Managed File Transfer IT、OT 及 DMZ 網路的Managed File Transfer

透過工業 DMZ 進行 IT/OT 檔案傳輸已成為一項安全與營運問題，因為營運檔案的交換必須跨越那些為降低網路風險而設的分區邊界。Industrial 仍需依照可預期的時程，在各區域之間傳輸修補程式、製程配方、日誌、供應商交付成果、備份及報告。

電子郵件、共用磁碟、中繼主機及可移除式儲存媒體等臨時性傳輸管道，不僅會增加透過檔案傳播的惡意軟體風險，也降低了追蹤能力。Industrial （IDMZ）的工作流程還需具備稽核憑證、變更控制的協調性，以及跨據點的一致性執行，以避免出現一次性例外情況。

IT 至 OT 檔案傳輸的常見應用情境包括：工程工作包、PLC 與 HMI 更新、歷史資料庫擷取、防毒簽名檔更新、備份，以及供應商韌體套件。相較於例行報告或定期日誌匯出，工程產出物與韌體更新通常需要更嚴格的保管鏈證明。

定期資料流通常包含排程備份、防毒軟體更新以及標準報表的傳送。緊急資料流通常包含緊急韌體熱修補程式、事件應變資料擷取，或時效性高的製程配方變更。當檔案可能改變安全關鍵行為或實質影響生產品質時，追蹤鏈的要求便會提高。

傳統企業的 DMZ 模型無法完全套用至 OT 環境，因為面向網際網路的 DMZ 主要用於調解外部存取，而工業 DMZ 則主要著重於執行確定性操作、實施嚴格的變更控制，以及保護安全關鍵流程。普渡大學 3.5 級分區架構的設計意圖，在於限制進入 OT 的路徑，並降低各區域間的隱含信任。 

在營運技術（OT）環境中，檔案傳播的風險會被放大，因為舊有系統、有限的修補時段以及可用性限制，降低了對被動式修復措施的容忍度。Industrial 還需要可預測的傳輸路徑和可重複的審批流程，這些流程必須能夠接受稽核，同時不產生直接的 IT 至 OT 連線。 

所有連線均終止於 DMZ，這意味著 IT 與 OT 之間的檔案傳輸必須避免在信任邊界兩側的企業端點與 OT 端點之間建立直接的端對端連線。此外，所有連線均終止於 DMZ 也意味著設計上必須避免使用同時連接兩個區域的雙連線伺服器，並避免設定允許跨區域客戶端連線的防火牆規則。

此原則轉化為可辯護的限制條件：IT 系統僅與 DMZ 服務進行通訊，OT 系統僅與 DMZ 服務進行通訊，而檔案傳輸則透過經由中介的儲存轉發工作流程進行。工業 DMZ 中的終端點將成為用於檢查、隔離、審批及稽核記錄的控制點。

若要在不破壞自動化流程的前提下，防止 IT 與 OT 之間建立直接連線，則需採用中介式傳輸模式：發送方僅連線至位於 DMZ 的傳輸服務，而 OT 接收方則僅連線至位於 DMZ 的擷取服務。中介式檔案傳輸通常採用「推送至 DMZ」步驟，隨後進行「拉取至 OT」步驟，因此不會產生跨區域連線。

透過使用固定端口、嚴格的允許清單，以及針對每個工作流程進行範圍限定的服務身分，可將端口暴露風險降至最低。針對每個工作流程建立專屬的服務帳戶，不僅能降低橫向移動的風險，亦有助於在定期審查期間重新驗證存取規則。

雙網卡配置與共用儲存裝置會導致意外的跨區域橋接，因為配備雙網卡的主機可能成為跨越區隔邊界的路由或憑證樞紐。共用 SMB 檔案共享及複製的憑證，亦可能削弱區隔的原始意圖，因為它們會建立難以清點與重新驗證的隱含跨區域存取路徑。

應避免的模式包括同時涉及 IT 與 OT 的雙重連接檔案伺服器、用作跨區域「交接」點的共用 SMB 資料夾，以及繞過檢查閘道的跳轉主機檔案傳輸。邊界管控應依賴終端處理、檢查及明確授權，而非依賴便捷路徑。

普渡大學第 3.5 級工業 DMZ 架構在檔案傳輸方面，將 IDMZ 定位為企業 IT 網路與 OT 網路之間的檢查與政策執行邊界。此架構同時確保 IT 與 OT 端點是與 DMZ 服務進行整合，而非彼此直接整合。

