透過不安全的網路在不同地理位置之間傳輸敏感檔案時,必須考量檔案完整性、網路安全及資產安全等安全因素,以確保檔案未遭篡改。同樣地,敏感網路與關鍵基礎設施系統也必須受到保護,以防範潛在的入侵。
資料二極體與數位簽章
數據二極體歷來被用於在網路之間建立物理隔離的安全機制;然而,在不同地理位置之間傳輸檔案,會對發送端和接收端兩地都造成安全隱患。這為中間人攻擊提供了可乘之機。
為了實現不同地理位置間的安全檔案傳輸OPSWAT光學資料二極體結合了數位簽章、簽章驗證以及雙向 TLS 技術。 典型的解決方案包含兩組光學二極體,在傳輸工作流程的每個步驟中,皆會套用數位簽章並進行驗證。
資料二極體的工作流程如何運作
在以下示範中,A 站點(藍色 A/紅色 B)與 B 站點(藍色 B/紅色 B)各部署了一組光二極體,此外,來源網路與目的地網路中也已部署了檔案伺服器。
Optical Diode (藍色 A)Server 複製一個檔案Server 對該傳入檔案Server 數位簽章Server 使用者可從憑證授權機構取得簽章用的私鑰與公鑰,或使用自行生成的密鑰對。 藍色 A 使用私鑰對其經 SHA256 雜湊運算處理的內容進行簽名。該檔案連同包含數位簽名的元資料,經由光二極體從藍色 A 傳輸至紅色 A。
一旦 Red A 驗證了傳入檔案的數位簽章,該檔案及其元資料便會透過不可信網路從 Red A 傳輸至 Blue B。為確保在非安全網路上的機密性,採用了相互 TLS 來保障兩端之間的通訊安全。
BLUE B 收到檔案後,會驗證雜湊值和數位簽章以檢查檔案的完整性,然後將檔案從 BLUE B 傳輸至 RED B,RED B 則會使用公開金鑰驗證檔案的數位簽章。 具有有效數位簽名的檔案將由 RED B 傳送至目標檔案Server 。
業界領先的數據二極體與整合式OT Security
透過將光學二極體與數位簽章及驗證技術相結合,並在不安全的網路環境中採用相互 TLS 通訊,可建立一套全面的安全框架。此框架有助於確保檔案完整性,並保護關鍵數位資產及敏感網路。
MetaDefender Diode™ 解決方案 提供 在 IT 與 OT 網路之間透過硬體強制執行單向資料傳輸,在確保網路隔離的前提下,支援安全的資料複製與營運可視性。
若想進一步了解 OPSWAT 如何協助OPSWAT 協助確保跨多站點的資料傳輸安全,請立即聯絡專家。
