網路安全向來不是一項容易解決的挑戰,但在關鍵基礎設施產業中,防禦者的處境更是獨樹一幟。
這一切始於這些對手——他們並非那些企圖趁機撈一筆、尋求快速獲利的犯罪分子。
我們所指的,是利用政府資源運作的國家資助組織,或是目標涵蓋從勒索軟體到長期間諜活動等各類行為的有組織網路犯罪集團。
若說事態嚴重,那還遠遠不足以形容;聯邦調查局(FBI)的《2024年網路犯罪報告》記載,關鍵基礎設施組織提出的投訴超過4,800起。這個數字乍看之下似乎不算多,但若以全年為單位來檢視,情況便大不相同;從統計學角度來看,這個數字意味著每天發生13起攻擊,平均每兩小時就發生一起。特別是對國防組織而言,一次成功的攻擊便可能直接動搖國家主權。
在如此嚴峻的威脅環境下,相關運作必然遵循嚴格且不容妥協的合規框架,例如英國的NCSC(國家網路安全中心),這一點並不令人意外。
與此同時,符合 NCSC 規範的安全解決方案必須能在整個系統中複製部署。由於國防組織具有多層次結構,因此其防護措施必須採模組化設計,並能適用於整個組織,而不僅限於最初識別出該需求的單位。
正是在這樣的背景下,一支北約主要海軍部隊與OPSWAT 展開合作OPSWAT 明確的任務:開發一套經認證且符合 NCSC 標準的 CDS(跨領域解決方案),該方案須能超越單一師級單位的規模,並作為廣泛採用的基礎。
在零監管彈性下,為多種檔案類型與分支設計可擴展的 CDS 架構
我們的客戶面臨了一項挑戰,起初看來似乎無解。
為不同分類層級之間的 IMPEX(進出口)資料流建置 CDS 解決方案,並符合 NCSC 嚴格的網路隔離要求。該解決方案必須具備可擴展性與可重複性,能應用於多個國防部門;支援多種檔案類型;並在面對網路威脅時維持最高程度的韌性。
讓我們依序來看看每一層。
不存在任何已核准的 IMPEX 跨網域閘道
政府及國防機構內的機密網路,需要針對 IMPEX 資料流制定經正式核准的規則,並透過 IMPEX 跨域閘道器加以執行。此閘道器最初並未存在於我們客戶的系統中。
實際上,這意味著 IMPEX 作業根本沒有任何經核准的數位流程。缺乏此流程的情況下,客戶便無法以可追溯且符合稽核要求的方式,在不同機密等級之間傳輸資料。
支援多種檔案類型所需的檢查功能
多種資料類型正在穿梭於不同機密等級的網路之間:使用者檔案、安全性修補程式、硬體韌體更新、容器化應用程式,以及客製化的軍事軟體,全都必須穿越同一道邊界。這些資料必須經過徹底檢查,以確保沒有任何惡意元素能滲透至高度機密的環境中。
然而,資料規模越大、結構越複雜,就越難確認其是否乾淨。某些檔案類型無法被視為普通文件。修補程式、安裝程式、韌體、腳本以及客製化的軍事軟體都需要進行行為檢測,因為僅靠靜態掃描無法證明它們一旦被引入機密環境後會如何運作。同時,任何檢測範圍的缺口都可能危及邊界本身的安全。
嚴格的標準要求必須實現絕對的網路隔離
NCSC 框架針對資料在各分類層級間的流動方式,訂定了嚴格的規範。其中核心要素是 SEF(安全強制執行功能):這些安全檢查涵蓋從惡意軟體偵測到格式驗證等各個層面。
在 NCSC 的規範下,該客戶必須制定嚴格的網路隔離規則(SECRET/OPEN 機密等級)。機密與非機密環境絕不能相互通訊,而 CDS Gateway 則扮演著絕對隔離屏障的角色。
若未能通過 SEFs 掃描,可能會導致惡意檔案滲入機密網路,或造成敏感資訊外洩。
打造一套適合更廣泛採用的解決方案
這項要求從來就不是僅僅為了解決單一問題。
該政府部門涵蓋多個分支機構、機關、據點及指揮單位,而客戶所部署的跨領域解決方案必須能涵蓋所有這些單位。