DMZ 的基本服務通常包含檔案傳輸閘道或受管檔案傳輸伺服器、隔離儲存空間、檢查層級，以及集中式記錄功能。經由中介的儲存轉發機制，在維持區隔意圖的同時，能支援確定性操作。

屬於工業 DMZ 範圍內、用於安全檔案交換的服務包括：檔案傳輸閘道或託管檔案傳輸伺服器、惡意軟體掃描與沙箱層、內容無害化與重建 (CDR) 層、隔離儲存空間，以及集中式日誌收集。Industrial 服務還包含用於控制審批與釋放的工作流程及政策執行組件。

IT 端點應將檔案提交至 DMZ 暫存區，而 OT 端點則應從 DMZ 中繼位置檢索已核准的套件。DMZ 邊界將成為進行惡意軟體掃描、淨化處理、政策評估及證據鏈記錄的一致檢查點。

在經紀式設計中，防火牆與路由模型通常採用雙防火牆 IDMZ 架構，其中企業至 DMZ 的流量與 OT 至 DMZ 的流量會分別進行管控。白名單適用於來源、目的地、協定及服務識別，因此每個工作流程皆具備明確且可審查的路徑。

與眾多客製化路徑相比，數量較少且定義明確的流量路徑能降低防火牆的複雜性。經由中介服務器調度的設計亦支援固定埠號與一致的服務端點，這不僅簡化了規則重新認證流程，還能降低廣泛規則隨時間推移而擴散的風險。

「先推送至 DMZ，再拉取至 OT」的工作流程在實際運作中，形成了一套可重複的序列：導入、隔離、檢查、清理、核准、釋出及交付。此外，由於雙方僅與 DMZ 服務建立連線，此工作流程亦能維持網路區隔。

當 IT 系統發起封包時，通常適合採用「推送」模式；而當 OT 系統依照受控時程表擷取已核准的內容時，則通常適合採用「拉取」模式。只要各流程在命名規範、元資料擷取及政策決策方面保持一致，標準工作流程便能在多個廠區中有效實施。

IT 至 DMZ 的資料推送模式透過限制 IT 發送端與 DMZ 匯入服務及 DMZ 暫存區的連線能力，來維持 OT 邊界的封閉性。常見的模式包括排程上傳、事件觸發上傳，以及API提交，這些模式會附加政策決策所需的元資料及稽核憑證。

操作指引包含一致的命名規範、來源系統與目標區域所需的元資料欄位，以及透過 TLS 進行傳輸中的加密。IT 端提交時亦應包含身分綁定，以便 DMZ 能記錄是哪位使用者或服務發起了傳輸。

透過讓 OT 檢索代理程式或排程工作從 OT 發起外連至 DMZ，僅擷取已核准的封包，此類「DMZ 至 OT」的拉取模式可降低風險並簡化防火牆設定。OT 檢索應限定於特定目的地的佇列或目錄，以確保 OT 端點無法存取未經核准的隔離內容。

Pull 機制透過避免向 OT 系統建立傳入連線，並限制對外開放的 OT 埠與服務，從而降低系統暴露風險。此外，OT 資料擷取亦支援變更時段機制，因為 OT 系統僅能在作業排程允許安裝或部署時進行資料擷取。

工業級 DMZ 檔案傳輸的不可妥協控制措施包括檢查、淨化、隔離、審批、最小權限存取、加密，以及支援證據鏈的稽核記錄。這些不可妥協的控制措施應主要在 DMZ 中實施，因為 DMZ 是跨區域檔案傳輸的終端點及政策邊界。

Endpoint 與目的地控制依然重要，但 DMZ 應作為一致的檢查關卡，以防止繞過行為。每項控制措施都應對應至工作流程的特定階段，以便運維團隊能預測結果，而資安團隊也能驗證相關證據。

在 DMZ 中進行惡意軟體掃描時，若不依賴單一掃描引擎，則需採用多重掃描與分層偵測機制，以提升對已知及新興威脅的偵測覆蓋率。多引擎掃描結果應產生明確的判定結果（例如通過、失敗及未知），以確保工作流程保持確定性。

失敗的結果應繼續保留在隔離區，並建立升級處理流程。未知結果應繼續保留在隔離區，待進行進一步分析（例如沙箱觸發測試或更深入的檢查政策）後再作處理。DMZ 政策應明確定義超時設定、分析師審查步驟及釋放規則，以避免隔離區演變成無法控制的積壓。

