Ứng dụng Data Diode trong quân đội các nước
Trước đây, Bộ Quốc phòng (BQP) Cộng hòa Ý dùng hệ thống firewall CC EAL4+ để bảo vệ các cơ sở hạ tầng và mạng trọng yếu. Tuy nhiên, do có nhiều thông tin nhạy cảm, có tính tuyệt mật nên công nghệ tường lửa không đáp ứng được yêu cầu đảm bảo an toàn. Do đó, BQP Ý đã quyết định tìm đến các thiết bị “one-way traffic” và lựa chọn các thiết bị Data Diode của hãng Fox-IT để triển khai cho hệ thống mạng của mình.
Các lý do để BQP Cộng hòa Ý chọn Data Diode:
- Hệ thống mạng của BQP gồm nhiều mạng riêng lẻ với cấp độ khác nhau, khi một mạng có độ bảo mật cao cần nhận dữ liệu từ một mạng có độ bảo mật thấp hơn, khi đó dữ liệu chỉ được phép truyền theo 1 chiều.
- Bảo vệ các thông tin mật: thực tế, luồng dữ liệu đến có thể được kiểm soát bằng rất nhiều công cụ quét kiểm tra, bảo mật, antivirus với công nghệ cao. Tuy nhiên, mọi giải pháp về phần mềm đều có thể bị thỏa hiệp. Nhưng với công nghệ Data Diode, không có bất kì biện pháp nào về phần mềm có thể làm lộ lọt các thông tin mật ra khỏi mạng được bảo vệ.
Đáng lưu ý, Bộ An ninh nội địa Mỹ (DHS) cùng FBI, NSA cung cấp tài liệu đưa ra 7 phương thức bảo vệ các hệ thống ICS, trong đó Data Diode là một giải pháp hiệu quả.
Ngoài ra, các phòng Lab thuộc BQP của nhiều nước đã tham gia ngiên cứu và sản xuất các thiết bị Data Diode như: Australia, Mỹ, Israel… Các giải pháp về Data Diode của Fibersystem [5,6,7,8] được rất nhiều tập đoàn lớn sử dụng, trong đó nổi bật là:
- Tập đoàn sản xuất vũ khí SAAB của Thụy Điển, ứng dụng Data Diode trong các hệ thống kiểm soát, điều khiển trên không, trên bộ, trên biển.
- Các tập đoàn điện tử lớn như Toshiba, Ericsson, Rolls-Royce, ứng dụng Data Diode trong các IACS, các trung tâm dữ liệu để bảo vệ chống ăn cắp công nghệ…
Hình 5. Các đối tác sử dụng Data Diode của Fibersystem
Thiết bị Data Diode của Viện 10, Bộ Tư lệnh 86
Nhóm nghiên cứu phòng Tự động hóa, Viện 10, Bộ Tư lệnh 86 đã hoàn thành nghiên cứu thiết kế và thử nghiệm thành công thiết bị Data Diode sợi quang học phục vụ truyền dữ liệu một chiều an toàn từ 2 mạng khác nhau. Hiện nay, thiết bị DATA DIODE-V10 đã được chế tạo đóng gói thành sản phẩm hoàn thiện phiên bản 1 và dự kiến sẽ đưa vào sử dụng trong thời gian tới có các tính năng:
- Tốc độ truyền tối đa 248 Mbps.
- Cho phép truyền dữ liệu chỉ theo một chiều từ máy tính phát nối mạng Internet sang máy tính thu nối mạng nội bộ thông qua khối phát thu sợi quang một chiều, và dữ liệu không thể truyền theo chiều ngược lại.
- Giao thức UDP được xây dựng để thực hiện việc truyền dữ liệu một chiều giữa hai máy tính phát thu của thiết bị Data Diode.
- Giao thức FTP được xây dựng để tự động đẩy dữ liệu từ máy tính mạng ngoài vào máy tính phát của thiết bị Data Diode và tự động đẩy dữ liệu từ máy tính thu của thiết bị Data Diode ra máy tính thu mạng nội bộ.
- Hỗ trợ các ứng dụng sử dụng các giao thức như UDP, FTP, Modbus, RTP,…
- Kiểm tra tính toàn vẹn của dữ liệu truyền thông qua thuật toán SHA.
- Điều khiển lưu lượng truyền thông qua độ trễ thời gian xử lý giữa bên phát và bên thu, thực hiện đa tiến trình xử lý song song.
- Tăng độ tin cậy của đường truyền sử dụng mã tự sửa lỗi đường truyền dựa trên thuật toán Vandermonde.
