Với tính tất yếu của tiến trình chuyển đổi số hiện nay, đòi hỏi cần thực hiện đồng bộ nhiều giải pháp, trong đó chú trọng công tác đảm bảo ATTT, an ninh mạng nhằm hoàn thành tốt các nhiệm vụ theo tiến trình chuyển đổi số quốc gia, góp phần xây dựng Quân đội hiện đại. Từ đó, đặt ra những nhu cầu cấp thiết việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng TSLQS và mạng Internet, giữa các hệ thống thông tin quân sự và CSDL quốc gia về dân cư, bảo hiểm y tế.
Trên thế giới gần đây đã xuất hiện nhiều sản phẩm Datadiode, cổng kết nối có thể kết nối hai chiều hỗ trợ được các dịch vụ hệ thống truy vấn bằng API. Các hệ thống Datadiode hỗ trợ kết nối API nhập ngoại giá thành rất cao, do đó không thể đảm bảo trang bị rộng rãi cho các đơn vị, đồng thời không kiểm chứng được độ tin cậy về rò rỉ dữ liệu do chưa hiểu và không nắm được thiết kế phần cứng và phần mềm bản quyền của hãng. Các thiết kế phần cứng, phần mềm của các thiết bị ATTT hiện nay theo luật của nhiều quốc gia (Đức, Anh, Mỹ, Nhật...) yêu cầu nhà sản xuất tích hợp các hệ thống để giải mã, hoặc cửa hậu để lực lượng an ninh có thể khai thác thông tin khi chính phủ yêu cầu, do đó, các thiết bị này càng khó được kiểm tra về mặt an ninh, ATTT.
Phòng Thí nghiệm trọng điểm ATTT, Bộ Tư lệnh 86 là đơn vị duy nhất tại Việt Nam đã nghiên cứu và phát triển thành công thiết bị truyền dữ liệu một chiều an toàn Datadiode để đảm bảo truyền dữ liệu an toàn từ mạng Internet vào mạng máy tính quân sự. Đồng thời, bảo đảm không có thông tin bị rò rỉ từ mạng máy tính quân sự ra ngoài, tránh được các tấn công và truy cập trái phép từ mạng Internet, sản phẩm đã được nghiệm thu cấp Bộ Quốc phòng (BQP) và triển khai ứng dụng tại nhiều đơn vị trong và ngoài Quân đội.
Hình 1. Hệ thống phần mềm truyền dữ liệu một chiều Datadiode của Phòng Thí nghiệm trọng điểm ATTT
Thiết bị V10 Datadiode được sử dụng để trang bị cho các đơn vị trong toàn quân để thay thế cho các thiết bị mang tin trung gian như USB, ổ cứng, thẻ nhớ,... có thể tiềm ẩn các nguy cơ mất ATTT khi lấy số liệu từ mạng Internet vào mạng TSLQS. Hệ thống bao gồm 3 phần mềm chính: Phần mềm hệ thống truyền dữ liệu một chiều; phần mềm ứng dụng web truyền dữ liệu một chiều; phần mềm làm sạch dữ liệu tích hợp hệ thống truyền dữ liệu một chiều.
Về nguyên lý, tính năng quan trọng nhất của một thiết bị truyền dữ liệu một chiều Datadiode là đảm bảo về mặt vật lý việc luồng dữ liệu được truyền theo một chiều duy nhất và ngăn chặn hoàn toàn mọi khả năng dữ liệu truyền theo chiều ngược lại. Tuy nhiên, để ứng dụng thiết bị Datadiode vào các hệ thống, hạ tầng công nghệ thông tin (CNTT) quan trọng như của các cơ quan, tổ chức thì hai vấn đề quan trọng cần phải quan tâm là tính tin cậy và tính an toàn.
Tính tin cậy của dữ liệu là việc dữ liệu nhận được ở mạng đích phải bảo đảm tính toàn vẹn so với dữ liệu được gửi đi. Tính toàn vẹn của dữ liệu được thể hiện qua nhiều đặc tính như: nội dung dữ liệu, định dạng, tên,... Để đảm bảo tính toàn vẹn của dữ liệu, cần sử dụng một số giải pháp kỹ thuật như:
- Sử dụng cơ chế quản lý phiên (session management).
- Đánh số thứ tự cho từng gói tin gửi đi để nhận biết việc mất gói tin.
- Sử dụng các mã sửa lỗi trước FEC.
Tính an toàn của dữ liệu thể hiện ở việc dữ liệu khi được truyền qua một cổng dữ liệu một chiều Datadiode cần có các cơ chế đảm bảo an toàn nhất định. Vì thiết bị Datadiode là một giải pháp trong chiến thuật phòng thủ sâu nên các nhiệm vụ bảo vệ an toàn thông tin mạng bằng phần mềm chủ yếu thuộc về các thành phần khác của hệ thống. Ví dụ như việc phát hiện, ngăn chặn các hành vi xâm nhập trái phép do các hệ thống IDS/IPS đảm nhận; việc thiết lập các chính sách mềm, tạo lập các danh sách trắng cho phép hay danh sách đen từ chối truy cập là nhiệm vụ của tường lửa; việc phát hiện, loại bỏ các tệp có chứa phần mềm độc hại là nhiệm vụ của phần mềm anti-virus. Mặc dù vậy, để nâng cao tính an toàn cho việc truyền dữ liệu qua thiết bị Datadiode thì việc tự phát triển một số giải pháp an toàn ngay trên thiết bị Datadiode mang lại rất nhiều ưu điểm.
