Gửi nhật ký, cảnh báo và dữ liệu đo lường qua bộ Data Diode

Tìm hiểu cách thức
Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và mặc dù chúng tôi luôn cố gắng đảm bảo độ chính xác, nhưng đôi khi bản dịch có thể không đạt độ chính xác tuyệt đối. Mong quý vị thông cảm.
Chính phủ | Câu chuyện của khách hàng

Lực lượng Hải quân NATO đạt được chứng nhận NCSC Bảo mật tập tin xuyên lĩnh vực, với khả năng xử lý hơn 1 triệu tệp mỗi ngày

Hoạt động trong một khung quy định quốc phòng nghiêm ngặt, khách hàng đã kết hợp OPSWAT để khắc phục một lỗ hổng bảo mật nghiêm trọng trong khuôn khổ tuân thủ không thể thỏa hiệp.
By Oana Predoiu
Chia sẻ bài viết này

Giới thiệu về công ty: Là lực lượng hải quân hàng đầu của NATO với một trong những lịch sử hoạt động liên tục lâu nhất trên thế giới, khách hàng này duy trì khả năng tác chiến trên biển toàn diện; từ sẵn sàng ứng phó với các tình huống liên quan đến vũ khí hạt nhân đến các hoạt động cứu trợ nhân đạo. Với các hoạt động phức tạp, dựa trên thông tin mật và cực kỳ nhạy cảm, họ hoạt động trong một trong những môi trường an ninh mạng khắt khe nhất trong cơ sở hạ tầng trọng yếu.

Vấn đề là gì? Khách hàng có nhu cầu vận hành cần phải di chuyển dữ liệu phức tạp và đa dạng qua các ranh giới bảo mật quan trọng, nhưng lại không có phương thức nào được phê duyệt để thực hiện việc này, đồng thời phải tuân thủ một khung quy định nghiêm ngặt đặt ra tiêu chuẩn rất cao về khái niệm “được phê duyệt”. Để khắc phục những khoảng trống này, họ đã triển khai OPSWAT theo mô hình mô-đun, được thiết kế đặc biệt để đáp ứng các quy định của NCSC về việc chuyển dữ liệu qua các ranh giới bảo mật. Cùng nhau, chúng tôi đã xây dựng giải pháp Cổng kết nối giữa các miền (Cross Domain Gateway) nhập/xuất dữ liệu đầu tiên được Chính phủ chứng nhận trên quy mô lớn, từ đó lấp đầy một khoảng trống quan trọng trong toàn tổ chức.

Do tính chất của doanh nghiệp, tên của tổ chức được giới thiệu trong câu chuyện này đã được giữ ẩn danh để bảo vệ tính toàn vẹn của công việc của họ.

NGÀNH:

Quốc phòng / Chính phủ

VỊ TRÍ:

Châu Âu

QUY MÔ:

+30.000 nhân viên chính quy

SẢN PHẨM ĐƯỢC SỬ DỤNG:

MetaDefender
MetaDefender truyền tệp™
MetaDefender Diode™

CÁC CÔNG NGHỆ ĐƯỢC SỬ DỤNG:

Multiscanning Metascan™,Công nghệ Deep CDR™, Adaptive Sandbox

An ninh mạng chưa bao giờ là một thách thức dễ giải quyết, nhưng trong cơ sở hạ tầng trọng yếu , những người bảo vệ phải đối mặt với những thách thức ở một đẳng cấp hoàn toàn khác.

Mọi chuyện bắt đầu từ phía những kẻ thù, những người không phải là những tên tội phạm cơ hội chỉ tìm cách kiếm lợi nhanh chóng.

Chúng ta đang nói đến các nhóm được nhà nước hậu thuẫn, hoạt động bằng nguồn lực của chính phủ, hoặc các mạng lưới tội phạm mạng có tổ chức với các mục tiêu đa dạng, từ phần mềm tống tiền đến hoạt động gián điệp dài hạn.

Nói rằng mức độ nghiêm trọng là cao thì vẫn còn là một cách nói nhẹ nhàng; Báo cáo Tội phạm Mạng năm 2024 của FBI đã ghi nhận hơn 4.800 đơn khiếu nại từ cơ sở hạ tầng trọng yếu . Con số này có thể không gây ấn tượng cho đến khi xem xét trong bối cảnh cả năm; về mặt thống kê, con số đó có thể tương đương với 13 vụ tấn công mỗi ngày, tức là một vụ mỗi hai giờ. Đặc biệt đối với các tổ chức quốc phòng, một vụ tấn công thành công có thể trực tiếp đe dọa chủ quyền quốc gia.

