IT、OT 和 DMZ 网络Managed File Transfer

通过工业DMZ进行IT/OT文件传输会引发安全与运维问题，因为运营文件交换必须跨越那些为降低网络风险而设置的分区边界。Industrial 仍需按照可预测的时间表，在不同区域之间传输补丁、工艺配方、日志、供应商交付物、备份和报告。

诸如电子邮件、共享驱动器、跳转主机和可移动存储介质等临时传输渠道，会增加文件传播型恶意软件的风险，并降低可追溯性。Industrial （IDMZ）工作流程还需具备审计证据、变更控制的一致性，以及跨站点的一致执行，以避免出现一次性例外情况。

IT 到 OT 文件传输的常见应用场景包括工程工作包、PLC 和 HMI 更新、历史数据提取、杀毒软件签名更新、备份以及供应商固件包。与常规报告或定期日志导出相比，工程成果和固件更新通常需要更严格的证据链证明。

定期数据流通常包括计划备份、杀毒软件更新以及标准报告的发送。紧急数据流通常包括紧急固件热补丁、事件响应数据提取或时效性强的配方变更。当文件可能改变安全关键行为或对生产质量产生实质性影响时，证据链要求就会提高。

传统的企业DMZ模型无法直接套用到运营技术（OT）环境中，因为面向互联网的DMZ主要负责处理外部访问，而工业DMZ则主要致力于确保确定性操作、严格的变更控制以及对安全关键流程的保护。普渡大学3.5级分区方案的目的是限制进入OT环境的路径，并减少不同区域之间的隐式信任。 

在运营技术（OT）环境中，文件传播的风险被放大，因为老旧系统、有限的补丁窗口以及可用性限制，降低了对被动补救措施的容忍度。Industrial 还要求具备可预测的数据传输路径和可重复的审批流程，这些流程需能够接受审计，且不会建立直接的IT到OT会话。 

所有连接均终止于 DMZ，这意味着 IT 与 OT 之间的文件传输必须避免在企业端点与 OT 端点之间建立跨越信任边界的直接端到端会话。所有连接均终止于 DMZ 还意味着，设计必须避免使用连接不同区域的双网卡服务器，并避免设置允许跨区域客户端连接的防火墙规则。

该原则转化为可辩护的限制条件：IT系统仅与DMZ服务通信，OT系统仅与DMZ服务通信，而文件传输则通过中介式的存储转发工作流进行。工业DMZ中的终端点成为用于检查、隔离、审批和审计日志记录的控制点。

若要在不破坏自动化流程的前提下阻止 IT 与 OT 之间的直接会话，则需要采用中介式传输模式：发送方仅连接位于 DMZ 内的传输服务，而 OT 接收方仅连接位于 DMZ 内的检索服务。中介式文件传输通常采用“推送到 DMZ”步骤，随后是“拉取至 OT”步骤，从而确保不存在跨区域会话。

通过使用固定端口、严格的允许列表以及按工作流划分范围的服务标识，端口暴露风险仍保持在最低水平。按工作流设置服务账户可降低横向移动风险，并支持在定期审查期间对访问规则进行重新认证。

双网卡配置和共享存储会导致意外的跨区域连接，因为配备双网卡的主机可能会成为跨越分段边界的路由或凭证中转点。共享的 SMB 文件共享和复制的凭证也会破坏分段的初衷，因为它们会形成难以枚举和重新认证的隐式跨区域访问路径。

应避免的模式包括同时连接IT和OT的双网口文件服务器、用作跨区域“交接”点的共享SMB文件夹，以及绕过检测关口的跳转主机文件传输。边界管控应依赖于终端处理、检测和明确授权，而非依赖便捷路径。

普渡大学3.5级工业DMZ架构用于文件传输，将IDMZ作为企业IT网络与OT网络之间进行检查和策略执行的边界。该架构还确保IT和OT终端设备与DMZ服务进行集成，而非彼此直接集成。

