Ứng dụng Data Diode trong quân đội các nước
Trước đây, Bộ Quốc phòng (BQP) Cộng hòa Ý dùng hệ thống firewall CC EAL4+ để bảo vệ các cơ sở hạ tầng và mạng trọng yếu. Tuy nhiên, do có nhiều thông tin nhạy cảm, có tính tuyệt mật nên công nghệ tường lửa không đáp ứng được yêu cầu đảm bảo an toàn. Do đó, BQP Ý đã quyết định tìm đến các thiết bị “one-way traffic” và lựa chọn các thiết bị Data Diode của hãng Fox-IT để triển khai cho hệ thống mạng của mình.
Các lý do để BQP Cộng hòa Ý chọn Data Diode:
- Hệ thống mạng của BQP gồm nhiều mạng riêng lẻ với cấp độ khác nhau, khi một mạng có độ bảo mật cao cần nhận dữ liệu từ một mạng có độ bảo mật thấp hơn, khi đó dữ liệu chỉ được phép truyền theo 1 chiều.
- Bảo vệ các thông tin mật: thực tế, luồng dữ liệu đến có thể được kiểm soát bằng rất nhiều công cụ quét kiểm tra, bảo mật, antivirus với công nghệ cao. Tuy nhiên, mọi giải pháp về phần mềm đều có thể bị thỏa hiệp. Nhưng với công nghệ Data Diode, không có bất kì biện pháp nào về phần mềm có thể làm lộ lọt các thông tin mật ra khỏi mạng được bảo vệ.
Đáng lưu ý, Bộ An ninh nội địa Mỹ (DHS) cùng FBI, NSA cung cấp tài liệu đưa ra 7 phương thức bảo vệ các hệ thống ICS, trong đó Data Diode là một giải pháp hiệu quả.
Ngoài ra, các phòng Lab thuộc BQP của nhiều nước đã tham gia ngiên cứu và sản xuất các thiết bị Data Diode như: Australia, Mỹ, Israel… Các giải pháp về Data Diode của Fibersystem [5,6,7,8] được rất nhiều tập đoàn lớn sử dụng, trong đó nổi bật là:
- Tập đoàn sản xuất vũ khí SAAB của Thụy Điển, ứng dụng Data Diode trong các hệ thống kiểm soát, điều khiển trên không, trên bộ, trên biển.
- Các tập đoàn điện tử lớn như Toshiba, Ericsson, Rolls-Royce, ứng dụng Data Diode trong các IACS, các trung tâm dữ liệu để bảo vệ chống ăn cắp công nghệ…
Hình 5. Các đối tác sử dụng Data Diode của Fibersystem
Thiết bị Data Diode của Viện 10, Bộ Tư lệnh 86
Nhóm nghiên cứu phòng Tự động hóa, Viện 10, Bộ Tư lệnh 86 đã hoàn thành nghiên cứu thiết kế và thử nghiệm thành công thiết bị Data Diode sợi quang học phục vụ truyền dữ liệu một chiều an toàn từ 2 mạng khác nhau. Hiện nay, thiết bị DATA DIODE-V10 đã được chế tạo đóng gói thành sản phẩm hoàn thiện phiên bản 1 và dự kiến sẽ đưa vào sử dụng trong thời gian tới có các tính năng:
- Tốc độ truyền tối đa 248 Mbps.
- Cho phép truyền dữ liệu chỉ theo một chiều từ máy tính phát nối mạng Internet sang máy tính thu nối mạng nội bộ thông qua khối phát thu sợi quang một chiều, và dữ liệu không thể truyền theo chiều ngược lại.
- Giao thức UDP được xây dựng để thực hiện việc truyền dữ liệu một chiều giữa hai máy tính phát thu của thiết bị Data Diode.
- Giao thức FTP được xây dựng để tự động đẩy dữ liệu từ máy tính mạng ngoài vào máy tính phát của thiết bị Data Diode và tự động đẩy dữ liệu từ máy tính thu của thiết bị Data Diode ra máy tính thu mạng nội bộ.
- Hỗ trợ các ứng dụng sử dụng các giao thức như UDP, FTP, Modbus, RTP,…
- Kiểm tra tính toàn vẹn của dữ liệu truyền thông qua thuật toán SHA.
- Điều khiển lưu lượng truyền thông qua độ trễ thời gian xử lý giữa bên phát và bên thu, thực hiện đa tiến trình xử lý song song.
