传输广播式 UDP 数据的安全障碍
发电设施需要持续的实时监控,以确保电网稳定和最佳性能。根据Check Point Research的数据,2024 年针对公用事业的网络攻击增加了 70%,记录在案的针对公用事业的网络攻击达 1162 次,因此这一需求变得更加重要。北美电力可靠性公司(North American Electric Reliability Corporation)发现,电网漏洞正在迅速扩大,随着公用事业公司集成新技术并扩大基础设施,每天都有大约 60 个新的易受攻击点被添加到电网中,从而加剧了这一挑战。
对于这家为九个州 300 万客户提供服务的大型电力公司来说,风机通过广播 UDP 数据包传输关键运行数据,这些数据对于通过停电和切换管理系统进行实时性能监控至关重要。然而,作为标准安全协议的一部分,该电力公司的安全防火墙正在阻止这种广播 UDP 流量。这样做会使系统容易受到广播放大攻击,降低网络效率。同样,如果不安装专用硬件来保护这些关键资产的安全,绕过防火墙也不是办法。鉴于发电设施根据联邦法规被归类为关键基础设施,因此保持稳健的网络安全态势是不容商量的。
传统的解决方案需要大量的设备升级、复杂的网络重新配置或昂贵的企业级数据二极管解决方案,每次安装可能需要数万美元。如果有多个涡轮机站点需要监控,这些成本很快就会上升到数十万美元。
使用单向数据通道进行涡轮机监测
电力公司采用OPSWAT MetaDefender Optical Diode (Fend)作为有针对性的解决方案,以应对风机监测方面的挑战。
通过在站点中央交换机和 OSM(停机与交换管理)系统之间的网络拓扑中添加OPSWAT 光数据二极管,从每个风机接收到的广播 UDP 流量可以安全地单向转发到 OSM 系统,而无需升级任何现有设备以实现兼容性。
Deep CDR 如何运作
- 涡轮机通过交换机以广播 UDP 模式向子网中的每个 IP 地址转发数据
- 输入端接收流量:Fend 数据二极管的输入端连接交换机,并被配置为同一子网中的 UDP 服务器,接收 UDP 广播流量
- 单向光学隔离:输入端通过内部单向光栅将数据转发至二极管输出端
- Secure 发送到 OSM:输出端作为与目标 OSM UDP 服务器位于同一子网的 UDP 客户端,直接向 OSM 系统的 IP 地址发送 UDP 流量
结果:数据到达目的地后,不会再回到受保护的设备中,从而提供完全的单向安全性。
行业最佳实践:关键基础设施的深度防御
这种方法符合关键基础设施保护的既定网络安全框架。美国国土安全部建议使用数据二极管保护能源基础设施,作为深度防御战略的一部分。在核能等某些领域,核管理委员会要求使用数据二极管。
OPSWAT MetaDefender Optical Diode (Fend)提供了一种易于部署且经济高效的方法,既能满足监管要求,又能改善安全状况,适用于各种规模的公用事业公司。
Secure、实时地访问涡轮机数据
如今,电力公司可实时接收涡轮机的运行数据,而不会受到远程威胁载体的影响。物理上强制执行的单向数据流可确保即使 OSM 系统遭到破坏,攻击者也无法回到运行技术环境中。
主要优势
具有成本效益的扩展
OPSWAT 光学数据二极管的成本仅为传统数据二极管产品的一小部分,因此多站点部署具有经济可行性
轻松部署
设计紧凑,可轻松安装在任何设备机柜中,配置简单,维护要求极低
无设备升级
与现有基础设施无缝协作,无需修改涡轮机或交换机
可靠的保护
Hardware单向数据流可提供软件解决方案无法比拟的安全保障
可扩展的网格现代化
随着OPSWAT MetaDefender Optical Diode (Fend)在其涡轮机监测点的成功实施,该公用事业公司建立了一个行之有效的模式,以确保运行技术数据流的安全。随着他们继续对电网基础设施进行现代化改造,并集成新的监控功能,他们现在拥有了一个可扩展、经济实惠的解决方案,无需在运行可视性和网络安全之间做出选择。
不折不扣地Secure 您的关键基础设施
您的企业在 OT 数据可视性和安全性方面是否也面临着类似的挑战?OPSWAT MetaDefender Optical Diode 提供硬件强制的单向数据传输,在保护关键基础设施的同时,保持您所需的实时运营洞察力。
