為您的實體隔離網路開啟一扇門

Waterfall Logo

單向網路安全閘道 UNIDIRECTIONAL SECURITY GATEWAYS

Waterfall Unidirectional Security Gateways (USG) 的目的是為了取代工業網路環境中的防火牆設備,提供工業控制系統 (Industrial Control System, ICS) 以及關鍵基礎設施 (Critical Infrastructure, CI) 的維運網路一個絕對安全的保護,以避免遭受由外部網路而來的攻擊。

防火牆設備在一般 Information Technology (IT) 網路上是絕對可以勝任的,但 Operational Technology (OT) 網路要求的是一個絕對安全的網路環境,利用 IT 防火牆設備並無法百分之百地保護 OT 網路,因為:

防火牆有作業系統,有中央處理器、記憶體、儲存空間...

所以就可能會有軟體上的漏洞、硬體上的缺陷,造成防火牆設備被 Bypass。

防火牆是人為設定的...

所以就可能會有人為設定的疏忽 (Misconfiguration),讓防火牆設備的規則被改變。

防火牆是依靠網路通訊來傳輸...

所以還是需要網路通訊的三向交握 (3-way handshake) 來溝通,本質上仍是雙向的網路通訊。

因此 Waterfall 針對上述問題研發出單向網路安全閘道 (Unidirectional Security Gateways, USG) 這樣的產品來解決上述問題!

Waterfall Diagram

單向網路安全閘道 - 核心元件

Waterfall Unidirectional Security Gateways (USG) 的架構如同上圖所示,包含以下幾個組成要件:

 

Waterfall TX Agent為一個代理程式,可安裝於Windows伺服器、Linux伺服器上,主要工作如下:

  • 設定資料傳送作業
  • 處理資料收集工作
  • 管控資料傳輸品質(QoS)
  • 控制資料類型

根據管理者的設定,Waterfall TX Agent可將資料傳送到Waterfall TX Appliance。

Waterfall TX Appliance為一台硬體式的網路設備,負責接受Waterfall TX Agent交辦的任務,將欲傳送的資料透過光纖通道(Fiber Cable)傳送到網路的另一端:接收端(RX)。

硬體規格如下:

  • 寬度19英吋、高度1英吋的標準機架式網路設備
  • 提供RJ-45乙太網路埠,支援100Mbps/1Gbps (視型號而定)
  • 提供雙電源供應器、雙乙太網路埠備援機制 (視型號而定)
  • 提供一個只有傳輸模組(Transmitter)的光纖接口

Waterfall RX Appliance為一台硬體式的網路設備,負責接受Waterfall TX Appliance所傳送過來的資料,並將資料轉送到Waterfall RX Agent。

硬體規格如下:

  • 寬度19英吋、高度1英吋的標準機架式網路設備
  • 提供RJ-45乙太網路埠,支援100Mbps/1Gbps (視型號而定)
  • 提供雙電源供應器、雙乙太網路埠備援機制 (視型號而定)
  • 提供一個只有接收模組(Receiver)的光纖接口

Waterfall RX Agent為一個代理程式,可安裝於Windows伺服器、Linux伺服器上,主要工作如下:

  • 設定資料傳送作業 (需與TX Agent對應)
  • 處理資料收集工作
  • 驗證資料傳輸正確性(ECC)
  • 監視單向網路通道是否正常運作

根據管理者的設定,Waterfall RX Agent可在收集完資料後,依據設定再轉傳到相對應的應用系統上。

支援最多種類的應用系統與網路協定

 

支援工業行業最多種類的工業應用系統。

像是 Schneider Wonderware、OSISoft PI、GE Proficy以及其他工業應用系統。

  • WONDERWARE HISTORIAN
  • GE OSM
  • OSISOFT PI ASSET FRAMEWORK
  • SIEMENS SINAUT
  • GE IHISTORIAN
  • SIEMENS SIMATIC
  • CLEARSCADA
  • GE IFIX
  • WONDERWARE
  • SIEMENS WINTS
  • TIBCO
  • SCIENTECH R*TIME
  • MATRIKON ALARM MANAGER
  • INSTEP EDNA
  • IBM WEBSPHERE MQ
  • EMERSON EMS
  • EMERSON EDS
  • EDS
  • BENTLY NEVADA SYSTEM1
  • ASPENTECH
  • AREVA POWERTRAX
  • AREVA POWERPLEX
  • ACTIVE MESSAGE QUEUE
  • MICROSOFT MQ

