Hướng dẫn Bảo mật OT cho Singapore, Malaysia & Việt Nam

Bảo mật công nghệ vận hành (OT) là lĩnh vực bảo vệ các hệ thống điều khiển công nghiệp — PLC, DCS, HMI, máy chủ SCADA, historian, biến tần và các mạng kết nối chúng — vốn vận hành các nhà máy, nhà máy lọc dầu, trạm xử lý nước, cảng, lưới điện và các cơ sở hạ tầng trọng yếu khác. Đây không phải là cùng một bài toán với bảo mật IT, và không thể giải quyết chỉ bằng các công cụ bảo mật IT thông thường.

Hướng dẫn này dành cho quản lý nhà máy, kỹ sư OT và đội CISO tại Singapore, Malaysia và Việt Nam — những người cần xây dựng một chương trình bảo mật OT đáp ứng các quy định pháp lý sở tại (Quy tắc Thực hành An ninh mạng 2.0 (CCoP 2.0) của Singapore, Luật An ninh mạng và Nghị định 53/2022/NĐ-CP của Việt Nam) đồng thời tuân thủ tiêu chuẩn toàn cầu IEC 62443. Chúng tôi ánh xạ từng lớp kiểm soát tới các sản phẩm cụ thể mà Allied Solutions Global phân phối — các dòng MetaDefender, OTfuse của OPSWAT cùng Data Diode và bộ mã hóa của ST Engineering — để bạn có thể đi từ yêu cầu pháp lý đến quyết định mua sắm trong một tài liệu duy nhất.

Vì sao bảo mật OT là bài toán khác với bảo mật IT

Trong môi trường IT, thứ tự ưu tiên là bảo mật – toàn vẹn – khả dụng. Trong môi trường OT, thứ tự đó đảo ngược: khả dụng và an toàn được đặt lên hàng đầu. Một nhà máy điện mất kiểm soát tuabin là một sự cố an toàn; một bồn phản ứng hóa chất lệch điểm đặt là một sự cố an toàn; một nhà máy nước đô thị mất tầm nhìn HMI trong mười phút là một sự cố y tế công cộng.

Sự đảo ngược này chi phối mọi quyết định thiết kế trong bảo mật OT:

• Không thể vá lỗi theo lịch hàng tuần như IT. Một bộ điều khiển OT thường chạy nhiều năm giữa các kỳ bảo trì. Giải pháp bảo vệ phải giả định rằng bộ điều khiển vẫn có lỗ hổng và phải khống chế phạm vi ảnh hưởng khi sự cố xảy ra.
• Không thể cài đặt agent lên một PLC sản xuất từ 1995. Nhiều tài sản OT không thể chạy phần mềm bảo mật. Bảo vệ phải được thực hiện ở lớp mạng hoặc lớp vành đai.
• Không thể chặn lưu lượng “trông có vẻ đáng ngờ”. Một cảnh báo nhầm chặn một lệnh Modbus poll có thể dừng cả dây chuyền sản xuất. Các biện pháp kiểm soát OT phải xác định chính xác cái gì được cho phép và cái gì bị từ chối.
• Không thể tin tưởng người vận hành sẽ luôn cắm một USB sạch. Phương tiện di động là một trong những vector tấn công phổ biến nhất vào OT, chính vì các nhà máy air-gap không có cách nào khác để đưa dữ liệu ra vào.

Bốn nguyên tắc trên định hình bốn lớp kiểm soát mà chúng tôi sẽ khảo sát trong hướng dẫn này: phân tách mạng, bảo vệ thiết bị đầu cuối và PLC, kiểm soát phương tiện di động, và mã hóa dữ liệu trên đường truyền.