Không có gì ngạc nhiên khi một môi trường đe dọa nghiêm trọng như vậy phải hoạt động theo các khung tuân thủ nghiêm ngặt và không thể thương lượng, chẳng hạn như NCSC (Trung tâm An ninh Mạng Quốc gia) tại Vương quốc Anh.

Đồng thời, các giải pháp bảo mật tuân thủ NCSC cần phải có khả năng nhân rộng trên toàn bộ hệ thống. Các tổ chức quốc phòng có cấu trúc nhiều tầng, do đó, các biện pháp bảo vệ của họ phải mang tính mô-đun và có thể áp dụng trên toàn bộ tổ chức, chứ không chỉ giới hạn ở những đơn vị đầu tiên nhận diện được nhu cầu đó.

Chính trong bối cảnh đó, một lực lượng hải quân hàng đầu của NATO đã hợp tác với OPSWAT một nhiệm vụ rõ ràng: phát triển một giải pháp CDS (Cross Domain Solution) đã được chứng nhận và tuân thủ các tiêu chuẩn của NCSC, có khả năng mở rộng quy mô vượt ra ngoài phạm vi một sư đoàn và làm nền tảng cho việc triển khai rộng rãi.

Thiết kế kiến trúc CDS có khả năng mở rộng cho nhiều loại tệp và nhánh, trong điều kiện không có sự linh hoạt về mặt quy định

Khách hàng của chúng tôi đã phải đối mặt với một thách thức mà ban đầu dường như không thể giải quyết được.

Xây dựng giải pháp CDS cho các luồng dữ liệu IMPEX (Nhập khẩu/Xuất khẩu) giữa các cấp độ phân loại khác nhau, tuân thủ các yêu cầu nghiêm ngặt về phân tách mạng của NCSC. Giải pháp này cần có khả năng mở rộng và có thể áp dụng lặp lại trên nhiều nhánh quốc phòng, hỗ trợ đa dạng các định dạng tệp, đồng thời duy trì mức độ khả năng phục hồi cao nhất có thể trước các mối đe dọa mạng.

Hãy cùng xem xét từng lớp một.

Không có cổng kết nối liên miền IMPEX nào đã được phê duyệt

Các mạng lưới mật trong các cơ quan Chính phủ và Quốc phòng cần có các quy tắc được phê duyệt chính thức về luồng dữ liệu IMPEX, được thực thi thông qua Cổng kết nối liên miền IMPEX. Ban đầu, hệ thống này chưa tồn tại trong hệ thống của khách hàng chúng tôi.

Trên thực tế, điều này có nghĩa là hoàn toàn không có quy trình kỹ thuật số nào được phê duyệt dành cho các hoạt động của IMPEX. Thiếu quy trình này, khách hàng không thể chuyển dữ liệu qua các ranh giới phân loại một cách có thể theo dõi và đáp ứng yêu cầu kiểm toán.

Khả năng kiểm tra cần thiết để hỗ trợ nhiều định dạng tệp

Nhiều loại dữ liệu khác nhau đang được truyền qua các mạng có mức độ bảo mật khác nhau: tệp tin người dùng, bản vá bảo mật, bản cập nhật phần mềm nhúng cho phần cứng, ứng dụng chạy trong container và phần mềm quân sự tùy chỉnh — tất cả đều cần phải vượt qua cùng một ranh giới. Dữ liệu phải được kiểm tra kỹ lưỡng để đảm bảo không có yếu tố độc hại nào có thể xâm nhập vào các môi trường có mức độ bảo mật cao.

Tuy nhiên, dữ liệu càng lớn và phức tạp thì việc xác minh tính sạch của nó càng khó khăn. Một số loại tệp không thể được xử lý như các tài liệu thông thường. Các bản vá, trình cài đặt, phần mềm nhúng, tập lệnh và phần mềm quân sự tùy chỉnh cần phải được kiểm tra hành vi, bởi vì chỉ quét tĩnh thôi không thể chứng minh được chúng sẽ hoạt động như thế nào một khi được đưa vào môi trường mật. Đồng thời, bất kỳ lỗ hổng nào trong phạm vi kiểm tra cũng có thể làm suy yếu chính ranh giới bảo mật đó.

