Mọi nhà máy công nghiệp hiện đại tại Singapore, Malaysia và Việt Nam đều đối mặt cùng một bài toán kiến trúc: bạn không thể vận hành một nhà máy lọc dầu, một nhà máy bán dẫn, hay một trạm biến áp mà không định kỳ di chuyển file giữa mạng IT doanh nghiệp và phía OT cách ly. Firmware nhà cung cấp, sao lưu cấu hình, logic PLC, hồ sơ mẻ sản phẩm, dữ liệu hiệu chuẩn, báo cáo kiểm toán bên thứ ba — tất cả đều phải vượt qua ranh giới đó. Và mỗi lần truyền là một vector tấn công tiềm năng: mã độc lây qua USB, cài cắm chuỗi cung ứng, rò rỉ công thức nhạy cảm, hoặc thay đổi trái phép bỏ qua kiểm soát thay đổi.
Bài viết chuyên sâu trước, MetaDefender Kiosk: Trạm kiểm soát bảo mật USB cho nhà máy OT, đã giải thích về trạm quét tại vành đai. Bài viết này tiếp nối từ đó. Khi file đã được quét, làm sạch và ký số tại Kiosk, bạn cần một cách vận chuyển các file đó vào vùng OT một cách an toàn, có nhật ký kiểm toán và được kiểm soát theo chính sách, đến đúng người. Đó là công việc của MetaDefender Vault, gần đây được đổi tên thành MetaDefender Managed File Transfer (MFT).
Bài viết này giải thích Vault/MFT thực sự làm gì, cách tích hợp với phần còn lại của chuỗi phòng thủ OPSWAT, các nghĩa vụ quy định mà sản phẩm đáp ứng cho Singapore CCoP 2.0, Luật An ninh mạng Việt Nam số 116/2025/QH15 và NCII Malaysia, và cách xác định phạm vi triển khai cho nhà máy của bạn. Đây là bài thứ ba trong cụm OPSWAT, sau bài chính Hướng dẫn Bảo mật OT cho Singapore, Malaysia & Việt Nam và bài chuyên sâu về Kiosk.
Vấn đề truyền file trong OT
Ba thực tế cấu trúc khiến việc truyền file IT-sang-OT khó hơn chia sẻ file doanh nghiệp thông thường:
- Vùng OT được thiết kế air-gap hoặc gần air-gap. Bạn không thể chỉ dựng một máy chủ SFTP với tài khoản Active Directory và cho kỹ sư thả file lên đó. Bất cứ điều gì đục một lỗ mạng vào OT chính là một sự cố an ninh.
- Người vận hành cần chính sách, không chỉ vận chuyển. Việc kỹ thuật viên bảo trì tải lên logic PLC mới không được đi thẳng tới bộ điều khiển. Người có thẩm quyền — kỹ sư hệ điều khiển, giám sát ca — cần xem xét, phê duyệt và đóng dấu thời gian cho thay đổi đó.
- Cơ quan kiểm toán cần bằng chứng. Theo Singapore CCoP 2.0, Luật An ninh mạng Việt Nam, khung NCII Malaysia, IEC 62443, NERC CIP và các quy định kiểu NIS2, bạn phải chứng minh ai đã chuyển file nào, khi nào, với phân loại gì và ai đã duyệt cho file đó vào sản xuất. Email + ổ chia sẻ không tạo ra bằng chứng có thể kiểm toán.
Các sản phẩm MFT truyền thống — Globalscape EFT, IBM Sterling Secure File Transfer, Progress MOVEit, Forcepoint Trusted Gateway System — giải quyết bài toán di chuyển file và kiểm toán cấp doanh nghiệp. Chúng không được xây quanh thực tế OT: làm sạch nội dung sâu, cổng một chiều xuyên miền, tích hợp với kiosk quét USB, hay khuôn khổ pháp lý bảo vệ hạ tầng trọng yếu. Đó là khoảng trống MetaDefender Vault/MFT lấp đầy.
