在阅读有关网络安全的文章时，您可能会看到有关“气隙”计算机系统的讨论。这是一个简单概念的技术名称：一个物理上与潜在危险网络隔离的计算机系统。或者更简单地说，离线使用电脑。

什么是气隙计算机(an air-gapped computer)？

气隙计算机系统与不安全的系统和网络没有物理（或无线）连接。

例如，假设您希望处理敏感的财务和业务文档，而不存在任何勒索软件、键盘记录程序和其他恶意软件的风险。你决定只在办公室里设置一台脱机计算机，而不将其连接到internet或任何网络。

祝贺你：你刚刚发明了一个概念，空气间隙计算机，即使你从来没有听说过这个词。

术语“空气间隙”是指计算机和其他网络之间存在空气间隙的想法。它没有连接到它们，不能通过网络受到攻击。攻击者必须“穿过空气间隙”，坐在计算机前，才能对其进行攻击，因为无法通过网络以电子方式访问。

人们何时和为什么使用气隙计算机

不是每台计算机或计算任务都需要网络连接。

例如，想象一下像发电厂这样的关键基础设施。他们需要计算机来操作他们的工业系统。然而，这些计算机不必暴露在互联网和网络上，它们是“空气间隙”的安全。这将阻止所有基于网络的威胁，唯一的缺点是运营商必须亲自到场才能控制这些威胁。

你也可以在家里安装气隙计算机。例如，假设您有一些旧软件（或游戏）在WindowsXP上运行得最好。如果你还想用那套老软件，最安全的方法就是“气隙”那套windowsxp系统。windowsxp易受各种攻击，但只要你让windowsxp系统脱离网络并脱机使用，你就不会有那么大的风险。

或者，如果你正在处理敏感的商业和金融数据，你可以使用一台没有连接到互联网的计算机。只要你让你的设备保持离线，你的工作就会有最大的安全性和隐私。

stuxnet如何攻击空空计算机

有气隙的电脑不能免受威胁。例如，人们经常使用USB驱动器和其他可移动存储设备在气隙计算机和联网计算机之间移动文件。例如，您可以在联网的计算机上下载应用程序，将其放在USB驱动器上，将其带到气隙计算机上，然后安装它。

这打开了一个攻击向量，它不是理论上的。复杂的Stuxnet蠕虫就是这样工作的。它被设计成通过感染可移动驱动器（如USB驱动器）来传播，当人们将USB驱动器**有气隙的计算机时，它就能够穿越“气隙”。然后，它利用其他漏洞通过气隙网络传播，因为组织内部的一些气隙计算机相互连接，但不连接到更大的网络。它是针对特定的工业软件应用而设计的。

人们普遍认为，Stuxnet蠕虫对伊朗的核计划造成了很大破坏，而且蠕虫是由美国和以色列**的，但有关国家尚未公开证实这些事实。Stuxnet是一个复杂的恶意软件，旨在攻击空腔系统，我们确实知道这一点。

空气间隙计算机的其他潜在威胁

恶意软件还有其他方法可以通过气隙网络进行通信，但它们都涉及到一个受感染的USB驱动器或类似设备，将恶意软件引入气隙计算机。（也可能涉及一个人实际访问计算机、破坏计算机、安装恶意软件或修改其硬件。）

例如，如果通过USB驱动器将恶意软件引入一台有气隙的计算机，并且附近有另一台受感染的计算机连接到internet，则受感染的计算机可能能够通过使用计算机的扬声器和麦克风传输高频音频数据，从而通过气隙进行通信。这是2018年美国黑帽大赛上展示的众多技术之一。

这些都是相当复杂的攻击，比你在网上看到的普通恶意软件要复杂得多。但正如我们所看到的，它们是拥有核计划的国家所关注的问题。

也就是说，各种各样的恶意软件也可能是一个问题。如果你把一个被勒索软件感染的安装程序通过USB驱动器带到一个有气隙的电脑上，这个勒索软件仍然可以加密你有气隙的电脑上的文件，并造成严重破坏，要求你把它连接到互联网上，在它解密你的数据之前付清费用。

相关报道：想在勒索软件中生存？下面是如何保护你的电脑

如何给电脑加气

正如我们所看到的，给电脑加空气间隙其实很简单：只要把它从网络上断开就行了。不要将其连接到internet，也不要将其连接到本地网络。断开任何物理以太网电缆并禁用计算机的Wi-Fi和蓝牙硬件。为了获得最大的安全性，请考虑从受信任的安装介质重新安装计算机的操作系统，然后再完全脱机使用。

即使需要传输文件，也不要将计算机重新连接到网络。例如，如果您需要下载某些软件，请使用连接到internet的计算机，将软件传输到USB驱动器之类的设备，然后使用该存储设备来回移动文件。这可以确保你的气隙系统不会被网络上的攻击者破坏，而且它还可以确保，即使你的气隙计算机上有键盘记录器之类的恶意软件，它也不能通过网络传输任何数据。

为提高安全性，请禁用气隙PC上的任何无线网络硬件。例如，如果您的台式PC带有Wi-Fi卡，请打开PC并卸下Wi-Fi硬件。如果你不能做到这一点，你至少可以去系统的BIOS或UEFI固件和禁用Wi-Fi硬件。

从理论上讲，如果一台电脑有正常工作的无线网络硬件，那么你的气隙电脑上的恶意软件可能会重新启用Wi-Fi硬件并连接到Wi-Fi网络。所以，对于核电站来说，你真的需要一个内部没有无线网络硬件的计算机系统。在家里，仅仅禁用Wi-Fi硬件就足够了。

小心你下载的软件，并将其带到气隙系统中。如果您经常通过USB驱动器在气隙系统和非气隙系统之间来回传递数据，并且两个系统都感染了相同的恶意软件，则恶意软件可能会通过USB驱动器从气隙系统中渗出数据。

最后，确保气隙计算机的物理安全，太物理安全是所有你需要担心的。例如，如果您的办公室中有一个带有敏感业务数据的气隙关键系统，那么它可能应该位于一个安全的区域，比如一个上锁的房间，而不是位于办公室的中心，在那里各种人总是来回走动。如果你有一个带有敏感数据的气隙笔记本电脑，请安全地存储它，这样它就不会被盗或受到其他物理危害。

（不过，全磁盘加密有助于保护计算机上的文件，即使文件被盗。）

在大多数情况下，计算机系统的气隙控制是不可行的。毕竟，计算机是联网的，所以通常非常有用。

但是空气间隙是一项重要的技术，如果操作得当，可以确保100%免受网络威胁，只要确保没有其他人可以物理访问系统，并且不会将恶意软件带到USB驱动器上即可。它也是免费的，没有任何昂贵的安全软件支付或复杂的安装过程。这是在特定情况下保护某些类型的计算系统的理想方法。