Decalaj (rețele de date)

Versiunea actuală a paginii nu a fost încă revizuită de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 19 iunie 2018; verificările necesită 14 modificări .

Izolarea fizică ( ing.  air gap  „air gap” [1] ) este una dintre măsurile de asigurare a securității informației , care constă în faptul că o rețea de calculatoare securizată este izolată fizic de rețelele nesigure: internetul și rețelele locale cu un nivelul de securitate [2] . Izolarea fizică este utilizată în rețelele de calculatoare atunci când este necesar să se asigure un nivel ridicat de securitate. Mecanismul de izolare fizică poate să nu fie un „decalaj de aer” în sensul literal. De exemplu, cu ajutorul unor dispozitive criptografice separate care tunelizează traficul prin rețele nesigure, fără a oferi o modificare a cantității de trafic de rețea și a dimensiunii pachetului, este creat un canal de comunicare. Chiar și așa, computerele de pe părțile opuse ale spațiului de aer nu există nicio modalitate de a comunica.

Restricții

Restricțiile privind dispozitivele utilizate în aceste medii pot include interzicerea conexiunii fără fir de intrare la o rețea de înaltă securitate, conexiuni fără fir de ieșire sau restricții similare privind scurgerea radiațiilor electromagnetice dintr-o rețea de înaltă securitate prin utilizarea cuștilor TEMPEST sau Faraday . Unul dintre exemplele binecunoscute este „ Floppinet ”, când conexiunea între două dispozitive sau rețele este realizată de o persoană care transportă fizic medii cu informații: dischete, discuri laser, discuri USB , benzi magnetice etc.  

Aplicație

În mediile în care rețelele sau dispozitivele sunt separate prin niveluri diferite de securitate, două dispozitive neconectate sau două rețele sunt numite „strat inferior” și „strat superior”: cel de jos este neclasificat, iar cel de sus este secret, sau clasificat cu cel mai înalt grad. de secret. Ele mai sunt numite și conceptul de informații „Roșu și Negru” (din terminologia NSA ) [3] . Pentru a muta datele din stratul superior în stratul inferior, trebuie să scrieți datele pe mediul fizic și să transferați mediul de date pe dispozitivul de pe stratul inferior. Conform modelului Bell-LaPadula , datele se pot muta din stratul inferior în stratul superior cu costuri minime, în timp ce transferul datelor din stratul superior în stratul inferior necesită o procedură mult mai riguroasă pentru a asigura protecția datelor la un nivel superior. de secret.

Conceptul este aproape protecția maximă a unei rețele față de alta. Nu există nicio modalitate ca un pachet sau o datagramă să „sare” printr-un gol de la o rețea la alta, dar o serie de viruși informatici (cum ar fi Stuxnet [4] și Agent.BTZ ) au devenit cunoscuți pentru că sunt capabili să depășească decalaj folosind o exploatare media amovibil . Uneori, virușii încearcă să folosească și rețelele fără fir pentru a reduce decalajul.

O rețea care utilizează un spațiu de aer poate fi considerată, în general, ca un sistem închis (în termeni de informații, semnale și emisii electromagnetice parasite), inaccesibil din lumea exterioară. Un efect secundar este că transferul de informații utile către rețea din exterior este o sarcină extrem de consumatoare de timp, care necesită adesea participarea umană la analiza securității programelor viitoare sau a datelor care vor fi introduse dincolo de golul de aer și, eventual, chiar introducerea manuală și analiza securității datelor noi [5] .

Exemple

Subtilități

Având în vedere deficiențele evidente ale protocolului USB [10] , este de preferat să se folosească medii optice atunci când se transferă date printr-un spațiu de aer: discuri Mini CD , CD , DVD și Blu-Ray [11] .

Există un punct de vedere că un mediu odată accesat de o rețea în spatele unui spațiu de aer este supus distrugerii sau izolării și nu este niciodată conectat la dispozitive dintr-o rețea neîncrezătoare.

Cercetătorii descriu diferite moduri de a transfera date fără acces la rețea și unități .

