首页 > 最新消息 >[iThome文章分享]OPSWAT解决方案如何用于保护关键基础设施和降低可携式多媒体攻击风险

最新消息

2025-05-02

[iThome文章分享]OPSWAT解决方案如何用于保护关键基础设施和降低可携式多媒体攻击风险


对核能产业来说,信息安全防护至关重要,必须采取严格的保护措施来对抗各种网路威胁,其中包括 PMMD(可携式多媒体设备)攻击。由于许多核能设施是在空气隔离区中运作,设施与终端设备间的资料传输通常仰赖周边装置及可携式媒体(例如 USB 随身碟及软碟)。

核能产业受到高度的法规规范。美国核能管制委员会(NRC)制定了涵盖全面的安全规定,名为《联邦法规汇编》(CFR)。CFR 第 10 篇第 73.54 条特别针对「数位电脑与通讯系统及网路」的信息安全保护作出要求。

核能设施的信息安全架构与法规规范

为了符合对数位与通讯系统信息安全的高标准要求,美国核能学会(NEI)制定了 NEI 08-09 与 NEI 18-08 两份指引文件,内容皆与 CFR 第 10 篇第 73.54 条一致,并为核能设施建立了稳固的信息安全基础,强调风险导向的信息安全管理方法。

CFR  73.54 

此条文透过建立针对核材料与设施的安全框架,在核能设施中实施严格的保护措施。它要求营运方部署强而有力的实体保护系统,确保系统完整性与备援性,并实施严格的存取控管程序。该条文采用全方位策略,不仅涵盖实体保护,也针对来自 USB、DVD、软碟等周边媒体的恶意攻击做出防范。

NEI 08-09

NEI 08-09 为核能反应炉建立信息安全计画提供一套完整的架构。其内容包含辨识关键数位资产(CDA)、防范内部与外部威胁,以及降低包括可携式媒体和行动媒体在内的系统弱点。

NEI 18-08

NEI 18-08 针对不断演进的信息安全标准提供新的防护指引。由于核能设施常包含多个空气隔离区,区域间的资料传输多仰赖可携式与行动媒体,因此设施中须配备扫描站(Scan Station)或扫描终端机(通常称为 Kiosk)。

此文件著重于阻止 PMMD 攻击的攻击路径,并指导如何降低此类威胁的风险。内容也涵盖风险导向的管理流程与新型数位系统(如 IoT 装置)的保护策略。

 

建立核能设施的信息安全计画

要建立一套符合法规要求且具效益的信息安全计画,应纳入以下几项关键要素:

风险识别

风险识别是拟定信息安全计画的首要步骤,须涵盖设施中的 OT(操作技术)与 IT(信息技术)系统。常见的风险包括内部与外部威胁、潜在的硬体/软体漏洞,以及来自周边装置与抽取式媒体的威胁。

纵深防御

NEI 08-09 指出信息安全计画应采取多层次防御,例如限制装置使用、透过网路区隔来保护关键系统,并进行即时监控与恶意软体扫描。

存取控制

仅授权人员得以在安全区域内使用可携式媒体,并禁止未经授权的装置存取关键网路。

严格管理周边媒体使用政策

除建置扫描站之外,USB 使用也应仅限于经核可的装置,且应搭配端点防护软体进行监控。

装置隔离

对于疑似受到感染或未授权的装置,必须进行隔离处理。用于维护作业的周边媒体应于使用前后进行清除,防止交叉感染。除实体隔离外,也可透过 NAC(网路存取控制)系统进行管理。

保护云端装置与行动应用

即便在高隔离环境中,云端连线装置仍难以完全避免。透过零信任(Zero Trust)架构与存取管理策略,可加强信息安全防护。

延伸阅读:英国 Dounreay 核能机构使用 OPSWAT MetaDefender确保整体档案安全

 

PMMD 攻击路径

在空气隔离的环境下,Kiosk 常成为攻击者的目标。下列路径为 PMMD 攻击常见手法,须在信息安全规划时纳入考量:

  • Kiosk 实体存取:若攻击者能接触到底层硬体或未受保护的连接埠,Kiosk 的作业系统与扫描软体将面临威胁。

  • 有线网路连线:即便部署于隔离区,Kiosk 常透过有线方式进行维护作业,潜在成为恶意程式注入的管道。

  • 无线网路连线:无线连线比起有线更容易被未授权用户截取与入侵。

  • 可抽取媒体接入:需持续监控 Kiosk 的媒体接孔,避免遭不当使用,保护扫描引擎免于被窜改。

  • 供应链接入:除了部署后的风险,攻击可能发生于设备生产或交付过程。预先植入恶意软体更具隐蔽性,也增加检测难度。

保护核电厂免于 PMMD 攻击

以下措施有助于防止 PMMD 攻击并强化核设施信息安全:

  • OT 环境下的装置控管策略:在 OT 环境中对可携式媒体和行动装置实施严格的装置存取政策,仅允许核准装置连接,并搭配 MetaDefender Endpoint™ 等解决方案进行监控。此外,组织应该强制执行政策,要求对所有可携式媒体进行加密,以保护装置遗失或遭窃时的资料完整性。

  • 授权、监控与控管抽取式装置:在存取关键网路之前,连接至网路的周边装置和可移动装置必须经过验证。此程序可确保只有经过充分扫描和安全保护的装置才能与设施的系统互动。MetaDefender Kiosk™ 等解决方案拥有MetaDefender Media Firewall™技术,以及适用于不同地点的多种外形,已证明其在确保核能设施档案传输作业安全方面的有效性。

  • 监控与稽核:持续监控装置活动和全面记录资料传输,有助于识别异常活动或未经授权的存取尝试。此外,维护装置连线记录也有助于安全稽核。

  • 强制扫描与恶意软体侦测:强制扫描所有进入设施的可携式与行动多媒体,对于在允许存取网路之前检查所有装置是否有恶意软体非常重要。除了固定扫描工具之外,可携式裸机扫描工具 (例如MetaDefender Drive™),具有侦测隐藏恶意软体 (例如 rootkit 感染) 的能力,可协助强化网路安全计画。

  • 信息安全教育与意识提升:加强员工对可携式多媒体使用的风险认知,并持续提供员工教育训练, NEI 指导方针提倡教育员工有关最佳作法的知识,例如避免使用未知的USB ,并确保个人装置不会连接至关键系统。

  • 紧急应变规划:若发生 PMMD 事件,应立即启动隔离流程、通报团队、并展开系统复原作业。

总结

核能设施经常在空气隔离区运作,透过可移动多媒体在设施与端点之间进行资料传输成为必要手段,却也提高 PMMD 攻击风险。为符合法规并强化信息安全,需导入如 MetaDefender KioskMetaDefender Media FirewallMetaDefender Endpoint™及 MetaDefender Drive 等周边设备和可移除媒体防护解决方案,实现高达 99.2% 的恶意软体侦测率,全面守护关键设施。

 

原文连结:https://ithome.com.tw/pr/168694