數據二極管只允許數據單向流動，有效地保護發送設備免受外部攻擊。與嚴厲的交通警察一樣，數據二極管加強了數據在網絡中傳輸的單向路由，確保二極管背后的物聯網設備不會受到惡意傳入流量的損害。

簡單而優雅的解決方案，數據二極管為物聯網 (IoT) 環境提供基于硬件的安全性。隨著連接設備數量的增加以及網絡擴展到更廣泛和更偏遠的地區，這些環境變得更加脆弱。對于物聯網基礎設施的任何管理員來說，安全是當今最關心的問題——這是有充分理由的。

“物聯網設備現在占觀察到的受感染設備的 32.72%，”諾基亞在其“2020 年威脅情報報告”中指出，該報告根據公司安全軟件收集的數據記錄了網絡中的惡意軟件活動。“與 2019 年相比，物聯網設備在整體設備細分中所占的份額從之前的 16.17% 增加了 100%。” 對物聯網終端的威脅如此嚴重，以至于諾基亞得出結論：“網絡犯罪分子正將注意力集中在物聯網和移動設備上。”

“隨著物聯網設備數量不斷增加，關鍵基礎設施的數字化程度不斷提高，這提高了網絡安全的標準，”西門子移動的連接和物聯網全球產品經理安德烈斯·吉拉特 (Andres Guilarte) 在回復 IoT World Today 的電子郵件問題時寫道。

數據二極管如何保護網絡

根據 Dictionary.com 的說法，二極管是“一種器件，如二元電子管或半導體，電流只能在一個方向上自由通過”。

數據二極管將此技術應用于網絡基礎設施，以允許數據在一個方向上流動并阻止數據在其軌道上的另一個死角中傳播。盡管自幾十年前推出以來，它們的復雜程度和功能都在不斷提高，但數據二極管本質上仍然是提供相對簡單服務的單一用途設備。

數據二極管的工作方式與其他基于硬件的網絡流量控制器類似。例如，通過改變電纜連接（例如從 RS-232 連接器上取下針腳以防止數據在一個方向上流動）已經實現了類似的效果。可以肯定的是，這是一種蠻力解決方案，并且缺乏二極管功能，例如對網絡操作至關重要的協議意識。

還有一些網絡網關可以限制或消除通過網絡的某些數據流，但它們往往具有與防火墻技術類似的復雜性、硬件要求和更新問題。451 Research 物聯網研究分析師 Johan Vermij 說：“二極管的一個好處是你不需要修補它們，因此它們比防火墻更適合遠距離站點。”

“這是一種基于硬件物理的單向傳輸，”二極管制造商 Owl Cyber Defense 的首席創新官 Brian Romansky 說。“你不能秘密或意外地打開一個你忘記的向后端口。”

根據 Romansky 的說法，數據二極管可以追溯到冷戰時代。“數據二極管的概念來自一些實際上是國防部計劃的工作，實際上可以追溯到美國和俄羅斯簽署核退役協議的時候，”他指出。雙方需要共享數據以確保遵守協議。“我如何與我最不信任的敵人分享我最秘密的數據集中的數據？我如何使這種連接工作而不是一個非常手動、乏味的過程？因此，數據二極管的發明就是為了做到這一點。”

鑒于他們的國防和情報血統，數據二極管出現在國土安全部的建議中也就不足為奇了。“如果單向通信可以完成一項任務，請使用光分離（“數據二極管”），”該部門在其“防御 ICS 的七種策略”出版物中建議。

數據二極管在安全場景中的位置

成功的物聯網安全策略可能需要使用軟件和硬件安全產品的多層方法。典型的物聯網環境包括用于收集和分析數據的智能設備和非智能設備。智能設備可能具有更多固有漏洞，但它們也具有運行復雜安全軟件的計算能力。智能程度較低的端點設備很少有處理能力來完成分配給他們的任務以外的任何事情。

加密和防火墻是物聯網安全場景中的標準配置，但它們也可能在某些領域達不到要求，從而留下潛在的漏洞。加密的數據流量越多越好，但加密和解密數據可能會給網絡帶來延遲，并導致需要實時響應來自傳感器和其他端點設備的數據的系統出現問題。

防火墻是 IT 網絡安全的主要組成部分，也在討論中占有突出地位。防火墻可以有效地防止入侵并控制網絡中數據移動的流量和方向。防火墻的缺點是它們需要專用服務器，需要管理和監控，并經常修補和更新。對于需要同時運行多個防火墻的復雜網絡來說，這可能成為一項繁重的工作。

