空气间隙(Air Gap)
链‑chain · 芯‑chip · 核‑core|信息安全 × AI 基础设施
1. 3 秒看懂
一句话:空气间隙(Air Gap)是一种将承载关键 AI 训练数据、模型权重的计算环境与互联网及所有外部网络彻底物理断开的安全策略——没有网线、没有 Wi‑Fi、没有蓝牙,两套系统之间只有“空气”。
本质:消除网络攻击面。攻击者即便控制了企业办公网或云端管理面,也无法通过网络抵达隔离区,因为根本不存在 TCP/IP 通路。
2. 3 分钟产业解释
2.1 是什么
| 维度 | 说明 |
|---|---|
| 定义 | 将承载高价值 AI 资产(原始训练数据、模型权重、训练脚本、超参数)的计算集群与公共网络/企业广域网物理断开,数据进出仅通过人工介质(加密硬盘、安全 U 盘)或单向数据传输装置(Data Diode)进行 |
| AI 中的典型形态 | 政企私有大模型训练专区和推理一体机、军工 AI 情报分析系统、金融行业内部风控模型开发集群、高精度医疗影像标注工作站、高保密科研机构的科学计算集群 |
| 驱动因素 | 防止模型权重被窃取(模型本身即为数字武器)、训练数据合规留存、满足信息安全等级保护及保密资格要求、防范供应链/远程运维侧攻击 |
2.2 与 AI 产业链的关系
气隙隔离在 AI 产业链中扮演 “安全边界守卫者” 的角色,向下关联安全芯片与硬件,向上支撑核心模型训练与推理部署:
┌──────────────────────────────────────────────────────┐
│ AI 产业链 │
│ ┌─────────┐ ┌───────────┐ ┌───────────┐ │
│ │ 芯片层 │──▶│ 算力集群层 │──▶│ 模型/应用层│ │
│ └────┬────┘ └─────┬─────┘ └─────┬─────┘ │
│ │ │ │ │
│ ▼ ▼ ▼ │
│ 安全芯片 隔离训练区 本地推理一体化机 │
│ (TEE/SE/HSM) (Air Gap Zone) (On‑Prem 部署) │
│ │ │ │ │
│ └──────────────┴───────────────┘ │
│ ▼ │
│ 【Air Gap 安全边界】 │
│ 物理层 / 网络层 / 数据层 / 芯片层 │
└──────────────────────────────────────────────────────┘
2.3 关键产业数据快览
| 指标 | 数值 | 年份/口径 | 来源 |
|---|---|---|---|
| 中国网络安全总体市场规模 | 约 808 亿元 | 2023 年,含安全产品与服务 | 中国信通院《中国网络安全产业分析报告(2023)》 |
| 国内网络隔离/网闸类产品收入占比 | 约 15%(估算,细分未单列) | 2023 年,基于上市公司收入结构反推 | 公开资料未见精确拆分;启明星辰、天融信等公司年报显示隔离类产品收入占比在 10%–18% 区间 |
| 全球单向安全网关(Data Diode)市场 | 约 5.1 亿美元 | 2022 年,硬件+软件 | MarketsandMarkets《Unidirectional Gateway Market Research Report》(2023 年发布) |
| 全球 Air‑Gapped 数据保护市场增速 | CAGR 约 24.3% | 2023‑2028E | MarketsandMarkets《Air‑Gapped Data Protection Market》(2023 年 12 月) |
| 等保三级以上系统物理/逻辑隔离要求 | 必须具备 | 2019 年起实施 | GB/T 22239‑2019《信息安全技术 网络安全等级保护基本要求》 |
3. 技术原理
3.1 核心机制:消灭攻击面
Air Gap 不是一种“安全技术”,而是一种架构决策:从设计上杜绝基于 IP 的入侵路径。
攻击者视角:
互联网 ──▶ 企业内网 ──▶ 各类网段 ──X──▶ 【Air Gap 隔离区】
▲
物理层阻断
(无网卡 / 无协议栈)
