什麼是資料二極體?
資料二極體是一種硬體網路安全裝置,用於確保網路間的資料僅能單向流動。其運作原理是利用光纖將資料單向傳輸,一端設有發射器,另一端則設有接收器。
與防火牆或軟體控制不同,它透過實體隔離來確保資訊僅能單向傳輸,使外來攻擊在結構上根本無法實現。就像重力一樣,二極體的運作原理基於物理定律,這些定律幾乎不可能被繞過。
二極體的應用情境涵蓋多種結果:
- 透過物理層面強制實施的單向通訊:若安全性較低的網路遭到入侵,該入侵事件在物理層面上無法擴散至安全性較高的網路
- 安全區域之間的真正網路隔離:透過強制實施的邊界,防止威脅在組織的基礎架構中橫向擴散。即使有一台裝置遭劫持,也無法滲透整個系統
- 防禦網路威脅:攻擊者無法遠端指令受保護的系統進行驗證、修補、更新或回應訊號。由於傳入通訊在物理上根本無法實現,因此不存在可供攻擊者利用的攻擊面。
- 高安全等級與低安全等級環境間Secure :資料僅能單向自由流動,絕不會為高度機密環境開啟任何通道
傳統資安工具僅能防禦現有的攻擊,而資料二極體則能徹底消除整類攻擊的威脅。
MetaDefender X:為單向安全解決方案增添內建威脅偵測與檔案淨化功能
MetaDefender X 結合了透過硬體強制實現的單向資料流,以及透過MetaDefender 平台新增的檔案安全層。其市場領先的技術能在任何檔案於網路間傳輸之前,偵測、分析並消除已知與未知的威脅,包括零日攻擊在內。
- Predictive Alin AI 是OPSWAT基於人工智慧的惡意軟體偵測引擎;無需執行檔案,即可預測其風險等級,且誤報率僅為 0.1%
- Metascan™Multiscanning 可同時運用多達 10 個以上的反惡意軟體引擎,不僅能提升惡意軟體偵測率,同時降低誤報率
- Deep CDR™ 技術能對 220 多種檔案類型進行遞迴式清理,移除所有活躍及潛在風險的內容
- 「主動式 DLP™」層會在敏感資料進入或離開網路之前,先將檔案中的敏感資料移除、遮蔽或加上浮水印
- Adaptive Sandbox 基於模擬的動態分析,用以檢測複雜或具有隱蔽性的威脅。該技術還能提取可採取行動的 IOC(入侵指標),並大規模支援 SOC(安全運作中心)、威脅情報及威脅獵捕工作流程
MetaDefender X – 主要功能與優勢
本產品專為高安全性環境設計,可在無需建立雙向網路連線的情況下,實現可信賴的資料交換與檔案 安全。
- Hardware空氣間隙保護:安全性是在物理層上實現的,而非透過可能被修補、設定錯誤或遭惡用之軟體來達成
- Secure 資料傳輸:資料僅朝一個方向流動,這使得外部入侵攻擊在結構上根本不可能發生,而非僅僅是發生機率極低
- 因非路由通訊而導致的協定中斷:網路之間的連線從來都不是有效的網路路徑,因此即使攻擊者成功入侵某個系統,也無路徑可供其穿越
- 快速部署與簡易管理:預先設定以利快速上線,讓資安團隊能將時間投入在營運上,而非系統設定
- 通過通用標準 EAL4+ 認證的安全性:依據國際公認的硬體安全基準經過獨立驗證,為採購與合規團隊提供所需的保障
支援的通訊協定;專為融入您的現有基礎架構而設計
MetaDefender X 解決方案無需企業調整現有的工作流程,並支援大多數企業及政府環境現已採用的通訊協定。
- 檔案傳輸:包括 FTP/SFTP、SMB/CIFS、Windows 檔案共用、資料夾與檔案複製、防毒軟體更新,以及透過 WSUS 進行的修補程式分發
- 針對資料串流:支援 HTTPS、Syslog、TCP 及 UDP,涵蓋資安團隊日常運作所倚重的監控與警示流程
其結果是實現了透過硬體強制執行的一向通訊,並結合OPSWAT先進檔案安全功能,卻無需面對整合帶來的困擾。
此外MetaDefender X 為您的資料安全政策帶來可擴展的效能,傳輸速度為 100 Mbps,並可升級至 1 Gbps 或 10 Gbps。對於無法透過網路物理隔離來解決問題的環境,組織可部署背對背模式,透過兩組二極體實現雙向工作流程。
數據二極體在現代各產業中的部署方式
資料二極體專為絕不容許發生資料外洩的環境所設計。這意味著在這些領域中,資料必須能單向自由流動,同時其後方的網路則須完全隔離。資料二極體在這些環境中的應用情境包括:
政府與國防領域中的機密資訊保護
對於政府和國防網路而言,單一遭入侵的連線便可能威脅國家主權。
為此,系統採用二極體機制,以確保跨網域資料傳輸以及不同機密等級間的情報共享安全無虞,範圍涵蓋從檢查機制較為寬鬆的低機密等級,到機密等級最嚴格的高機密等級。
資料二極體亦能保障用於任務規劃的航空氣象資料傳輸安全,確保關鍵資訊能傳送至正確的系統,同時避免形成可被利用的回傳路徑。
金融服務中的資金轉帳保護