MetaDefender Vault (MFT) làm gì
Ở mức cao, Vault/MFT là một pipeline bốn giai đoạn:
- Tiếp nhận (Drop). Một file đến Vault từ một trong nhiều nguồn: tải trực tiếp qua giao diện web, kéo từ MetaDefender Kiosk, chuyển qua NetWall USG data diode, hoặc đẩy qua MetaDefender REST API.
- Quét và làm sạch. Mọi file đi qua toàn bộ ngăn xếp phát hiện OPSWAT khi vào, và một lần nữa khi ra: Metascan đa quét với hơn 30 engine chống mã độc, Deep Content Disarm & Reconstruction (Deep CDR) cho hơn 200 loại file, Proactive Data Loss Prevention (DLP), đánh giá lỗ hổng file, Adaptive Sandbox, và tương quan Threat Intelligence. File được phép được gắn cờ phê duyệt; file đáng ngờ bị cách ly với mã lý do.
- Duyệt (Approve). File được định tuyến qua quy trình phê duyệt chờ một (hoặc nhiều) người duyệt cho phép giải phóng. Quy trình hỗ trợ duyệt một cấp (một giám sát) hoặc duyệt nhiều cấp (người duyệt ban đầu → người duyệt cấp cao → thẩm quyền giải phóng). Mọi hành động đều được ghi log.
- Giải phóng (Release). File đã duyệt được công bố tới đích cuối — một trạm kỹ thuật qua driver OPSWAT Client, một instance MFT khác qua nhân bản MFT-to-MFT, hoặc một thư mục giám sát được kịch bản tự động tiêu thụ.
Vault/MFT là điểm duy nhất trong kiến trúc nơi con người nói “được, file này có thể vào sản xuất”. Đó là công việc của sản phẩm: làm điểm kiểm soát có thể kiểm toán, được điều khiển theo chính sách cho trao đổi dữ liệu IT/OT.
Ngăn xếp phát hiện chi tiết
File đi qua Vault chịu quét phòng thủ nhiều lớp kết hợp sáu công nghệ OPSWAT khác biệt:
- Đa quét Metascan. Tới hơn 30 engine chống mã độc chạy song song trên mỗi file. OPSWAT tài liệu tỷ lệ phát hiện vượt 99% — không một nhà cung cấp AV nào bắt được mọi thứ; ba mươi engine song song thu hẹp khoảng cách. Cập nhật engine được giao qua kênh threat-intel của OPSWAT.
- Deep CDR. Năng lực khác biệt nhất trong ngăn xếp. Tài liệu Office, PDF, file nén, ảnh và file CAD được tái dựng cấu trúc với macro, đối tượng nhúng, script và nội dung động bị loại bỏ. Đầu ra là một file sạch có cấu trúc giống hệt, đánh bại phần lớn vector zero-day và mã độc chưa biết. Phạm vi trải hơn 200 loại file.
- Proactive DLP. File đi ra (rời OT về IT) được kiểm tra nội dung nhạy cảm — công thức, P&ID, sơ đồ mạng, dữ liệu cá nhân — và có thể được che, chặn, hoặc định tuyến tới cấp duyệt cao hơn theo chính sách.
- Đánh giá lỗ hổng file. Gói cài đặt và file thực thi được kiểm tra với cơ sở dữ liệu lỗ hổng OPSWAT. Một bản cài đặt Kepware đi kèm CVE đã biết sẽ bị đánh dấu trước khi chạm trạm kỹ thuật. Tương tự với gói firmware nhà cung cấp có thành phần dễ tổn thương đính kèm.
- Adaptive Sandbox. File đáng ngờ được kích nổ trong môi trường kiểm soát, hành vi được quan sát trên registry, hệ thống file và kênh mạng. Bắt mã độc né tránh phát hiện theo chữ ký.
- Threat Intelligence. Hash file và chỉ báo được đối chiếu với nguồn cấp threat-intel OPSWAT, kết hợp đối tác tình báo bên thứ ba và nghiên cứu của chính OPSWAT.
