客户故事

通过Secure 数据传输实现更安全的水务运营

美国水务公司使用MetaDefender Optical Diode™ (Fend) 将 AVEVA™ Historian 数据复制到企业网络，而不会破坏 OT 气隙

分享此贴

关于公司：这家大型供水和废水管理公用事业公司负责为数十万居民和企业提供安全可靠的服务。该公司的业务包括多个处理设施、泵站和监控系统，这些设施和系统保证了每天清洁水的流入和废水的安全处理。

什么故事？该公用事业公司需要将数据从其一个设施的 AVEVA™ Historian 转发到其企业网络上的一个单独的 1 级 AVEVA Historian。直接连接是不可行的，因为企业网络连接到互联网，而 OT 系统必须保持空气间隙。为解决这一难题，该组织部署了MetaDefender Optical Diode™ (Fend) 和 eRIS 软件平台。这种组合能够在企业网络上创建设施 Historian 的数字孪生，提供实时可视性，同时保持对 OT 系统的严格物理隔离。

由于业务的性质，本故事中的组织名称将保持匿名。

行业：

水与废水管理

地点：

美国

规模

大型地区公用事业（具体数字未披露）

使用产品：

MetaDefender 光学二极管™ (Fend)

近年来，针对美国污水处理设施的网络攻击凸显了操作技术的脆弱性。2024 年初，得克萨斯州多个城市的 SCADA 系统被攻击者远程访问，甚至导致一个水箱在工作人员重新控制之前溢出。印第安纳州蒂普顿也发生了类似事件，在检测到工厂系统有异常活动后，操作员不得不转为手动操作。这些事件凸显了将处理基础设施连接到企业网络或面向互联网的网络所存在的风险，并进一步说明了为什么该公用事业公司在保持其 OT 系统的空气屏蔽方面不能妥协。

安全与可见性的碰撞

了解历史数据

AVEVA Historian 是一种专门的工业数据库，用于捕获和存储来自传感器、控制器和 SCADA 平台等 OT 系统的大量时间序列数据。在设备层面，本地 Historian 可为操作员记录过程数据（由工业控制系统和传感器生成的原始运行信息），确保他们能够实时监控设备和处理活动。

一级企业级 Historian 的作用有所不同：它汇聚来自多个设施的 Historian 数据源，为企业团队提供用于报告、分析和规划的综合视图。当数据需要从这些本地 Historian 转移到企业级时，就会出现挑战，因为这样就无法打通返回关键 OT 系统的通道。

Secure 共享数据的挑战

该公司的一个设施需要将数据从本地 AVEVA Historian 转发到企业网络上的一级 Historian。这些数据对于企业级监控和报告至关重要，但企业网络的互联网连接使得直接集成变得不安全。

保持 OT 系统的隔离至关重要，因为任何返回控制环境的途径都可能成为攻击的媒介。与此同时，将 Historians 隔离也限制了组织在不同地点共享洞察力和提高效率的能力。我们面临的挑战是如何实现这两个目标：既要保持严格隔离，又要实现实时可视性。

仅有防火墙和其他基于软件的工具是不够的。它们无法保证单向通信，需要持续维护，而且仍然会使关键资产面临风险。因此，该组织需要一种既能实施物理隔离，又能允许重要数据向外移动的解决方案。

为实时数据创建Secure 路径

eRIS 是OPSWAT 部门常用的数据管理和报告工具，用于安全地翻译和传输MetaDefender Optical Diode ，因此非常适合此次部署。

MetaDefender Optical Diode (Fend) 是一种硬件强制网络安全设备，利用光学隔离保证单向通信。根据设计，它可以物理阻断任何入站流量，防止远程访问或恶意软件渗透，其内置的防止拒绝服务、篡改和电源波动的保护功能，有助于确保 Historian 数据即使在压力下也能持续可靠地传输。

部署工作是这样进行的：

eRIS 安装：eRIS 软件作为 Windows 服务安装在现有的 OT AVEVA 服务器上，将 Historian 数据转换为单向格式。
光学隔离：然后，数据通过MetaDefender Optical Diode （Fend）安全传输，它通过硬件级光学隔离实现单向传输。
协议支持：设备本机支持 FTP、SFTP、TCP 和 UDP 等标准 IT 协议以及 Modbus 和 BACnet 等工业协议，因此非常适合 Historian 数据传输。
企业转换：在企业方面，eRIS Hub 将信息转换回 AVEVA 格式，并准备将其输入一级 Historian。