支援大多數工業控制網路所使用的資料庫系統。

像是 Microsoft SQL、Oracle 以及其他資料庫。

  • MICROSOFT SQL SERVER
  • ORACLE DATABASE
  • MYSQL
  • POSTGRESQL

支援市場上最廣泛使用的工業網路協定。

像是 OSISoft PI、Modbus、OPC 以及其他工業網路協定。

  • OSISOFT PI
  • OSISOFT PI - HISTORY BACKFILL
  • IEC 60870-5-104
  • MODBUS
  • MODBUS PLUS
  • OPC AE
  • OPC DA
  • OPC HDA
  • OPC UA
  • DNP3
  • ICCP

可與你的IT系統維運需求進行整合,從防毒軟體更新到檔案傳輸,還有其他更多IT應用。

  • UPDATER FOR ANTI-VIRUS
  • OPSWAT
  • UPDATER FOR WSUS
  • SNMP
  • CA SIM
  • CA UNICENTER
  • HP OPENVIEW
  • SYSLOG
  • SMTP
  • FILE TRANSFER
  • LOCAL FOLDER TRANSFER
  • TFTP
  • SAMBA
  • IP VIDEO AND AUDIO
  • REMOTE PRINTING
  • ARCSIGHT SIEM
  • EMC DOCUMENTUM
  • FOLDER MIRRORING
  • MCAFEE EPOLICY ORCHESTRATOR
  • MCAFEE ESM SIEM
  • NETFLOW
  • NTP
  • RSYNC
  • SAP
  • SECURE NTP
  • SPLUNK
  • WEB SERVERS
  • UDP
  • TCP/IP
  • SOAP

應用系統資料控制(ADC)用於深入分析通過Waterfall網路安全閘道設備的資料。

  • 透過軟體方式運作,可相容於所有Waterfall的網路安全閘道設備。
  • 全方位的控制哪些欄位、標籤、數值、數據能夠通過Waterfall網路安全閘道設備。
  • 支援所有的Waterfall網路安全閘道中的資料複寫、IT與工業網路協定及其他應用。
  • 透過沙箱執行行為分析,多個防毒掃描引擎
  • 檔案型態驗證、數位簽章驗證與檔案格式轉換
  • 內容檢查(長度限制、黑名單、資料類型...等)

透過掃描分析、規則政策與資料驗證測試過濾哪些資料能夠通過Waterfall網路安全閘道設備。

除了能夠解決資料本身所帶來的相關風險,亦可解決資料外洩或是針對工業網路的進階攻擊威脅。

針對關鍵基礎設施進行遠端桌面監視,以確認服務器以及工作站的狀況。

同時也避免關鍵網路遭受來自外部網路的攻擊威脅。

  • 外部網路可以看到內部關間網路的系統畫面
  • 使用傳統的影像串流處理程序,相容於網頁瀏覽器
  • 毋須安裝用戶端軟體
  • 遠端桌面監視可受密碼保護
  • 容易安裝維護
  • 符合NERC-CIP CIP-004 "Escorted Remote Access"的解釋

BEST PRACTICES

Waterfall的單向網路安全閘道技術受到世界各國的政府單位以及監管機構推薦,在工業控制系統(Industrial Control Systems, ICS)以及關鍵基礎建設(Crutical Infrastructure, CI)面臨網路攻擊威脅的狀況下,Waterfall的單向網路安全閘道是最佳方案。

下面列出幾個組織單位的評語:

Unidirectional gateways limit the propagation of malicious code (ISA SP-99-3-3)

NEI exempts unidirectional-protected sites from 22 of 26 cyber-perimeter rules

ANSSI cybersecurity for ICS - many requirements for hardware-enforced unidirectionality

ENISA - unidirectional gateways provide better protection than firewalls

DHS recommends unidirectional gateways in security assessments

Unidirectional gateways limit propagation of malicious code (IEC 62443-3-3)

NRC exempts unidirectional-protected sites from 21 of 26 cyber-perimeter rules

NERC-CIP exempts over 35% cyber security requirements when using unidirectional gateways

 

 

如果您正是屬於上述面臨網路攻擊威脅的

關鍵公共基礎建設事業,或是與國安軍情有關的單位組織

請馬上與我們聯絡!