2025年10月,澳大利亚信号局(ASD)发布了《关键基础设施强化计划》(CI Fortify),这是一套旨在增强关键基础设施环境网络韧性的建议。
该指南出台之际,关键服务运营商正面临严峻的现实:在重大网络安全事件期间,已不能再理所当然地认为网络连接是可靠的。
ASD的指导文件阐明了战略背景(cyber.gov.au):“澳大利亚的关键基础设施(CI)一直是、并将继续是国家支持的网络行为体的诱人目标。澳大利亚已加入多国联合发布的预警,提醒人们注意国家支持的行为体针对关键基础设施的威胁,正如近期 Salt Typhoon 预警中强调的,针对关键基础设施的威胁。”
澳大利亚安全情报组织(ASIO )发布的 《2025年年度威胁评估报告 》指出,间谍活动和外国干预已达到极端水平,预计未来将进一步加剧[1]."
在此背景下,CI Fortify 为基础设施运营商概述了两项关键的韧性能力:
- 能够在维持关键服务的同时,将关键的运营技术(OT)系统和辅助系统与周边网络隔离长达三个月。
- 当环境完整性存疑时,能够从可信来源快速重建这些系统。
对于运营技术环境而言,这不仅仅是网络安全指南——它是一项基本的韧性设计原则。
为隔离而设计:一种早于现代OT Security的思维方式
早在工业网络安全成为广受关注的学科之前,许多运行环境就已经在各种约束条件下运作,这些约束迫使系统在设计之初就具备韧性。
在 20 世纪 90 年代和 21 世纪初的早期电信网络中,系统在设计之初就预见到连接可能会中断。架构师们假设系统对外部的依赖有限,而恢复流程则依赖于已知有效的离线备份和受控的系统重建。
这种思维方式与CI Fortify目前针对关键基础设施环境所倡导的理念高度契合。
关键的运营问题很简单:
- 如果必须立即切断运营技术(OT)系统与外部网络之间的连接,关键服务能否在最低运行状态下仍安全运行?
- 如果对环境的信任受到动摇,关键系统能否在不依赖临时应变的情况下迅速且有把握地重建?
这些是工程方面的问题——但它们对整个组织具有战略意义。
为何运营技术(OT)隔离准备工作的重要性不仅限于安全团队
尽管 CI Fortify 源自一家网络安全权威机构,但其影响远不止于安全运营。
隔离的影响:
- 业务连续性
- 供应商访问与远程维护模式
- 跨域自动化与集成
- 事件响应流程
- 公司治理与监管报告
在许多工业环境中,隔离运营技术(OT)网络可能会扰乱那些围绕连接性和自动化逐步发展起来的业务流程。因此,韧性规划必须包括明确的运营责任归属、有据可查的手动流程以及明确的权限结构。
对于首席信息安全官、工程负责人和关键基础设施运营商而言,韧性不再仅体现在防御性控制措施上。它体现在清晰的认知和充分的准备上:
- 隔离期间哪些系统仍可正常运行
- 哪些服务出现性能下降或故障
- 哪些任务必须手动完成
- 通过系统重建,信任可以多快恢复
能够自信地回答这些问题的组织,在应对大规模网络中断方面具有更大的优势。一个切实可行的起点:单页韧性控制图
目标很简单:制作一份单页的控制图和缺陷清单,用于规划、投资决策以及审计沟通。
- 为每项关键服务定义最低运行状态——首先识别每项关键服务,并定义为保障安全及基本功能所必须维持的最低可接受运行状态。
- 确定关键的运营技术(OT)系统和支撑系统——针对每项关键服务,确定哪些系统对于维持其最低运行状态而言确实至关重要(并非所有系统都至关重要)。为每个已确定的系统指定明确的负责人,以确保在事件响应和恢复过程中明确责任归属
- 绘制隔离点及依赖关系图 - 确定可实施隔离的位置,然后绘制出在隔离发生时会导致故障的任何依赖关系。例如,时钟同步依赖于 NTP 时间源,这意味着毫秒级的时间偏差可能会导致高可用性集群不稳定,并触发故障转移。
- 设定阈值与权限——明确部分隔离和完全隔离的触发条件,并指定具有行动权限的人员。同样重要的是确定谁有权发起这些行动,这通常通过阈值-权限矩阵来定义。
- 隔离期间的手动操作计划——隔离措施不可避免地会打乱自动化工作流程。请向负责人详细说明需要执行的手动操作。切勿走捷径。如有需要,请联系相关供应商,探讨可能的替代方案并寻求帮助。
- 定义最低限度的外发遥测数据——即使在隔离期间,操作人员也必须确保不丢失可视性。应明确安全运行所需的最低限度的外发数据,例如安全监控遥测数据、安全警报、日志以及历史数据复制数据。这可确保运维团队保持态势感知能力。
- 验证系统是否已做好重建准备——确保所有备份均可正常使用且可靠。关键系统的固件、配置和流程必须具备已知良好且经过测试的离线备份,且这些备份中绝不能包含可能导致此次故障的恶意软件。
- 编制单页文档——将上述所有内容总结在一页纸上,供紧急情况时使用。内容应包括:关键服务及最低运行状态、关键系统及负责人、隔离点及依赖关系、阈值及决策权限、手动操作计划、最低外发数据要求、系统恢复就绪状态及存在差距。