- Truyền các định dạng file khác nhau: word, excel, pdf, .zip, .zar, folder, subfolder, video, audio, image, exe...
- Tự động ghi log giám sát tên file, dung lượng file truyền, trạng thái file được truyền, nhận.
- Độ tin cậy 100% đã được thử nghiệm với các tệp dữ liệu lớn Gigabytes
Trong thời gian tới, nhóm nghiên cứu tiếp tục tìm hiểu để đưa ra các giải pháp cải tiến tăng tốc độ, truyền được nhiều định dạng khác nhau và xây dựng giải pháp triển khai thực tế tới người dùng.
Kết luận
Hiện nay, việc truyền dữ liệu thủ công không chỉ tạo ra nguy cơ về bảo mật mà còn tạo ra các nguy cơ do chính con người thực hiện. Do đó, các công nghệ bảo mật mạng khác nhau đã được phát triển để bảo vệ cơ sở hạ tầng, dữ liệu của các tổ chức từ các mạng cô lập. Data Diode là một trong những công nghệ hiện đại và hiệu quả nhất hiện nay để thực hiện nhiệm vụ này. Data Diode giải quyết vấn đề trên bằng cách tạo ra một kênh truyền một chiều an toàn về mặt vật lý từ mạng không bảo mật vào mạng bảo mật, cho phép dữ liệu được chuyển một cách an toàn vào mạng bảo mật, trong khi không cho phép bất kỳ dữ liệu nào truyền ra theo chiều ngược lại. Data Diode đảm bảo không thể truy cập vào mạng bảo mật từ mạng bên ngoài ít bảo mật hơn và ngăn chặn tối đa việc dò rỉ dữ liệu vì dữ liệu từ mạng bảo mật không thể truyền ra ngoài.
|
Tài liệu tham khảo [1]. Tactical Data Diodes in Industrial Automation and Control Systems, Austin Scott, SANS Institute, 2015. [2]. OPDS-1000 Product Sheet, <http://library.owlcyberdefense.com/opds-1000> [3]. https://www.fox-it.com/Data Diode/2018/03/13/the-one-way-security-of-a-data-diode-top-5-reasons-you-need-one-now/[4]. Seven Steps to Effectively Defend Industrial Control System, Department of Homeland Security, <https://ics-cert.us-cert.gov/sites/default/files/documents/Seven%20Steps%20to%20Effectively%20Defend%20Industrial%20Control%20Systems_S508C.pdf> [5]. https://www.fibersystem.com/our-customers/ [6]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rugged/ [7]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rack-module/ [8]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-integrated/ |
Phạm Thị Huyền, Lưu Đức Anh, Viện 10, Bộ Tư lệnh 86
10:00 | 17/05/2022
09:00 | 18/10/2019
14:00 | 23/02/2024
SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.
10:00 | 02/01/2024
Trong hệ mật RSA, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ mật này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức quan tâm nghiên cứu. Trong bài viết này, nhóm tác giả đã tổng hợp một số khuyến nghị cho mức an toàn đối với độ dài khóa RSA được Lenstra, Verheul và ECRYPT đề xuất.
09:00 | 27/12/2023
Với sự phát triển mạnh mẽ của công nghệ thông tin hiện nay, các ứng dụng giải trí, nhắn tin, gọi điện đang dần trở nên phổ biến. Những dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua Internet (Over The Top - OTT) trở thành một trong những mục tiêu bị tin tặc tấn công nhiều nhất. Bài báo đưa ra thực trạng sử dụng dịch vụ ứng dụng OTT tại Việt Nam và những thách thức trong công tác bảo đảm an ninh, an toàn thông tin trên các thiết bị di động và dữ liệu cá nhân trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho dữ liệu cá nhân người dùng ứng dụng OTT trên nền tảng Internet trong thời gian tới.
16:00 | 30/11/2022
Trong phần I của bài báo, nhóm tác giả sẽ giới thiệu cách thức xây dựng bộ dữ liệu IDS2021-WEB trích xuất từ bộ dữ liệu gốc CSE-CIC-IDS2018. Theo đó, các bước tiền xử lý dữ liệu được thực hiện từ bộ dữ liệu gốc như lọc các dữ liệu trùng, các dữ liệu dư thừa, dữ liệu không mang giá trị. Kết quả thu được là một bộ dữ liệu mới có kích thước nhỏ hơn và số lượng thuộc tính ít hơn. Đồng thời, đề xuất mô hình sử dụng bộ dữ liệu về xây dựng hệ thống phát hiện tấn công ứng dụng website.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
