廢水處理 | 客戶故事

Secure 資料傳輸讓水務運作更安全

美國自來水公司使用MetaDefender 光二極體™ (Fend) 將 AVEVA™ Historian 資料複製到企業網路，而不會破壞 OT 氣隙

分享此文章

關於本公司：這家大型供水及廢水管理公用事業公司負責為數十萬居民及企業提供安全可靠的服務。其營運包括多個處理設施、抽水站和監控系統，以確保每天都有乾淨的水流進來，並安全地處理廢水。

什麼故事？該公用事業公司需要將資料從其中一個設施的 AVEVA™ Historian 轉發到其企業網路上的另一個 1 級 AVEVA Historian。由於企業網路連接至網際網路，而 OT 系統必須保持空氣間隙，因此直接連接並不是一種選擇。為了解決這一挑戰，該組織部署了MetaDefender Optical Diode™ (Fend) 和 eRIS 軟體平台。這樣的組合可在企業網路上建立設施 Historian 的數位孪生系統，提供即時的可視性，同時維持 OT 系統嚴格的實體隔離。

由於業務的性質，本故事中出現的組織名稱將保持匿名。

產業：

水與廢水管理

地點：

美國

規模：

大型區域公用事業（確實數字未公開）

使用產品：

MetaDefender Optical Diodes™ (Fend)

近年來，針對美國廢水處理設施的網路攻擊突顯了作業技術的脆弱程度。2024 年初，德州多座城市的 SCADA 系統遭到攻擊者遠端存取，甚至造成水箱溢水，員工才重新取得控制權。印第安納州 Tipton 也發生了類似事件，在工廠系統偵測到異常活動後，操作員不得不改用手動操作。這些事件突顯了將處理基礎建設連接至企業或網際網路的風險，並強調為何這家公用事業公司不能在保持其 OT 系統 air-gapped 方面妥協。

安全性與可視性的碰撞

瞭解歷史資料

AVEVA Historian 是專門的工業資料庫，用來擷取和儲存來自傳感器、控制器和 SCADA 平台等 OT 系統的大量時間序列資料。在設備層級，本地 Historian 會為操作人員記錄製程資料 (由工業控制系統和感測器產生的原始作業資訊)，以確保他們能即時監控設備和處理活動。

第 1 級企業級 Historian 則扮演不同的角色：它彙集來自多個設施的 Historian 饋送，為企業團隊提供報告、分析和規劃的整合檢視。當資料需要從這些本機 Historian 移動到企業層級時，就會出現挑戰，而無法打開通路回到關鍵的 OT 系統。

Secure 資料分享的挑戰

在其中一個設施中，公用事業需要將本機 AVEVA Historian 中的資料轉發到企業網路上的第一級 Historian。這些資料對於企業級的監控和報告非常重要，但企業網路的網際網路連線使得直接整合變得不安全。

保持 OT 系統的隔離非常重要，因為任何回到控制環境的途徑都可能成為攻擊的媒介。同時，將 Historians 隔離也限制了組織在不同地點分享洞察力並提高效率的能力。我們面臨的挑戰是如何達成這兩個目標：既要保持嚴格的隔離，又要實現即時可視性。

防火牆和其他軟體型工具並不足夠。它們無法保證單向溝通，需要持續維護，而且仍然讓重要資產暴露在風險中。因此，該組織需要一個既能執行實體隔離，又能允許重要資料向外移動的解決方案。

建立即時資料的Secure 路徑

eRIS 是MetaDefender 部門常用的資料管理和報告工具，可安全地轉譯和傳送 HistorianOptical Diode ，因此非常適合此次部署。

MetaDefender Optical Diode (Fend) 是一款硬體強化的網路安全設備，使用光學隔離來保證單向通訊。根據設計，它可以實體阻斷任何入站流量，防止遠端存取或惡意軟體入侵，其內建的防止拒絕服務、篡改和電力波動的保護功能，可確保即使在壓力下，Historian 資料也能持續可靠地流動。

以下是部署工作的流程：

eRIS 安裝：eRIS 軟體以 Windows 服務的方式安裝在現有的 OT AVEVA 伺服器上，將 Historian 資料轉換成單向格式。
光學隔離：資料可安全地透過MetaDefender Optical Diode (Fend)，以硬體級的光學隔離強制單向傳輸。
通訊協定支援：本裝置同時支援 FTP、SFTP、TCP 和 UDP 等標準 IT 通訊協定，以及 Modbus 和 BACnet 等工業通訊協定，非常適合 Historian 資料傳輸。
企業轉換：在企業端，eRIS Hub 將資訊轉換回 AVEVA 格式，並準備將資訊擷取至第 1 階 Historian。