CI Fortify 与MetaDefender™平台
在过去的二十年里,许多行业通过数字化转型和增强互联性,显著提升了运营效率。CI Fortify 提醒我们,真正的韧性在于能够在更少的互联条件下运行——而非依赖更多的互联。那些认真对待这一理念的组织,往往能在事件发生时减少运营中的突发状况,并使网络治理与工程执行之间达成更清晰的协同。
压力测试很简单:在隔离状态下,企业能否安全地维持关键服务;在信任度较低的情况下,能否迅速重建关键系统。
OPSWAT MetaDefender 提供了专门设计的功能,可直接满足这两项核心韧性要求——隔离准备就绪和可信重建。
MetaDefender Industrial Firewall 通过在最关键的层级上强制实施IT网络与OT网络之间的严格隔离,增强了组织实施和维持网络隔离的能力。MetaDefender Industrial Firewall 专为ICS、OT和SCADA环境设计,Firewall 于普渡模型第2层至第3.5层,保护最接近物理流程的资产。
其Firewall 模式有助于监控和学习正常的网络流量,自动生成反映合法运行行为的安全策略——从而能够在不影响生产的情况下,定义并实施精确的隔离边界。 针对特定协议的深度数据包检测(DPI)技术,可对包括 Modbus、EtherNet/IP、S7Comm、DNP3、OPC-UA、BACnet、PROFINET 以及其他众多工业协议提供精细的可视化监控与控制,使操作员能够在协议层面上拦截异常流量、零日威胁以及 DoS/DDoS 攻击。当隔离措施生效时,这种级别的控制可确保仅保留经过授权且必要的通信。
这款坚固耐用的硬件专为极端温度等严苛的工业环境设计,并原生集成MetaDefender OT Security 入侵检测与防御OT Security 确保资产的持续可视性——即使外部连接中断,也能保持态势感知能力。最新版本对 IPsec 和 OpenVPN 的支持,还可在恢复过程中需要受控的供应商访问或多站点协调时,实现跨分段或隔离 OT 网络的安全加密通信。
MetaDefender Storage Security 直接支持 CI Fortify 的第二项原则:能够从可信来源重建关键系统。在利用任何备份、固件映像、配置文件或软件更新来恢复受损环境之前,组织必须确信这些恢复资源未受可能导致该事件的恶意软件感染。
MetaDefender Storage Security 这一问题:利用Metascan™Multiscanning技术,同时使用多个反恶意软件引擎扫描存储的文件;应用Deep CDR™ 技术,消除 200 多种文件类型中的隐藏威胁;并执行基于文件的漏洞评估——所有这些操作均可在本地、混合或云存储环境中完成。
它可与多种存储平台集成,包括兼容 SMB/NFS 的 NAS、NetApp、Dell EMC、Amazon S3 和 Microsoft Azure,这意味着无论采用何种基础设施,企业都能确保其备份存储库的安全。 定期和实时扫描功能确保备份完整性得到持续验证,而不仅仅是在初始存储时进行检查。这意味着,当决定在低信任环境下进行重建时,运维人员可以使用经过验证且已知良好的恢复资源,而非在已经受到破坏的环境中引入额外风险。
MetaDefender Managed File Transfer MFT)和MetaDefender X(原名Transfer Guard)通过提供安全且受策略控制的机制,进一步扩展了这些功能,用于在信任边界之间传输文件——这既是日常运营期间,也是事件恢复期间的一项关键要求。
MetaDefender MFT 内部团队、外部承包商以及不同安全区域之间MFT 安全的文件交换。在文件被允许进入受保护环境之前,每份文件都会经过 Deep CDR™ 技术、Multiscanning以及 Proactive DLP™ 技术的检测。
MetaDefender X 采用光二极管技术,实现了由硬件强制执行的单向数据传输,确保不存在可路由的连接回流至受保护区域——这一关键功能既能维持隔离状态,又能让安全关键的遥测数据、补丁或运行数据安全地单向传输。
这些解决方案共同为 CI Fortify 的实施提供了分层且实用的基础:强制实施隔离,控制跨信任边界的数据流,保护关键系统免受文件传播和网络传播的威胁,并确保备份与恢复工作流基于经过验证、值得信赖的资产构建。
对于面临不断演变的网络威胁和韧性要求的关键基础设施运营商而言,构建具备隔离能力的运营技术(OT)架构已不再是可选项,而是基础所在。
了解OPSWAT 如何帮助增强运营技术(OT)韧性并支持 CI Fortify 原则——立即联系专家。
