Với tính tất yếu của tiến trình chuyển đổi số hiện nay, đòi hỏi cần thực hiện đồng bộ nhiều giải pháp, trong đó chú trọng công tác đảm bảo ATTT, an ninh mạng nhằm hoàn thành tốt các nhiệm vụ theo tiến trình chuyển đổi số quốc gia, góp phần xây dựng Quân đội hiện đại. Từ đó, đặt ra những nhu cầu cấp thiết việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng TSLQS và mạng Internet, giữa các hệ thống thông tin quân sự và CSDL quốc gia về dân cư, bảo hiểm y tế.
Trên thế giới gần đây đã xuất hiện nhiều sản phẩm Datadiode, cổng kết nối có thể kết nối hai chiều hỗ trợ được các dịch vụ hệ thống truy vấn bằng API. Các hệ thống Datadiode hỗ trợ kết nối API nhập ngoại giá thành rất cao, do đó không thể đảm bảo trang bị rộng rãi cho các đơn vị, đồng thời không kiểm chứng được độ tin cậy về rò rỉ dữ liệu do chưa hiểu và không nắm được thiết kế phần cứng và phần mềm bản quyền của hãng. Các thiết kế phần cứng, phần mềm của các thiết bị ATTT hiện nay theo luật của nhiều quốc gia (Đức, Anh, Mỹ, Nhật...) yêu cầu nhà sản xuất tích hợp các hệ thống để giải mã, hoặc cửa hậu để lực lượng an ninh có thể khai thác thông tin khi chính phủ yêu cầu, do đó, các thiết bị này càng khó được kiểm tra về mặt an ninh, ATTT.
Phòng Thí nghiệm trọng điểm ATTT, Bộ Tư lệnh 86 là đơn vị duy nhất tại Việt Nam đã nghiên cứu và phát triển thành công thiết bị truyền dữ liệu một chiều an toàn Datadiode để đảm bảo truyền dữ liệu an toàn từ mạng Internet vào mạng máy tính quân sự. Đồng thời, bảo đảm không có thông tin bị rò rỉ từ mạng máy tính quân sự ra ngoài, tránh được các tấn công và truy cập trái phép từ mạng Internet, sản phẩm đã được nghiệm thu cấp Bộ Quốc phòng (BQP) và triển khai ứng dụng tại nhiều đơn vị trong và ngoài Quân đội.
Hình 1. Hệ thống phần mềm truyền dữ liệu một chiều Datadiode của Phòng Thí nghiệm trọng điểm ATTT
Thiết bị V10 Datadiode được sử dụng để trang bị cho các đơn vị trong toàn quân để thay thế cho các thiết bị mang tin trung gian như USB, ổ cứng, thẻ nhớ,... có thể tiềm ẩn các nguy cơ mất ATTT khi lấy số liệu từ mạng Internet vào mạng TSLQS. Hệ thống bao gồm 3 phần mềm chính: Phần mềm hệ thống truyền dữ liệu một chiều; phần mềm ứng dụng web truyền dữ liệu một chiều; phần mềm làm sạch dữ liệu tích hợp hệ thống truyền dữ liệu một chiều.
Về nguyên lý, tính năng quan trọng nhất của một thiết bị truyền dữ liệu một chiều Datadiode là đảm bảo về mặt vật lý việc luồng dữ liệu được truyền theo một chiều duy nhất và ngăn chặn hoàn toàn mọi khả năng dữ liệu truyền theo chiều ngược lại. Tuy nhiên, để ứng dụng thiết bị Datadiode vào các hệ thống, hạ tầng công nghệ thông tin (CNTT) quan trọng như của các cơ quan, tổ chức thì hai vấn đề quan trọng cần phải quan tâm là tính tin cậy và tính an toàn.
Tính tin cậy của dữ liệu là việc dữ liệu nhận được ở mạng đích phải bảo đảm tính toàn vẹn so với dữ liệu được gửi đi. Tính toàn vẹn của dữ liệu được thể hiện qua nhiều đặc tính như: nội dung dữ liệu, định dạng, tên,... Để đảm bảo tính toàn vẹn của dữ liệu, cần sử dụng một số giải pháp kỹ thuật như:
- Sử dụng cơ chế quản lý phiên (session management).