Bối cảnh pháp lý tại Singapore, Việt Nam và Malaysia

Singapore: Luật An ninh mạng và CCoP 2.0

Singapore’s Cybersecurity Act trao quyền cho Cơ quan An ninh mạng Singapore (CSA) chỉ định Cơ sở Hạ tầng Thông tin Trọng yếu (CII) và áp đặt các thực hành bảo mật bắt buộc đối với chủ sở hữu. Bộ quy tắc hiện hành là Quy tắc Thực hành An ninh mạng cho Cơ sở Hạ tầng Thông tin Trọng yếu – Phiên bản thứ hai (CCoP 2.0), có hiệu lực từ ngày 4 tháng 7 năm 2022.

CCoP 2.0 áp dụng cho mười một lĩnh vực trọng yếu: năng lượng, viễn thông – CNTT, nước, y tế, ngân hàng và tài chính, an ninh và dịch vụ khẩn cấp, hàng không, giao thông đường bộ, hàng hải, chính phủ và truyền thông. Chủ sở hữu CII trong các lĩnh vực này bắt buộc phải triển khai các biện pháp kiểm soát thuộc các lĩnh vực quản trị, bảo vệ, phát hiện, phản ứng và khả năng phục hồi. Đối với đơn vị vận hành OT, các yêu cầu liên quan trực tiếp nhất bao gồm phân tách mạng giữa hệ thống doanh nghiệp và hệ thống vận hành, kiểm soát phương tiện di động vào vùng OT, giám sát các giao thức OT chuyên biệt và thời hạn báo cáo sự cố.

Việt Nam: Luật An ninh mạng và Nghị định 53/2022

Luật An ninh mạng của Việt Nam có hiệu lực từ ngày 1 tháng 1 năm 2019. Nghị định hướng dẫn thi hành, Nghị định số 53/2022/NĐ-CP, được ban hành tháng 8 năm 2022 và có hiệu lực từ ngày 1 tháng 10 năm 2022. Hai văn bản này cùng xác định nghĩa vụ của doanh nghiệp vận hành “hệ thống thông tin quan trọng,” bao gồm các đơn vị trong lĩnh vực ngân hàng, tài chính, năng lượng, viễn thông và giao thông.

Đối với đơn vị vận hành nhà máy tại Việt Nam, các yếu tố quan trọng nhất về mặt vận hành của khung pháp lý này bao gồm:

• Quản lý lỗ hổng và bản vá là bắt buộc theo luật, không còn là khuyến nghị thực hành tốt.
• Đánh giá định kỳ hệ thống thông tin nhằm phát hiện các điểm yếu có thể bị khai thác.
• Báo cáo sự cố kịp thời cho Bộ Công an (MPS).
• Yêu cầu cư trú dữ liệu đối với một số loại dữ liệu nhất định, ảnh hưởng tới cách kiến trúc các nền tảng SCADA đám mây hoặc truy cập từ xa cho các nhà máy đặt tại Việt Nam.

Nếu nhà máy của bạn đặt tại Thành phố Hồ Chí Minh (bao gồm cả khu vực công nghiệp trước đây thuộc Bình Dương, sau khi sáp nhập hành chính năm 2026), Hải Phòng, hoặc bất kỳ hành lang công nghiệp nào của Việt Nam, các biện pháp kiểm soát bảo mật OT bạn lựa chọn phải có thể triển khai tại chỗ hoặc ở khu vực đáp ứng các quy định cư trú dữ liệu nêu trên.

Tham chiếu toàn cầu: IEC 62443

Cả khung pháp lý của Singapore và Việt Nam đều tham chiếu, trực tiếp hoặc gián tiếp, tới bộ tiêu chuẩn IEC 62443 về bảo mật cho Hệ thống Tự động hóa và Điều khiển Công nghiệp (IACS). IEC 62443 giới thiệu hai khái niệm mà mọi kiến trúc sư OT cần thông thạo:

• Vùng (zones) và kênh kết nối (conduits). “Vùng” là nhóm logic các tài sản có cùng yêu cầu bảo mật; “kênh kết nối” là đường truyền giao tiếp giữa các vùng. Mô hình này buộc kiến trúc sư phải vẽ rõ ranh giới bảo mật xung quanh từng phần của nhà máy và phải tài liệu hóa cái gì được phép đi qua ranh giới đó.
• Cấp độ Bảo mật SL 1–SL 4. SL 1 bảo vệ chống lại việc sử dụng sai không cố ý; SL 2 chống lại sử dụng sai có chủ ý với phương tiện đơn giản; SL 3 chống lại các tấn công tinh vi với nguồn lực vừa phải; SL 4 chống lại các mối đe dọa cao cấp với động cơ mạnh và nguồn lực lớn. Mỗi vùng được gán một SL mục tiêu, và các kênh kết nối giữa các vùng được bảo vệ tương ứng.

Các lớp sản phẩm bên dưới ánh xạ tự nhiên vào mô hình vùng-và-kênh: phân tách mạng làm cứng các kênh kết nối, kiểm soát thiết bị đầu cuối và phương tiện di động làm cứng các vùng, và mã hóa bảo vệ dữ liệu ở bất cứ đâu nó rời khỏi vùng được bảo vệ.

Lớp 1: Phân tách mạng giữa IT và OT

Biện pháp kiểm soát có tác động lớn nhất trong bảo mật OT là ngăn chặn việc xâm phạm mạng IT lan sang mạng OT. Một tường lửa thông thường là không đủ — bất kỳ thiết bị nào có thể truyền lưu lượng hai chiều đều có thể, về nguyên tắc, bị tin tặc cấu hình lại để làm điều đó. Với các ranh giới rủi ro cao nhất (giữa mạng doanh nghiệp và mạng điều khiển Purdue Level 2, hoặc giữa mạng điều khiển và khu vực chứa hệ thống an toàn), giải pháp đúng là đường truyền dữ liệu một chiều được thực thi bằng phần cứng.

ST Engineering Data Diode

Sản phẩm ST Engineering Data Diode là giải pháp truyền dữ liệu một chiều được thực thi bằng phần cứng. Như mô tả trên trang sản phẩm, thiết bị đảm bảo “không rò rỉ dữ liệu” nhờ đảm bảo thông tin được thiết kế sẵn từ gốc (information-assurance-by-design), sử dụng nguồn điện riêng biệt để giảm thiểu các tấn công side-channel, và hỗ trợ một dải các giao thức IT, IoT và ICS/SCADA cho khả năng tương tác với hệ thống hiện hữu. Sản phẩm được định vị cho việc bảo vệ tính toàn vẹn và khả dụng của các tài sản trọng yếu, bảo vệ mạng ICS/SCADA, và bảo vệ các hệ thống thông tin mật.

Một data diode là biện pháp đúng cho các trường hợp sử dụng thực sự một chiều: gửi telemetry, dữ liệu historian, hoặc dòng cảnh báo ra ngoài một vùng OT đến hệ thống phân tích hoặc IT doanh nghiệp, mà không bao giờ cho phép một gói tin nào quay lại bên trong. Vì tính chất một chiều được thực thi bằng phần cứng, nó không thể bị vượt qua bằng bất kỳ lỗ hổng phần mềm nào ở hai phía.

OPSWAT NetWall USG

Trong khi ST Engineering Data Diode giải quyết các nhu cầu phân tách khắt khe nhất, OPSWAT NetWall USG (Unidirectional Security Gateway) được thiết kế cho triển khai nhanh tại ranh giới OT/IT với khả năng nhận biết các giao thức công nghiệp ngay trong sản phẩm. Trang sản phẩm liệt kê hỗ trợ gốc cho OPC DA, OPC A&E, OPC UA, Modbus/TCP, truyền tệp và socket TCP/UDP, với các tùy chọn thông lượng 50 Mbit, 100 Mbit, 1 Gbit hoặc 10 Gbit. Sản phẩm được cấu hình sẵn để triển khai nhanh và được tiếp thị là đáp ứng các tuân thủ NERC CIP, NIST CSF / 800-82 / 800-53, IEC 62443, NRC 5.71, CFATS, ISO 27001/27032/27103, ANSSI và IIC SF, đồng thời bảo vệ trước các kỹ thuật tấn công công nghiệp được mô tả trong khung MITRE ATT&CK for ICS.