當需要採取「預防優先」的淨化措施來移除活躍內容時，即使惡意軟體檢測報告顯示結果為乾淨，內容解除武裝與重建（CDR）仍優於僅靠檢測的方法。CDR 透過重建檔案來降低風險，在移除巨集或嵌入式物件等活躍元件的同時，依據政策保留檔案的業務可用性。

常需進行淨化處理的檔案類型包括辦公文件、PDF 檔案，以及可能攜帶腳本或內嵌有效載荷的壓縮檔。採取「淨化優先」的政策，不僅能降低對簽名覆蓋率的依賴，還能減少因「表面乾淨但經武器化處理」的文件進入營運技術（OT）環境所帶來的營運風險。

針對高風險或高影響力的檔案傳輸Sandbox 可透過動態分析偵測靜態掃描可能忽略的行為。Sandbox 應基於檔案類型、來源可信度、目標關鍵性，以及環境中觀察到的歷史威脅模式。

Sandbox 應作為政策決策的依據，並明確設定時間限制，以便營運團隊能預測可能產生的延遲。DMZ 政策應明確定義沙箱檢測結果如何對應隔離保留期、分析師審查要求，以及緊急維護情境下的升級處理流程。

針對跨區域檔案傳輸的資料外洩防護（DLP）應採用主動式管控措施，例如關鍵字與模式比對、分類處理，以及目的地限制。DLP 的執行應與「按流量」政策保持一致，以確保敏感資料不會傳輸至未經授權的區域或目的地。

應透過分階段執行及反映營運需求的流量特定白名單，來管理過度封鎖的風險。證據欄位應記錄所套用的 DLP 規則、比對結果及處置結果，以便合規報告能證明處理方式的一致性。

跨區域檔案傳輸的「最小權限」原則與審批流程，需建立在基於角色的存取控制、職責分離，以及配合變更時段與停機限制的時限性存取機制之上。最小權限政策應禁止使用共用帳戶，並應依據工作流程、傳輸目的地及檔案類型來界定權限範圍。

審批模型應透過採用一致的角色設定、一致的證據記錄方式，以及針對低風險流程的自動化處理，實現跨站點的擴展。治理機制還應定義緊急應變程序，並包含明確的記錄要求及事件後檢討規定。

針對 IT、OT 和 DMZ 檔案中介服務的基於角色的存取控制（RBAC）將職責劃分為提交者、審核者、發布者及 OT 檢索者等角色。RBAC 應確保提交者無法單方面將內容發布至 OT，並確保 OT 檢索者無法存取被隔離的內容。

與現有身分識別供應商進行身分識別整合雖可降低管理負擔，但仍應透過範圍界定、分段隔離及最小權限原則來控制 OT 身分識別風險。服務帳戶應針對每個工作流程保持唯一性，以支援稽核作業，並防止權限在無關的傳輸過程中被重複使用。

針對供應商的限時存取權限以及緊急情況，應採用會過期的憑證、限時權限，並依據工作流程設定範圍狹窄的存取權限。限時存取權限可降低持續性風險，並使存取時段與維護時程及變更核准時段相配合。

記錄要求應包含：誰提出存取請求、誰批准了存取、授予了何種權限範圍，以及在時限政策下傳輸了哪些檔案。緊急應變措施應產生一份明確的證據包供審查，以確保在緊急情況下能維持問責制。

符合合規要求的 IT、OT 和 DMZ 檔案傳輸審計記錄，必須能在 IT、DMZ 和 OT 環境間提供端到端的證據鏈，且無需依賴手動工單系統。審計記錄應透過工作流程各階段的一致識別碼，支援調查、合規報告及營運故障排除。

產銷監管鏈證據應包含：誰提交了檔案、進行了哪些檢查與消毒程序、誰批准了釋出，以及是否已確認送達。以 DMZ 為中心的記錄功能可降低對 OT 端點可視性的依賴，並維持網路分段架構。

用於證明「誰傳送了哪個檔案」以及「檔案傳送至何處」的最低限度日誌欄位，應包含使用者身分與服務身分、來源區域與目的地區域、檔案名稱、檔案雜湊值（例如 SHA-256）、各工作流程階段的時間戳記、所套用的政策、檢查與淨化結果、核准紀錄，以及傳送確認。關聯識別碼應將接收、隔離、檢查、釋放及傳送等事件相互連結。

