你可以欺骗软件,可以对人进行社会工程学攻击,但你无法战胜物理学;物理定律是放之四海皆准的。
这就是数据二极管的工作原理,自其首次被用于在敌对双方之间共享核裁军数据以来,它一直守护着世界上最敏感的信息。
几十年来,二极管一直是政府和军方的专属领域。如今,随着国家级的网络攻击越来越多地将关键基础设施和企业网络作为目标,这一状况正在发生变化,二极管的应用场景已扩展到比以往更多的行业。
以下将介绍数据二极管在政府与国防、金融、交通运输、情报或数据中心等领域的组织中,如何融入更广泛的IT数据安全讨论。
什么是数据二极管?
数据二极管是一种硬件网络安全设备,用于强制实现网络之间的单向数据流。它通过光纤以单向方式传输数据,一端设有发射器,另一端设有接收器。
与防火墙或软件控制不同,它通过物理隔离来确保信息仅沿一个方向传输,从而从结构上使入站攻击变得不可能。就像重力一样,二极管的工作原理基于物理定律,这些定律几乎无法被绕过。
二极管的应用场景涵盖多种情况:
- 通过物理手段强制实施的单向通信:如果低安全级别的网络遭到入侵,该入侵无法在物理层面上蔓延至高安全级别的网络
- 安全区域之间的真正网络隔离:严格的边界限制可防止威胁在组织的基础设施中横向传播。即使有一台设备被劫持,也无法渗透整个系统
- 防范网络威胁:攻击者无法远程命令受保护的系统进行身份验证、打补丁、更新或响应信号。由于入站通信在物理上根本无法实现,因此不存在可供利用的攻击面。
- 高安全级别环境与低安全级别环境之间的Secure :数据仅单向自由流动,且绝不会为高度机密环境打开任何通道
传统安全工具针对的是已知的攻击,而数据二极管则能彻底消除整类攻击。
MetaDefender X:为单向安全解决方案增添内置威胁检测和文件净化功能
MetaDefender X 将物理强制单向数据流与通过MetaDefender 平台添加的文件安全层相结合。其市场领先的技术可在任何文件在网络间传输之前,检测、分析并消除已知和未知的威胁,包括零日漏洞。
- Predictive Alin AI 是OPSWAT基于人工智能的恶意软件检测引擎;它无需执行文件,即可预测其风险等级,且误报率仅为 0.1%
- Metascan™Multiscanning 可同时调用多达 10 个以上的反恶意软件引擎,在提高恶意软件检测率的同时,降低误报率。
- Deep CDR™ 技术可对 220 多种文件类型进行递归清理,清除所有活跃和潜在风险内容
- Proactive DLP™ 层会在敏感数据进入或离开网络之前,对其进行删除、遮盖或添加水印
- Adaptive Sandbox 利用基于仿真的动态分析来检测复杂或具有隐蔽性的威胁。它还能提取可操作的IOC(入侵指标),并支持大规模的SOC(安全运营中心)、威胁情报和威胁狩猎工作流。
MetaDefender X – 主要功能与优势
该产品专为高安全环境设计,可在无需建立双向网络连接的情况下,实现可信的数据交换和文件 安全。
- Hardware物理隔离保护:安全保障在物理层实现,而非依赖可能被修补、配置错误或遭到利用的软件
- Secure 数据传输:数据仅沿一个方向流动,这使得入站攻击在结构上根本不可能发生,而不仅仅是可能性极低
- 协议中断伴随不可路由通信:网络之间的连接从未形成有效的网络路径,因此即使攻击者入侵了某个系统,也没有可供其穿透的路径
- 快速部署、简便管理:预先配置,可快速实施,因此安全团队可以将时间用于运维,而非配置工作
- 通过通用标准 EAL4+ 认证的安全性:已根据国际公认的硬件安全基准经过独立验证,为采购和合规团队提供了所需的保障
支持的协议;专为融入您的现有基础设施而设计
MetaDefender X 解决方案无需组织更改现有的工作流程,并支持大多数企业和政府环境已采用的协议。
- 文件传输:包括FTP/SFTP、SMB/CIFS、Windows文件共享、文件夹和文件复制、杀毒软件更新,以及通过WSUS分发补丁
- 流式传输方面:支持 HTTPS、Syslog、TCP 和 UDP,涵盖了安全团队日常依赖的监控和告警管道
其结果是实现了通过物理手段强制实施的单向通信,并结合了OPSWAT先进文件安全功能,却无需担心集成带来的麻烦。
此外,MetaDefender X 为您的数据安全策略带来了可扩展的性能,其速度为 100 Mbps,可升级至 1 Gbps 或 10 Gbps。对于无法通过网络物理隔离来解决问题的环境,组织可以部署背靠背模式,利用两个二极管实现双向工作流。
数据二极管在现代各行业的应用
数据二极管专为绝对不容许发生数据泄露的环境而设计。这意味着在某些行业领域,数据必须单向自由流动,而其背后的网络则必须完全隔离。数据二极管在这些环境中的应用场景包括:
政府与国防领域的机密信息保护
对于政府和国防网络而言,任何一条被攻破的连接都可能威胁到国家主权。
为此,采用了二极管机制,以确保跨域数据传输以及不同保密级别之间的情报共享安全,从检查较宽松的低保密级别,到检查最为严格的较高保密级别。
