問題

入侵會橫向移動

過去十年每一起重大金融業入侵都涉及橫向移動。在兩個域之間阻止它的唯一可靠方法，是讓它們在物理上無法共享記憶體、儲存或執行狀態。

做什麼

兩個域，物理隔離

單一機箱容納兩個物理隔離的域，一個受監管、一個通用，彼此不共享記憶體匯流排、儲存或網路路徑。切換是硬體動作而非軟體上下文切換，因此通用側的入侵在架構上無法觸及受監管側。

主要使用案例是 SWIFT 操作員工作站：用於授權 SWIFT 付款指令的工作站，必須與用於電子郵件和網頁瀏覽的通用端點隔離。SWIFT CSP 強制控制 1.1 要求這種隔離；大多數實作透過軟體虛擬化達成，這只滿足控制的字面而非精神。硬體隔離兩者皆滿足。

次要使用案例包括交易終端隔離（將訂單管理系統與通用運算分離），以及受監管環境中用於網路和系統管理的特權存取工作站。

硬體隔離架構的文件可滿足 SWIFT CSP 強制控制 1.1（關鍵操作員環境的隔離）、針對高影響系統的 DORA 第 9 條 ICT 安全要求，以及針對基本實體的 NIS 2 第 21 條技術措施。ISO 27001 附件 A.8.22（網路隔離）的文件可應要求提供。

Frameworks addressed

DORA SWIFT CSP ISO 27001 NIS 2

對領域隔離產生的架構建模；在隔離成立之處，業務層與技術層之間沒有跨域依賴連線。

金融韌性

DORA-MAST 對領域隔離的韌性影響建模，量化氣隙如何改變您的損失超過曲線。

Every product is field-tested