Vzduchová mezera (datové sítě)

Fyzická izolace ( angl.  air gap  "air gap" [1] ) je jedním z opatření k zajištění informační bezpečnosti , které spočívá v tom, že zabezpečená počítačová síť je fyzicky izolována od nezabezpečených sítí: internetu a lokálních sítí s nízkou úroveň zabezpečení [2] . Fyzická izolace se používá v počítačových sítích, když je potřeba zajistit vysokou úroveň zabezpečení. Mechanismus fyzické izolace nemusí být „vzduchová mezera“ v doslovném smyslu. Například pomocí samostatných kryptografických zařízení, která tunelují provoz přes nezabezpečené sítě, aniž by došlo ke změně množství síťového provozu a velikosti paketů, je vytvořen komunikační kanál. I tak ale počítače na opačných stranách vzduchové mezery nemohou nijak komunikovat.

Omezení

Omezení pro zařízení používaná v těchto prostředích mohou zahrnovat zákaz příchozího bezdrátového připojení k vysoce zabezpečené síti, odchozí bezdrátové připojení nebo podobná omezení úniku elektromagnetického záření z vysoce zabezpečené sítě prostřednictvím použití klecí TEMPEST nebo Faraday . Jedním ze známých příkladů je „ floppinet “, kdy spojení mezi dvěma zařízeními nebo sítěmi provádí osoba, která fyzicky nosí média s informacemi: diskety, laserové disky, USB disky , magnetické pásky atd.  

Aplikace

V prostředích, kde jsou sítě nebo zařízení odděleny různými úrovněmi zabezpečení, se dvě nepřipojená zařízení nebo dvě sítě nazývají „nižší vrstva“ a „horní vrstva“: spodní vrstva je neklasifikovaná a horní je tajná nebo klasifikovaná nejvyšším stupněm. mlčenlivosti. Říká se jim také pojem „červená a černá“ informace (z terminologie NSA ) [3] . Chcete-li přesunout data z horní vrstvy do spodní vrstvy, musíte data zapsat na fyzické médium a přenést datové médium do zařízení ve spodní vrstvě. Podle modelu Bell-LaPadula se data mohou přesouvat ze spodní vrstvy do horní vrstvy s minimálními náklady, zatímco přenos dat z horní vrstvy do spodní vrstvy vyžaduje mnohem přísnější postup, aby byla zajištěna ochrana dat na vyšší úrovni. mlčenlivosti.

Koncept je téměř maximální ochrana jedné sítě před druhou. Neexistuje žádný způsob, jak by paket nebo datagram "přeskočit" přes vzduchovou mezeru z jedné sítě do druhé, ale řada počítačových virů (jako Stuxnet [4] a Agent.BTZ ) se stala známou tím, že je schopna přemostit mezera pomocí zneužití vyměnitelných médií . Někdy se viry také snaží využít bezdrátové sítě k překlenutí propasti.

Síť využívající vzduchovou mezeru lze obecně považovat za uzavřený systém (ve smyslu informací, signálů a elektromagnetických rušivých emisí), nepřístupný z vnějšího světa. Vedlejším efektem je, že přenos užitečných informací do sítě zvenčí je extrémně časově náročný úkol, který často vyžaduje lidskou účast na analýze bezpečnosti budoucích programů nebo dat, která budou zavedena mimo vzduchovou mezeru a případně i ruční zadávání a analýza bezpečnosti nových dat [5] .

Příklady

• Vojenské/státní počítačové sítě/systémy [6] např.: SIPRNet a NIPRNet [7] ;
• Finanční počítačové systémy, jako jsou burzy [8] a některé bankovní systémy;
• Kritické systémy jako:
  • Řídicí systémy pro jaderné elektrárny ;
  • Počítače používané v letectví [9] , jako jsou FADEC a avionika ;
  • Počítačové lékařské vybavení;
• Jednoduché systémy, kde bezpečnost není na prvním místě:
  • Řídicí jednotka motoru v autě ;
  • Systémy řízení mikroklimatu ;
  • Řídicí systémy zavlažování trávníků .

Jemnosti

S ohledem na zjevné nedostatky protokolu USB [10] , je při přenosu dat vzduchovou mezerou vhodnější používat optická média: Mini CD , CD , DVD a Blu-Ray disky [11] .

Existuje názor, že médium, ke kterému se jednou připojí síť za vzduchovou mezerou, podléhá zničení nebo izolaci a již nikdy nebude připojeno k zařízením z nedůvěryhodné sítě.

Výzkumníci popisují různé způsoby přenosu dat bez přístupu k síti a diskům .

