شکاف هوا، دیوار هوا و یا شکافتن هوا یک معیار امنیت شبکه است که در یک یا چند رایانه استفاده می شود تا تضمین کند که یک شبکه کامپیوتر امن، از لحاظ فیزیکی از دیگر شبکه های ناامن همچون اینترنت عمومی یا شبکه محلی ناامن محافظت می شود.
شبکه ها/سیستم های کامپیوتری دولتی/نظامی
سیستم های کامپیوتری مالی همچون بورس اوراق بهادار
سیستم های کنترل صنعتی همچون SCADA در زمینه ی نفت و گاز
سیستم های حیاتی همچون:
کنترل نیروگاه های هسته ای
کامپیوترهای مورد استفاده در هوانوردی همچون FADECs و avionics
تجهیزات پزشکی کامپیوتری
شبکه یا کامپیوتر شکاف هوا شده، فاقد رابط های شبکه (با سیم یا بی سیم) متصل به شبکه های بیرون است. کامپیوتر های معمولی حتی زمانی که به یک شبکه ی با سیم وصل نیستند، تقریباً همیشه یک کنترل کننده رابط شبکه بی سیم (WIFI) دارند و به شبکه های بی سیم نزدیک خود متصل اند تا به اینترنت دسترسی داشته و نرم افزار به روزرسانی کنند. این نشان دهنده ی یک آسیب پذیری امنیتی است. از این رو کامپیوتر های شکاف هوا شده یا کنترل کننده رابط بی سیم خود را به طور دائم غیرفعال و یا از نظر فیزیکی حذف می کنند. برای انتقال داده بین دنیای بیرون و سیستم شکاف هوا شده، لازم است که داده ها را بر روی یک مدیوم فیزیکی همچون thumb drive نوشته و به شکل فیزیکی بین کامپیوترها حرکت دهیم.کنترل دسترسی فیزیکی از کنترل یک رابط شبکه الکترونیکی که هر زمان می تواند از جانب سیستم های ناامن بیرونی مورد حمله قرار گیرد، راحت تر است. اگر بدافزار سیستم ایمن را آلوده کند،می توان از دسترسی فیزیکی برای انتقال داده ها استفاده کرد.
در محیط هایی که شبکه ها یا دستگاه ها برای رسیدگی به سطوح مختلف اطلاعات طبقه بندی شده، رتبه بندی شده اند، دو دستگاه یا شبکه ی غیر متصل تحت عنوان "سمت بالا" و "سمت پایین" شناخته می شوند. "سمت پایین" برای طبقه بندی نشده و "سمت بالا" برای طبقه بندی شده یا طبقه بندی شده در سطح بالاتر استفاده می شود. این نام گذاری گاهی به شکل "قرمز" (طبقه بندی شده) و "سیاه" (طبقه بندی نشده) هم دیده می شود. خط مشی های دسترسی اغلب براساس مدل محرمانه Bell–LaPadula است که در آن داده ها می توانند با بهره مندی از حداقل معیارهای امنیتی از پایین به بالا حرکت کنند. در حالی که حرکت از بالا به پایین نیازمند روش های سختگیرانه تری است تا حفاظت از داده ها در سطح بالاتری از طبقه بندی را تضمین کند.
این مفهوم تقریباً نشان دهنده حداکثر حفاظتی است که یک شبکه می تواند در مقابل دستگاه یا شبکه های دیگر داشته باشد. تنها راه انتقال داده بین دنیای بیرون و سیستم شکاف هوا شده کپی داده بر روی یک رسانه ذخیره سازی قابل حمل مانند removeable disk یا USB flash drive و انتقال فیزیکی حافظه به سیستم دیگر است. این دسترسی به راحتی قابل کنترل است. مزیت این روش این است که چنین شبکه ای به طور کلی می تواند به عنوان یک سیستم بسته( از لحاظ اطلاعات، سیگنال ها و امنیت انتشار) محسوب شود که از دنیای بیرون غیرقابل دسترس است. از طفی ضعف آن این است که انتقال اطلاعات (از دنیای بیرون) برای آنالیز شدن توسط کامپیوترها بر روی یک شبکه امن نیازمند چندین مرحله کار طاقت فرساست، که اغلب شامل آنالز امنیتی توسط انسان از برنامه های آینده یا داده هایی که قرار است وارد شبکه های شکاف هوا شوند و حتی شاید مجدداً وارد کردن دستی داده ها توسط انسان پس از تجزیه و تحلیل امنیتی.
