goldennet

隨著對連接性的需求增加資訊技術 (IT)、營運技術 (OT) 和工業控制系統 (ICS) 網路之間曾經清晰的區別變得模糊。這種融合使 OT 和 ICS 資產暴露於網路攻擊之下這些攻擊可能從 IT 領域傳播到營運環境。特別是將檔案和裝置傳輸到、穿過和出安全環境是一個關鍵的潛在安全事件途徑。

可移除式媒體 (USB) 和臨時裝置帶來風險因為它們可能包含受感染的檔案、隱藏分割區中的惡意軟體以及惡意硬體/韌體。而業務利益相關者需要存取工業操作資料;然而這打破了網路分割槽和氣隙隔離使 OT/ICS 環境面臨漏洞。

OPSWAT 解決方案能夠實現對可移除媒體、臨時裝置的安全且合規使用並強制執行單向數據傳輸。

MetaDefender Kiosk - 獨立式

一種常見的可攜式和可移除媒體保護緩解措施，符合並超過 NIST、NEI、NERC CIP、ISO/IEC 和 ISA/IEC 要求，是在關鍵檢查點入口處、重要 SCADA 網路位置和研究設施中放置 OPSWAT MetaDefender Kiosks，以便在使用媒體之前驗證所有媒體。

OPSWAT MetaDefender Kiosk 軟體安全策略強制要求在設施中使用所有可攜式媒體之前，必須先進行掃描、消毒和批准。

該 kiosk 確認使用者、來源和檔案類型;尋找任何惡意分割區和惡意軟體;並判斷裝置是否安全，或者是否需要進一步檢查。

• 允許名單：管理員還可以添加對允許進入設施的特定媒體裝置的執行 (允許名單)。kiosk 可以限制媒體使用僅限於特定的預先篩選供應商和類型。
• 客戶認證媒體：組織還可以提供自己的認證媒體作為所有消毒/驗證檔案的複製目標。在這種情況下，只有這些

MetaDefender Kiosk 的第三個封閉迴路選項提供了「資料靜置」和「資料傳輸中」的安全性。在這個使用案例中，Kiosk 提供工作流程控制，檔案會透過 MetaDefender Managed File Transfer 以單向方式遞送到目標網路上的 MetaDefender Managed File Transfer。

MetaDefender Managed File Transfer 在將檔案轉移、儲存和從受保護的網路區段擷取時，提供分層監督式驗證、授權、核准和稽核報告。

• 使用者將所有媒體輸入 Kiosk，並選擇 MetaDefender Managed File Transfer 作為目的地。
• 檔案處理會立即由 MetaDefender Managed File Transfer 平行進行，與進入設施的工作流程同步進行，因此使用者無需等待本地處理，即可進入設施。
• Kiosk 票務系統提供使用者一個獨特的臨時列印代碼，該代碼提供限時網路存取權限，以存取儲存在由客戶託管的 MetaDefender Managed File Transfer 中經過驗證/消毒的檔案。
• 單向安全閘道選項：對於高安全性的「傳輸中安全」環境，可以添加 MetaDefender 單向安全閘道 (USG) 和資料單向傳輸系統，以進一步保護從 MetaDefender Kiosk 到 MetaDefender Managed File Transfer 的網路傳輸。可以添加此網路設備以確保流量僅為單向，並防止防火牆可能 (故意或惡意) 的錯誤配置。

MetaDefender Managed File Transfer 中的所有檔案都經過 AES 加密、監控和檢查惡意軟體，使用 30 多個反惡意軟體引擎進行消毒和隔離，根據配置和工作流程策略進行操作。

無論您是與 NIST、NERC CIP、AWIA、ISO/IEC 或 ISA/IEC 合作，網路安全標準通常建議根據風險 (威脅、漏洞和破壞後果) 對系統進行分析和分組。這些分組的系統共享類似的安全配置，因此可以更有效地保護。

系統分組在不同行業中使用不同的術語來表示。較常見的術語有「操作網路」、「受保護網路」、「機密網路」、「安全域」或「安全區」。這些域或區之間傳輸中的資料則稱為「跨域」傳輸，或「IT/OT」傳輸，以及「網段間」的傳輸。

出於操作目的，檔案需要在受控的、監控的和記錄過程中之間這些安全區進行安全轉移。

透過在每個安全區安裝 OPSWAT MetaDefender Managed File Transfer，可以對跨區檔案移動進行多層級監督核准，確保檔案在傳輸過程中保持加密，並且能夠稽核記錄及靜置時也受到保護。