Viz také

• Stuxnet
• Agent.BTZ
• Faradayova klec
• PEMIN , TEMPEST  - boční elektromagnetické záření a snímače.
• automatické spuštění
• DMZ (počítačové sítě)
• SORM  - Systém technických prostředků k zajištění funkcí operačně-pátrání FSB Ruska .
• síťový kohoutek

Poznámky

1. ↑ Electropedia: The World's Online Electrotechnical Vocabulary: Air Gap . Získáno 13. listopadu 2013. Archivováno z originálu 13. listopadu 2013. (neurčitý)
2. ↑ RFC 4949
3. ↑ RED/BLACK  koncept . glosář; CNSSI 4009-2015 . CENTRUM ZDROJŮ POČÍTAČOVÉ BEZPEČNOSTI NIST. Získáno 18. listopadu 2017. Archivováno z originálu 1. prosince 2017.
4. ↑ Stuxnet dodán do íránské jaderné elektrárny na palci  (12. dubna 2012). Archivováno z originálu 23. srpna 2013. Staženo 8. září 2013.
5. ↑ Lemos, Robert NSA se pokouší navrhnout počítač odolný proti prasklinám . Zprávy ZDNet . CBS Interactive Inc. (1. února 2001). „Například přísně tajná data mohou být uchovávána na jiném počítači než data klasifikovaná pouze jako citlivý materiál. Někdy, aby měl pracovník přístup k informacím, může být na jednom stole až šest různých počítačů. Tento typ zabezpečení se v typickém žargonu zpravodajské komunity nazývá vzduchová mezera. ". Získáno 12. října 2012. Archivováno z originálu 9. října 2012. (neurčitý)
6. ↑ Rist, Oliver Hack Tales: Air-gap networking za cenu páru tenisek (odkaz není k dispozici) . infosvět . IDG Network (29. května 2006). — „V situacích s vysokým zabezpečením musí být různé formy dat často uchovávány mimo produkční sítě z důvodu možné kontaminace z nezabezpečených zdrojů – jako je například internet. IT administrátoři tedy musí vybudovat uzavřené systémy pro uložení těchto dat – například samostatné servery nebo malé sítě serverů, které nejsou připojeny k ničemu jinému než k sobě navzájem. Mezi těmito a jinými sítěmi není nic jiného než vzduch, proto se nazývá vzduchová mezera a přenos dat mezi nimi se provádí staromódním způsobem: ručním přemisťováním disků tam a zpět přes „ sneakernet “. Datum přístupu: 16. ledna 2009. Archivováno z originálu 24. července 2008. (neurčitý) 
7. ↑ Historie a obecné informace SIPRNet . — „NIPRNet funguje jako „airgapped“ analog k SIPRNet. „Airgapping“ je bezpečnostní prvek často používaný v nevojenských oblastech, jako jsou jaderné elektrárny, letectví a lékařské záznamy a vybavení. Datum přístupu: 19. září 2013. Archivováno z originálu 3. února 2013. (neurčitý)
8. ↑ Weber vs SEC (downlink) 35. Insurancenewsnet.com (15. listopadu 2012). — „Interní síťové počítačové systémy burzy cenných papírů jsou tak citlivé, že jsou „vzduchové“ a nejsou připojeny k internetu, aby byly chráněny před útokem, vniknutím nebo jinými škodlivými činy protivníků třetích stran. Získáno 8. září 2013. Archivováno z originálu 3. prosince 2013. (neurčitý) 
9. ↑ Zetter, Kim FAA: Nový Boeing 787 může být zranitelný vůči hackerskému útoku . drátový zásobník . Společnost Condenet, Inc. (4. ledna 2008). „(... Boeing ...) by nezacházel do podrobností o tom, jak (...to...) tento problém řeší, ale říká, že využívá kombinaci řešení, která zahrnuje určité fyzické oddělení sítí, známé jako vzduchové mezery a softwarové brány firewall." Datum přístupu: 16. ledna 2009. Archivováno z originálu 23. prosince 2008. (neurčitý)
10. ↑ Joanna Rutkowska – USB Security Challenges (6. ledna 2011). - "USB, jak už jsou názvy, je sběrnicové propojení, což znamená, že všechna USB zařízení sdílející stejný USB řadič jsou schopna snímat a falšovat signály na sběrnici. To je jeden z klíčových rozdílů mezi standardy USB a PCI Express, kde standardy PCI Express používají architekturu propojení peer-to-peer. Datum přístupu: 15. října 2013. Archivováno z originálu 16. října 2013. (neurčitý)
11. ↑ Schneier o bezpečnosti – Air Gaps  (11. října 2013). Archivováno z originálu 16. října 2013. Staženo 15. října 2013.

Odkazy

• Bill Lydon. Kybernetické bezpečnostní hrozby: Rozhovor s odborníkem . www.automation.com. Staženo 10. října 2013. (Ruština)
• Winn Schwartau. Jak zajistit informační bezpečnost podniku . Sítě/svět sítí. Staženo 10. října 2013. (Ruština)