Các tiêu chuẩn nghiêm ngặt đòi hỏi phải tách biệt mạng một cách tuyệt đối

Khung NCSC quy định các quy tắc nghiêm ngặt về cách thức dữ liệu phải được chuyển giao giữa các cấp độ phân loại. Yếu tố then chốt trong đó là các SEF (Chức năng Thực thi An ninh): các biện pháp kiểm tra an ninh bao quát mọi khía cạnh, từ phát hiện phần mềm độc hại đến xác thực định dạng.

Hoạt động theo tiêu chuẩn NCSC, khách hàng phải thiết lập các quy tắc tuyệt đối về việc tách biệt mạng (phân loại SECRET/OPEN). Các môi trường được phân loại và không được phân loại tuyệt đối không được phép giao tiếp với nhau, trong đó CDS Gateway đóng vai trò là rào cản tuyệt đối.

Việc không đáp ứng yêu cầu quét của SEFs có thể dẫn đến việc một tệp độc hại xâm nhập vào mạng được phân loại, hoặc việc thông tin nhạy cảm bị rò rỉ.

Xây dựng một giải pháp phù hợp để được áp dụng rộng rãi hơn

Yêu cầu đó chưa bao giờ chỉ đơn thuần là giải quyết một vấn đề duy nhất.

Cơ quan chính phủ này bao gồm nhiều chi nhánh, cơ quan, địa điểm và đơn vị chỉ huy, và giải pháp Cross Domain do khách hàng triển khai phải hoạt động hiệu quả trên tất cả các đơn vị này.

Một giải pháp chỉ hoạt động được trong một bối cảnh cụ thể sẽ khiến một bộ phận khác trong phòng ban phải đối mặt với lỗ hổng tương tự. Khách hàng cần xây dựng một hệ thống có thể trở thành tiêu chuẩn thống nhất và được triển khai trên toàn bộ tổ chức.

Khi không còn chỗ cho sai sót: Kiến trúc đa miền theo từng lớp, được NCSC chứng nhận

Thách thức mà khách hàng đặt ra không thể được giải quyết chỉ bằng một sản phẩm duy nhất.

Thay vào đó, OPSWAT một kiến trúc đa chiều, được hỗ trợ bởi nhiều sản phẩm và công nghệ, trong đó mỗi lớp đều hướng tới mục tiêu chung: đảm bảo không có bất kỳ yếu tố nào vượt qua ranh giới phân loại mà không được kiểm soát.

Tách biệt mạng vật lý thông qua MetaDefender Optical DiodeDiode™

Nền tảng của kiến trúc này dựa trên các đi-ốt dữ liệu phần cứng, giúp đảm bảo luồng dữ liệu một chiều ở cấp độ mạng. Khác với các cơ chế kiểm soát dựa trên phần mềm — vốn có thể bị cấu hình sai hoặc bị vượt qua — đi-ốt phần cứng khiến việc dữ liệu chảy ngược trở nên vật lý không thể xảy ra.

Các hạn chế về mặt vật lý đảm bảo sự tách biệt TUYỆT ĐỐI giữa mạng SECRET và mạng OPEN theo yêu cầu của NCSC.

Optical Diode MetaDefender Optical Diode thiết kế để cho phép truyền dữ liệu một chiều an toàn, được bảo đảm bằng phần cứng giữa các mạng CNTT và OT, khiến cho việc lưu lượng dữ liệu di chuyển từ các cấp độ phân loại thấp hơn vào các môi trường được bảo vệ trở nên không thể về mặt vật lý.

Xử lý tệp nhiều lớp thông qua nền tảng MetaDefender Core™

Mọi tệp tin đi qua ranh giới đều được MetaDefender Core chặn lại và kiểm tra, với mức độ kiểm tra được điều chỉnh phù hợp với môi trường đích.

Các tệp được chuyển vào mạng SECRET sẽ trải qua toàn bộ quy trình xử lý: quét đa tầng bằng nhiều công cụ quét để nâng cao tỷ lệ phát hiện và công nghệ Deep CDR™ nhằm loại bỏ mọi mối đe dọa ẩn. Hệ thống Adaptive Sandbox phân tích động dựa trên mô phỏng đối với các tệp đáng ngờ, buộc phần mềm độc hại có khả năng lẩn tránh phải bộc lộ hành vi mà có thể không được phát hiện trong quá trình kiểm tra tĩnh hoặc trong môi trường sandboxing truyền thống dựa trên máy ảo (VM).