Mỗi lớp độc lập và cộng dồn: một file phải vượt qua tất cả các lớp mà nó chịu tác động trước khi được duyệt. Các lớp có thể tinh chỉnh theo quy trình — ví dụ DLP chỉ áp dụng cho truyền ra ngoài, kích nổ sandbox chỉ chạy trên file thực thi.
Các mẫu quy trình phê duyệt
Engine quy trình là nơi Vault/MFT phân biệt khỏi các sản phẩm MFT chung. Các mẫu chúng tôi triển khai phổ biến nhất cho khách hàng Đông Nam Á:
Mẫu 1: Duyệt một cấp (môi trường tin cậy trung bình)
Một người duyệt được chỉ định (ví dụ kỹ sư hệ điều khiển trực ca) xem xét mọi file trước khi giải phóng. Phù hợp môi trường ít quy định — sản xuất rời rạc, thực phẩm & đồ uống, nhà máy quá trình nhẹ. Độ trễ duyệt trung bình: vài phút trong giờ làm việc.
Mẫu 2: Duyệt hai cấp (phần lớn triển khai CII)
Người duyệt ban đầu phân loại và khuyến nghị; người duyệt cấp cao (trưởng phòng, quản lý nhà máy) phê chuẩn. Bắt buộc với hầu hết các đơn vị CII tại Singapore theo CCoP 2.0 và với các đơn vị vận hành năng lượng/tài chính/y tế tại Việt Nam theo Luật số 116/2025/QH15. Độ trễ duyệt điển hình: vài giờ trong giờ làm việc, với đường leo thang trực ngoài giờ.
Mẫu 3: N-cấp với định tuyến điều kiện
File được định tuyến tới các chuỗi duyệt khác nhau dựa trên phân loại, nguồn, đích và nội dung. Một gói firmware nhà cung cấp đi tới bộ điều khiển turbine có thể yêu cầu chuỗi ba người duyệt (kỹ sư điều khiển → đội an ninh mạng → trưởng vận hành nhà máy); một file hiệu chuẩn thường lệ có thể chỉ cần một người. Định tuyến thích nghi giữ ma sát thấp cho truyền thường lệ trong khi áp dụng đầy đủ giám sát ở nơi quan trọng.
Mẫu 4: Nhân bản MFT-to-MFT
Một số đơn vị vận hành chạy nhiều instance Vault/MFT — một ở DMZ IT, một trong vùng OT — và nhân bản file đã duyệt giữa chúng. Vault phía IT trở thành điểm tiếp nhận ban đầu với giám sát cấp một; Vault phía OT thực thi quyết định giải phóng cuối cùng. Mẫu này phổ biến trong dầu khí, lọc dầu, và tiện ích quy mô lớn.
Vault phối hợp ra sao trong toàn bộ chuỗi phòng thủ OPSWAT
Vault là lớp lưu trữ và phê duyệt trong kiến trúc tham chiếu OPSWAT. Các thành phần khác:
- MetaDefender Kiosk — trạm quét vành đai. USB, đĩa quang, điện thoại di động và thẻ SD được quét và ký tại đây. Kiosk có thể đẩy file sạch trực tiếp đến Vault.
- NetWall USG (Unidirectional Security Gateway) — data diode ngăn vật lý lưu lượng chảy ngược ra khỏi vùng OT. Luồng điển hình có Vault ở cả hai phía của diode, với Vault phía IT cấp dữ liệu cho Vault phía OT qua NetWall.
- OPSWAT Client — driver thực thi điểm cuối trên các trạm kỹ thuật. Client từ chối mount bất kỳ thiết bị lưu trữ rời nào hoặc đọc bất kỳ file nào thiếu chữ ký xác thực từ Vault/Kiosk.
- MetaDefender USB Firewall — thiết bị thực thi phần cứng nối tiếp cho các trạm HMI và SCADA không thể chạy OPSWAT Client (thiết bị bị khóa bởi nhà cung cấp, Windows phiên bản cũ).