只要隔离区内节点不具备任何双向网络接口,攻击者就无法远程控制、横向移动或窃取数据。
3.2 隔离的实现层级
| 层级 | 技术手段 | 说明与 AI 关联 |
|---|---|---|
| 物理层 | 独立机房、屏蔽机柜、独立供电、物理锁闭 | 防止通过电力线载波、电磁泄漏、热量旁路等侧信道攻击。屏蔽机柜需满足 TEMPEST 标准(如 SDIP‑27)。AI 训练集群功耗高,独立供电设计需保证不间断电源,防止意外停机导致模型权重丢失。 |
| 网络层 | 无网卡/无 Wi‑Fi 模块/物理拆掉网络接口、单向光闸(Data Diode) | 单向光闸由发光端与收光端组成,物理上不存在反向光通路,数据仅能从低安全侧流向高安全侧(如从办公网到隔离区),绝无反向通道。典型吞吐量可达 10 Gbps 以上,延时 < 1 ms。AI 场景下用于将脱敏后的训练语料单向推送入隔离区。 |
| 数据层 | 加密介质摆渡(Sneakernet)、白名单杀毒、格式清洗 | 使用 U 盘或移动硬盘在隔离区与外界之间搬运数据,介质在接入前必须经过一次性病毒扫描、文件格式清洗(如剥离宏、脚本)。AI 模型权重文件通常体积巨大(数百 GB),摆渡时需使用大容量 NVMe 移动硬盘,并确保密钥分离管理。 |
| 芯片层 | TEE(可信执行环境)、TPM、安全飞地 | 即使在隔离区内部,也可通过芯片级安全机制进一步防止内部人员或恶意固件窃取在内存中运行的模型权重。如 Intel SGX/TDX、NVIDIA H100 Confidential Computing、国产飞腾/海光 CPU 内置安全模块。 |
3.3 AI 场景下的特殊挑战
| 挑战 | 技术难点 | 现有应对方式 |
|---|---|---|
| 大规模训练数据增量更新 | 数百 TB 语料库难以通过人工摆渡每次全量同步,增量更新需精心设计。 | 建立单向“数据投喂”管道:互联网侧实时爬取并存放在外网缓冲池,每日经自动化脱敏后通过单向光闸推入隔离区,隔离区内部用数据集版本管理工具控制同步。 |
| 多卡 GPU 集群内部通信 | 训练需高速 NVLink/InfiniBand/RoCE 网络,这些网络本身构成新的攻击面。 | 隔离区内建立封闭的专用计算网络,不桥接任何外部路由,交换机配置 MAC 白名单,关闭所有非必要协议(如 DHCP、LLDP)。所有节点仅通过本地管理口外接 KVM,无远程管理功能。 |
| 模型权重导出复用 | 训练完成后的模型需要导出用于推理部署,但导出过程可能将隔离区暴露给外部。 | 使用一次性写入只读介质经单向光闸导出裁剪后的 ONNX 或 TensorRT 推理引擎,而非原始权重;或仅在隔离区内完成推理并仅返回结果(通过数据二极管输出结果日志)。 |
| 离线系统更新与漏洞修复 | 操作系统、固件、AI 框架无法自动下载补丁,长期不更新反成安全隐患。 | 建立安全补丁导入流程:从官方渠道下载签名校验的补丁包,在非隔离区进行 VirusTotal 级检测,再通过专用介质送入隔离区,由管理员执行。更新频率通常设为每季度一次。 |
3.4 进阶安全技术融合
| 技术 | 在 Air Gap 环境中的作用 |
|---|---|
| 单向网闸 | 实现物理上不可逆的数据输送,避免因软件配置错误导致双向通道。 |
| 安全多方计算(MPC) | 在多个隔离区之间进行联合建模,无需将各方数据汇总到任一节点,降低单个 Air Gap 突破造成全局泄露的风险。 |
| 联邦学习 + 物理隔离 | 各机构在内网隔离环境中完成本地训练,仅上传加密梯度。中央聚合节点也可部署在隔离区,实现“端到端隔离”。 |
| HSM / TPM | 密钥永不出安全芯片,即使存储介质被偷或系统被攻破,模型权重文件仍因密文状态而不可用。 |
4. 关键参数
理解 Air Gap 方案,需要关注以下可度量指标:
| 参数 | 说明 | 典型值 / 要求 | 备注 |
|---|---|---|---|
| 隔离级别 | 物理隔离、逻辑隔离、防火墙隔离的分级程度 | 等保三级要求“物理隔离或逻辑隔离”,等保四级及以上要求物理隔离 | GB/T 22239‑2019 |
