Ứng dụng Data Diode trong quân đội các nước
Trước đây, Bộ Quốc phòng (BQP) Cộng hòa Ý dùng hệ thống firewall CC EAL4+ để bảo vệ các cơ sở hạ tầng và mạng trọng yếu. Tuy nhiên, do có nhiều thông tin nhạy cảm, có tính tuyệt mật nên công nghệ tường lửa không đáp ứng được yêu cầu đảm bảo an toàn. Do đó, BQP Ý đã quyết định tìm đến các thiết bị “one-way traffic” và lựa chọn các thiết bị Data Diode của hãng Fox-IT để triển khai cho hệ thống mạng của mình.
Các lý do để BQP Cộng hòa Ý chọn Data Diode:
- Hệ thống mạng của BQP gồm nhiều mạng riêng lẻ với cấp độ khác nhau, khi một mạng có độ bảo mật cao cần nhận dữ liệu từ một mạng có độ bảo mật thấp hơn, khi đó dữ liệu chỉ được phép truyền theo 1 chiều.
- Bảo vệ các thông tin mật: thực tế, luồng dữ liệu đến có thể được kiểm soát bằng rất nhiều công cụ quét kiểm tra, bảo mật, antivirus với công nghệ cao. Tuy nhiên, mọi giải pháp về phần mềm đều có thể bị thỏa hiệp. Nhưng với công nghệ Data Diode, không có bất kì biện pháp nào về phần mềm có thể làm lộ lọt các thông tin mật ra khỏi mạng được bảo vệ.
Đáng lưu ý, Bộ An ninh nội địa Mỹ (DHS) cùng FBI, NSA cung cấp tài liệu đưa ra 7 phương thức bảo vệ các hệ thống ICS, trong đó Data Diode là một giải pháp hiệu quả.
Ngoài ra, các phòng Lab thuộc BQP của nhiều nước đã tham gia ngiên cứu và sản xuất các thiết bị Data Diode như: Australia, Mỹ, Israel… Các giải pháp về Data Diode của Fibersystem [5,6,7,8] được rất nhiều tập đoàn lớn sử dụng, trong đó nổi bật là:
- Tập đoàn sản xuất vũ khí SAAB của Thụy Điển, ứng dụng Data Diode trong các hệ thống kiểm soát, điều khiển trên không, trên bộ, trên biển.
- Các tập đoàn điện tử lớn như Toshiba, Ericsson, Rolls-Royce, ứng dụng Data Diode trong các IACS, các trung tâm dữ liệu để bảo vệ chống ăn cắp công nghệ…
Hình 5. Các đối tác sử dụng Data Diode của Fibersystem
Thiết bị Data Diode của Viện 10, Bộ Tư lệnh 86
Nhóm nghiên cứu phòng Tự động hóa, Viện 10, Bộ Tư lệnh 86 đã hoàn thành nghiên cứu thiết kế và thử nghiệm thành công thiết bị Data Diode sợi quang học phục vụ truyền dữ liệu một chiều an toàn từ 2 mạng khác nhau. Hiện nay, thiết bị DATA DIODE-V10 đã được chế tạo đóng gói thành sản phẩm hoàn thiện phiên bản 1 và dự kiến sẽ đưa vào sử dụng trong thời gian tới có các tính năng:
- Tốc độ truyền tối đa 248 Mbps.
- Cho phép truyền dữ liệu chỉ theo một chiều từ máy tính phát nối mạng Internet sang máy tính thu nối mạng nội bộ thông qua khối phát thu sợi quang một chiều, và dữ liệu không thể truyền theo chiều ngược lại.
- Giao thức UDP được xây dựng để thực hiện việc truyền dữ liệu một chiều giữa hai máy tính phát thu của thiết bị Data Diode.
- Giao thức FTP được xây dựng để tự động đẩy dữ liệu từ máy tính mạng ngoài vào máy tính phát của thiết bị Data Diode và tự động đẩy dữ liệu từ máy tính thu của thiết bị Data Diode ra máy tính thu mạng nội bộ.