若某項措施僅在特定情境下有效,將導致該部門的其他部分面臨同樣的缺口。客戶需要建置一套系統,使其能成為一致的標準,並擴展至整個組織。
當容錯空間為零時:一種分層式、經 NCSC 認證的跨網域架構
客戶提出的挑戰,無法僅靠單一產品來解決。
OPSWAT 由多項產品與技術支撐的多面向架構,其中每一層級皆致力於實現更廣泛的目標:確保沒有任何內容能在未經檢查的情況下跨越分類界限。
透過MetaDefender Optical DiodeDiode™實現物理網路隔離
該架構的基礎仰賴硬體資料二極體,其能在網路層級強制實施單向資料流動。與可能配置錯誤或遭繞過的軟體控制機制不同,硬體二極體在物理層面上使資料逆向流動成為不可能。
物理上的限制確保了符合 NCSC 要求的「機密」與「公開」網路之間絕對分離。
MetaDefender Optical Diode IT 網路與 OT 網路之間安全且由硬體強制執行的單向資料傳輸,使流量從較低保密等級流向受保護環境在物理上成為不可能。
透過MetaDefender Core™平台進行多層級檔案處理
每個穿越邊界的檔案都會被MetaDefender Core 攔截並檢查,其檢查深度會根據目標環境進行校準。
進入 SECRET 網路的檔案會經過完整的防護層:透過多引擎多重掃描來提升偵測率,並運用 Deep CDR™ 技術清除任何隱藏威脅。Adaptive Sandbox 對可疑檔案Sandbox 基於模擬的動態分析,迫使具有隱蔽性的惡意軟體顯露其行為,這些行為在靜態檢查或傳統基於虛擬機器的沙箱環境中可能無法被偵測到。
移入較低安全等級環境的檔案,僅會透過多個反惡意軟體引擎進行掃描,以確保每個資料流都能獲得一致的保護。
MetaDefender Core OPSWAT進階威脅偵測與防禦平台;它整合了 Deep CDR™ 技術、Metascan™Multiscanning以及Adaptive Sandbox 保障關鍵基礎設施中的檔案工作流程安全。
運用MetaDefender Managed File TransferTransfer™技術實現自動化檔案傳輸
MetaDefender 的「Managed File Transfer 可自動化處理客戶所處理的所有各類資料的匯入/匯出作業,並建立一套受管控且可稽核的資料傳輸管道。
沒有任何物品能手動移動、沒有任何物品能未經追蹤而移動,也沒有任何物品能繞過檢查層。
MetaDefender Managed File Transfer 基於政策的控制措施與整合式威脅防禦Managed File Transfer 敏感檔案能在組織、系統或安全區域之間安全地傳輸。
NCSC 認證架構
基於OPSWAT產品建構的架構,遵循了 NCSC 針對跨域資料流所制定的安全模式。該架構成為首個獲得政府認證的 IMPEX 解決方案,這意味著組織內的其他部門無需從頭重新設計,即可將其作為統一標準加以採用。
一次建好,做對,並擴展至每日處理 100 萬筆以上檔案
歸根結底,CDS 的核心問題在於如何將正確的組件整合成一個系統,使該系統能在最嚴格的法規下運作,涵蓋所有檔案類型,並達到實際國防行動所要求的規模。
這個環境毫不留情:對手手段高明且動機強烈,對合規缺口絕不姑息,且容不得任何失誤。
對我們的客戶而言,大規模的 CDS 已非難題。我們攜手建構了一套經過認證、模組化的架構,其擴展能力足以處理每日超過一百萬個檔案。
若這聽起來很簡單,那只是因為OPSWAT 二十多年來OPSWAT 專注於檔案安全領域,並在關鍵基礎設施中最嚴苛的環境中持續深耕。
無論貴公司正面臨類似的跨網域挑戰,還是更普遍的關鍵基礎設施檔案安全問題OPSWAT 豐富的經驗可提供協助;歡迎與我們洽談。
