數據二極體這項原本僅應用於軍事與核安全領域的利基技術,如今已成為工業與企業網路安全不可或缺的組成部分。 自 2017 年以來,網路安全事件造成的損失已激增四倍,達到近 20 億美元;因此,無論是作為法規框架中的強制要求或建議,數據二極體正日益被採納為安全標準。其重要性日益提升,源於基於軟體的安全解決方案(例如防火牆)已無法再確保安全。
對數據二極體日益增長的需求
由於資料二極體在硬體層面強制實施單向資料傳輸(通常採用光纖技術),因此能實質阻斷勒索軟體與 APT(進階持續性威脅)運作所需的反向通訊路徑。 雖然防火牆仍是大多數企業應用的標準配置,但針對核能、能源及水務等高風險關鍵基礎設施領域的全球法規,現已明確建議或強制要求使用資料二極體,以確保營運技術(OT)與資訊技術(IT)網路之間實現物理隔離。
Data Diode 的安全特性除了具備防火牆的功能外,還提供三項關鍵的安全優勢:
與防火牆不同,防火牆可能因設定錯誤或零日漏洞而被繞過,但網路傳播的威脅無法繞過二極體這種由硬體強制實施的單向安全機制
不設後門通道,防止攻擊者向遭入侵的系統發送指令
一種協議迴避機制,可讓資料二極體透過不可路由的協議傳輸資料
資料二極體與防火牆的主要差異
| 特點 | 防火牆 | 單向閘道器(資料二極體) |
|---|---|---|
| 運作機制 | Software(邏輯) | Hardware(實體) |
| 方向 | 雙向(過濾) | 嚴格單向 |
| 脆弱性 | 容易發生設定錯誤及遭零日漏洞攻擊 | 對基於軟體的遠端攻擊具有免疫力 |
| 使用個案 | 一般資訊科技安全 | 高安全性 OT/ICS 防護 |
全球監管要求與指引
由於資料二極體具備無法繞過的安全特性,全球監管機構建議,甚至在某些情況下強制要求使用此技術來區隔關鍵基礎設施網路。
多項標準,例如 NRC、NERC CIP(能源)、IEC 62443(工業)以及 TSA 指令(鐵路/管線),均要求或強烈建議關鍵基礎設施採用硬體強制實施的單向流量控制。然而,在目前尚未強制要求使用二極體的產業中,仍有許多部署二極體的實例,例如:
- 金融服務機構(尤其是銀行)現今運用這些技術來保護高價值的交易網路,並用於
- 醫療及製藥機構採用資料二極體來保護智慧財產權,並將臨床技術網路(例如病患監測儀和診斷影像系統)與企業資訊技術網路隔離。
- 海事產業組織利用數據二極體,將來自機艙和舵控系統的數據進行隔離與監控,並保護船岸間的數據傳輸。
強制或建議使用資料二極體的監管框架
以下是針對規定或強烈建議使用單向閘道器的全球主要法規與指南之摘要。
全球標準
IEC 62443
第 3-3 部分(SR 5.2)著重於「資源可用性」,並建議在高安全等級區域(第 3 級與第 4 級)使用單向閘道,以防止惡意軟體傳播並確保資料完整性。
ISO 27019
針對能源產業,該指引強調了建立安全網路分段的必要性,並將資料二極體列為將製程控制系統與外部網路隔離的「最佳實踐」。
在北美
NERC CIP
北美電力可靠性公司(NERC)針對電力網保護所制定的規範,堪稱最為嚴格。 雖然CIP-002 至 CIP-013 標準允許使用防火牆,但採用單向閘道器可使公用事業公司「豁免」多項合規要求(例如在某些 NERC 情境下,26 條規則中有 21 條),因為該閘道器在物理層面上阻斷了外來電子存取,從而有效降低「電子安全邊界」(ESP)的風險。
NIST SP 800-82(第 3 版)
美國國家標準與技術研究院(NIST)關於Industrial 系統安全的指南中,明確將單向閘道列為主要防禦措施。該指南建議在將資料從高安全等級的營運技術(OT)區域傳送至低安全等級的資訊技術(IT)區域時(例如將感測器資料傳送至雲端資料庫),應採用單向閘道,以確保攻擊者無法建立任何回傳路徑。
NRC RG 5.71
美國核能管制委員會(NRC)的這項框架規定,核電廠的數位系統必須實施高層級隔離。該框架指出,透過外部網路監控核安全系統時,應優先採用單向資料流的方式。
在歐洲
ANSSI(法國)- PSSI-IV
法國國家資訊系統安全局(ANSSI)是推動使用資料二極體的全球領導者。對於關鍵基礎設施營運商(OIV),ANSSI 通常要求在最關鍵的工業「第 3 類」網路與網際網路,或安全性較低的「第 1 類」網路之間建立任何連線時,必須使用通過CSPN認證的資料二極體。
《NIS2 指令》(歐盟範圍內)
雖然《NIS2(網路與資訊安全)指令》並未強制規定特定硬體,但要求「實體」實施「最先進」的風險管理措施。在能源和水務等領域,各國監管機構(例如德國的BSI和西班牙的CCN)將NIS2轉化為技術要求,其中優先採用硬體實現的網路分段,而非基於軟體的防火牆。
在亞洲和中東
沙烏地阿拉伯(NCA)
沙烏地阿拉伯國家網路安全局已針對關鍵領域頒布具體的「資料二極體標準」,闡明必須如何運用此技術來保護該國的石油、天然氣及公用事業資產。
南韓(KISA)
與新加坡類似,南韓針對智慧電網與核安全所制定的指引,強烈強調應採用單向閘道進行資料外傳,以防止資料從公共網際網路進行橫向移動。
業界領先的數據二極體與整合式OT Security
MetaDefender Diode™ 解決方案 提供 在 IT 與 OT 網路之間透過硬體強制執行單向資料傳輸,在確保網路隔離的前提下,支援安全的資料複製與營運可視性。
若想進一步了解 OPSWAT 如何OPSWAT 協助您符合區域及全球監管框架的要求,請立即聯繫我們的專家。