Đối với hầu hết các nhà sản xuất Đông Nam Á, NetWall USG là điểm khởi đầu thực tế cho việc phân tách một chiều: nguyên gốc nhận biết giao thức công nghiệp, triển khai nhanh và được thiết kế rõ ràng để đáp ứng yêu cầu làm cứng kênh kết nối của IEC 62443.

Lớp 2: Bảo vệ thiết bị đầu cuối và PLC

Sau khi ranh giới mạng đã được củng cố, lớp tiếp theo là bảo vệ các tài sản bên trong vùng OT — PLC, VFD, bộ điều khiển DCS, và trạm kỹ thuật — trước các mối đe dọa đã có mặt bên trong vành đai, dù chúng đến qua phương tiện di động, laptop của nhà cung cấp, hay thông tin xác thực bị xâm phạm.

OPSWAT OTfuse

OPSWAT OTfuse là một hệ thống phát hiện và phòng chống xâm nhập (IDPS) thông minh được thiết kế chuyên cho các PLC, VFD, DCS và các tài sản công nghiệp trọng yếu khác. Sản phẩm được cài đặt ở mức tủ điện và hoạt động mà không cần thay đổi cấu hình phân đoạn mạng hiện có. Trang sản phẩm liệt kê hỗ trợ gốc cho các giao thức TCP, UDP, Modbus TCP, Ethernet/IP, S7, DNP3, BACnet, SLMP, FINS, EGD, kèm hỗ trợ gốc cho các giao thức GE (GEADL, GESDI, GESRTP) cho iFIX và Cimplicity.

Các tính năng bảo vệ của OTfuse bao gồm phát hiện các nút hoặc client lạ trên phân đoạn được bảo vệ, ngăn chặn quét hoặc giao tiếp bất hợp pháp, chặn các cấu hình lại hoặc cập nhật firmware ngoài kế hoạch, giảm thiểu các tốc độ thông điệp rất cao (tấn công từ chối dịch vụ vào PLC), và phòng chống thiết bị giả mạo hoặc giả mạo địa chỉ IP. Đối với một nhà máy đang dùng GE Vernova Proficy HMI/SCADA — cũng do Allied Solutions Global phân phối — khả năng nhận biết iFIX và Cimplicity nguyên gốc của OTfuse là đặc biệt có giá trị.

OPSWAT MetaAccess OT

OPSWAT MetaAccess OT giải quyết một bài toán khác: truy cập từ xa an toàn vào tài sản OT mà không cần dùng VPN. Trang sản phẩm mô tả sản phẩm như một giải pháp thực thi kiểm soát truy cập chi tiết “theo giao thức, theo hoạt động, theo người dùng, theo từng endpoint OT, với mã hóa đầu cuối,” không cần khoét lỗ qua tường lửa và không cho phép người dùng từ xa thao tác tài sản OT vượt quá “tầm nhìn” đã được cấp phép.

Các tùy chọn triển khai bao gồm MetaAccess OT On-Premises (máy chủ công nghiệp tiêu chuẩn 1U hoặc thiết bị ảo VMware ESXi) và phiên bản đám mây AWS dành riêng cho khách hàng. Tùy chọn on-premise rất quan trọng đối với các địa điểm tại Việt Nam thuộc phạm vi Nghị định 53 về cư trú dữ liệu: MetaAccess OT có thể được triển khai hoàn toàn bên trong lãnh thổ Việt Nam.