شبکه ها/سیستم های کامپیوتری دولتی/نظامی
سیستم های کامپیوتری مالی همچون بورس اوراق بهادار
سیستم های کنترل صنعتی همچون SCADA در زمینه ی نفت و گاز
سیستم های حیاتی همچون:
کنترل نیروگاه های هسته ای
کامپیوترهای مورد استفاده در هوانوردی همچون FADECs و avionics
تجهیزات پزشکی کامپیوتری
شبکه یا کامپیوتر شکاف هوا شده، فاقد رابط های شبکه (با سیم یا بی سیم) متصل به شبکه های بیرون است. کامپیوتر های معمولی حتی زمانی که به یک شبکه ی با سیم وصل نیستند، تقریباً همیشه یک کنترل کننده رابط شبکه بی سیم (WIFI) دارند و به شبکه های بی سیم نزدیک خود متصل اند تا به اینترنت دسترسی داشته و نرم افزار به روزرسانی کنند. این نشان دهنده ی یک آسیب پذیری امنیتی است. از این رو کامپیوتر های شکاف هوا شده یا کنترل کننده رابط بی سیم خود را به طور دائم غیرفعال و یا از نظر فیزیکی حذف می کنند. برای انتقال داده بین دنیای بیرون و سیستم شکاف هوا شده، لازم است که داده ها را بر روی یک مدیوم فیزیکی همچون thumb drive نوشته و به شکل فیزیکی بین کامپیوترها حرکت دهیم.کنترل دسترسی فیزیکی از کنترل یک رابط شبکه الکترونیکی که هر زمان می تواند از جانب سیستم های ناامن بیرونی مورد حمله قرار گیرد، راحت تر است. اگر بدافزار سیستم ایمن را آلوده کند،می توان از دسترسی فیزیکی برای انتقال داده ها استفاده کرد.
در محیط هایی که شبکه ها یا دستگاه ها برای رسیدگی به سطوح مختلف اطلاعات طبقه بندی شده، رتبه بندی شده اند، دو دستگاه یا شبکه ی غیر متصل تحت عنوان "سمت بالا" و "سمت پایین" شناخته می شوند. "سمت پایین" برای طبقه بندی نشده و "سمت بالا" برای طبقه بندی شده یا طبقه بندی شده در سطح بالاتر استفاده می شود. این نام گذاری گاهی به شکل "قرمز" (طبقه بندی شده) و "سیاه" (طبقه بندی نشده) هم دیده می شود. خط مشی های دسترسی اغلب براساس مدل محرمانه Bell–LaPadula است که در آن داده ها می توانند با بهره مندی از حداقل معیارهای امنیتی از پایین به بالا حرکت کنند. در حالی که حرکت از بالا به پایین نیازمند روش های سختگیرانه تری است تا حفاظت از داده ها در سطح بالاتری از طبقه بندی را تضمین کند.
این مفهوم تقریباً نشان دهنده حداکثر حفاظتی است که یک شبکه می تواند در مقابل دستگاه یا شبکه های دیگر داشته باشد. تنها راه انتقال داده بین دنیای بیرون و سیستم شکاف هوا شده کپی داده بر روی یک رسانه ذخیره سازی قابل حمل مانند removeable disk یا USB flash drive و انتقال فیزیکی حافظه به سیستم دیگر است. این دسترسی به راحتی قابل کنترل است. مزیت این روش این است که چنین شبکه ای به طور کلی می تواند به عنوان یک سیستم بسته( از لحاظ اطلاعات، سیگنال ها و امنیت انتشار) محسوب شود که از دنیای بیرون غیرقابل دسترس است. از طفی ضعف آن این است که انتقال اطلاعات (از دنیای بیرون) برای آنالیز شدن توسط کامپیوترها بر روی یک شبکه امن نیازمند چندین مرحله کار طاقت فرساست، که اغلب شامل آنالز امنیتی توسط انسان از برنامه های آینده یا داده هایی که قرار است وارد شبکه های شکاف هوا شوند و حتی شاید مجدداً وارد کردن دستی داده ها توسط انسان پس از تجزیه و تحلیل امنیتی.
wiki: شبکه شکاف هوا