在閱讀有關網路安全的文章時，您可能會看到有關“氣隙”計算機系統的討論。這是一個簡單概念的技術名稱：一個物理上與潛在危險網路隔離的計算機系統。或者更簡單地說，離線使用電腦。

什麼是氣隙計算機(an air-gapped computer)？

氣隙計算機系統與不安全的系統和網路沒有物理（或無線）連線。

例如，假設您希望處理敏感的財務和業務文件，而不存在任何勒索軟體、鍵盤記錄程式和其他惡意軟體的風險。你決定只在辦公室裡設定一臺離線計算機，而不將其連線到internet或任何網路。

祝賀你：你剛剛發明了一個概念，空氣間隙計算機，即使你從來沒有聽說過這個詞。

術語“空氣間隙”是指計算機和其他網路之間存在空氣間隙的想法。它沒有連線到它們，不能透過網路受到攻擊。攻擊者必須“穿過空氣間隙”，坐在計算機前，才能對其進行攻擊，因為無法透過網路以電子方式訪問。

人們何時和為什麼使用氣隙計算機

不是每臺計算機或計算任務都需要網路連線。

例如，想象一下像發電廠這樣的關鍵基礎設施。他們需要計算機來操作他們的工業系統。然而，這些計算機不必暴露在網際網路和網路上，它們是“空氣間隙”的安全。這將阻止所有基於網路的威脅，唯一的缺點是運營商必須親自到場才能控制這些威脅。

你也可以在家裡安裝氣隙計算機。例如，假設您有一些舊軟體（或遊戲）在WindowsXP上執行得最好。如果你還想用那套老軟體，最安全的方法就是“氣隙”那套windowsxp系統。windowsxp易受各種攻擊，但只要你讓windowsxp系統脫離網路並離線使用，你就不會有那麼大的風險。

或者，如果你正在處理敏感的商業和金融資料，你可以使用一臺沒有連線到網際網路的計算機。只要你讓你的裝置保持離線，你的工作就會有最大的安全性和隱私。

stuxnet如何攻擊空空計算機

有氣隙的電腦不能免受威脅。例如，人們經常使用USB驅動器和其他可移動儲存裝置在氣隙計算機和聯網計算機之間移動檔案。例如，您可以在聯網的計算機上下載應用程式，將其放在USB驅動器上，將其帶到氣隙計算機上，然後安裝它。

這打開了一個攻擊向量，它不是理論上的。複雜的Stuxnet蠕蟲就是這樣工作的。它被設計成透過感染可移動驅動器（如USB驅動器）來傳播，當人們將USB驅動器**有氣隙的計算機時，它就能夠穿越“氣隙”。然後，它利用其他漏洞透過氣隙網路傳播，因為組織內部的一些氣隙計算機相互連線，但不連線到更大的網路。它是針對特定的工業軟體應用而設計的。

人們普遍認為，Stuxnet蠕蟲對伊朗的核計劃造成了很大破壞，而且蠕蟲是由美國和以色列**的，但有關國家尚未公開證實這些事實。Stuxnet是一個複雜的惡意軟體，旨在攻擊空腔系統，我們確實知道這一點。

空氣間隙計算機的其他潛在威脅

惡意軟體還有其他方法可以透過氣隙網路進行通訊，但它們都涉及到一個受感染的USB驅動器或類似裝置，將惡意軟體引入氣隙計算機。（也可能涉及一個人實際訪問計算機、破壞計算機、安裝惡意軟體或修改其硬體。）

例如，如果透過USB驅動器將惡意軟體引入一臺有氣隙的計算機，並且附近有另一臺受感染的計算機連線到internet，則受感染的計算機可能能夠透過使用計算機的揚聲器和麥克風傳輸高頻音訊資料，從而透過氣隙進行通訊。這是2018年美國黑帽大賽上展示的眾多技術之一。

這些都是相當複雜的攻擊，比你在網上看到的普通惡意軟體要複雜得多。但正如我們所看到的，它們是擁有核計劃的國家所關注的問題。

也就是說，各種各樣的惡意軟體也可能是一個問題。如果你把一個被勒索軟體感染的安裝程式透過USB驅動器帶到一個有氣隙的電腦上，這個勒索軟體仍然可以加密你有氣隙的電腦上的檔案，並造成嚴重破壞，要求你把它連線到網際網路上，在它解密你的資料之前付清費用。

相關報道：想在勒索軟體中生存？下面是如何保護你的電腦

如何給電腦加氣

正如我們所看到的，給電腦加空氣間隙其實很簡單：只要把它從網路上斷開就行了。不要將其連線到internet，也不要將其連線到本地網路。斷開任何物理乙太網電纜並禁用計算機的Wi-Fi和藍芽硬體。為了獲得最大的安全性，請考慮從受信任的安裝介質重新安裝計算機的作業系統，然後再完全離線使用。

即使需要傳輸檔案，也不要將計算機重新連線到網路。例如，如果您需要下載某些軟體，請使用連線到internet的計算機，將軟體傳輸到USB驅動器之類的裝置，然後使用該儲存裝置來回移動檔案。這可以確保你的氣隙系統不會被網路上的攻擊者破壞，而且它還可以確保，即使你的氣隙計算機上有鍵盤記錄器之類的惡意軟體，它也不能透過網路傳輸任何資料。

為提高安全性，請禁用氣隙PC上的任何無線網路硬體。例如，如果您的臺式PC帶有Wi-Fi卡，請開啟PC並卸下Wi-Fi硬體。如果你不能做到這一點，你至少可以去系統的BIOS或UEFI韌體和禁用Wi-Fi硬體。

從理論上講，如果一臺電腦有正常工作的無線網路硬體，那麼你的氣隙電腦上的惡意軟體可能會重新啟用Wi-Fi硬體並連線到Wi-Fi網路。所以，對於核電站來說，你真的需要一個內部沒有無線網路硬體的計算機系統。在家裡，僅僅禁用Wi-Fi硬體就足夠了。

小心你下載的軟體，並將其帶到氣隙系統中。如果您經常透過USB驅動器在氣隙系統和非氣隙系統之間來回傳遞資料，並且兩個系統都感染了相同的惡意軟體，則惡意軟體可能會透過USB驅動器從氣隙系統中滲出資料。

最後，確保氣隙計算機的物理安全，太物理安全是所有你需要擔心的。例如，如果您的辦公室中有一個帶有敏感業務資料的氣隙關鍵系統，那麼它可能應該位於一個安全的區域，比如一個上鎖的房間，而不是位於辦公室的中心，在那裡各種人總是來回走動。如果你有一個帶有敏感資料的氣隙膝上型電腦，請安全地儲存它，這樣它就不會被盜或受到其他物理危害。

（不過，全磁碟加密有助於保護計算機上的檔案，即使檔案被盜。）

在大多數情況下，計算機系統的氣隙控制是不可行的。畢竟，計算機是聯網的，所以通常非常有用。

但是空氣間隙是一項重要的技術，如果操作得當，可以確保100%免受網路威脅，只要確保沒有其他人可以物理訪問系統，並且不會將惡意軟體帶到USB驅動器上即可。它也是免費的，沒有任何昂貴的安全軟體支付或複雜的安裝過程。這是在特定情況下保護某些型別的計算系統的理想方法。