DMZ 的基本服务通常包括文件传输网关或托管文件传输服务器、隔离存储、检查层以及集中日志记录。通过代理实现的存储转发机制在保持分段意图不变的同时，支持确定性操作。

属于工业DMZ范围内的服务，用于实现安全的文件交换，包括文件传输网关或托管文件传输服务器、恶意软件扫描和沙箱层、内容无害化与重建（CDR）层、隔离存储以及集中日志收集。Industrial 还包括工作流和策略执行组件，用于控制审批和发布流程。

IT终端应将文件提交至DMZ的投放区，而OT终端应从DMZ的中转区检索已获批准的软件包。DMZ边界将成为恶意软件扫描、清理、策略评估以及证据链记录的统一检查点。

在代理架构中，防火墙和路由模型通常采用双防火墙 IDMZ 架构，其中企业到 DMZ 的流量与 OT 到 DMZ 的流量分别进行控制。白名单适用于源、目标、协议和服务标识，因此每个工作流都有明确且可审查的路径。

与大量定制路径相比，数量较少且定义明确的流量流能降低防火墙的复杂性。中介式设计还支持固定端口和一致的服务端点，这简化了规则的重新认证流程，并降低了宽泛规则随时间推移而不断扩大的可能性。

“先推入DMZ再拉入OT”的工作流在实践中形成了一套可重复的流程：数据摄取、隔离、检查、清理、审批、发布和交付。此外，由于双方仅连接DMZ服务，这种工作流还能保持网络分段。

当IT系统生成包时，通常应采用推送模式；而当OT系统按照受控时间表检索已批准的内容时，通常应采用拉取模式。只要每个流程在命名规范、元数据捕获和策略决策方面保持一致，标准工作流即可在多个工厂中得到有效实施。

IT 到 DMZ 的推送模式通过限制 IT 发送方与 DMZ 采集服务及 DMZ 投放区的连接，从而保持 OT 边界处于封闭状态。常见的模式包括定时上传、事件触发上传以及API提交，这些操作会附带政策决策和审计证据所需的元数据。

操作指南包括统一的命名规范、源系统和目标区域所需的元数据字段，以及使用 TLS 进行传输加密。IT 侧的提交还应包含身份绑定，以便 DMZ 能记录是哪位用户或服务发起了传输。

DMZ 到 OT 的拉取模式通过让 OT 检索代理或定时任务从 OT 发起出站连接至 DMZ，仅检索已批准的包，从而降低风险并简化防火墙配置。OT 检索应限定在特定目标的队列或目录范围内，以确保 OT 端点无法访问未经批准的隔离内容。

Pull 机制通过避免向 OT 系统建立入站连接，并限制面向 OT 的端口和服务，从而降低了风险。OT 数据提取还支持变更窗口，因为 OT 系统只能在操作计划允许安装或部署时进行数据提取。

工业DMZ文件传输中不可妥协的控制措施包括检查、数据净化、隔离、审批、最小权限访问、加密以及支持证据链的审计日志记录。这些不可妥协的控制措施应主要在DMZ中实施，因为DMZ是跨区域文件传输的终点和策略边界。

Endpoint 和目标控制依然重要，但DMZ应作为统一的检查关口，防止绕过行为。每项控制措施都应与工作流的某个阶段相对应，以便运维团队能够预测结果，安全团队能够核实证据。

在DMZ中进行恶意软件扫描时，若不依赖单一引擎，则需采用多引擎扫描和分层检测机制，以确保对已知威胁和新兴威胁拥有更高的检测覆盖率。多引擎扫描的结果应明确标注为“通过”、“失败”或“未知”，从而确保工作流的确定性。

失败结果应继续处于隔离状态，并设置升级处理流程。未知结果应继续处于隔离状态，待进行进一步分析（例如沙箱测试或更深入的检查策略）后再作处理。DMZ 策略应明确规定超时设置、分析师审查步骤及释放规则，以避免隔离区演变为失控的积压。