金融機構仰賴資料二極體,以確保備份資料能安全地傳輸至災難復原站點,並保護警示與監控資料的流動。
資料中心Secure 監控
在資料中心中,同樣的原則也適用。透過在關鍵節點部署二極體,基礎設施警報與遠端供電系統監控訊號便能安全地向外傳輸,同時避免核心系統暴露於入站流量之下。
在 DevOps 中確保管道安全
在 DevOps 環境中,資料二極體可讓軟體映像檔與更新安全地推送至受限網路,確保開發管道絕不會成為入侵入口。
運輸業中的安全檔案傳輸與遠端篩查
在運輸領域中,二極體可保護貨運清單檔案的傳輸以及來自安全檢查系統的監控資料。當資料完整性與網路隔離均具有法規重要性時,二極體能確保安全的單向通訊。
情報行動中的資料管控
情報環境要求最高標準的數據管控。
資料二極體可確保文件保管鏈的安全性,並實現網路間的情報共享,且資料絕無可能透過該連線逆向傳回。
透過OPSWAT整合式解決方案,Secure且受政策規範的檔案交換
MetaDefender X 並非作為獨立工具運作,而是能整合至現有的OPSWAT 架構中,將防護範圍延伸至整個資料傳輸工作流程。
MetaDefender Diode™ 是OPSWAT由硬體強制執行的單向資料傳輸解決方案,透過光纖在物理層面上確保通訊僅為單向。作為MetaDefender X 的核心硬體組件MetaDefender Optical Diode 獨立解決方案,直接與其他OPSWAT 整合,讓組織能將硬體強制執行的單向傳輸功能延伸至現有的檔案安全與傳輸工作流程中。
MetaDefender Optical Diode MetaDefender Managed File TransferTransfer™
MetaDefender Managed File Transfer 將檔案安全、加密及政策執行功能整合至 IT 與 OT 環境中的自動化檔案傳輸工作流程中。
結合MetaDefender Managed File Transfer MetaDefender Optical Diode 以下領域的關鍵檔案傳輸需求:
- ICS(Industrial 系統)/SCADA(監控與資料擷取系統):透過安全的單向傳輸流程,將第 1 層與第 2 層的日誌及運作資料匯出至 IT 系統,藉此防止風險滲入 OT 環境
- 關鍵基礎設施:在受保護的營運網路與企業系統之間,安全地傳輸檢驗報告、維護紀錄及營運文件
- 防禦:透過受控且基於政策的工作流程,並配合硬體強制執行單向傳輸,在安全分級等級不同的網路之間傳輸檔案
- 製造與製藥業:在確保安全性、完整性及符合法規要求的前提下,於營運技術(OT)與資訊技術(IT)環境之間安全地傳輸品質保證文件、批次記錄及生產資料
MetaDefender Optical Diode MetaDefender Kiosk™
MetaDefender Kiosk OPSWAT可移除媒體安全解決方案,可防止周邊媒體威脅滲入關鍵環境。
MetaDefender Optical Diode MetaDefender Kiosk 非常適合需要在實體入口處安全接收檔案,同時強制執行單向資料傳輸至受保護環境的組織。
- Industrial :將配置檔案、軟體更新及工程資料安全地導入運作環境,同時防止威脅滲入關鍵系統
- 國防與公共部門:透過安全且基於政策的工作流程,管控可移除媒體的掃描、驗證,以及檔案導入機密或高度敏感環境的流程
- 醫療保健與製藥業:在各網路層級之間安全地傳輸診斷影像、病歷及研究資料,同時確保資料完整性並符合法規要求
MetaDefender Optical Diode MetaDefender Core™
MetaDefender Core OPSWAT先進威脅偵測與防禦平台,旨在於檔案執行前識別其中潛藏的威脅。配合MetaDefender Optical Diode 使用,該平台可確保僅有可信檔案能進入受保護環境,同時維持完整的網路隔離。
此組合最適合:
- 關鍵基礎設施,可確保合規報告、運作日誌及工程檔案能安全地傳輸至受保護的網路,同時防範來自外部的網路威脅
- 國防與國家安全:透過硬體強制執行單向傳輸及先進威脅偵測技術,在不同信任等級的網路之間傳輸經刪除敏感資訊的情報、任務及作戰檔案
- 醫療保健與製藥產業,支援在各網路層級間安全地交換病歷、診斷資料及檢驗報告,同時確保資料完整性並符合法規要求
- 製造與能源領域,將生產日誌、設計檔案及韌體更新安全地傳輸至隔離的運作環境,同時避免關鍵系統暴露於外部威脅之下
敏感環境中的受控資料流
若貴組織需要將資料從敏感環境中移出,同時避免建立資料回流的通道,資料二極體可提供由硬體強制執行的單向通訊機制,在降低網路風險的同時,仍能維持營運可見性。
歡迎與我們聯繫,了解單向資料傳輸如何為您的基礎架構降低風險。
