Skip to main content
PromptQuorumPromptQuorum
主页/本地LLM/本地LLM气隙部署: 隔离架构与分类数据保护
Enterprise

本地LLM气隙部署: 隔离架构与分类数据保护

·阅读约12分钟·Hans Kuepper 作者 · PromptQuorum创始人,多模型AI调度工具 · PromptQuorum

气隙部署是指LLM基础设施完全隔离于互联网。无互联网连接、无外部API调用、无数据泄露风险。截至2026年4月,这是政府、军事和金融机构处理分类或高度敏感数据的标准做法。

气隙部署是指LLM基础设施完全隔离于互联网。无互联网连接、无外部API调用、无数据泄露风险。截至2026年4月,这是政府、军事和金融机构处理分类或高度敏感数据的标准做法。

关键要点

  • 气隙 = 完全隔离于互联网。零外部系统网络连接。
  • 用例: 政府 (分类信息)、军事 (战争场景)、金融 (高度安全)、医疗 (HIPAA超敏感)。
  • 挑战: 无法自动更新模型、嵌入式或依赖项。需要手动更新流程。
  • 架构: 专用硬件、加密存储、受限用户访问、物理安全。
  • 网络隔离: 防火墙、气隙设备和网络分段防止任何外部通信。
  • 模型管理: 通过USB、安全媒体或内部网络传输模型;无云访问。
  • 更新: 手动流程 -- 首先离线测试更新,然后通过安全渠道部署。
  • 截至2026年4月,气隙是政府和国防承包商的标准做法。

气隙意味着什么?

气隙基础设施与互联网或任何外部系统都没有网络连接。 所有数据和计算都保留在隔离硬件上。

绝对隔离: 无WiFi、无连接到外部网络的以太网、无连接到互联网设备的USB连接。

数据永不离开: 推理在本地进行,结果保留在本地。

更新手动进行: 无法自动下载模型更新。更新需要物理媒体 (USB驱动器、SD卡) 或内部网络传输。

典型气隙架构是什么样的?

一台机器或小型集群,完全隔离,具有受限的物理访问。

  1. 1
    专用硬件: 仅用于LLM推理的服务器,无其他用途。
  2. 2
    隔离网络: 无连接到企业网络或互联网。最多独立VLAN。
  3. 3
    加密存储: 所有模型文件、数据、日志在静止时加密。
  4. 4
    受控访问: 仅授权人员可访问。需要多因素身份验证。
  5. 5
    物理安全: 锁定的服务器室、监视、访问日志。
  6. 6
    无可移除媒体: USB端口禁用、CD/DVD驱动器移除。
  7. 7
    本地监控: 日志保留在系统上,不发送到外部监控服务。

如何将网络与外部连接隔离?

隔离在多个级别强制执行:

  • 物理: 气隙基础设施的独立网络硬件 (交换机、路由器)。
  • 防火墙: 入站和出站流量被阻止。云服务、NTP、外部DNS服务器无例外。
  • 软件: 主机级防火墙 (iptables、Windows Firewall) 作为次要控制。
  • 监控: 网络流量被审计。任何外部连接尝试都被记录和标记。

如何在气隙环境中管理模型?

模型更新是手动的,需要物理媒体传输或内部安全流程。

  1. 1
    在互联网连接的机器 (独立、非分类环境) 上下载模型。
  2. 2
    验证模型完整性 (校验和、数字签名)。
  3. 3
    通过加密USB驱动器或内部文件服务器传输到气隙系统。
  4. 4
    验证: 运行测试以确保模型完整性在传输过程中未被破坏。
  5. 5
    部署: 将模型加载到推理引擎中。
  6. 6
    文档: 记录部署了哪些模型、版本、日期。

如何处理更新和补丁?

安全更新和模型更新是手动的:

  • 模型更新: 遵循上述流程。按季度或年度安排更新。
  • 操作系统补丁: 首先在隔离的暂存环境中测试,然后部署到生产环境。
  • 依赖项: 仔细评估新版本。气隙系统运行较旧版本的时间较长。
  • 无自动更新: 完全禁用自动更新。所有更新都受控制、记录和审计。

如何确保气隙系统中的安全?

气隙本质上更安全 (无外部攻击),但会出现新风险:

  • 内部威胁: 拥有访问权限的员工可能通过USB复制数据。需要双人完整性检查。
  • 供应链攻击: 传输过程中的模型或依赖项被破坏。验证校验和、数字签名。
  • 物理盗窃: 价值数百万的模型和数据。需要锁定的房间、监视、入侵检测。
  • 社交工程: "相信我,我需要更新模型。" 需要正式的变更控制流程。
  • 日志记录缺口: 如果日志未被审计,没有人会发现内部活动。需要定期外部审计日志。

常见的气隙部署错误

  • 不完整隔离: 留下一个开放端口、启用一个无线卡或允许USB设备会破坏气隙。严格审计。
  • 无变更控制: 模型更新非正式进行,无文档。导致部署版本信息丢失。
  • 糟糕的备份策略: 气隙系统需要冗余存储和异地备份。但备份本身必须是气隙的。
  • 日志记录不足: 气隙系统需要全面审计 (谁访问了什么、何时)。没有日志,违规行为无法检测。
  • 仅信任物理安全: 安全需要多个层次: 隔离、加密、访问控制、审计,而不仅仅是锁定的门。

关于气隙系统的常见问题

我们如何在气隙系统中更新模型?

通过加密USB手动进行,或通过与互联网隔离的内部安全网络进行。所有更新都需要变更控制批准和审计跟踪。

我们可以为气隙系统使用云备份吗?

不可以。云备份需要互联网连接 (破坏气隙)。使用物理备份 (加密硬盘) 存储在独立安全设施中。

气隙是否真的安全防止所有攻击?

大多数情况下是的,但内部威胁仍然存在。气隙可以防止远程攻击,但物理访问或内部访问可能会破坏它。

气隙部署的成本是多少?

硬件成本$50k-$500k (比常规本地部署多不了多少)。运营成本 (安全、审计、培训) 由于手动流程而高5-10倍。

我们可以在气隙环境中使用标准工具 (Ollama、vLLM) 吗?

可以。两种工具都可以在没有互联网的情况下工作。部署一次,然后不需要互联网连接。确保所有依赖项都是离线安装的。

信息来源

  • NIST网络安全框架 -- nist.gov/cyberframework
  • DoD数据管理 -- defense.gov/News/Releases/
  • 气隙安全指南 -- ietf.org (RFC关于网络隔离的文档)

关于第三方事实的说明

本文引用了第三方AI模型、基准测试、价格和许可证。AI领域变化迅速。基准分数、许可条款、模型名称和API价格可能在写作时间和您阅读时之间发生变化。在根据本文做出部署或合规决策之前,请在每个提供商的官方来源核实当前数据:Hugging Face模型卡用于许可证和基准测试,提供商网站用于API定价,EUR-Lex用于当前GDPR和EU AI法案文本。本文反映截至2026年5月的公开可用信息。

使用本地LLM、您自己的API密钥或两者运行PromptQuorum — 您来决定使用哪个后端。

加入PromptQuorum等待列表 →

← 返回本地LLM