| 单向吞吐量 | 单向光闸支持的最大数据传输速率 | 主流产品 1 Gbps ~ 40 Gbps,部分支持 100 Gbps | 取决光电模块与 FPGA 处理能力 |
| 数据摆渡延迟 | 从数据请求到数据送达隔离区的端到端时间 | 使用单向光闸可控制在秒级;人工摆渡通常 24–72 小时 | AI 增量训练对延迟敏感度较低 |
| 安全评估等级 | 通过 CC(Common Criteria)EAL 或国标安全评估的等级 | 国内网闸产品通常满足 EAL3–EAL4,安全芯片可达 EAL5+ | 等保测评不直接使用 CC 等级,但可参考 |
| 集群规模支持 | Air Gap 环境下可管理的最大 GPU / CPU 节点数量 | 定制化项目可达数千节点(如国家级科学计算设施) | 受限于离线管理工具与供电/散热能力 |
| 国密算法支持 | 是否支持 SM2/SM3/SM4 等算法保护数据与通道 | 信创目录产品普遍支持,部分国外产品不支持 | 党政机关采购强制要求 |
| MTBF (平均无故障时间) | 隔离系统关键部件可靠性 | 单向光闸通常设计为 > 50,000 小时 | 离线环境维护窗口有限,可靠性要求高 |
| 防侧信道能力 | 是否通过 TEMPEST 认证,电磁泄漏限值 | 屏蔽机柜需满足国标 BMB 系列或北约 SDIP‑27 标准 | 高密级场所必备 |
以上参数大多依赖具体产品规格;采购时应查阅厂商公开数据表及第三方测评报告。
5. 技术路线
Air Gap 的实现并非单一模式,而是沿着一条从粗粒度到细粒度的技术演进路线发展:
5.1 传统物理隔离(2010 年代)
- 特征:机房拉闸、拔网线、上锁;所有数据交换走“U 盘摆渡”。
- 优点:实施简单,符合直观安全认知。
- 缺点:运维成本极高,数据同步慢,容易因人为疏忽导致感染(如 Stuxnet)。
5.2 单向通道标准化(2015‑2020)
- 特征:引入硬件级单向光闸(Data Diode),自动化数据推送,减少人工干预。
- 典型方案:Owl Cyber Defense、Waterfall Security、国内的启明星辰、天融信网闸。
- AI 场景启动:部分金融机构将内部数据仓库通过单向光闸接入 GPU 训练集群,每日增量推送脱敏数据。
5.3 软件定义隔离 + 零信任(2020‑2023)
- 特征:不再完全依赖物理拔线,利用软件定义边界(SDP)和微隔离技术构建“虚拟 Air Gap”。所有访问请求必须经过身份验证和策略决策,数据面不对外暴露。
- 优点:弹性好,适合云化环境,支持远程协作。
- 争议:软件定义隔离无法替代物理隔离在某些合规场景下的强制要求,但仍被视为一种低成本的增强手段。
5.4 芯片级可信执行环境融合(2023 至今)
- 特征:GPU/NPU 原生支持 Confidential Computing,形成“硬件固化的 Air Gap”。例如 NVIDIA H100 的 Confidential Computing 能力允许在加密内存中执行训练,连宿主机也无法读取。
- 路线:未来 Air Gap 可能不再以“机房有没有网线”为唯一标准,而是以“数据与模型在计算时是否始终处于加密硬件边界内”来看待,物理隔离退化为防御纵深的一环。
- 国内动向:华为昇腾系列 AI 处理器配合国产安全芯片,已开始在部分政府/金融项目实现机密计算能力,但目前公开披露的成熟度仍偏低,多为项目制交付。
5.5 混合架构
- 趋势:核心模型在物理隔离区训练,推理和微调则采用芯片级 TEE 或软件定义隔离部署在当地或边缘节点,形成“核心隔离 + 边缘加密”的混合模式。该模式平衡了安全与效率,被多数大型企业视为中长期目标。
6. 上游
Air Gap AI 的上游主要指为构建隔离环境提供的核心材料、组件和底层技术:
| 上游领域 | 关键构成 | 当前格局 | 与 AI 的具体关联 |
|---|---|---|---|
