數(shù)據(jù)二極管只允許數(shù)據(jù)單向流動(dòng)，有效地保護(hù)發(fā)送設(shè)備免受外部攻擊。與嚴(yán)厲的交通警察一樣，數(shù)據(jù)二極管加強(qiáng)了數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)膯蜗蚵酚?，確保二極管背后的物聯(lián)網(wǎng)設(shè)備不會(huì)受到惡意傳入流量的損害。

簡單而優(yōu)雅的解決方案，數(shù)據(jù)二極管為物聯(lián)網(wǎng) (IoT) 環(huán)境提供基于硬件的安全性。隨著連接設(shè)備數(shù)量的增加以及網(wǎng)絡(luò)擴(kuò)展到更廣泛和更偏遠(yuǎn)的地區(qū)，這些環(huán)境變得更加脆弱。對(duì)于物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的任何管理員來說，安全是當(dāng)今最關(guān)心的問題——這是有充分理由的。

“物聯(lián)網(wǎng)設(shè)備現(xiàn)在占觀察到的受感染設(shè)備的 32.72%，”諾基亞在其“2020 年威脅情報(bào)報(bào)告”中指出，該報(bào)告根據(jù)公司安全軟件收集的數(shù)據(jù)記錄了網(wǎng)絡(luò)中的惡意軟件活動(dòng)?！芭c 2019 年相比，物聯(lián)網(wǎng)設(shè)備在整體設(shè)備細(xì)分中所占的份額從之前的 16.17% 增加了 100%。” 對(duì)物聯(lián)網(wǎng)終端的威脅如此嚴(yán)重，以至于諾基亞得出結(jié)論：“網(wǎng)絡(luò)犯罪分子正將注意力集中在物聯(lián)網(wǎng)和移動(dòng)設(shè)備上?！?/p>

“隨著物聯(lián)網(wǎng)設(shè)備數(shù)量不斷增加，關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字化程度不斷提高，這提高了網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)，”西門子移動(dòng)的連接和物聯(lián)網(wǎng)全球產(chǎn)品經(jīng)理安德烈斯·吉拉特 (Andres Guilarte) 在回復(fù) IoT World Today 的電子郵件問題時(shí)寫道。

數(shù)據(jù)二極管如何保護(hù)網(wǎng)絡(luò)

根據(jù) Dictionary.com 的說法，二極管是“一種器件，如二元電子管或半導(dǎo)體，電流只能在一個(gè)方向上自由通過”。

數(shù)據(jù)二極管將此技術(shù)應(yīng)用于網(wǎng)絡(luò)基礎(chǔ)設(shè)施，以允許數(shù)據(jù)在一個(gè)方向上流動(dòng)并阻止數(shù)據(jù)在其軌道上的另一個(gè)死角中傳播。盡管自幾十年前推出以來，它們的復(fù)雜程度和功能都在不斷提高，但數(shù)據(jù)二極管本質(zhì)上仍然是提供相對(duì)簡單服務(wù)的單一用途設(shè)備。

數(shù)據(jù)二極管的工作方式與其他基于硬件的網(wǎng)絡(luò)流量控制器類似。例如，通過改變電纜連接（例如從 RS-232 連接器上取下針腳以防止數(shù)據(jù)在一個(gè)方向上流動(dòng)）已經(jīng)實(shí)現(xiàn)了類似的效果?？梢钥隙ǖ氖?，這是一種蠻力解決方案，并且缺乏二極管功能，例如對(duì)網(wǎng)絡(luò)操作至關(guān)重要的協(xié)議意識(shí)。

還有一些網(wǎng)絡(luò)網(wǎng)關(guān)可以限制或消除通過網(wǎng)絡(luò)的某些數(shù)據(jù)流，但它們往往具有與防火墻技術(shù)類似的復(fù)雜性、硬件要求和更新問題。451 Research 物聯(lián)網(wǎng)研究分析師 Johan Vermij 說：“二極管的一個(gè)好處是你不需要修補(bǔ)它們，因此它們比防火墻更適合遠(yuǎn)距離站點(diǎn)?！?/p>

“這是一種基于硬件物理的單向傳輸，”二極管制造商 Owl Cyber Defense 的首席創(chuàng)新官 Brian Romansky 說?！澳悴荒苊孛芑蛞馔獾卮蜷_一個(gè)你忘記的向后端口?！?/p>

根據(jù) Romansky 的說法，數(shù)據(jù)二極管可以追溯到冷戰(zhàn)時(shí)代。“數(shù)據(jù)二極管的概念來自一些實(shí)際上是國防部計(jì)劃的工作，實(shí)際上可以追溯到美國和俄羅斯簽署核退役協(xié)議的時(shí)候，”他指出。雙方需要共享數(shù)據(jù)以確保遵守協(xié)議?！拔胰绾闻c我最不信任的敵人分享我最秘密的數(shù)據(jù)集中的數(shù)據(jù)？我如何使這種連接工作而不是一個(gè)非常手動(dòng)、乏味的過程？因此，數(shù)據(jù)二極管的發(fā)明就是為了做到這一點(diǎn)。”