一致的日誌欄位可確保跨多站點部署的可追溯性。雜湊運算不僅能確保不可否認性，還能透過證明傳輸路徑上的檔案完整性，協助進行事件應變。

應透過審計日誌，依據諸如重複失敗、政策違規、異常檔案類型、傳輸量異常，以及檢查引擎反覆出現的未知處理結果等警示條件，建立運作監控與警示機制。運作儀表板應追蹤吞吐量、隔離區積壓量及送達確認率，以維持系統可靠性。

SIEM 整合功能可支援安全關聯分析，而營運儀表板則可協助監控服務狀態及確保工作流程的可預測性。應針對各流量進行警報閾值調整，使關鍵目的地的警報能比低優先級的報告傳送更快地觸發升級處理。

在營運技術（OT）邊界網路（DMZ）中，託管式檔案傳輸與獨立 SFTP 伺服器的主要差異在於治理、檢查整合及可稽核性，而非協定支援。託管式檔案傳輸透過針對每個流量編排政策、執行隔離與審批，以及集中化證據蒐集，為分段式網路提供控制平面。

獨立運作的 SFTP 通常會成為依賴外部程序進行掃描、審核和報告的傳輸終點。Industrial 部署通常需要一致的控制點，且這些控制點必須能在多站點規模下保持可靠性。

部署於 DMZ 的獨立 SFTP 系統，通常在營運時間內會因手動審核、惡意軟體掃描不一致、共用帳戶、元資料擷取有限，以及跨多系統的日誌分散等問題而發生故障。手動步驟也會增加系統遭繞過的安全風險，特別是在緊急維護時段。

跨多站點的規模會放大差距，因為每個站點在掃描、資料保留及存取控制方面的實施方式往往略有不同。零散的證據也會拖慢調查進度，因為要證明證據的保管鏈，必須手動比對分散在各處的日誌和工單系統。

具備邊界感知能力的託管檔案傳輸應提供按流量進行的政策協調、隔離與釋放控制、整合式多層級檔案安全防護，以及跨區域的集中式可視性。此外，具備邊界感知能力的託管檔案傳輸還應支援多種檢查層級，包括在傳輸路徑中實施多重掃描、通訊資料記錄（CDR）、沙箱分析及資料外洩防護（DLP）措施。

OPSWAT MetaDefender File Transfer™ (MFT) 堪稱「安全優先」的託管檔案傳輸平台典範，其將 Metascan™Multiscanning、Deep CDR™ 技術、Proactive DLP™ 以及沙箱分析整合於統一的工作流程中。集中式治理機制可確保在 IT、IDMZ 及 OT 環境中一致地執行安全政策。

針對進入操作技術（OT）環境的檔案，CDR 檔案淨化與防毒掃描之間的差異，在於前者採行「預防優先、重建」的策略，後者則採行「偵測優先、識別」的策略來處理惡意內容。透過結合多引擎掃描、針對高風險檔案格式的淨化處理，以及針對可疑案例的可選沙箱分析，分層式控制措施能有效降低來自未知威脅及人工智慧生成威脅的風險。

篩選標準應將檔案類型與目標的重要性與控制層級相結合。相關政策應明確定義哪些檔案類型預設需進行淨化處理，以及哪些檔案類型僅需進行掃描，並設定相應的升級觸發機制。

防毒掃描雖能證明某個掃描引擎在掃描當下，基於現有的簽名檔和啟發式分析未能偵測到已知的惡意內容，但防毒掃描無法證明某個檔案在運維環境中使用是安全的。在關鍵環境中，漏報與新型威脅仍具有重大的營運影響。

經初步檢測為「乾淨」但仍具可疑性的案例，應繼續進行隔離，並等待多層次分析結果，包括多次掃描、沙箱觸發或淨化政策。工作流程的設計應確保即使檢測結果顯示為「乾淨」，系統仍會記錄相關證據，以便日後若發生運作異常時，能作為調查依據。

當必須降低活躍內容的風險時，即使檢測結果顯示無異常，採用 Deep CDR™ 技術進行的內容淨化仍是更安全的預設選項。透過移除或中和活躍元素，同時保留符合營運需求的可使用內容，此淨化流程能有效降低風險。

政策範例包括：針對進入高關鍵性 OT 中轉區的 Office 文件和 PDF 檔案實施「預設淨化」措施；對嵌套式歸檔檔案實施更嚴格的歸檔處理；以及根據目的地關鍵性，對工程產出物實施受控處理。淨化政策應記錄所進行的轉換內容，以保留證據鏈。