当需要采取“预防优先”的净化措施来移除活动内容时——即使恶意软件检测结果显示文件安全无虞——内容无害化与重建（CDR）技术比仅依赖检测的方法更具优势。CDR 通过重建文件来降低风险，在移除宏或嵌入对象等活动组件的同时（具体取决于策略），确保文件的业务可用性。

通常需要进行安全清理的文件类型包括办公文档、PDF 文件以及可能携带脚本或嵌入式有效载荷的压缩包。优先进行安全清理的策略还能降低对签名覆盖率的依赖，并减少因“看似干净但已被恶意利用”的文档进入运营技术（OT）环境而带来的运营风险。

针对高风险或高影响的文件传输Sandbox 会结合动态分析，以检测静态扫描可能遗漏的行为。Sandbox 应基于文件类型、源文件的可信度、目标文件的重要性，以及环境中观察到的历史威胁模式。

Sandbox 应为政策决策提供依据，并明确设定时间限制，以便运维人员能够预测延迟情况。DMZ 策略应明确规定沙箱检测结果如何对应隔离保留、分析师审查要求，以及紧急维护场景下的升级处理流程。

针对跨区域文件传输的数据防泄漏（DLP）应采用主动控制措施，例如关键词和模式匹配、分类处理以及目标限制。DLP 执行应与按流策略保持一致，以确保敏感数据不会传输到未经授权的区域或目标。

应通过分阶段实施和反映运营需求的特定流量白名单来管理过度拦截的风险。证据字段应记录所应用的DLP规则、匹配结果及处置结果，以便合规报告能够证明处理过程的一致性。

跨区域文件传输的最小权限原则和审批流程需要基于角色的访问控制、职责分离，以及与变更窗口和停机限制相匹配的限时访问权限。最小权限策略应禁止使用共享账户，并应根据工作流、目标位置和文件类型来界定权限范围。

审批模型应通过采用统一的角色设置、统一的证据采集方式以及针对低风险流程的自动化处理，实现跨站点扩展。治理机制还应明确规定紧急处理流程，并附带明确的日志记录和事后审查要求。

针对 IT-OT DMZ 文件代理的基于角色的访问控制（RBAC）将职责划分为提交者、审核者、发布者和 OT 检索者等角色。RBAC 应确保提交者无法单方面将内容发布到 OT 环境，并确保 OT 检索者无法访问被隔离的内容。

与现有身份提供商进行身份集成可降低管理开销，但应通过范围界定、分段和最小权限原则来控制运营技术（OT）身份风险。每个工作流应使用唯一的服務账户，以支持审计并防止在无关的传输过程中重复使用权限。

针对供应商的限时访问以及紧急情况，应采用有效期限定凭证、限时权限，并根据工作流设定范围狭窄的访问权限。限时访问可降低持续性风险，并使访问时段与维护计划及变更审批时段保持一致。

日志记录要求应包括：谁提出了访问请求、谁批准了访问、授予了何种权限范围，以及在限时政策下传输了哪些文件。紧急措施应生成一份明确的证据包以供审查，从而在紧急情况下确保责任可追溯。

符合合规要求的 IT、OT 和 DMZ 文件传输审计日志必须能够提供贯穿 IT、DMZ 和 OT 的端到端证据链，且无需依赖手动工单系统。审计日志应支持调查、合规报告和运维故障排除，并在工作流各阶段使用一致的标识符。

证据链应包括文件提交人、已进行的检查和清理操作、批准发布的人员，以及是否已确认交付。以DMZ为中心的日志记录可减少对OT终端可视性的依赖，并保持网络分段。

能够证明谁发送了什么文件以及文件流向的最低限度日志字段包括：用户身份和服务身份、源区域和目标区域、文件名、文件哈希值（如 SHA-256）、每个工作流阶段的时间戳、所应用的策略、检查和清理结果、审批记录以及交付确认。关联标识符应将接收、隔离、检查、释放和交付事件相互关联。

一致的日志字段可确保跨多站点部署的可追溯性。哈希算法支持不可否认性，并通过证明传输路径中文件的完整性，为事件响应提供支持。

应基于审计日志，结合诸如反复失败、违反策略、异常文件类型、传输量异常以及检查引擎反复返回未知处理结果等告警条件，生成运维监控和告警。运维仪表盘应跟踪吞吐量、隔离队列积压量和投递确认率，以确保系统可靠性。