Tuy nhiên, thiết bị truyền dữ liệu một chiều của Phòng Thí nghiệm trọng điểm ATTT tới thời điểm hiện tại chưa đáp ứng được tính năng có thể cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI. Trong khi việc kết nối chia sẻ dữ liệu của các hệ thống ứng dụng CNTT giữa các mạng đa số sử dụng giao thức WebService/RestAPI là rất cần thiết. Thiết bị Datadiode do Phòng Thí nghiệm trọng điểm ATTT làm chủ về công nghệ sử dụng phương pháp mã sửa lỗi trước, giám sát gói tin truyền,... hoàn toàn đáng tin cậy trong quá trình truyền dữ liệu API, qua nghiên cứu là có khả năng xây dựng tích hợp vào hệ thống cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI thông qua 02 thiết bị Datadiode.
Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode.
Hình 2. Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RESTAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode
Trong mô hình này sẽ sử dụng 02 thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT nghiên cứu: 01 thiết bị dùng để truyền các yêu cầu (request), 01 thiết bị dùng để truyền các trả lời (response) độc lập và tách biệt với chiều request theo chiều ngược lại. Như vậy, việc bảo đảm tính một chiều sẽ được giữ nguyên.
- Tại vùng mạng hệ thống BQP request sẽ được gửi đi vào thiết bị máy gửi 01, tại đây cài đặt phần mềm bên gửi nhận yêu cầu và lưu vào CSDL 01 các dữ liệu (bao gồm body, header,…), dữ liệu dưới dạng các bản ghi sẽ được truyền 01 chiều đồng bộ CSDL 01 sang CSDL 02.
- Tại vùng mạng bên ngoài - mạng các dịch vụ của Bộ Công an (BCA), tại máy nhận 01 cài đặt ứng dụng đọc dữ liệu từ CSDL 02 và chuyển thành các request gửi đến hệ thống API của BCA, sau đó nhận lại response trả lời. Phản hồi này sẽ được chuyển đến tại máy nhận 01, tại đây cài đặt phần mềm bên nhận nhận phản hồi và lưu vào CSDL, dữ liệu dưới dạng các bản ghi sẽ được truyền một chiều đồng bộ CSDL 03 sang CSDL 04.
- Tại vùng mạng hệ thống BQP tại máy nhận 02 cài đặt CSDL 04 được đồng bộ một chiều từ CSDL 03, dữ liệu này sẽ được phần mềm bên gửi tại máy gửi 01 đọc và định dạng chuẩn (tương ứng với hệ thống BQP) và phản hồi lại hệ thống BQP.
- Các hệ thống và dịch vụ tại mạng BQP và mạng BCA đều được xác thực và định danh đảm bảo ATTT trước khi kết nối với hệ thống truyền nhận dữ liệu qua API sử dụng Datadiode.
Qua nghiên cứu và thử nghiệm giải pháp truyền các dịch vụ, ứng dụng sử dụng API giữa hai mạng qua thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT hỗ trợ kết nối và truyền dữ liệu an toàn giữa hai vùng mạng có các ứng dụng dịch vụ sử dụng Webservice/RestAPI như: chia sẻ dữ liệu định danh dân cư, dữ liệu xuất nhập cảnh,... giữa BQP và các mạng chuyên dùng bên ngoài là khả thi.
Thực tế hiện nay Rest API được sử dụng rất phổ biến, việc ứng dụng Rest API kết hợp với đồng bộ CSDL bằng thiết bị truyền dữ liệu một chiều Datadiode là giải pháp khả thi cho phép các ứng dụng giữa hai vùng mạng kết nối an toàn, hỗ trợ hiệu quả kết nối các hệ thống thiết yếu như Hệ thông tin chỉ đạo điều hành, các trang cổng dịch vụ thông tin Chính phủ điện tử, các hệ thống thông tin nghiệp vụ ngành, ví dụ như: Xuất nhập cảnh của Bộ đội biên Phòng, Bảo hiểm y tế,... phục vụ chuyển đổi số quốc gia, Chính phủ điện tử.
TÀI LIỆU THAM KHẢO [1]. OT-Security for IT Professionals, Handbook.pdf, Edward Amoroso. [2]. Secure one-way data transfer system using network interface circuitry, United States Patent, Ronald Mraz, New York, 2013. [3]. Tactical Datadiodes in industrial automation and control systems, Austin Scott, 2015. [4]. The definitive guide to Datadiode technologies from simple to state of the art, Scott W.Coleman, OwlCyberDefense.com, 2018. [5]. Understanding the strategic and technical significance of Technology for security, the case of Datadiodes for cybersecurity, The Hague Security Delta , 2021. [6] Datadiode guide, critical infrastructure protection solutions, OPSWAT, 2021. [7]. The Datadiode explained in 5 simple steps, Wouter Teepe, Fox-IT and Colin Robbins, Nexor. [8]. https://galeracluster.com/library/training/tutorials/configuration.html. |
ThS. Đồng Xuân Chinh (Phòng Thí nghiệm trọng điểm An toàn thông tin, Bộ Tư lệnh 86)
10:00 | 17/05/2022
09:00 | 24/11/2023
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
09:00 | 28/04/2024