- Hỗ trợ các ứng dụng sử dụng các giao thức như UDP, FTP, Modbus, RTP,…
- Kiểm tra tính toàn vẹn của dữ liệu truyền thông qua thuật toán SHA.
- Điều khiển lưu lượng truyền thông qua độ trễ thời gian xử lý giữa bên phát và bên thu, thực hiện đa tiến trình xử lý song song.
- Tăng độ tin cậy của đường truyền sử dụng mã tự sửa lỗi đường truyền dựa trên thuật toán Vandermonde.
- Truyền các định dạng file khác nhau: word, excel, pdf, .zip, .zar, folder, subfolder, video, audio, image, exe...
- Tự động ghi log giám sát tên file, dung lượng file truyền, trạng thái file được truyền, nhận.
- Độ tin cậy 100% đã được thử nghiệm với các tệp dữ liệu lớn Gigabytes
Trong thời gian tới, nhóm nghiên cứu tiếp tục tìm hiểu để đưa ra các giải pháp cải tiến tăng tốc độ, truyền được nhiều định dạng khác nhau và xây dựng giải pháp triển khai thực tế tới người dùng.
Kết luận
Hiện nay, việc truyền dữ liệu thủ công không chỉ tạo ra nguy cơ về bảo mật mà còn tạo ra các nguy cơ do chính con người thực hiện. Do đó, các công nghệ bảo mật mạng khác nhau đã được phát triển để bảo vệ cơ sở hạ tầng, dữ liệu của các tổ chức từ các mạng cô lập. Data Diode là một trong những công nghệ hiện đại và hiệu quả nhất hiện nay để thực hiện nhiệm vụ này. Data Diode giải quyết vấn đề trên bằng cách tạo ra một kênh truyền một chiều an toàn về mặt vật lý từ mạng không bảo mật vào mạng bảo mật, cho phép dữ liệu được chuyển một cách an toàn vào mạng bảo mật, trong khi không cho phép bất kỳ dữ liệu nào truyền ra theo chiều ngược lại. Data Diode đảm bảo không thể truy cập vào mạng bảo mật từ mạng bên ngoài ít bảo mật hơn và ngăn chặn tối đa việc dò rỉ dữ liệu vì dữ liệu từ mạng bảo mật không thể truyền ra ngoài.
Tài liệu tham khảo [1]. Tactical Data Diodes in Industrial Automation and Control Systems, Austin Scott, SANS Institute, 2015. [2]. OPDS-1000 Product Sheet, <http://library.owlcyberdefense.com/opds-1000> [3]. https://www.fox-it.com/Data Diode/2018/03/13/the-one-way-security-of-a-data-diode-top-5-reasons-you-need-one-now/[4]. Seven Steps to Effectively Defend Industrial Control System, Department of Homeland Security, <https://ics-cert.us-cert.gov/sites/default/files/documents/Seven%20Steps%20to%20Effectively%20Defend%20Industrial%20Control%20Systems_S508C.pdf> [5]. https://www.fibersystem.com/our-customers/ [6]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rugged/ [7]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rack-module/ [8]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-integrated/ |
Phạm Thị Huyền, Lưu Đức Anh, Viện 10, Bộ Tư lệnh 86
10:00 | 17/05/2022
09:00 | 18/10/2019
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
08:00 | 03/01/2023
Các thiết bị Smartphone ngày nay đang phải đối mặt với nhiều mối đe dọa khác nhau, bất kể đó là hệ điều hành Android hay iOS. Thông qua các liên kết độc hại được gửi qua mạng xã hội, đến những chương trình có khả năng theo dõi, xâm phạm các ứng dụng hoặc triển khai mã độc tống tiền trên thiết bị của người dùng. Bài báo sẽ giới thiệu đến độc giả các mối đe dọa phổ biến nhắm vào thiết bị Smartphone giúp người dùng có thể chủ động phòng tránh.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024