Các tệp được chuyển sang các môi trường có mức phân loại thấp hơn chỉ được quét bằng nhiều công cụ chống phần mềm độc hại, đảm bảo khả năng bảo vệ nhất quán trên mọi luồng dữ liệu.

MetaDefender Core nền tảng phát hiện và ngăn chặn các mối đe dọa nâng cao OPSWAT; kết hợp Công nghệ Deep CDR™, Multiscanning Metascan™ vàSandbox Adaptive Sandbox Adaptive Sandbox bảo vệ các luồng công việc liên quan đến tệp tin cơ sở hạ tầng trọng yếu.

Truyền tệp tự động với công nghệ MetaDefender Managed File TransferTransfer™

Managed File Transfer MetaDefender tự động hóa quá trình nhập/xuất tất cả các loại dữ liệu khác nhau mà khách hàng xử lý, từ đó tạo ra một quy trình được quản lý chặt chẽ và có thể kiểm toán.

Không có gì được di chuyển bằng tay, không có gì di chuyển mà không được theo dõi, và không có gì có thể vượt qua các tầng kiểm tra.

Managed File Transfer MetaDefender Managed File Transfer các biện pháp kiểm soát dựa trên chính sách và cơ chế phòng ngừa mối đe dọa tích hợp để chuyển các tệp nhạy cảm một cách an toàn giữa các tổ chức, hệ thống hoặc vùng bảo mật.

Kiến trúc được NCSC chứng nhận

Kiến trúc được xây dựng dựa trên các sản phẩm OPSWATtuân thủ các mô hình bảo mật của NCSC dành cho luồng dữ liệu xuyên miền. Giải pháp này đã trở thành giải pháp IMPEX đầu tiên được chính phủ chứng nhận, có nghĩa là nó có thể được áp dụng như một tiêu chuẩn thống nhất trên các đơn vị khác của tổ chức mà không cần phải thiết kế lại từ đầu.

Xây dựng một lần, xây dựng đúng cách, mở rộng quy mô lên hơn 1 triệu tệp mỗi ngày

Về bản chất, CDS là vấn đề ghép các thành phần phù hợp lại với nhau để tạo thành một hệ thống có thể đáp ứng các quy định nghiêm ngặt nhất, trên mọi loại tệp tin, với quy mô mà các hoạt động quốc phòng trong thực tế đòi hỏi.

Môi trường này vô cùng khắc nghiệt: những đối thủ tinh vi và đầy quyết tâm, không có sự khoan nhượng nào đối với các lỗ hổng tuân thủ, và không có chỗ cho sai sót.

Đối với khách hàng của chúng tôi, việc triển khai CDS trên quy mô lớn đã là một vấn đề đã được giải quyết. Cùng nhau, chúng tôi đã xây dựng một kiến trúc mô-đun, đã được chứng nhận, có khả năng mở rộng để xử lý hơn một triệu tệp mỗi ngày.

Nếu điều này nghe có vẻ đơn giản, thì đó chỉ là vì OPSWAT tập trung vào Bảo mật tập tin hơn hai mươi năm Bảo mật tập tin , trong những môi trường khắt khe nhất cơ sở hạ tầng trọng yếu thể mang lại.

Cho dù công ty của quý vị đang phải đối mặt với một thách thức liên miền tương tự hay mộtBảo mật tập tin chung hơn cơ sở hạ tầng trọng yếu Bảo mật tập tin , OPSWAT kinh nghiệm để hỗ trợ; hãy cùng trao đổi.

Những câu chuyện tương tự

Tháng sáu 25 , 2026 | Tin tức doanh nghiệp

OPSWAT một trong ba nhà sản xuất bán dẫn hàng đầu OPSWAT 1 triệu USD mỗi giờ do thời gian ngừng hoạt động

Tháng sáu 24 , 2026 | Tin tức doanh nghiệp

Visana tăng cường bảo mật khi tải lên tệp tin cho khách hàng mà không gây ra gánh nặng vận hành

Tháng sáu 17 , 2026 | Tin tức doanh nghiệp

Nhà lãnh đạo toàn cầu trong lĩnh vực năng lượng chuyển từ các lỗ hổng bảo mật truyền thống sang Industrial hiện đại

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về doanh nghiệp, câu chuyện, thông tin sự kiện và nhiều thông tin khác.