- MetaDefender Drive — máy quét forensic di động dùng khi file hoặc thiết bị thất bại xác thực Vault và bạn cần điều tra hệ thống chủ mà không tin tưởng nó.
Chuỗi được thiết kế để không file nào có thể đến bộ điều khiển mà không:
- Được quét tại Kiosk (chữ ký đầu vào),
- Vượt air gap qua NetWall (không đường về),
- Vượt kiểm tra Vault + duyệt thủ công (dấu vết kiểm toán),
- Được đọc trên điểm cuối có OPSWAT Client (thực thi chữ ký) hoặc qua USB Firewall (thực thi phần cứng).
Bỏ qua bất kỳ lớp nào và chuỗi không hoàn chỉnh — nhưng với phần lớn nhà máy, Kiosk + Vault là điểm khởi đầu tối thiểu khả thi, với NetWall và USB Firewall được thêm trong các giai đoạn sau.
Ánh xạ quy định cho Đông Nam Á
Singapore: Cybersecurity Code of Practice 2.0
Vault/MFT trực tiếp đáp ứng nhiều yêu cầu CCoP 2.0 cho các đơn vị vận hành Hạ tầng thông tin trọng yếu (CII) trong năng lượng, nước, ngân hàng, y tế, giao thông và các lĩnh vực được chỉ định khác:
- Kiểm soát thiết bị lưu trữ rời — Vault cung cấp lớp dàn dựng và phê duyệt sau Kiosk cho việc nhập file qua thiết bị lưu trữ.
- Phân đoạn mạng — khi triển khai cùng NetWall, Vault cho phép truyền file qua ranh giới được phân tách vật lý.
- Quản lý thay đổi — mỗi lần giải phóng file qua Vault là một sự kiện kiểm soát thay đổi có thể kiểm toán, gán được người chịu trách nhiệm.
- Ghi log và giám sát — Vault tạo dấu vết kiểm toán đầy đủ cho mọi sự kiện vòng đời file, phù hợp cho thanh tra CSA.
Việt Nam: Luật An ninh mạng số 116/2025/QH15 (hiệu lực 1/7/2026)
Luật An ninh mạng mới của Việt Nam có hiệu lực từ 1/7/2026. Điều 18 giới thiệu Danh sách Quốc gia các hệ thống thông tin trọng yếu với biện pháp bảo vệ chặt chẽ hơn, giấy phép an ninh và thanh tra định kỳ. Với các đơn vị vận hành trong năng lượng, tài chính, y tế, quốc phòng và các lĩnh vực được liệt kê khác, Vault/MFT cung cấp kiểm soát truyền file có thể chứng minh được mà cơ quan quản lý sẽ tìm kiếm. Nghị định hướng dẫn dự kiến hoàn thiện cuối năm 2026; Luật cũng mở rộng và một phần thay thế Nghị định 53/2022/NĐ-CP vốn đã áp dụng cho các đơn vị vận hành hệ thống thông tin quan trọng.
Malaysia: NCII và IEC 62443
Khung Hạ tầng thông tin trọng yếu quốc gia (NCII) của Malaysia, do NACSA quản lý, áp đặt kiểm soát an ninh mạng cơ bản trên 11 lĩnh vực. Vault là kiểm soát đã tài liệu hóa cho phần truyền file và quản lý thay đổi của khung. Ở cấp chuẩn toàn cầu, các yêu cầu bảo mật hệ thống IEC 62443-3-3 ánh xạ trực tiếp nhất tới Vault là SR 2.1 (Authorization Enforcement) qua quy trình duyệt phân cấp, SR 2.3 (Use Control for Portable and Mobile Devices) khi file khởi từ thiết bị được Kiosk quét, và SR 6.1 (Audit Log Accessibility) qua dấu vết kiểm toán đầy đủ trên từng file. Khi kết hợp với NetWall, chuỗi cũng đáp ứng SR 5.1 (Network Segmentation).