Đối với các hợp đồng bảo trì nơi OEM nước ngoài cần truy cập định kỳ vào một bộ điều khiển ở nhà máy Đông Nam Á, MetaAccess OT thay thế mô hình “mở một đường VPN rồi hy vọng mọi chuyện ổn” bằng truy cập tường minh, có thời hạn và giới hạn theo giao thức. Đây chính là loại kiểm soát rủi ro bên thứ ba mà CCoP 2.0 và Nghị định 53 đang đẩy đơn vị vận hành tiến tới.

Lớp 3: Kiểm soát phương tiện di động

USB và ổ đĩa ngoài vẫn là một trong những con đường phổ biến nhất để mã độc vượt qua air gap. Một số sự cố ICS lớn trong thập kỷ qua đã được truy ngược về phương tiện di động, và cả CCoP 2.0 lẫn IEC 62443 đều xác định kiểm soát phương tiện di động là một thực hành bắt buộc. Dòng MetaDefender của OPSWAT được thiết kế chuyên cho lớp này.

MetaDefender Kiosk

MetaDefender Kiosk được OPSWAT định vị như một “vệ sĩ kỹ thuật số” cho phương tiện di động. Kiosk kiểm tra mọi phương tiện về mã độc, lỗ hổng và dữ liệu nhạy cảm trước khi cho phép đi vào môi trường an toàn. Theo trang sản phẩm, thiết bị kết hợp hơn 35 engine chống mã độc trong một thiết bị quét duy nhất, cho phép tỷ lệ phát hiện mối đe dọa vượt 99%. Tính năng Deep Content Disarm & Reconstruction (Deep CDR) chủ động loại bỏ dữ liệu nghi ngờ và dư thừa khỏi các định dạng tệp phổ biến bao gồm .doc và .pdf, xuất ra các tệp sạch và sẵn dùng. Các luồng làm việc DLP (data-loss prevention) kiểm soát việc trích xuất tệp ra khỏi môi trường an toàn, và phạm vi tuân thủ trên trang sản phẩm bao gồm NIST, HIPAA, PCI DSS, GDPR, NERC CIP, NEI 18-08, ISA/IEC và ISO/IEC.

MetaDefender Drive

MetaDefender Drive mang cùng phương pháp quét vào một kiểu dáng di động có thể khởi động được. Thiết bị khởi động hệ thống đích từ hệ điều hành an toàn riêng của MetaDefender Drive, cho phép quét ở cấp kernel của hệ thống đích trong khi nó không đang chạy. Trang sản phẩm mô tả việc quét bằng tối đa năm engine chống mã độc để đạt tỷ lệ phát hiện trên 99%, quét lỗ hổng của phần mềm và firmware đã cài đặt (bao gồm bộ điều khiển IoT), phát hiện quốc gia xuất xứ nhận diện phần mềm từ danh sách đối thủ nước ngoài, và phát hiện DLP đối với dữ liệu PII như số thẻ tín dụng và số an sinh xã hội trong tài liệu, hình ảnh và video. Sản phẩm hỗ trợ các hệ thống đích Windows, macOS và Linux và có thể được quản lý ở quy mô lớn bằng OPSWAT Central Management.

MetaDefender Vault

MetaDefender Vault là sản phẩm lưu trữ và chuyển giao tệp bổ trợ cho Kiosk: một kho lưu trữ an toàn cho các tệp di chuyển giữa các vùng mạng. Theo trang sản phẩm, bộ tính năng bao gồm phòng ngừa bùng phát thông qua cách ly có thời hạn và quét lại liên tục, kiểm soát truy cập theo vai trò với phê duyệt nhiều bước cho tệp nhạy cảm, quản lý người dùng qua Active Directory, nhật ký kiểm toán mọi hành động người dùng, nhiều backend lưu trữ (local, mạng, S3 hoặc bất kỳ kho tương thích S3 nào). Để xem kiến trúc đầy đủ, các mẫu quy trình phê duyệt, tích hợp chuỗi IT/OT, và ánh xạ quy định, đọc bài MetaDefender Vault (MFT): Truyền file an toàn IT-OT cho Singapore, Malaysia & Việt Nam, và tích hợp với MetaDefender Kiosk, MetaDefender Email Gateway Security cùng các Vault khác cho việc chuyển tệp giữa các vùng.