“考慮到不斷增加的連接性和快速增加的網絡攻擊，防火墻不再是唯一的網絡安全選項，”西門子的 Guilarte 指出。

新興的物聯網安全技術領域涉及使用基于硬件的安全設備。有時稱為硬件安全模塊（或 HSM），該類別包括安全專用設備（如數據二極管）以及已使用提供安全功能的芯片增強的端點設備。

關于數據二極管的關鍵事實

雖然數據二極管已經找到了進入各種環境和操作的方法，但它們最常被引用的實現是將報告與數據收集隔離開來。“我們看到的最常見的用例實際上是歷史數據復制，”Romansky 說。“您可以從該系統中獲取報告和信息，同時保證沒有威脅進入。”

然而，如今，二極管以更多方式用于增強物聯網安全性。二極管可以幫助保護的一些關鍵應用包括：

備份和災難恢復存儲庫

復制數據庫和其他應用程序數據

進出遠程傳感器和其他設施的流量

潛在實施者可能擔心的一個問題是接收設備是否能夠確認已收到數據。

451 的 Vermij 指出：“如果發送網絡無法驗證從其他網絡接收到的數據，單向數據傳輸基本上是一種盲傳輸。” 沒有它，發送系統就無法確認他們的數據已被接收。“這可能會導致重傳，從而消耗額外的帶寬。” 維爾米補充道。

但是現代數據二極管比以前的簡單單向開關智能得多。憑借對某些通信協議的內在理解，二極管可以在不暴露數據的情況下提供必要的確認。

“無論何時您嘗試建立 TCP 會話，您都需要返回確認——它是基于會話的，”Romansky 說。他指出，Owl 的二極管內置了代理服務器來解決確認問題。“當您連接到數據二極管時，您實際上是在連接到在二極管上運行的應用程序，并且您正在連接到我們開發的應用程序，該應用程序知道您嘗試發送的協議出去。”

另一個考慮因素可能是數據二極管如何在現有安全系統的環境中工作，主要是安全系統如何能夠監控數據二極管后面的設備。數據二極管的正確放置將確保安全應用程序得到他們需要的東西。Romansky 說：“如果您有 SOC 或 NOC，您可以通過二極管傳遞監控數據，并將其傳送到收集分析的 SOC 或 NOC。”

西門子的 Guilarte 指出，數據二極管不太可能干擾現有的安全系統，但它甚至可能使它們變得更好。“它不容易受到軟件更改或管理不善的影響，”Guilarte 寫道，“默認情況下它是安全的，并且沒有錯誤配置或軟件漏洞可以使其不安全。”

數據二極管買家清單

數據二極管的成本通常為幾千美元，隨著添加更復雜的功能，價格會上漲。這與防火墻的成本是一致的，但二極管的使用壽命遠遠超過其他網絡產品。

“有些已經運行了 20 年而無需維護，”Vermij 指出。

Guilarte 指出，對于某些物聯網環境來說，這種可靠性可能是一個大問題。“鑒于數據二極管用于高度安全/敏感的系統，長生命周期支持是必須的，以匹配此類系統的長生命周期，”他寫道。

購買數據二極管時需要注意的其他一些特性包括吞吐量能力和協議支持，這兩者都將取決于當前和計劃的網絡架構。

安全評級也可能是一個因素。許多二極管使用 EAL1 到 EAL7 的評估保證等級量表進行評級。EAL7 是最高等級，表示產品已經過正式的設計驗證和測試。其他標準也可能發揮作用。Guilarte 還應考慮“根據 IEC 62443 等國際公認標準對開發、制造和支持進行獨立的安全評估”。

基于硬件的物聯網安全的未來

與數據二極管一樣有效，它們可能會受到越來越多支持數千或數十萬端點的廣泛物聯網網絡的挑戰。由于這種規模和網絡復雜性，有效的安全性必須更加本地化。

Vermij 說：“網絡安全變得不可能，所以我們必須將安全帶到邊緣，設備本身。” “完全的氣隙不再實用了。”

數據二極管制造商明白傳統的二極管操作可能不夠，并且正在將他們的技術移植到可以直接集成到端點設備中的芯片大小的平臺。“一旦您能夠在現場可編程門陣列中進行這種檢查，您現在就可以顯著降低數據包處理解決方案的尺寸、重量、功率和成本。所以現在你可以開始考慮我還能把它放在哪里？”