| 安全芯片 | 可信执行环境(TEE)、安全处理器、HSM、国密加速芯片 | 国际:Intel、AMD、NVIDIA;国内:海思、飞腾、海光、紫光国微等。高端制程(7 nm以下)的安全芯片国内仍在追赶。 | AI 训练集群中的 CPU/GPU 若内嵌安全飞地,可对模型权重进行运行时加密,防内部人员窃取。 |
| 电磁屏蔽材料与机柜 | 屏蔽机柜、屏蔽室、滤波电源、光隔离器 | 国内外均有成熟供应商,如 Rittal、Schroff、中航光电、中科曙光等。屏蔽效能可达 60‑100 dB。 | 大型 AI 集群需整柜屏蔽,防止侧信道电磁辐射泄露计算过程中的中间特征。 |
| 单向传输光模块 / 光闸核心组件 | 光发射器、光电转换器、FPGA 晶圆 | 具备单向物理特性的专用光模块由少数厂商定制,国内信创供应链已可覆盖。 | 数据单向馈入必经之路,传输带宽决定训练数据更新频率。 |
| 安全操作系统与基础软件 | 国产安全 OS(麒麟、统信等)及安全加固的 Linux 发行版 | 麒麟 V10、统信 UOS 已通过安全等级认证,适配主流国产 CPU。AI 框架(PyTorch、PaddlePaddle)的国产 OS 适配正在推进。 | 隔离区服务器大多运行 Linux,需要定制化最小化内核及强制访问控制策略。 |
| 存储与加密硬盘 | 自加密硬盘(SED)、NVMe 移动盘、磁带库 | 市场成熟,Toshiba、Seagate 提供 SED,国内厂商如忆联亦有自加密产品。 | 用于模型权重冷存储和数据摆渡载体,要求硬件加密且密钥与介质分离。 |
| 机房基础设施 | 独立电力、空调、消防、安防门禁 | 数据中心基础设施成熟,专业集成商如华为、曙光、阿里云数据中心方案均可定制。 | Air Gap 机房一般作为独立模块,需专门设计冗余电源以支撑 GPU 集群持续训练。 |
上游领域整体技术密集度较高,但大部份基础产品通用性强,与 AI 训练的直接关联体现在定制化集成而非专用材料。
7. 下游
下游即 Air Gap 方案的主要应用行业与需求场景:
| 下游行业 | 典型 AI 场景 | 隔离需求层次 | 驱动因素 |
|---|---|---|---|
| 国防与军工 | 情报分析、目标识别、战场态势大模型、卫星图像解译 | 最高:全物理隔离+屏蔽+国产硬件 | 保密资质要求,防止敌国网络攻击获取军事模型 |
| 政府与政法 | 政务大模型(公文写作、政策分析)、公安视频分析与情报系统 | 物理隔离或政务外网隔离 | 等保合规、数据本地化要求,部分系统要求“离线运行” |
| 金融 | 信贷风控模型训练、反欺诈图谱分析、量化交易策略开发 | 高度物理/逻辑隔离,部分机构要求单向数据流入 | 监管要求(银保监会科技监管指引)、客户隐私、模型算法价值极高 |
| 能源与电力 | 电网调度 AI、设备预测性维护模型 | OT 环境要求物理单向隔离 | 关键信息基础设施保护条例,避免生产网络暴露 |
| 电信运营商 | 网络流量异常检测 AI、客户服务大模型 | 核心网网元隔离、数据安全合规 | 工信部要求关键设施安全可控,海量用户数据不能流出 |
| 医疗 | 医学影像 AI 辅助诊断、基因分析模型 | 医院内网物理隔离、数据不出院 | 病人隐私保护法(个人信息保护法、健康医疗大数据管理),机器学习需源于院内真实数据 |
| 科研院所 | 基础科学计算、大科学装置数据处理 | 高隔离度、专用网络 | 保障科学数据主权,防止科研机密过早公开 |
| 大模型厂商(私有化部署) | 为金融/政府/能源客户提供本地一体机或专用集群 | 通常要求物理隔离或虚拟隔离 | 商业合同要求、客户数据不触碰互联网,模型所有权保护 |
当前 AI Air Gap 需求主要由合规驱动,而非自愿性安全加强。随着模型资产价值上升,后续保险、汽车、先进制造等行业可能跟进。
8. 受益公司
本节仅列出与 Air Gap AI 安全产业链相关的公司,不构成任何投资建议。公司业务范围仅限于公开披露信息。
8.1 国内网络安全与隔离设备厂商
| 公司 | 相关业务 | 说明 |
|---|---|---|
| 启明星辰 | 安全隔离与信息交换系统(网闸)、安全审计 | A 股上市,多次中标政府与军工隔离项目,隔离类产品收入占比公司披露在 15% 左右(2022 年报业务结构推测)。 |