- Tăng độ tin cậy của đường truyền sử dụng mã tự sửa lỗi đường truyền dựa trên thuật toán Vandermonde.
- Truyền các định dạng file khác nhau: word, excel, pdf, .zip, .zar, folder, subfolder, video, audio, image, exe...
- Tự động ghi log giám sát tên file, dung lượng file truyền, trạng thái file được truyền, nhận.
- Độ tin cậy 100% đã được thử nghiệm với các tệp dữ liệu lớn Gigabytes
Trong thời gian tới, nhóm nghiên cứu tiếp tục tìm hiểu để đưa ra các giải pháp cải tiến tăng tốc độ, truyền được nhiều định dạng khác nhau và xây dựng giải pháp triển khai thực tế tới người dùng.
Kết luận
Hiện nay, việc truyền dữ liệu thủ công không chỉ tạo ra nguy cơ về bảo mật mà còn tạo ra các nguy cơ do chính con người thực hiện. Do đó, các công nghệ bảo mật mạng khác nhau đã được phát triển để bảo vệ cơ sở hạ tầng, dữ liệu của các tổ chức từ các mạng cô lập. Data Diode là một trong những công nghệ hiện đại và hiệu quả nhất hiện nay để thực hiện nhiệm vụ này. Data Diode giải quyết vấn đề trên bằng cách tạo ra một kênh truyền một chiều an toàn về mặt vật lý từ mạng không bảo mật vào mạng bảo mật, cho phép dữ liệu được chuyển một cách an toàn vào mạng bảo mật, trong khi không cho phép bất kỳ dữ liệu nào truyền ra theo chiều ngược lại. Data Diode đảm bảo không thể truy cập vào mạng bảo mật từ mạng bên ngoài ít bảo mật hơn và ngăn chặn tối đa việc dò rỉ dữ liệu vì dữ liệu từ mạng bảo mật không thể truyền ra ngoài.
|
Tài liệu tham khảo [1]. Tactical Data Diodes in Industrial Automation and Control Systems, Austin Scott, SANS Institute, 2015. [2]. OPDS-1000 Product Sheet, <http://library.owlcyberdefense.com/opds-1000> [3]. https://www.fox-it.com/Data Diode/2018/03/13/the-one-way-security-of-a-data-diode-top-5-reasons-you-need-one-now/[4]. Seven Steps to Effectively Defend Industrial Control System, Department of Homeland Security, <https://ics-cert.us-cert.gov/sites/default/files/documents/Seven%20Steps%20to%20Effectively%20Defend%20Industrial%20Control%20Systems_S508C.pdf> [5]. https://www.fibersystem.com/our-customers/ [6]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rugged/ [7]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rack-module/ [8]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-integrated/ |
Phạm Thị Huyền, Lưu Đức Anh, Viện 10, Bộ Tư lệnh 86
10:00 | 17/05/2022
09:00 | 18/10/2019
09:00 | 26/02/2025
Những năm gần đây, nhu cầu về tự động hóa, điện toán đám mây và số hóa trong các ngành công nghiệp ngày càng gia tăng. Điều này tạo điều kiện cho việc truy cập và điều khiển từ xa qua Internet, đặc biệt trong các môi trường công nghệ thông tin (IT). Sự chuyển dịch này mang lại nhiều lợi ích đáng kể, nhưng cũng đặt ra một thách thức lớn, bởi việc tích hợp các hệ thống điều khiển công nghiệp với các mạng bên ngoài đã mở rộng bề mặt tấn công, khiến các hệ thống dễ bị đe dọa mạng và đòi hỏi các biện pháp bảo vệ thích hợp.
09:00 | 30/12/2024
Công nghệ nhận diện khuôn mặt sử dụng trí tuệ nhân tạo để ước tính độ tuổi người dùng dựa trên hình ảnh, đảm bảo tính chính xác cao trong việc phân biệt trẻ em và người trưởng thành.
14:00 | 06/12/2024
Một tập hợp gồm 15 ứng dụng phần mềm độc hại SpyLoan Android mới với hơn 8 triệu lượt cài đặt đã được phát hiện trên Google Play, chủ yếu nhắm vào người dùng từ Nam Mỹ, Đông Nam Á và châu Phi.
13:00 | 22/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.
08:00 | 27/02/2025