Vezi și

Note

  1. Electropedia: Vocabularul electrotehnic online din lume: Air Gap . Consultat la 13 noiembrie 2013. Arhivat din original pe 13 noiembrie 2013.
  2. RFC 4949
  3. Concept ROȘU/NEGRU  . glosar; CNSSI 4009-2015 . CENTRUL DE RESURSE NIST DE SECURITATE A CALCULATORII. Consultat la 18 noiembrie 2017. Arhivat din original la 1 decembrie 2017.
  4. Stuxnet a fost livrat unei centrale nucleare iraniene pe o unitate  (12 aprilie 2012). Arhivat din original pe 23 august 2013. Preluat la 8 septembrie 2013.
  5. Lemos, Robert NSA încearcă să proiecteze un computer rezistent la fisuri . Știri ZDNet . CBS Interactive Inc. (1 februarie 2001). „De exemplu, datele secrete pot fi păstrate pe un alt computer decât datele clasificate doar ca materiale sensibile. Uneori, pentru ca un lucrător să acceseze informații, până la șase computere diferite pot fi pe un singur birou. Acest tip de securitate se numește, în jargonul tipic al comunității de informații, un decalaj de aer. ". Consultat la 12 octombrie 2012. Arhivat din original pe 9 octombrie 2012.
  6. Rist, Oliver Hack Tales: Air-gap networking pentru prețul unei perechi de adidași (link nu este disponibil) . infoworld . Rețeaua IDG (29 mai 2006). — „În situații de înaltă securitate, diferitele forme de date trebuie adesea ținute în afara rețelelor de producție, din cauza posibilei contaminări din resurse nesecurizate - cum ar fi, de exemplu, internetul. Deci, administratorii IT trebuie să construiască sisteme închise pentru a găzdui acele date - servere autonome, de exemplu, sau rețele mici de servere care nu sunt conectate la nimic altceva decât unul la altul. Nu există decât aer între acestea și alte rețele, de unde și termenul de gol , iar transferul de date între ele se face în mod demodat: mișcarea discurilor înainte și înapoi cu mâna, prin „ sneakernet ”.”. Data accesului: 16 ianuarie 2009. Arhivat din original la 24 iulie 2008. 
  7. Istoricul SIPRNet și informații generale . — „NIPRNet funcționează ca un analog „airgapped” pentru SIPRNet. „Airgapping” este o caracteristică de securitate adesea utilizată în zone non-militare, cum ar fi centralele nucleare, aviația și dosarele și echipamentele medicale.” Data accesului: 19 septembrie 2013. Arhivat din original la 3 februarie 2013.
  8. Weber vs SEC (downlink) 35. insurancenewsnet.com (15 noiembrie 2012). — „Sistemele computerizate din rețeaua internă a bursei de valori sunt atât de sensibile încât sunt „aer gapped” și nu sunt atașate la internet, pentru a le proteja de atacuri, intruziuni sau alte acte rău intenționate ale adversarilor terți.” Consultat la 8 septembrie 2013. Arhivat din original pe 3 decembrie 2013. 
  9. Zetter, Kim FAA: Noul 787 al lui Boeing poate fi vulnerabil la atacurile hackerilor . revistă cu fir . Condenet, Inc. (4 ianuarie 2008). „(... Boeing ...) nu ar intra în detalii despre modul în care (...ea...) abordează problema, dar spune că folosește o combinație de soluții care implică o anumită separare fizică a rețelelor, cunoscută ca goluri de aer și firewall-uri software.”. Data accesului: 16 ianuarie 2009. Arhivat din original la 23 decembrie 2008.
  10. Joanna Rutkowska - USB Security Challenges (6 ianuarie 2011). - „USB-ul, așa cum este și numele, este o interconexiune de magistrală, ceea ce înseamnă că toate dispozitivele USB care partajează același controler USB sunt capabile să adulmece și să falsifice semnale pe autobuz. Aceasta este una dintre diferențele cheie dintre standardele USB și PCI Express, unde acesta din urmă utilizează o arhitectură de interconectare peer-to-peer.”. Data accesului: 15 octombrie 2013. Arhivat din original la 16 octombrie 2013.
  11. Schneier on Security - Air Gaps  (11 octombrie 2013). Arhivat din original pe 16 octombrie 2013. Preluat la 15 octombrie 2013.

Link -uri