鑒于他們的國防和情報(bào)血統(tǒng)，數(shù)據(jù)二極管出現(xiàn)在國土安全部的建議中也就不足為奇了?！叭绻麊蜗蛲ㄐ趴梢酝瓿梢豁?xiàng)任務(wù)，請(qǐng)使用光分離（“數(shù)據(jù)二極管”），”該部門在其“防御 ICS 的七種策略”出版物中建議。

數(shù)據(jù)二極管在安全場景中的位置

成功的物聯(lián)網(wǎng)安全策略可能需要使用軟件和硬件安全產(chǎn)品的多層方法。典型的物聯(lián)網(wǎng)環(huán)境包括用于收集和分析數(shù)據(jù)的智能設(shè)備和非智能設(shè)備。智能設(shè)備可能具有更多固有漏洞，但它們也具有運(yùn)行復(fù)雜安全軟件的計(jì)算能力。智能程度較低的端點(diǎn)設(shè)備很少有處理能力來完成分配給他們的任務(wù)以外的任何事情。

加密和防火墻是物聯(lián)網(wǎng)安全場景中的標(biāo)準(zhǔn)配置，但它們也可能在某些領(lǐng)域達(dá)不到要求，從而留下潛在的漏洞。加密的數(shù)據(jù)流量越多越好，但加密和解密數(shù)據(jù)可能會(huì)給網(wǎng)絡(luò)帶來延遲，并導(dǎo)致需要實(shí)時(shí)響應(yīng)來自傳感器和其他端點(diǎn)設(shè)備的數(shù)據(jù)的系統(tǒng)出現(xiàn)問題。

防火墻是 IT 網(wǎng)絡(luò)安全的主要組成部分，也在討論中占有突出地位。防火墻可以有效地防止入侵并控制網(wǎng)絡(luò)中數(shù)據(jù)移動(dòng)的流量和方向。防火墻的缺點(diǎn)是它們需要專用服務(wù)器，需要管理和監(jiān)控，并經(jīng)常修補(bǔ)和更新。對(duì)于需要同時(shí)運(yùn)行多個(gè)防火墻的復(fù)雜網(wǎng)絡(luò)來說，這可能成為一項(xiàng)繁重的工作。

“考慮到不斷增加的連接性和快速增加的網(wǎng)絡(luò)攻擊，防火墻不再是唯一的網(wǎng)絡(luò)安全選項(xiàng)，”西門子的 Guilarte 指出。

新興的物聯(lián)網(wǎng)安全技術(shù)領(lǐng)域涉及使用基于硬件的安全設(shè)備。有時(shí)稱為硬件安全模塊（或 HSM），該類別包括安全專用設(shè)備（如數(shù)據(jù)二極管）以及已使用提供安全功能的芯片增強(qiáng)的端點(diǎn)設(shè)備。

關(guān)于數(shù)據(jù)二極管的關(guān)鍵事實(shí)

雖然數(shù)據(jù)二極管已經(jīng)找到了進(jìn)入各種環(huán)境和操作的方法，但它們最常被引用的實(shí)現(xiàn)是將報(bào)告與數(shù)據(jù)收集隔離開來?！拔覀兛吹降淖畛Ｒ姷挠美龑?shí)際上是歷史數(shù)據(jù)復(fù)制，”Romansky 說?！澳梢詮脑撓到y(tǒng)中獲取報(bào)告和信息，同時(shí)保證沒有威脅進(jìn)入?！?/p>

然而，如今，二極管以更多方式用于增強(qiáng)物聯(lián)網(wǎng)安全性。二極管可以幫助保護(hù)的一些關(guān)鍵應(yīng)用包括：

備份和災(zāi)難恢復(fù)存儲(chǔ)庫

復(fù)制數(shù)據(jù)庫和其他應(yīng)用程序數(shù)據(jù)

進(jìn)出遠(yuǎn)程傳感器和其他設(shè)施的流量

潛在實(shí)施者可能擔(dān)心的一個(gè)問題是接收設(shè)備是否能夠確認(rèn)已收到數(shù)據(jù)。

451 的 Vermij 指出：“如果發(fā)送網(wǎng)絡(luò)無法驗(yàn)證從其他網(wǎng)絡(luò)接收到的數(shù)據(jù)，單向數(shù)據(jù)傳輸基本上是一種盲傳輸?！?沒有它，發(fā)送系統(tǒng)就無法確認(rèn)他們的數(shù)據(jù)已被接收。“這可能會(huì)導(dǎo)致重傳，從而消耗額外的帶寬?！?維爾米補(bǔ)充道。