就營運技術（OT）檔案傳輸而言，資料二極體與雙防火牆 DMZ 之間的抉擇，實質上是單向強制與受控雙向工作流程（最終仍終止於 DMZ）之間的設計選擇。資料二極體設計透過其架構本身來強制單向傳輸，而雙防火牆 IDMZ 設計則透過政策與白名單來強制單向傳輸。

單向執行會改變工作流程的預期，因為確認回執和互動式疑難排解將受到限制。當使用案例需要雙向傳輸，且補償性控制措施仍明確且可稽核時，受控的雙向傳輸仍具有合理性。

當風險容忍度、法規要求或高風險環境需要嚴格的單向遠端監測，並要求縮小攻擊面時，在營運技術（OT）向資訊技術（IT）傳輸資料時，必須使用資料二極體。資料二極體的常見應用情境包括單向監測、向外複製歷史資料庫，或是受法規限制、禁止任何通往營運技術（OT）的入站路徑的環境。

運作上的權衡包括：透過互動式確認來驗證收件的能力降低，以及即時排除故障的能力減弱。工作流程設計應納入替代性的驗證方法，例如 DMZ 側的送達確認與不可變日誌。

工業級 DMZ 中的雙重防火牆透過檢查閘道、隔離控制及嚴格的政策執行，確保每個方向的流量仍終止於 DMZ 內，從而滿足受控的雙向需求。雙向工作流程應僅限於合理的使用情境，例如供應商更新傳送、受控資料匯出，或必要的對帳文件。

應將補償性控制措施記錄在案，包括嚴格的允許清單、固定端口、按流量設定的服務識別碼，以及審批要求。相關文件還應包含定期的防火牆規則重新認證程序，以防止規則過度擴張。

供應商透過 DMZ 將檔案傳送至營運技術（OT）環境時，應採用對供應商友善的工作流程，該流程須終止供應商在 DMZ 中的存取權限，並強制執行檢查、隔離、限時存取及稽核記錄。供應商工作流程必須防止供應商直接存取 OT 資產，同時確保交付時間可預測，以便進行營運規劃。

驗證與授權應限定於特定供應商的投放區及特定供應商的檔案類型。進入 DMZ 的釋出應需經記錄在案的批准，並應提供送達 OT 暫存區的確認。

若無共用帳戶或永久存取權限，供應商驗證應採用個別供應商身分、在可行情況下實施多重驗證，並配合維護時段設定有效期存取權限。供應商身分應限定於特定下載區，並受限於檔案類型政策，以降低風險。

存取權限應僅限於提交及狀態檢視，而非直接擷取 OT。供應商的存取權限還應包含針對允許目的地的政策執行，以確保供應商的封包不會被路由至經批准的 OT 中繼站以外的位置。

供應商檔案會先進入 DMZ 隔離儲存區，接著進行惡意軟體掃描，必要時進行清理，並在政策觸發條件適用時進行沙箱分析，最終從隔離區移至已核准釋出狀態。只有在獲得釋出核准，且政策處置標記該套件為已核准後，才應允許進行 OT 檢索。

核准作業應由具備職責分離的指定角色執行，例如審查員與發布員。證據記錄應包含檢查結果、資料清理措施、時間戳記以及核准者的身分。

OT DMZ 檔案傳輸的設定錯誤會因重新建立跨區域連線、削弱檢查閘門，或破壞審批與存取的追蹤機制而產生風險。要防止設定錯誤，必須建立明確的「禁止」模式、進行定期審查，並透過監控訊號及早偵測繞過行為。

易引發風險的模式包括共用身分識別、SMB 共用資料夾擴增、防火牆規則過度擴張，以及繞過隔離程序的手動複製步驟。相關標準應將這些故障模式轉化為可執行的架構與運作要求。

共用帳戶與手動複製步驟會破壞問責機制，因為共用憑證會消除不可否認性，並在調查過程中妨礙可靠的歸因。此外，手動複製步驟也增加了在時間壓力下跳過檢查步驟的可能性。

在提交、審查、發布及檢索等操作中，應明確區分角色並確立個人身分。採用具備審批功能的自動化工作流程，可減少對非正式做法的依賴，並產生一致的證據，以支援稽核及事件應變工作。

SMB 共用資源與防火牆規則的無序擴張會形成「隱形通道」，因為 SMB 存取模式往往隨時間推移而擴張，且廣泛的防火牆規則難以進行稽核。這些隱形通道會為未被追蹤的橫向移動創造機會，從而削弱網路分段的原始意圖。