SIEM 集成支持安全关联分析，而运维仪表盘则支持服务健康状况监控和工作流可预测性。应针对不同数据流调整告警阈值，确保关键目标的告警升级速度快于低优先级报告的发送。

在运营技术（OT）DMZ环境中，托管文件传输与独立SFTP服务器的主要区别在于治理、检查集成和可审计性，而非协议支持。托管文件传输通过针对每个数据流协调策略、执行隔离和审批，以及集中收集证据，为分段网络提供了控制平面。

独立运行的 SFTP 通常会成为一个传输端点，其扫描、审批和报告功能依赖于外部流程。Industrial 部署通常需要一致的控制点，这些控制点在多站点规模下仍能保持可靠性。

部署在DMZ中的独立SFTP系统通常在运营技术（OT）环境中难以正常运行，原因包括人工审批、恶意软件扫描不一致、账户共享、元数据捕获受限，以及日志分散在多个系统中。手动操作还会增加被绕过的风险，尤其是在紧急维护窗口期间。

多站点环境会加剧差距，因为每个站点在扫描、数据保留和访问控制方面的实施方式往往略有不同。证据的分散性也会拖慢调查进度，因为要证明证据链的完整性，需要人工比对分散在不同日志和工单系统中的信息。

具有边界感知能力的托管文件传输应提供基于数据流的策略协调、隔离与释放控制、集成式多层文件安全防护，以及跨区域的集中化可视化能力。此外，此类传输方案还应支持在传输路径中实施多层检测，包括多重扫描、通信数据记录（CDR）、沙箱分析以及数据泄露防护（DLP）措施。

OPSWAT MetaDefender File Transfer™ (MFT) 是一个以安全为先的托管文件传输平台的典范，它在统一的工作流中集成了 Metascan™Multiscanning、Deep CDR™ 技术、Proactive DLP™ 以及沙箱分析功能。集中式治理机制确保了在 IT、IDMZ 和 OT 环境中能够一致地执行安全策略。

对于进入运营技术（OT）环境的文件，CDR文件净化与杀毒扫描之间的区别，在于前者侧重于“预防优先”的重建，而后者侧重于“检测优先”的恶意内容识别。通过结合多引擎扫描、针对高风险格式的净化处理，以及针对可疑案例的可选沙箱分析，分层控制措施能够有效降低未知威胁和人工智能生成威胁带来的风险。

筛选标准应根据文件类型和目标关键性来确定控制深度。策略应明确规定哪些文件类型默认需要进行数据清理，哪些文件类型仅需扫描并设置升级触发条件。

病毒扫描可以证明，在扫描时，扫描引擎未能根据可用的特征码和启发式分析检测到已知的恶意内容，但病毒扫描无法证明某个文件在面向运营技术（OT）的环境中使用是安全的。误报和新出现的威胁在关键环境中仍然具有重大的运营影响。

对于“干净但可疑”的案例，应继续进行隔离，并等待多层分析结果，包括多重扫描、沙箱触发或清理策略。工作流设计应确保即使结果显示“干净”，仍会记录相关证据，以便在出现运行异常时支持后续调查。

当必须降低活跃内容的风险时，即使检测结果显示无异常，采用 Deep CDR™ 技术进行内容净化也是更安全的默认选择。内容净化通过移除或中和活跃元素来降低风险，同时保留满足运营需求的可使用内容。

政策示例包括：对进入高危运营技术（OT）暂存区的Office文档和PDF文件默认进行数据脱敏处理；对嵌套归档文件实施更严格的归档处理；以及根据目标系统的关键性对工程构建产物进行受控处理。数据脱敏政策应记录所进行的转换操作，以保留证据链。