但是現(xiàn)代數(shù)據(jù)二極管比以前的簡單單向開關(guān)智能得多。憑借對(duì)某些通信協(xié)議的內(nèi)在理解，二極管可以在不暴露數(shù)據(jù)的情況下提供必要的確認(rèn)。

“無論何時(shí)您嘗試建立 TCP 會(huì)話，您都需要返回確認(rèn)——它是基于會(huì)話的，”Romansky 說。他指出，Owl 的二極管內(nèi)置了代理服務(wù)器來解決確認(rèn)問題?！爱?dāng)您連接到數(shù)據(jù)二極管時(shí)，您實(shí)際上是在連接到在二極管上運(yùn)行的應(yīng)用程序，并且您正在連接到我們開發(fā)的應(yīng)用程序，該應(yīng)用程序知道您嘗試發(fā)送的協(xié)議出去?！?/p>

另一個(gè)考慮因素可能是數(shù)據(jù)二極管如何在現(xiàn)有安全系統(tǒng)的環(huán)境中工作，主要是安全系統(tǒng)如何能夠監(jiān)控?cái)?shù)據(jù)二極管后面的設(shè)備。數(shù)據(jù)二極管的正確放置將確保安全應(yīng)用程序得到他們需要的東西。Romansky 說：“如果您有 SOC 或 NOC，您可以通過二極管傳遞監(jiān)控?cái)?shù)據(jù)，并將其傳送到收集分析的 SOC 或 NOC。”

西門子的 Guilarte 指出，數(shù)據(jù)二極管不太可能干擾現(xiàn)有的安全系統(tǒng)，但它甚至可能使它們變得更好?！八蝗菀资艿杰浖幕蚬芾聿簧频挠绊懀盙uilarte 寫道，“默認(rèn)情況下它是安全的，并且沒有錯(cuò)誤配置或軟件漏洞可以使其不安全?！?/p>

數(shù)據(jù)二極管買家清單

數(shù)據(jù)二極管的成本通常為幾千美元，隨著添加更復(fù)雜的功能，價(jià)格會(huì)上漲。這與防火墻的成本是一致的，但二極管的使用壽命遠(yuǎn)遠(yuǎn)超過其他網(wǎng)絡(luò)產(chǎn)品。

“有些已經(jīng)運(yùn)行了 20 年而無需維護(hù)，”Vermij 指出。

Guilarte 指出，對(duì)于某些物聯(lián)網(wǎng)環(huán)境來說，這種可靠性可能是一個(gè)大問題?！拌b于數(shù)據(jù)二極管用于高度安全/敏感的系統(tǒng)，長生命周期支持是必須的，以匹配此類系統(tǒng)的長生命周期，”他寫道。

購買數(shù)據(jù)二極管時(shí)需要注意的其他一些特性包括吞吐量能力和協(xié)議支持，這兩者都將取決于當(dāng)前和計(jì)劃的網(wǎng)絡(luò)架構(gòu)。

安全評(píng)級(jí)也可能是一個(gè)因素。許多二極管使用 EAL1 到 EAL7 的評(píng)估保證等級(jí)量表進(jìn)行評(píng)級(jí)。EAL7 是最高等級(jí)，表示產(chǎn)品已經(jīng)過正式的設(shè)計(jì)驗(yàn)證和測試。其他標(biāo)準(zhǔn)也可能發(fā)揮作用。Guilarte 還應(yīng)考慮“根據(jù) IEC 62443 等國際公認(rèn)標(biāo)準(zhǔn)對(duì)開發(fā)、制造和支持進(jìn)行獨(dú)立的安全評(píng)估”。

基于硬件的物聯(lián)網(wǎng)安全的未來

與數(shù)據(jù)二極管一樣有效，它們可能會(huì)受到越來越多支持?jǐn)?shù)千或數(shù)十萬端點(diǎn)的廣泛物聯(lián)網(wǎng)網(wǎng)絡(luò)的挑戰(zhàn)。由于這種規(guī)模和網(wǎng)絡(luò)復(fù)雜性，有效的安全性必須更加本地化。

Vermij 說：“網(wǎng)絡(luò)安全變得不可能，所以我們必須將安全帶到邊緣，設(shè)備本身?！?“完全的氣隙不再實(shí)用了?！?/p>

數(shù)據(jù)二極管制造商明白傳統(tǒng)的二極管操作可能不夠，并且正在將他們的技術(shù)移植到可以直接集成到端點(diǎn)設(shè)備中的芯片大小的平臺(tái)?！耙坏┠軌蛟诂F(xiàn)場可編程門陣列中進(jìn)行這種檢查，您現(xiàn)在就可以顯著降低數(shù)據(jù)包處理解決方案的尺寸、重量、功率和成本。所以現(xiàn)在你可以開始考慮我還能把它放在哪里？”