透過服務固定與嚴格的允許清單，可減少意外擴展的情況。定期進行防火牆規則重新認證時，應確認每條規則皆對應於經核准的工作流程，且規則僅限於 DMZ 終端點，而非啟用端對端存取。

工業級 DMZ 檔案傳輸強化檢查清單透過將 IDMZ 控制措施轉化為可重複驗證的項目，從而標準化架構審查、站點導入及變更管理流程。工業級 DMZ 檔案傳輸強化檢查清單應符合 DMZ 終端處理、檢查閘道、治理工作流程以及稽核憑證的要求。

以檢查清單為導向的標準化措施，可減少各據點間的偏差，並提升安全相關方之間的協調一致性。檢查清單中的項目應以可驗證的陳述形式撰寫，以便在實施過程中進行測試，並在定期審查時重新認證。

針對終端位於 DMZ 的傳輸Firewall 強化檢查應驗證固定埠、嚴格的允許清單、無 IT 與 OT 之間的直接連線，以及無雙埠橋接系統。同時應限制管理存取模式，以確保管理存取不會在 OT 網路中形成隱蔽通道。

DMZ 系統的修補策略應配合維護時段，並以將服務中斷降至最低為優先考量。規則重新認證應確認每項規則皆對應於已記錄的工作流程，且終端處理仍維持在 DMZ 內。

針對高風險檔案類型的檢查與強化防護驗證，應確認多重掃描的覆蓋範圍、CDR 政策覆蓋範圍、沙箱觸發機制、壓縮檔處理限制，以及針對失敗與未知結果的隔離行為。壓縮檔處理應包含嵌套壓縮檔解壓縮的限制，以及真實檔案類型偵測檢查。

例外處理應要求記錄理由、獲得明確批准，並保留相關證據文件。此外，例外情況應觸發定期審查，以防止臨時豁免演變為永久性的規避途徑。

針對橫跨 IT、OT 及 DMZ 網路的受管檔案傳輸，需求提案書（RFP）應優先考量邊界管控、多層級檔案安全、集中式治理，以及針對分段環境的可稽核性。RFP 的措辭應以工作流程為核心，確保需求能反映出在 DMZ 中的終端處理、檢查閘道、審批流程及證據擷取等環節，而非僅著重於傳輸功能本身。

需求提案書（RFP）的規範應涵蓋高可用性、離線或網路受限環境下的運作，以及跨站點的一致性政策部署。規範應明確說明該平台如何執行「先推送至 DMZ，再拉取至 OT」的工作流程，同時避免建立跨區域的連線。

協定與連接器規格應涵蓋企業及工業環境中所需的通用協定，同時不應過度側重傳輸層。整合需求應包含對「儲存轉發」行為的支援，以及對受限或離線網路的支援。

需求提案書（RFP）應明確規定可預測的重試行為、適用於大檔案的可恢復傳輸，以及能配合廠區運作的頻寬控制機制。連接器規格亦應涵蓋服務身分識別的處理，並在可行情況下與身分識別系統進行整合。

政策編排要求應明確規範每條流量的政策定義、隔離與釋放工作流程、自動路由，以及職責分離。政策編排應包含傳輸路徑中針對多重掃描、通訊記錄（CDR）、沙箱測試及資料外洩防護（DLP）執行的明確整合點。

核准工作流程的要求應明確規定分級核准機制，並針對低風險流程建立自動化流程，同時須有文件記載的例外處理程序。此外，要求應明確規定各階段需擷取的證據欄位，以供稽核及調查之用。

可視性與稽核追蹤要求應明確規範報告、日誌欄位要求、保存控制措施，以及匯出至 SIEM 或集中式日誌平台之流程。不可變日誌要求應明確規範防篡改控制措施，以及用於證據檢索的存取控制措施。

送達確認要求應明確規定，須提供證明以顯示經核准的包裹已送達 OT 中轉站，並由授權身分領取。包裹證據要求應明確規定須包含雜湊值、時間戳記、檢查結果、核准資訊及關聯識別碼。

MetaDefender Managed File Transfer MFT) 解決方案由 MetascanMultiscanning、Deep CDR™ 技術、Proactive DLP 及沙箱技術驅動，是OPSWAT檔案傳輸 (MFT) 解決方案，透過集中管控經由工業 DMZ 進行的 IT/OT 檔案傳輸，有效降低檔案傳播的風險。