MetaDefender USB Firewall

MetaDefender USB Firewall khép kín vòng kiểm soát: đây là thiết bị phần cứng chặn vật lý các phương tiện USB chưa được xử lý hoặc đã bị xâm phạm ngay tại máy trạm. Trang sản phẩm lưu ý rằng thiết bị không yêu cầu cài đặt phần mềm, khiến nó phù hợp cho các máy trạm HMI và SCADA bị khóa chặt nơi việc triển khai phần mềm bị hạn chế. Sản phẩm cung cấp bảo vệ boot sector và phối hợp với manifest của MetaDefender Kiosk để kiểm toán nguồn gốc tệp. Phạm vi tuân thủ được liệt kê bao gồm NERC CIP, ISA 62443, NIST 800-53, NIST 800-82 và ISO 27001.

Một mô hình triển khai phổ biến tại Đông Nam Á kết hợp cả bốn sản phẩm: Kiosk tại điểm vào nhà máy, Vault làm kho chuyển tệp được kiểm soát, USB Firewall tại mỗi máy trạm HMI và Drive trong tay nhân sự bảo trì OT và kỹ sư nhà cung cấp để quét nhanh bất kỳ thiết bị nào họ mang đến hiện trường.

Lớp 4: Mã hóa dữ liệu trên đường truyền

Phân tách mạng và kiểm soát phương tiện di động xử lý dữ liệu ở trạng thái nghỉ và tại các ranh giới. Khoảng trống còn lại là dữ liệu đang di chuyển — các phiên SCADA poll, các luồng nhân bản historian, và các đường VPN liên kết các nhà máy của một đơn vị vận hành đa địa điểm. Dòng Cybersecurity Encryption của ST Engineering cung cấp mã hóa phần cứng cho ba phương thức truyền tải khác nhau:

• Dòng NetCrypt — cổng mã hóa lớp 2 hoặc lớp 3 cho LAN doanh nghiệp, VPN site-to-site, triển khai trên phương tiện di động và liên kết vô tuyến giữa các văn phòng. Bao gồm tường lửa tích hợp và hỗ trợ Hệ thống Quản lý Khóa của khách hàng với thuật toán tùy biến.
• Dòng EtherCrypt — mã hóa Ethernet / Metro-Ethernet 1 Gbps và 10 Gbps với hoạt động full-duplex, phù hợp cho mạng Ethernet điểm-điểm, điểm-đa điểm và lưới hoàn chỉnh, bao gồm cả truyền thông unicast, broadcast và multicast.
• Dòng DiskCrypt — ổ đĩa di động được mã hóa với khóa mã hóa lưu riêng trên smartcard, độc lập nền tảng và hệ điều hành (không cần cài driver), phù hợp cho sao lưu di động và dữ liệu vận chuyển.

Dòng sản phẩm sử dụng AES với mức độ triển khai cấp quân sự và hỗ trợ xác thực hai yếu tố qua smartcard. Đối với các đơn vị vận hành Đông Nam Á cần luân chuyển dữ liệu giữa các địa điểm Singapore, Malaysia và Việt Nam — hoặc giữa bất kỳ nhà máy nào và một trung tâm phân tích doanh nghiệp — dòng EtherCrypt và NetCrypt là lựa chọn được tin cậy về chuỗi cung ứng để làm cứng các liên kết liên-địa-điểm.

