通过数据二极管发送日志、警报和遥测数据

了解详情
我们利用人工智能进行网站翻译,虽然我们力求准确,但不一定总是 100%精确。感谢您的理解。
MetaDefender 为 OT 和 CPS 提供保护

评估您的 ICS/OT 准备情况

有效的 ICS/OT 安全防护取决于在几个关键领域采取一致的控制措施:设备如何连接、文件如何进入系统环境,以及数据如何在不同区域之间传输。OPSWAT OT Security 评估可帮助您验证这些控制措施是否已制定、实施并按预期运行。

本次评估将快速为您当前的状况提供一个基准,并重点指出四个高影响领域的不足之处:

  • 外围和可移动多媒体 保护
  • OT 和网络物理系统
  • 利用数据二极管和安全网关实现受控数据传输
  • 便携式恶意软件扫描

回答 10 个简短问题,即可获得符合您的安全目标和运营限制的实用且按优先级排序的建议。

评估记分卡
ICS/OT 安全准备度评估

1题(共 10 题)

贵组织是否将运营技术(OT)网络与企业IT环境进行了隔离?

贵组织是否对从运营技术(OT)网络发出的文件传输实施相关政策?

贵组织在不同网络区域之间的文件流是否受到持续监控?

贵组织是否使用单向网关或数据二极管来实现安全、单向的数据传输?

贵组织是否会在 OT 终端上阻止未经授权或未受管理的设备?

贵组织是否会在外围存储设备(如USB 或SD卡)在OT终端上被访问之前对其进行扫描?

贵机构是否使用实体自助终端或集中式检查站来进行安全媒体检查?

贵组织是否会在临时设备(例如供应商的笔记本电脑或入库硬件)连接到运营技术(OT)系统之前对其进行扫描?​

贵组织是否对所有传输的文件都采用恶意软件多重扫描和/或 CDR(内容解除武装与重建)技术?

您在工业控制系统(ICS)/运营技术(OT)安全方面的投资主要受哪两个因素驱动?

ICS/OTOT Security 准备评估

OT Security 评估

您的状态:不适用

感谢您完成本次评估。请填写此表单,以查看完整的总结和建议。

搜索结果包含:

  • 您的准备状态和成熟度概览
  • 主要发现与改进重点
  • 面向从业者的后续步骤​
  • 推荐解决方案及辅助资源
领先
日趋成熟
正在开发中
高风险
您的就绪状态意味着什么:

气场十足。你正引领着节奏。

您的答复体现了一个成熟的工业控制系统(ICS)/运营技术(OT)安全项目。您已在最关键的环节部署了恰当的控制措施:设备如何连接、文件和存储介质如何进入环境,以及数据如何在不同区域之间流动。这种全面覆盖且贯彻始终的安全措施,正是韧性安全项目与众不同的关键所在。

在此阶段,首要任务是确保现有方案在规模化部署中保持有效。应尽量减少例外情况,确保各站点和供应商的执行一致性,并随着环境和威胁形势的变化,通过确凿的证据来验证防护覆盖范围。

领先
日趋成熟
正在开发中
高风险
您的就绪状态意味着什么:

坚实的基础。规范文件和设备的接收流程。

Core 已到位,但在那些带来最大日常风险的途径(尤其是便携式存储介质、供应商设备以及向运营技术(OT)系统传输文件)上,执行情况尚未实现统一。从“成熟”阶段迈向“领先”阶段,通常取决于一致性:即在各个站点和团队之间采用相同的工作流程、相同的检查深度以及相同的执行结果。

应优先关注异常情况最常发生的领域:可移动存储介质的处理、供应商及临时设备的接收,以及对传输文件实施一致的扫描和数据清除。当这些工作流程得到标准化并严格执行时,系统成熟度将迅速提升。

领先
日趋成熟
正在开发中
高风险
您的就绪状态意味着什么:

坚实基础。加强区域间互信。

Core 已到位,您的项目已处于成熟阶段。从“成熟”迈向“领先”的关键通常在于数据流动:确保跨区域数据路径的可预测性、严格管控和可验证性。

如果单向传输、分段或跨区域验证仅部分实施,就会产生难以长期维护的例外情况。应着力落实预期的架构,消除变通方案,并验证随着运营需求的变化,各项控制措施能否保持有效。

领先
日趋成熟
正在开发中
高风险
您的就绪状态意味着什么:

虽然已实施控制措施,但仍可能被绕过。应规范运营技术(OT)文件和设备的接收流程。

贵公司已建立基础管控措施,但这些措施尚未在所有站点、团队和工作流中得到统一执行。最大的安全风险通常源于日常运营活动:供应商的笔记本电脑连接系统进行维护、在时间紧迫的情况下使用可移动存储介质,以及文件通过非正式传输路径流入工程和生产区域。

在现阶段,若将经批准的流程设为最简便的流程,系统成熟度将得到最快提升。应规范设备连接方式及文件进入运营技术(OT)系统的方式,在实际操作环节增加检查和策略执行机制,并消除那些可能演变为永久性绕过机制的常规例外情况。

领先
日趋成熟
正在开发中
高风险
您的就绪状态意味着什么:

OT 入口路径已暴露。请实施设备访问和数据传输控制措施。

针对设备连接方式、文件如何进入运营技术(OT)环境以及信息在不同区域间如何流动的关键控制措施,要么缺失,要么执行不一致。在这种情况下,日常工作流程便成为最可能的入侵途径:供应商笔记本电脑、可移动存储介质、工程更新以及非正式的跨区域传输都可能引入恶意内容,并导致其在运营技术(OT)系统中迅速传播。

最有效的风险降低措施在于收紧通往运营技术(OT)环境的“入口”,并确保安全操作流程的可重复性。应规范化在进入运营技术环境前的设备和文件检查流程,在设备连接及介质使用时严格执行终端策略,并将区域间的传输限制在经过批准且有记录的通道内,同时明确例外情况的处理机制。这些措施无需对整体架构进行全面重构,即可迅速降低风险暴露。

你的同龄人都在做什么

在各站点、团队及第三方之间统一检查和移交工作流程,以最大限度地减少例外情况

验证文件和设备条目路径的覆盖范围,包括可移动存储介质和供应商访问权限

利用报告和定期审查来确认执行情况,并保留可供审计的证据

将扫描和清理范围扩展至所有传入文件和可移动存储介质,并保持一致的检查深度

规范供应商和临时设备的接入流程,确保第三方工作流程不会绕过控制措施

利用报告和定期审查来验证执行情况,并随着时间的推移减少例外情况

强制执行受管制的区域间数据流,并在隔离要求严格的情况下采用单向传输

通过消除临时路径并规范已批准的转运路线,减少架构异常

通过监测和证据核实跨区域活动,以便能够一致地证明执法行动

让检查成为必然

要求在访问运营技术(OT)系统之前,对供应商设备和可移动存储介质进行扫描和验证

控制文件接收

对入站文件和工程数据传输实施多重扫描和文件净化处理

执行Endpoint

在运营技术(OT)终端和工程工作站上阻止未受管设备,并限制可移动存储介质的行为

处理异常

对于任何偏离标准工作流的情况,均需采用审批、记录、可追溯性和有效期管理

为更严格的区域过境做好准备

一旦工作流程趋于统一,应通过专门的转移管控措施加强各区域之间的执行力度

控制设备和文件进入运营技术(OT)网络的方式

在将设备、可移动存储介质和交付文件用于运营技术(OT)环境之前,必须执行统一的管理流程

限制区域传输

仅允许通过经批准的途径进行转运;若风险和紧急程度要求,应采用单向转运

执行Endpoint

阻止未受管设备,并在 OT 终端和工程工作站上应用可移动存储介质策略

处理异常

任何偏差均须经过审批、记录、可追溯、补偿性控制,并设定有效期限