在运营技术（OT）文件传输中，数据二极管与双防火墙DMZ方案的区别在于：前者属于单向强制传输的设计，而后者则是仍以DMZ为终点的受控双向工作流。数据二极管设计通过其架构本身强制实现数据流方向性，而双防火墙IDMZ设计则通过策略和白名单来强制实现数据流方向性。

单向执行会改变工作流的预期，因为确认和交互式故障排除将受到限制。当用例要求双向通信，且补偿性控制措施保持明确且可审计时，受控的双向传输仍具有合理性。

当风险容忍度、法规要求或高风险环境要求严格实施单向遥测并缩小攻击面时，在运营技术（OT）向信息技术（IT）传输数据时必须使用数据二极管。数据二极管的典型应用场景包括单向监控、历史数据向外复制，以及限制任何通往运营技术（OT）入站路径的受监管环境。

在实际操作中，需要权衡的取舍包括：通过交互式确认来确认收件的能力降低，以及实时排查故障的能力降低。工作流设计应包含替代性的证据方法，例如DMZ侧的投递确认和不可篡改的日志。

工业DMZ中的双防火墙通过确保每个方向的数据流仍终止于DMZ，并借助检测闸门、隔离控制及严格的策略执行，来支持受控的双向数据传输需求。双向工作流应仅限于合理的使用场景，例如供应商更新交付、受控数据导出或必要的对账凭证。

应记录补偿性控制措施，包括严格的允许列表、固定端口、按流划分的服务标识以及审批要求。文档还应包含防火墙规则的定期重新认证，以防止规则泛滥。

供应商通过DMZ向运营技术（OT）环境传输文件时，应采用对供应商友好的工作流，该工作流需终止供应商在DMZ中的访问权限，并强制执行检查、隔离、限时访问及审计日志记录。供应商工作流必须防止供应商直接访问OT资产，同时确保交付时间可预测，以便进行运营规划。

身份验证和授权应限定在供应商专属的投放区域和供应商专属的文件类型范围内。DMZ 发布应要求有记录的批准，并应提供进入 OT 暂存区的交付确认。

在不使用共享账户或永久访问权限的情况下，供应商身份验证应采用独立的供应商身份，在可行的情况下使用多因素身份验证，并根据维护窗口设置有效期。供应商身份应限定在特定的文件上传区域内，并受限于文件类型策略，以降低风险。

访问权限应仅限于提交和查看状态，而非直接检索OT。供应商的访问权限还应包含针对允许目的地的策略执行，以确保供应商的包不会被路由到经批准的OT暂存位置之外。

供应商文件从隔离区转移至已批准发布状态的流程包括：进入 DMZ 隔离存储区、接受恶意软件扫描、在必要时进行清理，以及在策略触发时进行沙箱分析。只有在获得发布批准且策略处置将该包标记为已批准后，才应允许进行 OT 检索。

审批工作应由职责分离的指定角色（如审核员和发布员）执行。证据记录应包括检查结果、数据清理措施、时间戳以及审批人的身份信息。

OT DMZ 文件传输配置错误会带来风险，因为这可能导致跨区域连接重新建立、弱化检查关卡，或破坏审批和访问的问责机制。要防止配置错误，需要明确的“禁止”模式、定期审查，以及能够及早发现绕过行为的监控信号。

易引发风险的模式包括共享身份、SMB共享扩展、防火墙规则泛滥以及绕过隔离区的手动复制步骤。相关标准应将故障模式转化为可执行的架构和运维要求。

共享账户和手动复制步骤会破坏责任追溯机制，因为共享凭证会消除不可否认性，并在调查过程中妨碍可靠的责任归属。此外，手动复制步骤还会增加在时间压力下跳过检查步骤的可能性。

在提交、审核、发布和检索等操作中，应明确角色分离并建立个人身份识别机制。采用带审批流程的自动化工作流，既能减少对非正式做法的依赖，又能生成一致的证据，从而为审计和事件响应提供支持。

SMB 共享和防火墙规则的泛滥会形成“隐形通道”，因为 SMB 访问模式往往随时间推移而不断扩展，而范围过广的防火墙规则则难以进行审计。这些“隐形通道”会为未被追踪的横向移动创造机会，从而破坏网络分段的初衷。