Đặt Vault ở đâu trong kiến trúc của bạn
Ba mẫu triển khai chúng tôi chạy phổ biến nhất cho khách hàng Đông Nam Á:
Giai đoạn 1: Một Vault, dàn dựng phía IT
Với các nhà máy mới làm quen với bảo mật OT, triển khai khởi điểm là một instance Vault trong DMZ IT. Kiosk đẩy file đã quét đến đó; nhân viên kỹ thuật lấy qua giao diện web sau duyệt một cấp. Điểm xuất phát hiệu quả về chi phí với dấu vết kiểm toán đầy đủ. Mang lại giá trị rõ ràng trong vài tuần.
Giai đoạn 2: Vault đôi qua NetWall
Với các đơn vị CII trưởng thành, hai instance Vault — một ở IT, một ở OT — nhân bản file đã duyệt qua NetWall USG. Vault phía OT là điểm giải phóng cuối. Mẫu này cung cấp bảo vệ air-gap đầy đủ trong khi vẫn duy trì thông lượng vận hành. Phần lớn triển khai Singapore CCoP và Việt Nam Law 116/2025 dừng ở đây.
Giai đoạn 3: Chuỗi đầy đủ với USB Firewall trên điểm cuối trọng yếu
Cho các cơ sở yêu cầu đảm bảo cao nhất (trạm biến áp, nhà máy lọc dầu, hạt nhân, quốc phòng), chuỗi mở rộng đến phần cứng MetaDefender USB Firewall trên các điểm cuối HMI/SCADA không thể chạy OPSWAT Client. Đây cũng là mẫu khuyến nghị cho thiết bị bị khóa OEM nơi bạn không thể cài phần mềm điểm cuối.
MetaDefender Vault so với các sản phẩm MFT khác
Thị trường MFT đã trưởng thành, nhưng ít sản phẩm được xây dựng chuyên cho OT. So sánh ngắn gọn và trung thực:
- Globalscape EFT, Progress MOVEit, IBM Sterling. MFT cấp doanh nghiệp với quy trình, kiểm toán và hỗ trợ giao thức mạnh. Thiếu khả năng làm sạch nội dung dành riêng cho OT (không có Deep CDR), không có hệ sinh thái Kiosk/USB Firewall, và không tích hợp với cổng một chiều. Phù hợp nhất khi khối lượng công việc là IT-tới-IT.
- Forcepoint Trusted Gateway System. Câu chuyện xuyên miền mạnh, trưởng thành trong môi trường quốc phòng và tình báo nơi nó xử lý di chuyển file đa hướng giữa các mạng có mức phân loại khác nhau. Vault/MFT hiệu quả về chi phí hơn cho hạ tầng trọng yếu phi quốc phòng và tích hợp sạch hơn với hệ sinh thái quét OPSWAT.
- Owl Cyber Defense, Waterfall Security. Mạnh ở phía data diode cụ thể, ít hơn ở phía quy trình MFT. Thường được triển khai cùng Vault/MFT (Vault làm engine quy trình, Owl/Waterfall làm diode) thay vì làm sản phẩm thay thế.
Với khách hàng công nghiệp Đông Nam Á đang xây dựng ngăn xếp bảo mật OT từ đầu, MetaDefender Vault/MFT thường là lựa chọn MFT đúng vì nó sống trong cùng hệ sinh thái nhà cung cấp với Kiosk, NetWall và thực thi điểm cuối của bạn.
Câu hỏi thường gặp
MetaDefender Vault có khác MetaDefender Managed File Transfer (MFT) không?
Không. OPSWAT đổi tên sản phẩm từ Vault sang Managed File Transfer (MFT) vào cuối 2023 / đầu 2024, với bộ năng lực mở rộng. Cùng cổng tài liệu phục vụ cả hai tên. Phần lớn tài liệu và trang sản phẩm hiện tại vẫn dùng “Vault” — các tên có thể hoán đổi cho nhau ở thời điểm này.