| 天融信 | 物理隔离网关、单向导入系统 | 在军工、能源等关键基础设施领域积累深厚,具备系统集成资质。 |
| 绿盟科技 | 数据安全平台、单向数据导入系统 | 覆盖金融、运营商等下游,近年来加强 AI 安全研究。 |
| 深信服 | 安全隔离与信息交换系统、零信任方案 | 信创适配较全,提供虚拟化隔离方案,适合企业级 AI 私有化部署。 |
| 奇安信 | 零信任架构、终端安全、威胁检测 | 提倡“软件定义隔离”,配合物理隔离方案增强内部威胁检测。 |
8.2 国产芯片与硬件基础设施供应商
| 公司 | 相关业务 | 说明 |
|---|---|---|
| 华为 | 昇腾 AI 处理器、鲲鹏 CPU、安全芯片 | 提供从芯片到 OS(欧拉/鸿蒙)全栈国产化,已推出 AI 训练一体机方案,强调安全启动与可信计算。 |
| 海光信息 | 海光 DCU(AI 加速器)、CPU | 信创核心芯片厂商,部分产品支持安全加密虚拟化功能,但 Confidential Computing 能力公开资料未见完整披露。 |
| 飞腾 | 国产 CPU,内置安全架构 | 国防科大背景,CPU 广泛用于政务和军工系统,搭配麒麟 OS 提供基础可信环境。 |
| 中科曙光 | 高性能计算集群、屏蔽机柜、一体化机房 | 国家级超算承建商,可交付全物理隔离 AI 训练集群。 |
8.3 国际厂商(面向合规非敏感行业或国外市场)
| 公司 | 相关业务 | 说明 |
|---|---|---|
| NVIDIA | H100/B200 Confidential Computing、Morpheus 安全框架 | 通过 GPU 级 TEE 实现加密计算,降低对物理隔离的依赖,主要应用于海外及跨国企业。 |
| Owl Cyber Defense / Waterfall | 单向数据传输网关 | 美国和英国军工核心供应商,技术成熟度高,但无法进入中国信创市场。 |
| Thales | HSM、密钥管理、数据加密 | 全球领先的数据保护解决方案商,HSM 在隔离环境中保护根密钥。 |
受益程度取决于各厂商在信创、等保和 AI 项目中的落地能力,目前市场仍相对分散,尚未出现绝对头部“Air Gap AI 全栈服务商”。
9. 市场规模
(所有数据尽可能标明统计口径与发布机构)
9.1 整体网络安全市场
- 2023 年中国网络安全市场规模约 808 亿元,同比增长约 10%(中国信通院《中国网络安全产业分析报告(2023)》)。网络隔离与信息交换产品作为安全硬件大类中的子项,未单独披露,依据部分上市公司营收结构估算,隔离/网闸相关产品销售额约在 100–130 亿元 区间(2023 年)。
- 全球网络安全市场 2023 年估计超过 2200 亿美元(Gartner, 2024 年 1 月),其中物理隔离相关仅占极小份额。
9.2 单向安全网关(Data Diode)市场
- MarketsandMarkets 报告(2023 年)估计 2022 年全球单向安全网关市场为 5.1 亿美元,预计 2028 年将达到约 11.3 亿美元,CAGR 约 14.1%。增长动能来自关键基础设施保护与工业物联网。
- 国内市场单向光闸出货数据较少公开。根据《中国信息安全》杂志(2023 年 9 月)引述业内专家,国内单向网闸市场年度规模预计在 15‑20 亿元 左右,包含信创和非信创产品。
9.3 Air‑Gapped 数据保护市场
- MarketsandMarkets 针对 Air‑Gapped 备份与恢复市场(包括隔离存储、离线备份等)预测,2023 年全球规模约 8.5 亿美元,2028 年有望增至 25 亿美元,CAGR 约 24.3%。但此统计偏重传统数据保护,不完全等同于 AI 隔离训练市场。
9.4 AI 安全相关市场增量
- IDC 2024 年发布《中国 AI 安全市场初探》提到,中国 AI 安全市场(包括对抗样本防御、模型防盗、数据投毒检测等)2023 年规模约 3–5 亿美元,其中模型保护与隔离部署相关的份额约 30%(估算)。
