . Wired Magazine . Condénet, Inc. (4 января 2008). — «(... Boeing ...) wouldn't go into detail about how (...it...) is tackling the issue but says it is employing a combination of solutions that involves some physical separation of the networks, known as air gaps , and software firewalls.» Дата обращения: 16 января 2009. 23 декабря 2008 года.
  9. (6 января 2011). — «the USB, as the names stands, is a bus interconnect, which means all the USB devices sharing the same USB controller are capable of sniffing and spoofing signals on the bus. This is one of the key differences between USB and PCI Express standards, where the latter uses a peer-to-peer interconnect architecture.» Дата обращения: 15 октября 2013. 16 октября 2013 года.
  10. . Schneier on Security - A blog covering security and security technology . 2013-10-11. из оригинала 16 октября 2013 . Дата обращения: 15 октября 2013 .

Ссылки

  • Билл Лайдон (Bill Lydon). . Ua.Automation.com. Дата обращения: 10 октября 2013.
  • Уинн Швартау. . Сети/network world. Дата обращения: 10 октября 2013.
Источник —

Same as Воздушный зазор (сети передачи данных)