Ánh xạ bốn lớp vào các vùng IEC 62443

Nếu bạn đang chính thức hóa kiến trúc bảo mật OT của mình theo IEC 62443, các sản phẩm nêu trên ánh xạ một cách tự nhiên vào mô hình vùng-và-kênh:

• Kênh kết nối giữa vùng doanh nghiệp và DMZ: NetWall USG hoặc ST Engineering Data Diode (tùy thuộc vào việc có cần lưu lượng hai chiều có nhận biết giao thức hay yêu cầu hoàn toàn một chiều).
• Kênh kết nối giữa DMZ và vùng điều khiển: Data Diode cho telemetry đi ra; MetaAccess OT cho truy cập từ xa có kiểm soát đi vào.
• Bên trong vùng điều khiển: OTfuse tại tủ PLC, MetaDefender Kiosk tại mọi điểm tiếp xúc của nhân sự, MetaDefender USB Firewall tại mỗi máy HMI.
• Kênh kết nối giữa các địa điểm: NetCrypt hoặc EtherCrypt để mã hóa các liên kết liên-địa-điểm.
• Bên trong vùng an toàn: Data Diode cho bất kỳ báo cáo nào đi ra; không có đường mạng đi vào.

Một Cấp độ Bảo mật mục tiêu SL 2 hoàn toàn có thể đạt được với việc triển khai đồng bộ dòng OPSWAT. Việc đạt SL 3 hoặc SL 4 ở các vùng rủi ro cao thường đòi hỏi thêm thuộc tính một chiều được thực thi bằng phần cứng của ST Engineering Data Diode.

Các mô hình triển khai phổ biến tại Đông Nam Á

Từ các dự án chúng tôi triển khai tại Singapore, Malaysia và Việt Nam, ba mô hình lặp lại:

Đơn vị CII tại Singapore tuân thủ CCoP 2.0

Một chủ sở hữu CII tại Singapore trong các lĩnh vực năng lượng, nước hoặc giao thông thường triển khai NetWall USG tại ranh giới IT/OT, OTfuse trên các bộ điều khiển có mức độ trọng yếu cao nhất, MetaDefender Kiosk tại mỗi lối vào vật lý của nhà máy, USB Firewall tại mỗi máy HMI vận hành, và Vault làm điểm chuyển giao có kiểm soát cho các bản cập nhật phần mềm từ nhà cung cấp. MetaAccess OT thay thế VPN cũ vốn được dùng cho hỗ trợ từ xa của OEM. Gói giải pháp này trực tiếp đáp ứng các yêu cầu về phân tách mạng, kiểm soát phương tiện di động, truy cập từ xa và giám sát sự cố của CCoP 2.0.

Nhà sản xuất Việt Nam tuân thủ Nghị định 53

Một nhà sản xuất tại Thành phố Hồ Chí Minh (bao gồm vùng công nghiệp phía nam trước đây thuộc Bình Dương, sau khi sáp nhập hành chính năm 2026) hoặc dải công nghiệp phía nam nói chung thường bắt đầu với MetaDefender Kiosk và USB Firewall (những thắng lợi nhỏ với ma sát thấp nhất cho bài toán phương tiện di động), sau đó bổ sung OTfuse trên các PLC trọng yếu và NetWall USG tại ranh giới IT/OT khi chương trình trưởng thành. Vì MetaAccess OT có thể được triển khai hoàn toàn on-premise bên trong Việt Nam, sản phẩm đáp ứng các lo ngại về cư trú dữ liệu theo Nghị định 53 đối với truy cập từ xa của nhà cung cấp nước ngoài. ST Engineering Data Diode được bổ sung khi đơn vị vận hành đang xuất telemetry đến một nền tảng phân tích doanh nghiệp ở nước ngoài và cần một bảo đảm một chiều.

Nhà máy chế biến tại Malaysia

Các ngành công nghiệp chế biến tại Malaysia — dầu khí, hóa dầu, tinh luyện dầu cọ — thường khởi đầu từ trường hợp an toàn (safety case). OTfuse được lắp trên các PLC điều khiển quy trình; Data Diode được lắp đi ra khỏi vùng an toàn về phía historian; MetaDefender Kiosk được đặt tại cổng; NetCrypt mã hóa liên kết liên-địa-điểm giữa nhà máy và trụ sở tại Kuala Lumpur hoặc Singapore.