服务固定和严格的允许列表可减少意外扩展。应定期对防火墙规则进行重新认证，以验证每条规则是否对应于已批准的工作流，并确保规则仅限于DMZ终结点，而非启用端到端访问。

工业DMZ文件传输加固检查清单通过将IDMZ控制措施转化为可重复的验证项目，从而规范了架构审查、站点接入和变更管理。工业DMZ文件传输加固检查清单应与DMZ终止、检查关口、治理工作流以及审计证据要求保持一致。

基于检查清单的标准化工作可减少各站点之间的偏差，并增强安全利益相关方之间的协调一致。检查清单中的各项内容应以可验证的陈述形式撰写，以便在实施过程中进行测试，并在定期审查时重新认证。

针对终止于DMZ的传输，Firewall 加固检查应验证以下内容：固定端口、严格的允许列表、不存在IT与OT之间的直接会话，以及不存在双网卡桥接系统。还应限制管理访问模式，以确保管理访问不会在OT网络中形成隐蔽通道。

DMZ 系统的补丁策略应与维护窗口相协调，并应优先考虑将服务中断降至最低。规则重新认证应确认每条规则均与已记录的工作流相对应，且流量终止于 DMZ 内。

针对高风险文件类型的检查和强化消毒检测，应验证多重扫描覆盖范围、CDR策略覆盖范围、沙箱触发机制、归档处理限制，以及针对失败和未知结果的隔离行为。归档处理应包括嵌套归档解压限制和真实文件类型检测检查。

例外情况的处理应要求记录理由、获得明确批准并保留相关证据。此外，例外情况还应触发定期审查，以防止临时性豁免演变为永久性的规避途径。

针对跨越IT、OT和DMZ网络的托管文件传输，需求建议书（RFP）应优先考虑边界管控、多层文件安全、集中式治理以及分段环境的可审计性。RFP的表述应始终以工作流为核心，确保要求涵盖DMZ中的终止点、检查关口、审批流程及证据采集，而不仅仅是传输功能本身。

需求建议书（RFP）的要求还应涵盖高可用性、离线或网络受限环境下的运行，以及跨站点的一致性策略部署。相关要求应明确平台如何在不建立跨区域会话的情况下，执行“先推送至DMZ，再拉取至OT”的工作流。

协议和连接器要求应涵盖企业及工业环境中所需的通用协议，同时不应过度侧重于传输层。集成要求应包括对存储转发行为的支持，以及对受限或断开连接网络的支持。

需求建议书（RFP）的要求应明确规定可预测的重试行为、大文件的可恢复传输，以及符合工厂运营需求的带宽控制措施。连接器的要求还应涵盖服务身份处理，并在可行的情况下与身份系统进行集成。

策略编排要求应明确规定按流定义策略、隔离与释放工作流、自动路由以及职责分离。策略编排应在传输路径中包含用于多层扫描、CDR、沙箱测试和DLP执行的明确集成点。

审批工作流的要求应明确分级审批机制，并对低风险流程实施自动化处理，同时需有记录在案的例外情况处理方案。此外，要求中还应明确各阶段需捕获的证据字段，以供审计和调查之用。

可见性和审计追踪要求应明确规定报告、日志字段要求、保留控制措施，以及向 SIEM 或集中式日志平台的导出。不可变日志记录要求应明确规定防篡改控制措施以及用于证据检索的访问控制措施。

送达确认要求应明确规定，需提供证明以证实已批准的包裹已送达OT暂存区，并由授权身份提取。证据包要求应明确规定哈希值、时间戳、检查结果、批准信息及相关标识符。

MetaDefender Managed File Transfer MFT）解决方案由 MetascanMultiscanning、Deep CDR™ 技术、Proactive DLP 以及沙箱技术提供支持，是OPSWAT托管文件传输（MFT）解决方案。该方案通过工业 DMZ 对 IT/OT 文件传输进行集中管控，从而降低文件传播风险。