- 私有化 AI 训练一体机市场在中国快速增长(2023‑2024 年多家厂商推出),但尚无独立市场统计,可参考中国 AI 服务器市场:IDC 报告 2023 年中国加速计算服务器市场规模约 92 亿美元,其中面向政企客户的私有化部署占比逐步提升,据估计 2024 年占比或达 25% 以上,这些项目多数包含物理隔离要求。
关键判断:尽管 Air Gap 的概念在 AI 圈被高频提及,但其直接带动的商业市场仍嵌在大安全、私有化 AI 基础设施之中,目前很难剥离出精确数字,上叙数据多为估算。追踪细分市场可关注网闸及私有化 AI 服务器的招标数据。
10. 玩家对比
以下选取不同类型代表厂商,从“AI Air Gap 解决方案”维度进行定性对比(所有评估均基于公开产品资料,未涵盖未公开项目):
| 玩家 | 定位 | 物理隔离能力 | 芯片级安全 | AI 框架适配 | 信创合规 | 代表客户/项目 |
|---|---|---|---|---|---|---|
| 启明星辰 | 传统网安隔离专家 | ★★★★☆(成熟网闸/光闸) | ★☆☆☆☆(不主做芯片) | ★★☆☆☆(可集成,自己不提供 AI 平台) | ★★★★☆ | 政府、军工、金融 |
| 天融信 | 综合安全 + 集成 | ★★★★☆ | ★☆☆☆☆ | ★☆☆☆☆ | ★★★★☆ | 能源、军工 |
| 深信服 | 软件定义安全 | ★★★☆☆(软件隔离见长,物理网闸也有) | ★☆☆☆☆ | ★★★☆☆(可配合其托管云) | ★★★★☆ | 政府、教育、医疗 |
| 华为 | 全栈 ICT | ★★★★☆(光闸、专用机柜可提供) | ★★★★☆(昇腾/鲲鹏安全特性) | ★★★★★(昇思 MindSpore 原生适配) | ★★★★★ | 金融、政府、运营商 |
| 海光信息 | 芯片供应商 | ★★☆☆☆(不直接提供系统级隔离) | ★★★☆☆(安全虚拟化功能) | ★★★☆☆(兼容 CUDA 生态迁移) | ★★★★★ | 信创算力中心 |
| NVIDIA | GPU + 机密计算 | ★★☆☆☆(不提供物理网闸) | ★★★★★(H100 Confidential Computing) | ★★★★★(CUDA 生态统治级) | ★☆☆☆☆(受出口管制影响) | 海外云及科研 |
| Owl Cyber Defense | 专用单向网关 | ★★★★★(核心产品) | ★☆☆☆☆ | ★☆☆☆☆ | 不受中国信创限制(不进入中国) | 美国国防部、北约 |
☆ 数量代表相对优势,不体现绝对性能,也无法穷尽所有细节。
差异化总结:传统安全厂商强在合规性交付与项目实施,但 AI 平台能力需依赖集成;华为等 ICT 巨头提供端到端方案,能同时解决算力、安全芯片和隔离问题,但建设成本高;芯片级机密计算是中长期趋势,但当前尚不能替代物理隔离合规要求。
11. 风险
11.1 技术风险
| 风险 | 说明 | 已知案例/研究 |
|---|---|---|
| 物理隔离并非绝对安全 | 人员和使用习惯是最薄弱的环节,恶意 U 盘、维护人员疏忽可突破隔离。 | 2010 年 Stuxnet 通过 U 盘侵入伊朗核设施 Air Gap 系统,破坏离心机。 |
| 侧信道攻击 | 通过捕获电磁辐射、功耗波动、散热变化或声学信号,可重建隔离区内的计算过程。 | 以色列内盖夫本‑古里安大学已多次证明从 Air Gap 环境中通过风扇转速、屏幕亮度等窃取数据(如“AiR‑Viper”研究,2022 年)。 |
| 供应链投毒 | 隔离区依赖大量硬件与固件,若初始供货被植入后门,离线环境极难发现。 | 多个国家已限制进口网络设备用于关键基础设施,以防供应链风险。 |
| 运维盲区 | 离线环境缺少实时监控和自动化响应,攻击驻留时间长;日志审计也靠人工,发现慢。 | 实践调研中常见:隔离区系统 uptime 长达数年,补丁缺失严重。 |
11.2 效率与成本争议
| 争议点 | 正方观点 | 反方观点 |
|---|---|---|
| 是否过度隔离 | 大模型权重是未来核心竞争资产,必须物理隔离。 | 增加 30‑50% 的建设与运维成本(行业估算),拖累模型迭代速度,云原生加密方案(如 AWS Nitro Enclaves)可能已满足非涉密需求。 |