Bảo mật OT kết nối với phần còn lại của ngăn xếp nhà máy như thế nào

Các công cụ bảo mật OT hiếm khi hoạt động độc lập. Chúng phụ thuộc vào, và đưa dữ liệu vào, phần còn lại của ngăn xếp phần mềm công nghiệp. Một số tích hợp phổ biến nhất:

• Kepware / KEPServerEX — trang sản phẩm Kepware của chúng tôi — gom dữ liệu OPC sau vành đai bảo mật. Khả năng hỗ trợ OPC DA / OPC UA gốc của NetWall USG nghĩa là dữ liệu Kepware có thể được xuất an toàn qua ranh giới OT/IT.
• Proficy HMI/SCADA và Proficy Historian — các nền tảng SCADA và historian phía sau một phân đoạn được OTfuse bảo vệ thường thấy. Khả năng nhận biết giao thức iFIX và Cimplicity (GE) gốc của OTfuse được thiết kế chính xác cho cặp đôi này.
• WIN-911 quản lý cảnh báo — lớp cảnh báo gửi sự kiện OT đến người vận hành qua SMS, giọng nói hoặc thông báo di động. Chuỗi gửi của nó (thường qua mạng IT) là một trong những kênh kết nối mà NetWall USG hoặc NetCrypt thường bảo vệ.
• Splunk — cũng do Allied Solutions Global phân phối — là SIEM thu nhận sự kiện từ OTfuse, MetaDefender và phần còn lại của ngăn xếp bảo mật.

Cách mua sắm sản phẩm bảo mật OT tại Đông Nam Á

Allied Solutions Global là nhà phân phối ủy quyền của OPSWAT, ST Engineering, GE Vernova và Kepware (PTC) tại Singapore, Malaysia và Việt Nam. Con đường nhanh nhất để xác định phạm vi triển khai bảo mật OT là bắt đầu từ kiến trúc hiện tại và quy định pháp lý áp dụng cho bạn:

1. Liệt kê các vùng mạng bạn đang duy trì — doanh nghiệp, DMZ, điều khiển, an toàn — và các luồng dữ liệu giữa chúng.
2. Xác định quy định áp dụng: CCoP 2.0 nếu bạn là chủ sở hữu CII tại Singapore; Nghị định 53/2022 nếu bạn vận hành hệ thống thông tin quan trọng tại Việt Nam; hoặc mục tiêu SL theo IEC 62443 nếu bạn đang làm việc theo tiêu chuẩn nội bộ của tập đoàn.
3. Ánh xạ từng kênh kết nối vùng-tới-vùng tới một trong các sản phẩm trong hướng dẫn này.
4. Liên hệ với chúng tôi kèm theo kiến trúc và quy định mục tiêu. Chúng tôi sẽ trả lại đề xuất kích thước phù hợp và báo giá.

Đối với các dự án tại Singapore và phần còn lại của Đông Nam Á, trụ sở Singapore là điểm liên hệ chính. Đối với các dự án tại Việt Nam, hãy liên hệ với văn phòng Thành phố Hồ Chí Minh của chúng tôi.

Allied Solutions Global là nhà phân phối ủy quyền của OPSWAT và ST Engineering tại Đông Nam Á. OPSWAT, MetaDefender, OTfuse, NetWall và MetaAccess là nhãn hiệu của OPSWAT, Inc. ST Engineering Data Diode, NetCrypt, EtherCrypt và DiskCrypt là sản phẩm của ST Engineering. Các tham chiếu tới Singapore CCoP 2.0, Luật An ninh mạng và Nghị định 53/2022/NĐ-CP của Việt Nam, IEC 62443 và MITRE ATT&CK for ICS được nêu cho mục đích tham khảo; bạn đọc nên tham chiếu các văn bản gốc để xác định các yêu cầu chính thức.