Vault hỗ trợ loại file và kích thước nào?
Vault xử lý từng file lên đến 100 GB+ và mọi loại file tùy ý. Phạm vi Deep CDR trải hơn 200 loại file bao gồm Office, PDF, file nén (ZIP, TAR, RAR), ảnh, CAD và các định dạng dữ liệu có cấu trúc. Gói cập nhật engine, firmware nhà cung cấp, và file dự án PLC đều được truyền thường xuyên.
Vault tích hợp với Active Directory thế nào?
Vault hỗ trợ xác thực AD, SAML/SSO, MFA, và kiểm soát truy cập theo vai trò. Danh tính người dùng gắn với mọi lần truyền để phục vụ kiểm toán. SSO là chuẩn cho các tổ chức hợp nhất danh tính qua Azure AD, Okta hay PingFederate.
Vault có thể truyền file theo cách lập trình không?
Có. REST API MetaDefender MFT (hiện tại v3.6.1) hỗ trợ tải lên, tải xuống, phê duyệt và truy vấn trạng thái. Kịch bản tự động, pipeline build, cổng nhà cung cấp và trao đổi dữ liệu khách hàng đều có thể tích hợp qua API.
Vault có cần kết nối internet không?
Không. Vault chạy hoàn toàn tại chỗ. Cập nhật engine và chính sách có thể được giao qua kênh cập nhật chuyên dụng hoặc quy trình cập nhật air-gap. Phù hợp cho triển khai CII cách ly hoàn toàn.
Một lần duyệt thường mất bao lâu?
Với duyệt một cấp trong giờ làm việc, độ trễ thường là vài phút. Duyệt nhiều cấp chạy trong vài giờ đến một ngày làm việc. Phần lớn triển khai bao gồm đường ghi đè khẩn cấp cho sự cố nhạy thời gian, với mức chú ý kiểm toán cao hơn gắn vào các luồng đó.
Vault có thể triển khai theo giai đoạn vào chương trình bảo mật OT hiện có không?
Có. Triển khai theo giai đoạn phổ biến nhất là: Giai đoạn 1 — một Vault duy nhất cho quét file vào phía IT; Giai đoạn 2 — thêm NetWall và một Vault phía OT cho truyền xuyên miền; Giai đoạn 3 — mở rộng đến USB Firewall trên các điểm cuối cũ. Mỗi giai đoạn có thể kiểm toán độc lập.
Bước tiếp theo
Nếu bạn vận hành một cơ sở được chỉ định CII hoặc cơ sở công nghiệp tại Singapore, Malaysia hoặc Việt Nam và chưa có quy trình truyền file có thể kiểm toán qua ranh giới IT/OT, bước kế tiếp đúng đắn là một cuộc trao đổi xác định phạm vi 30 phút. Chúng tôi có thể ánh xạ các luồng file hiện có của bạn, xác định các điểm áp lực pháp lý (CCoP 2.0, Luật 116/2025, NCII, IEC 62443), và đưa ra đề xuất triển khai đã sizing — bao nhiêu instance Vault, quy trình duyệt nào, thực thi điểm cuối nào, và kế hoạch triển khai theo giai đoạn.
Để có bối cảnh sâu hơn về phần còn lại của ngăn xếp OPSWAT, đọc bài chính và bài chuyên sâu về Kiosk:
Liên hệ đội ngũ:
Allied Solutions Global là nhà phân phối ủy quyền của OPSWAT tại Đông Nam Á. MetaDefender, MetaDefender Vault, MetaDefender Managed File Transfer, NetWall, MetaScan và OPSWAT là thương hiệu của OPSWAT, Inc. Globalscape EFT, Progress MOVEit, IBM Sterling, Forcepoint, Owl Cyber Defense và Waterfall Security là thương hiệu của các chủ sở hữu tương ứng; chúng tôi không có quan hệ liên kết với các nhà cung cấp này.