| GPU 资源利用率 | 安全优先,即使闲置也属合理。 | 隔离区 GPU 集群全年平均利用率常不足 60%(行业从业者估计),私有机群 ROI 偏低。 |
| 模型更新频率 | 稳定压倒一切,每月或每季更新符合风控要求。 | 离线环境模型版本滞后可能导致线上推理效果大幅落后于最新公开模型,竞争窗口丧失。 |
11.3 合规与监管风险
- 标准缺口:现行等保标准对大规模 AI 训练集群的特殊安全需求(如梯度保护、分布式训练通信安全)覆盖不足,导致企业可能出现“合规但依然脆弱”的情况。
- 审计难度:离线环境缺乏自动化日志上传,难以满足监管对模型训练过程的可追溯性要求,手动审计耗时且容易遗漏。
- 跨境冲突:国内 Air Gap 训练的模型未来若需出口或部署至海外数据中心,可能面临中国技术出口管制与目的地国家数据安全法规的双重约束,目前相关政策尚不清晰。
11.4 长期战略风险
- 数字鸿沟:高昂的物理建设成本可能使只有大机构才能负担最安全的 AI 研发环境,拉大与中小企业在 AI 能力上的差距。
- 虚假安全感:过度依赖“拔网线”可能导致机构忽视内部威胁检测、安全编码和纵深防御,一旦隔离被打破,后果更严重。
- AI 武器化的跑道:各国在 Air Gap AI 上的投入可能间接加速军事 AI 的竞赛,引发国际监管难题。
12. 误读纠偏
误读 1:“Air Gap = 绝对安全”
事实:Air Gap 只能阻止基于网络的攻击,无法防御物理接触、内部人员恶意行为、侧信道攻击和供应链后门。Stuxnet 就是最经典的反正——物理隔离环境被非网络攻击击穿。
误读 2:“只要没联网就是 Air Gap”
事实:临时拔掉网线或关闭 Wi‑Fi 但不改变整体架构、不控制外围设备(如蓝牙、USB)的“隔离”只是心理安慰。真正 Air Gap 要求彻底的设计改造,包括屏蔽、单向数据传输、介质管控和流程制度。
误读 3:“所有 AI 训练都应该 Air Gap”
事实:Air Gap 成本高昂,适用高等级敏感数据场景。对普通企业大模型微调,使用云上虚拟私有云(VPC)配合加密和身份认证已达到合理安全水准。过度使用 Air Gap 会造成资源浪费。
误读 4:“网闸、光闸就是完全安全的”
事实:单向光闸本身也可能存在漏洞,如恶意构造的文件可利用解析器的缺陷在隔离侧执行代码。因此还需要文件格式清洗、杀毒、策略限制输入内容等措施。
误读 5:“有了 TEE 就不需要隔离”
事实:硬件可信执行环境(Confidential Computing)解决了运行时加密问题,但仍依赖复杂的软件栈,侧信道或漏洞仍可能泄露信息,且目前不支持所有 AI 框架。现行国家等级保护要求中,物理隔离仍是强制性措施,TEE 只能作为增强,不能直接替代。
13. 最新事件
(截至 2024 年下半年,公开可查的动态)
-
2024 年 7 月:《生成式人工智能服务管理暂行办法》实施一周年 多个省份发布实施细则,明确要求关键训练数据本地化存储并实施隔离保护,多家金融与政务单位启动 AI 训练安全整改招标。
-
2024 年 6‑8 月:国内大模型私有化一体机密集发布 以华为昇腾、科大讯飞、百度文心为代表的厂商推出面向政企客户的“开箱即用”训练/推理一体机,均强调物理隔离能力与安全审计日志,部分型号通过国家保密科技测评中心检测。
-
2024 年 5 月:国家密码管理局发布《商用密码应用安全性评估管理办法》修订版 进一步要求等保三级以上系统必须采用经认证的密码产品(如国密 VPN、国密硬盘),对 Air Gap 环境中的加密方案提出更高合规要求。
-
2024 年 4 月:美国商务部加强对 GPU 出口限制的新一轮规定 导致中国无法获取 NVIDIA 高端 GPU,间接推动国产算力在隔离环境中的加速部署,海光、昇腾等国产 AI 加速器在政府项目中占比明显提升。
-
2024 年 3 月:某大型银行发布“模型安全屋”项目标书 公开资料显示,该项目要求构建全物理隔离的训练环境,数据仅通过单向光闸导入,预算过亿元人民币,被视为金融机构 Air Gap AI 需求的典型样本。
