通过数据二极管发送日志、警报和遥测数据

了解详情
我们利用人工智能进行网站翻译,虽然我们力求准确,但不一定总是 100%精确。感谢您的理解。
政府客户案例

北约海军部队实现经NCSC认证的跨域文件安全,处理能力可达每日100多万个文件

该客户在严格的国防框架下运作,通过整合OPSWAT ,在不可妥协的合规框架内弥补了一个关键的安全漏洞。
By 奥安娜·普雷多伊乌
分享此贴

公司简介:作为北约领先的海军力量之一,该客户拥有全球最悠久的不间断作战历史之一,具备全方位的海上作战能力,涵盖从核战备到人道主义救援的各个领域。其行动复杂,基于机密且极其敏感的信息,在关键基础设施领域中最具挑战性的网络安全环境之一中开展行动。

情况是怎样的?该 客户在运营上需要将复杂且多样化的数据传输至关键安全边界之外,但缺乏经批准的实现途径,且其严格的合规框架对“经批准”的定义设定了极高的门槛。 为弥合这些差距,他们以模块化方式部署了OPSWAT ,这些OPSWAT 专为满足NCSC关于跨安全边界数据传输的规定而设计。我们通力合作,构建了首个经政府认证的大规模跨域网关导入/导出解决方案,从而填补了该组织内部的关键空白。

由于业务的性质,本故事中的组织名称将保持匿名。

行业:

国防 / 政府

地点:

欧洲

网络安全从来都不是一个容易解决的难题,但在关键基础设施行业,防御者的处境更是与众不同。

首先是这些对手,他们并非那些图谋快速获利的机会主义罪犯。

我们所指的是利用政府资源运作的国家支持的组织,或是目标涵盖从勒索软件到长期间谍活动等各方面的有组织网络犯罪团伙。

说“事关重大”都还算轻描淡写;联邦调查局(FBI)的《2024年网络犯罪报告》记录了来自关键基础设施组织的4,800多起投诉。这个数字乍看之下似乎并不高,但若将其置于全年的背景下考量,情况就大不相同了;从统计学角度来看,这一数字意味着每天发生13起攻击,平均每两小时就发生一起。特别是对于国防机构而言,一次成功的攻击可能会直接动摇国家主权。

在如此严峻的威胁环境下,相关机构必然要在严格且不容妥协的合规框架下运作,例如英国的国家网络安全中心(NCSC),这并不令人意外。

与此同时,符合NCSC标准的安全解决方案必须能够在整个系统中复制。国防机构具有多层结构,因此其防护措施必须采用模块化设计,并适用于整个组织,而不仅仅局限于最初识别出该需求的部门。

正是在这一背景下,一支北约主力海军部队与OPSWAT 展开合作OPSWAT 任务目标OPSWAT 开发一套经过认证、符合NCSC标准的跨领域解决方案(CDS),该方案不仅能够超越单个师的范围进行扩展,还能作为广泛推广的基础。

在监管灵活性为零的情况下,设计一种适用于多种文件类型和分支的可扩展CDS架构

我们的客户面临着一个乍看之下似乎无法解决的难题。

为不同分类级别之间的进出口(IMPEX)数据流构建CDS解决方案,该方案需符合NCSC严格的网络隔离要求。该解决方案需具备可扩展性和可复现性,适用于多个国防部门,支持多种文件类型,并具备应对网络威胁的最高韧性。

让我们依次来看每一层。

不存在任何已获批准的 IMPEX 跨域网关

政府和国防机构内部的机密网络需要针对 IMPEX 数据流制定经正式批准的规则,并通过 IMPEX 跨域网关加以执行。最初,客户系统中并不存在此类网关。

实际上,这意味着IMPEX业务根本没有经过批准的数字化流程。由于缺乏这一流程,客户无法以可追溯且符合审计要求的方式在不同保密级别之间传输数据。

支持多种文件类型所需的检查功能

多种数据类型在不同保密等级的网络间传输:用户文件、安全补丁、硬件固件更新、容器化应用程序以及定制的军事软件,都需要穿越同一道边界。必须对这些数据进行彻底检查,以确保没有任何恶意元素能够渗透到高度机密的环境中。

然而,数据规模越大、结构越复杂,就越难验证其是否干净。某些文件类型不能被视为普通文档。补丁、安装程序、固件、脚本以及定制的军事软件都需要进行行为检测,因为仅靠静态扫描无法证明它们一旦被引入保密环境后会如何运行。与此同时,任何检测范围的疏漏都可能导致边界本身遭到破坏。

