数据二极管曾是军事和核安全领域的利基技术,如今已成为工业和企业网络安全不可或缺的组成部分。 自2017年以来,网络安全事件造成的损失已增长至原来的四倍,达到近20亿美元,因此数据二极管正日益被作为安全标准广泛采用,无论是在监管框架中作为强制要求还是建议性条款。其重要性日益凸显,原因在于基于软件的安全解决方案(如防火墙)已无法再保证安全。
对数据二极管日益增长的需求
由于数据二极管在硬件层面上强制实施单向数据传输(通常采用光纤技术),因此能够物理阻断勒索软件和APT(高级持续性威胁)运行所需的反向通信路径。 虽然防火墙仍是大多数企业应用的标准配置,但针对核能、能源和水务等高风险关键基础设施领域的全球法规,如今已明确建议或强制要求使用数据二极管,以确保运营技术(OT)与信息技术(IT)网络之间的物理隔离。
Data Diode 的安全特性提供了三项关键的安全优势,这些优势是防火墙所不具备的:
与防火墙不同,防火墙可能因配置错误或零日漏洞而被绕过,而网络传播的威胁无法绕过二极管这种由硬件强制实施的单向安全机制。
不允许建立后门通道,从而防止攻击者向受感染的系统发送命令
一种协议中断机制,允许数据二极管使用不可路由的协议传输数据
数据二极管与防火墙的主要区别
| 特点 | Firewall | 单向网关(数据二极管) |
|---|---|---|
| 机制 | Software(逻辑) | Hardware(物理) |
| 方向 | 双向(带过滤) | 仅限单向通行 |
| 脆弱性 | 容易出现配置错误和遭受零日漏洞攻击 | 不受基于软件的远程攻击影响 |
| 使用案例 | 一般信息技术安全 | 高安全性的运营技术/工业控制系统保护 |
全球监管要求与指南
鉴于数据二极管具有不可绕过的安全特性,全球监管机构建议,甚至在某些情况下强制要求使用数据二极管来隔离关键基础设施网络。
多项标准,例如 NRC、NERC CIP(能源)、IEC 62443(工业)以及 TSA 指令(铁路/管道),均要求或强烈建议关键基础设施采用硬件强制实施的单向数据流。但在目前尚未强制要求使用二极管的行业中,也有许多部署二极管的案例,例如:
- 如今,金融服务机构(尤其是银行)已开始利用这些技术来保障高价值交易网络的安全,并用于监管报告,以确保敏感数据在离开银行时不会为黑客留下可乘之机。此外,这些技术还被用于保障档案库和灾难恢复中心的安全。
- 医疗和制药机构使用数据二极管来保护知识产权,并将临床技术网络(如患者监护仪和诊断成像系统)与企业IT网络隔离。
- 海事行业组织使用数据二极管来隔离和监控来自机舱和舵控系统的数据,并保护船岸间的数据传输。
强制或建议使用数据二极管的监管框架
以下是对全球主要法规和指南的概述,这些法规和指南明确规定或强烈建议使用单向网关。
全球标准
IEC 62443
第 3-3 部分(SR 5.2)重点探讨“资源可用性”,并建议在高安全区域(第 3 级和第 4 级)使用单向网关,以防止恶意软件传播并确保数据完整性。
ISO 27019
针对能源行业,该指南强调了实施安全网络分段的必要性,并将数据二极管列为将过程控制系统与外部网络隔离的“最佳实践”。
在北美
NERC CIP
北美电力可靠性公司(NERC)针对电力电网保护制定的法规堪称最严格的规定之一。 虽然CIP-002 至 CIP-013 标准允许使用防火墙,但采用单向网关可使公用事业公司“免除”多项合规要求(例如在某些 NERC 场景下,26 条规则中有 21 条),因为该网关在物理上阻止了入站电子访问,从而有效降低了“电子安全边界”(ESP)的风险。
NIST SP 800-82(第3版)
美国国家标准与技术研究院(NIST)关于Industrial 安全的指南明确将单向网关列为主要防御措施。该指南建议在将数据从高安全性的运营技术(OT)区域发送至安全性较低的信息技术(IT)区域时使用单向网关,例如将传感器数据发送至云数据库,同时确保攻击者无法建立任何回传路径。
NRC RG 5.71
美国核管理委员会(NRC)的这一框架要求对核电站的数字系统实施高级隔离。该框架明确指出,通过外部网络监控核安全系统时,应优先采用单向数据流的方式。
在欧洲
ANSSI(法国)- PSSI-IV
法国国家信息系统安全局(ANSSI)是推动数据二极管应用的全球领导者。对于关键基础设施运营商(OIV),ANSSI通常要求在最关键的工业“3类”网络与互联网,或安全性较低的“1类”网络之间的任何连接中,必须使用通过CSPN认证的认证数据二极管。
《NIS2指令》(欧盟范围)
虽然《网络与信息安全指令》(NIS2)并未强制要求使用特定硬件,但它要求“实体”实施“最先进”的风险管理措施。在能源和水务等行业,各国监管机构(如德国的BSI和西班牙的CCN)将NIS2转化为技术要求,其中优先采用基于硬件的网络分段,而非基于软件的防火墙。
在亚洲和中东
沙特阿拉伯(NCA)
沙特阿拉伯国家网络安全局已针对关键领域发布了具体的“数据二极管标准”,明确了如何运用该技术来保护该国的石油、天然气及公用事业资产。
韩国(KISA)
与新加坡类似,韩国关于智能电网和核安全的指导方针也强烈强调应采用单向网关进行数据外传,以防止数据从公共互联网向内横向移动。
业界领先的数据二极管和统一OT Security
MetaDefender Diode™ 解决方案可在 IT 网络与 OT 网络之间提供由硬件强制执行的单向数据传输,在确保网络隔离的同时,支持安全的数据复制和运营可视化。
如需进一步了解 OPSWAT 如何OPSWAT 支持符合区域及全球监管框架的要求,请立即联系专家。
