傳輸廣播 UDP 資料的安全障礙
發電設施需要持續的即時監控,以確保電網穩定及最佳效能。根據Check Point Research的資料顯示,2024 年針對公用事業的網路攻擊增加了 70%,記錄在案的公用事業網路攻擊達到 1,162 次,因此這項需求變得更加重要。北美電力可靠性公司 (North American Electric Reliability Corporation) 指出,電網漏洞正在迅速擴大,隨著公用事業公司整合新技術並擴大其基礎結構,每天都會有約 60 個新的易受攻擊點加入電網,使得這項挑戰更加複雜。
對於這家為九個州 300 萬用戶提供服務的大型電力公司而言,渦輪機透過廣播 UDP 封包傳輸重要的作業資料,這些資料對於透過停電與交換管理系統進行即時效能監控至關重要。然而,該電力公司的安全防火牆封鎖了廣播 UDP 流量,作為標準安全協定的一部分。這樣做會讓系統容易受到廣播擴大攻擊,並降低網路效率。同樣地,如果不安裝專用的硬體替代方案來保護這些關鍵資產的安全,規避防火牆也不是一個好的選擇。由於發電設施根據聯邦法規被歸類為關鍵基礎設施,因此維持強大的網路安全勢態是不容妥協的。
傳統的解決方案需要大量的設備升級、複雜的網路重新配置,或是昂貴的企業級資料二極體解決方案,每次安裝可能需要數萬美元。如果有多個渦輪站需要監控,這些成本很快就會升級到數十萬美元。
使用單向資料路徑監控渦輪機
公用事業公司採用OPSWAT MetaDefender Optical Diode (Fend) 作為針對其渦輪機監控挑戰的解決方案。
透過在現場中央交換機與 OSM(停機與交換管理)系統之間的網路拓樸中加入OPSWAT 光資料二極體,從每個渦輪機接收到的廣播 UDP 流量就能以物理強制的單向方式安全地轉送到 OSM 系統,所有這一切都不需要升級任何現有設備以達到兼容性。
如何運作
- 渦輪機透過交換器,以廣播 UDP 模式將資料轉送到子網路上的每個 IP 位址
- 輸入端接收流量:Fend 資料二極體的輸入端連接到交換器,並設定為同一子網路上的 UDP 伺服器,接收 UDP 廣播流量
- 單向光學隔離:輸入端將資料跨過內部單向光學隔離層傳送到二極體的輸出端
- Secure 傳送至 OSM:輸出端作為與目標 OSM UDP 伺服器位於相同子網路的 UDP 用戶端,直接將 UDP 流量傳送至 OSM 系統的 IP 位址
結果:資料會傳送到目的地,但不會傳回受保護的設備,提供完整的單向安全性。
業界最佳實務:關鍵基礎設施的深度防禦
此方法符合關鍵基礎設施保護的既定網路安全框架。美國國土安全部建議使用資料二極體保護能源基礎設施,作為深度防禦策略的一部分。在某些領域,例如核能,核管理委員會要求使用資料二極體。
OPSWAT MetaDefender Optical Diode (Fend) 提供了一種易於部署且符合成本效益的方式,既能符合法規要求,又能改善安全勢態,適合各種規模的公用事業公司使用。
Secure、即時存取渦輪機資料
如今,公用事業公司可即時接收來自渦輪機的作業資料,而不會因遠端威脅媒介而影響安全性。實體強制執行的單向資料流可確保即使 OSM 系統受到攻擊,攻擊者也無法回到作業技術環境中。
主要優點
符合成本效益的擴充
OPSWAT 光學資料二極體的成本僅為傳統資料二極體產品的一小部分,因此多站部署經濟實惠。
輕鬆部署
緊湊型設計可輕鬆置入任何設備機櫃,配置簡單,維護需求極低
無設備升級
可與現有基礎架構無縫運作,無須修改渦輪或交換器
可靠的保護
Hardware單向資料流提供軟體解決方案無法比擬的安全性保證
網格的可擴充現代化
隨著OPSWAT MetaDefender Optical Diode (Fend) 在其渦輪機監控站點的成功實施,該公用事業公司建立了一個行之有效的模式,以保護運營技術資料流的安全。由於他們持續更新電網基礎架構,並整合新的監控功能,因此他們現在擁有了可擴充、經濟實惠的解決方案,而不必被迫在作業能見度與網路安全之間做出選擇。
Secure 您的關鍵基礎設施Secure 無虞
您的組織是否也面臨 OT 資料可視性與安全性的類似挑戰?OPSWAT MetaDefender Optical Diode 提供硬體強制的單向資料傳輸,可保護關鍵基礎架構,同時維持您所需的即時作業洞察力。
