近日，一種代號為“水蝮蛇”的美方竊密設備引發了網絡安全領域的廣泛關注。該設備偽裝成常見的USB接頭，能夠模擬成鍵盤、鼠標等外設，逃避相關安全軟件檢測，一旦接入到原本被認為安全的物理隔離網絡設備上，便能悄無聲息地竊取數據，并通過特殊信號方式將敏感信息發送出去。這樣無疑對“物理隔離”這一傳統網絡安全防護手段的有效性提出了嚴峻挑戰。

物理隔離是一種基本的網絡安全防護措施，其核心理念是通過物理手段將網絡與其它網絡或系統進行隔離，防止數據泄露和網絡攻擊。伊朗“震”網事件和“水蝮蛇”設備都證明了物理隔離網絡并不是天然屏障，同樣存在安全隱患，不可掉以輕心。

網絡安全的本質是對抗，對抗的核心是攻防兩端能力的較量，最終是人性的較量。攻方在暗處，守方在明處，往往只要給攻方足夠的時間，利用信息、能力、空間、時間上的不對等，基本上都可以突破守方，給對方造成一定的損失。

我國在航天、航空等軍工領域都建設了大量的涉密網絡，不管是甲方單位還是乙方安全廠商，普遍存在一個僥幸心理，認為物理隔離網絡首先就是天然屏障，只要加強管控就可以了，這些安全廠商普遍缺乏網絡攻防對抗的意識，把重點放在終端管控上。“水蝮蛇”設備的出現實際上是顛覆了大家的認知，因為他是針對你的物理隔離網絡的管控設計的，可以逃逸安全軟件的監測和管控，證明對手也是在不斷研究我們的安全產品功能和參數，不怕賊偷就怕賊惦記，充分說明美國是在不斷研究我們的物理隔離網絡的，不斷在尋找突破口。

我們現在必須樹立這樣的意識，物理隔離網絡也是存在風險隱患的。國外情報機關一定會大量搜集我國用在物理隔離網絡中的安全設備和安全軟件的資料，甚至包括涉密網絡相關的國家政策發文和技術標準等，還甚至會通過一些渠道購買相關產品進行研究，從而有針對性的設計攻破物理隔離網絡的技術、方法及工具，“水蝮蛇”只是冰山一角。

這個領域很多廠商及員工是不重視保密工作的，產品和方案中經常會寫一些涉密的信息在里面，主觀上認為只要不是涉密文件就無所謂，一到檢查的時候就把電腦中敏感字去掉或轉移，有責任心的話建議搞搞突擊檢查，不是打了個標就是涉密，應當是內容檢查；廠商及員工的電腦沒有做保密限制，保密資料隨便傳播和拷貝，也沒有限制互聯網訪問，電腦上的一些破解軟件都有可能嵌入了釣魚木馬；廠商的研發人員上網也沒有進行管控，都有可能被境外情報機關實施網絡釣魚，甚至有可能連開發產品的源代碼都泄露了。國外情報機關雖然攻不破涉密網絡，但是可以通過供應鏈攻擊，也就是從這些安全廠商入手。目前對這類廠商的管控還是不嚴格的，之前有很多廠商直接把相關產品暴露在官網上，其實這類廠商應當連官網都沒有的，甚至有些廠商的產品銷售也沒有管控好，都有可能通過一些代理都賣到國外情報機關手上了。

如果要保護物理隔離的涉密網絡安全，也要重視供應鏈的管理，對業務和工作需要的硬件和軟件進行嚴格檢測，對廠商的人員和辦公要求也應當嚴格管理；對安全廠商的安全硬件和軟件也要進行嚴格檢測，對安全公司的人員和辦公要求也應當嚴格管理。物理隔離網絡保護也要重視起來，通過供應鏈和社工的方式是極其容易攻破的，不要抱有幻想，合規只是基礎，還是得通過攻防的思路去防范物理隔離網絡。

總之，物理隔離網絡的安全，一是要堅持發展信創，達到自主可控；二是要防范供應鏈和釣魚攻擊，加強對相關供應鏈廠商和其產品的管控；三是要加強對內部人員和外部人員的管控；四是要避免出現涉密文件內容出現在一些招投標文件、和產品資料中。物理隔離網絡安全是相對的，一旦對手要突破你，他們就會千方百計研究你，會制定各種攻擊戰略和戰術，無所不用其極，一旦使用殺傷力巨大，作為安全廠商更應當知道攻防對抗和保密工作的重要性。