-
学术前沿:
AiR‑Viper式侧信道攻击演示(本‑古里安大学,2022‑2024 持续更新) 研究者展示利用风扇振动、USB 信号等从 Air Gap 电脑窃取数据,提醒业界物理隔离并非高枕无忧,相关防御技术也在跟进。
14. 跟踪指标
若需持续观测 Air Gap 在 AI 产业中的演进,可关注以下定量与定性指标:
| 指标类型 | 指标名称 | 观测频率 | 数据来源建议 |
|---|---|---|---|
| 合规与政策 | 全国等保三级及以上系统数量变化,AI 安全相关新标准征求意见稿 | 季度 | 全国信安标委官网、国家密码管理局公告 |
| 招标动态 | 政府采购网/大型国企招标中“AI 训练隔离环境”“单向传输”“物理隔离”等关键词数量及金额 | 月度 | 中国政府采购网、各地方公共资源交易平台 |
| 供应链出货 | 国产网闸/单向光闸头部厂商(启明星辰、天融信等)安全硬件收入季度同比增速 | 季度 | 上市公司季报/年报(需剔除其他产品线影响) |
| 芯片能力 | 国产 AI 加速器内置安全飞地(TEE)的技术迭代和产品公开信息 | 半年 | 海光、昇腾、飞腾产品路标发布 |
| 侧信道防御 | TEMPEST 屏蔽产品认证和 AI 专用屏蔽机柜的推新 | 半年 | 相关安全厂商产品发布会、安全展会 |
| 资本投入 | 国内 AI 安全初创公司融资事件(尤其模型保护、离线训练安全方向) | 季度 | 创投数据平台(如 IT 桔子、鲸准) |
| 人才培养 | 高校/培训机构新增“AI 安全工坊”、“隔离网络管理”相关课程或认证 | 年度 | 信息技术培训公开招生 |
| 行业事件 | 关键基础设施 AI 模型丢失、泄露事件报告(如监管通报) | 不定期 | 国家互联网应急中心(CNCERT)通报、安全厂商年度报告 |
15. 信源
本文所引用的主要公开报告、标准和文献如下(访问时间均截至 2024 年 11 月):
- 中国信通院,《中国网络安全产业分析报告(2023)》,2023 年 9 月。
- 中国信通院,《网络安全产业白皮书(2023)》,2023 年 12 月。
- GB/T 22239‑2019《信息安全技术 网络安全等级保护基本要求》,国家标准化管理委员会,2019 年 5 月发布。
- MarketsandMarkets, Unidirectional Gateway Market Research Report,2023 年 6 月发布。
- MarketsandMarkets, Air‑Gapped Data Protection Market Research Report,2023 年 12 月发布。
- IDC, China AI Server Market Tracker,2023‑2024 季度更新(付费报告摘要公开)。
- Gartner, Forecast: Information Security and Risk Management, Worldwide,2024 年 1 月。
- 国家密码管理局,《商用密码应用安全性评估管理办法》(2024 年修订版),2024 年 5 月。
- 各上市公司 2022‑2024 年年度报告及半年度报告(启明星辰、天融信、深信服、绿盟科技、海光信息、中科曙光等)。
- 《中国信息安全》杂志,相关行业报道及专家访谈,2023 年 9 月。
- 本‑古里安大学网络安全研究中心公开学术论文(
AiR‑Viper等),2022‑2024 年。 - 中国政府采购网招标公告(搜索关键词“安全隔离 + AI 训练”),2023‑2024 年。
部分数据基于以上信源的交叉推算,已在正文中标注“估算”字样。对未找到公开精确数字的指标一律注明“公开资料未见”,避免误用。
免责声明:本文所有内容基于公开资料整理,旨在解析“空气间隙”在 AI 产业链中的技术概念与产业逻辑,仅供学习交流,不构成任何投资、采购或安全合规建议。文中提及的公司与产品仅作举例说明,不代表任何评价或推荐。相关数据截至 2024 年下半年,实际情况请以官方最新披露为准。