严格的标准要求实现绝对的网络隔离

NCSC 框架规定了数据在不同分类级别之间传输的严格模式。其中核心是 SEF(安全强制执行功能):这些安全检查涵盖从恶意软件检测到格式验证的方方面面。

在NCSC的监管下,该客户必须制定严格的网络隔离规则(“机密”/“公开”分类)。机密环境与非机密环境绝不能进行通信,CDS网关在此作为一道绝对屏障。

如果未能通过SEF扫描,可能会导致恶意文件进入机密网络,或者导致敏感信息被窃取。

构建一种适合更广泛应用的解决方案

这一要求从来就不仅仅是为了解决一个问题。

该政府部门涵盖多个分支机构、部门、地点和指挥机构,客户实施的跨域解决方案必须能够覆盖所有这些方面。

如果某项措施仅在特定情境下有效,该部门的另一部分将面临同样的缺口。客户需要构建一个能够成为统一标准并推广至整个组织的系统。

当容错空间为零时:一种分层式、经NCSC认证的跨域架构

客户提出的这一挑战无法仅靠一款产品来解决。

相反OPSWAT 由多种产品和技术支撑的多维度架构,该架构的每一层都致力于实现一个更广泛的目标:确保没有任何内容能在未经检查的情况下跨越分类边界。

通过MetaDefender Optical DiodeDiode™实现物理网络隔离

该架构的基础依赖于硬件数据二极管,它在网络层强制实现单向数据流。与可能配置错误或被绕过的软件控制不同,硬件二极管从物理上彻底阻止了数据回流。

物理限制措施确保了NCSC所要求的“机密”与“公开”网络之间的绝对隔离。

MetaDefender Optical Diode 实现 IT 网络与 OT 网络之间安全、由硬件强制执行的单向数据传输,从而从物理上杜绝了低保密级别流量进入受保护环境的可能性。

通过MetaDefender Core™平台实现多层文件处理

每个穿越边界的文件都会被MetaDefender Core 拦截并检查,其检查深度会根据目标环境进行调整。

进入SECRET网络的文件将经过全栈处理:通过多引擎多重扫描以提高检测率,并借助Deep CDR™技术清除任何隐藏威胁。Adaptive Sandbox 对可疑文件Sandbox 基于仿真的动态分析,迫使具有规避能力的恶意软件暴露其行为特征——这些特征在静态检查或传统的基于虚拟机的沙箱环境中可能无法被察觉。

转移到安全等级较低环境的文件仅会通过多个反恶意软件引擎进行扫描,从而确保每个数据流都能获得一致的保护。

MetaDefender Core OPSWAT高级威胁检测与防御平台;它融合了 Deep CDR™ 技术、Metascan™Multiscanning以及Adaptive Sandbox 保障关键基础设施中文件工作流的安全。

借助MetaDefender Managed File TransferTransfer™技术实现自动化文件传输

MetaDefender Managed File Transfer 可自动处理客户所涉及的各类数据的导入/导出,从而构建一个受管控且可审计的数据流。

没有任何物品能手动移动,没有任何物品能未经追踪地移动,也没有任何物品能绕过检查层。

MetaDefender Managed File Transfer 基于策略的控制措施和集成式威胁防护,确保在不同组织、系统或安全区域之间安全传输敏感文件。

NCSC认证架构

OPSWAT构建的架构遵循了NCSC针对跨域数据流制定的安全模式。该架构成为首个获得政府认证的IMPEX解决方案,这意味着该组织其他部门无需从头重新设计,即可将其作为统一标准加以采用。

一次做好,做对,并扩展至每日处理100万+文件

归根结底,CDS的核心问题在于如何将合适的组件整合成一个系统,使该系统在最严格的监管下、涵盖所有文件类型,并能满足实际国防行动所需的规模要求。

环境异常严苛:对手手段高明且斗志昂扬,对合规漏洞零容忍,且不容许任何失误。

对于我们的客户而言,大规模CDS问题已得到解决。我们携手构建了一个经过认证的模块化架构,其处理能力可扩展至每天处理超过一百万个文件。

如果这听起来很简单,那只是因为OPSWAT 二十多年来OPSWAT 文件安全领域,并在关键基础设施中最严苛的环境中积累了丰富经验。

无论贵公司面临的是类似的跨域挑战,还是更普遍的关键基础设施文件安全问题,OPSWAT 丰富的经验可以提供帮助;让我们聊聊吧。

标签

类似故事

Jun25,2026| 公司新闻

OPSWAT 为一家排名前三的半导体制造商OPSWAT 每小时100万美元的停机损失

Jun24,2026| 公司新闻

Visana 帮助客户在不增加运营成本的情况下提升文件上传安全性

Jun17,2026| 公司新闻

全球能源领军企业从传统安全漏洞向现代Industrial 转型

通过OPSWAT 了解最新信息!

立即注册,即可收到公司的最新动态、 故事、活动信息等。