数据二极管还能保障用于任务规划的航空气象数据传输安全,确保关键信息能够准确传送到相应系统,同时避免形成可被利用的回传路径。
金融服务中的资金转账保护
金融机构依靠数据二极管来保障向灾难恢复站点传输备份数据的安全,并保护警报和监控数据流的安全。
数据中心Secure 监控
在数据中心中也适用类似的原则。通过在关键节点部署二极管,基础设施告警和远程供电系统监控信号可以安全地向外传输,同时避免核心系统暴露于入站流量中。
在 DevOps 中保障管道安全
在 DevOps 环境中,数据二极管可将软件镜像和更新安全地推送至受限网络,从而确保开发管道绝不会成为入侵入口。
交通运输领域中的安全文件传输与远程筛查
在运输领域,二极管可保护货运清单文件的传输以及来自安检系统的监控数据。当数据完整性和网络隔离均受到监管要求重视时,二极管可确保安全的单向通信。
情报行动中的数据管控
情报环境要求实施最高标准的数据管控。
数据二极管可确保文件保管链的安全性,并支持网络间的情报共享,且数据绝无可能通过该连接逆向传输。
借助OPSWAT集成解决方案,Secure且受策略约束的文件交换
MetaDefender X 能够融入现有的OPSWAT 架构,而非作为独立工具运行,从而将保护范围扩展至整个数据传输工作流。
MetaDefender Diode™ 是OPSWAT基于硬件强制执行的单向数据传输解决方案,通过光纤在物理层面上确保通信的单向性。作为MetaDefender X 的核心硬件组件MetaDefender Optical Diode 作为独立解决方案Optical Diode 直接与其他OPSWAT 集成,从而帮助组织将其基于硬件强制执行的单向传输功能扩展到现有的文件安全和传输工作流中。
MetaDefender Optical Diode MetaDefender Managed File TransferTransfer™
MetaDefender Managed File Transfer 将文件安全、加密和策略执行功能嵌入到 IT 和 OT 环境中的自动化文件传输工作流中。
将MetaDefender Managed File Transfer MetaDefender Optical Diode 相结合,Optical Diode 以下领域的关键文件传输需求:
- ICS(Industrial )/SCADA(监督控制与数据采集):通过安全、单向的数据传输过程,将第1层和第2层的日志及运行数据导出至IT系统,从而防止风险引入OT环境
- 关键基础设施:在受保护的运营网络与企业系统之间安全地传输检查报告、维护记录和运营文档
- 防御:利用受控的、基于策略的工作流,结合硬件强制实施的单向传输机制,在安全分级不同的网络之间传输文件
- 制造与制药:在确保安全、完整性和合规性的同时,在运营技术(OT)与信息技术(IT)环境之间安全地传输质量保证文件、批次记录和生产数据
MetaDefender Optical Diode MetaDefender Kiosk™
MetaDefender Kiosk OPSWAT推出的一款可移除存储介质安全解决方案,可防止外围存储介质带来的威胁侵入关键环境。
MetaDefender Optical Diode MetaDefender Kiosk 非常适合需要在物理入口处安全接收文件,同时确保数据仅能单向传输至受保护环境的组织。
- Industrial :将配置文件、软件更新和工程数据安全地导入运行环境,同时防止威胁侵入关键系统
- 国防与公共部门:通过安全、基于策略的工作流,对可移动存储介质的扫描、验证以及文件导入到机密或高度敏感环境中的过程进行管控
- 医疗与制药:在保持数据完整性和符合监管要求的同时,安全地在各网络层之间传输诊断影像、患者病历和研究数据
MetaDefender Optical Diode MetaDefender Core™
MetaDefender Core OPSWAT高级威胁检测与防范平台,用于在文件执行前识别其中的威胁。该平台与MetaDefender Optical Diode 配合使用,可在保持完全网络隔离的同时,确保只有可信文件才能进入受保护的环境。
这种组合非常适合:
- 关键基础设施,可确保合规报告、运行日志和工程文件安全传输至受保护的网络,同时防范来自外部的网络威胁
- 国防与国家安全:通过硬件强制实施的单向传输和高级威胁检测,在不同信任级别的网络之间传输经过脱敏处理的情报、任务和作战文件
- 医疗与制药领域,支持在不同网络层级之间安全地交换患者病历、诊断数据和实验室检测结果,同时确保数据完整性并符合合规要求
- 制造与能源领域,将生产日志、设计文件和固件更新安全地传输至隔离的运行环境,同时确保关键系统不会暴露于外部威胁之下
敏感环境中的受控数据流
如果贵组织需要将数据从敏感环境中转移出去,同时又不留下回传路径,数据二极管可提供由硬件强制执行的单向通信功能,在降低网络安全风险的同时,仍能保持运营可见性。
请联系我们,了解单向数据传输在您的基础设施中哪些方面可以降低风险。