- Đánh số thứ tự cho từng gói tin gửi đi để nhận biết việc mất gói tin.
- Sử dụng các mã sửa lỗi trước FEC.
Tính an toàn của dữ liệu thể hiện ở việc dữ liệu khi được truyền qua một cổng dữ liệu một chiều Datadiode cần có các cơ chế đảm bảo an toàn nhất định. Vì thiết bị Datadiode là một giải pháp trong chiến thuật phòng thủ sâu nên các nhiệm vụ bảo vệ an toàn thông tin mạng bằng phần mềm chủ yếu thuộc về các thành phần khác của hệ thống. Ví dụ như việc phát hiện, ngăn chặn các hành vi xâm nhập trái phép do các hệ thống IDS/IPS đảm nhận; việc thiết lập các chính sách mềm, tạo lập các danh sách trắng cho phép hay danh sách đen từ chối truy cập là nhiệm vụ của tường lửa; việc phát hiện, loại bỏ các tệp có chứa phần mềm độc hại là nhiệm vụ của phần mềm anti-virus. Mặc dù vậy, để nâng cao tính an toàn cho việc truyền dữ liệu qua thiết bị Datadiode thì việc tự phát triển một số giải pháp an toàn ngay trên thiết bị Datadiode mang lại rất nhiều ưu điểm.
Tuy nhiên, thiết bị truyền dữ liệu một chiều của Phòng Thí nghiệm trọng điểm ATTT tới thời điểm hiện tại chưa đáp ứng được tính năng có thể cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI. Trong khi việc kết nối chia sẻ dữ liệu của các hệ thống ứng dụng CNTT giữa các mạng đa số sử dụng giao thức WebService/RestAPI là rất cần thiết. Thiết bị Datadiode do Phòng Thí nghiệm trọng điểm ATTT làm chủ về công nghệ sử dụng phương pháp mã sửa lỗi trước, giám sát gói tin truyền,... hoàn toàn đáng tin cậy trong quá trình truyền dữ liệu API, qua nghiên cứu là có khả năng xây dựng tích hợp vào hệ thống cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI thông qua 02 thiết bị Datadiode.
Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode.
Hình 2. Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RESTAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode
Trong mô hình này sẽ sử dụng 02 thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT nghiên cứu: 01 thiết bị dùng để truyền các yêu cầu (request), 01 thiết bị dùng để truyền các trả lời (response) độc lập và tách biệt với chiều request theo chiều ngược lại. Như vậy, việc bảo đảm tính một chiều sẽ được giữ nguyên.
- Tại vùng mạng hệ thống BQP request sẽ được gửi đi vào thiết bị máy gửi 01, tại đây cài đặt phần mềm bên gửi nhận yêu cầu và lưu vào CSDL 01 các dữ liệu (bao gồm body, header,…), dữ liệu dưới dạng các bản ghi sẽ được truyền 01 chiều đồng bộ CSDL 01 sang CSDL 02.
- Tại vùng mạng bên ngoài - mạng các dịch vụ của Bộ Công an (BCA), tại máy nhận 01 cài đặt ứng dụng đọc dữ liệu từ CSDL 02 và chuyển thành các request gửi đến hệ thống API của BCA, sau đó nhận lại response trả lời. Phản hồi này sẽ được chuyển đến tại máy nhận 01, tại đây cài đặt phần mềm bên nhận nhận phản hồi và lưu vào CSDL, dữ liệu dưới dạng các bản ghi sẽ được truyền một chiều đồng bộ CSDL 03 sang CSDL 04.
- Tại vùng mạng hệ thống BQP tại máy nhận 02 cài đặt CSDL 04 được đồng bộ một chiều từ CSDL 03, dữ liệu này sẽ được phần mềm bên gửi tại máy gửi 01 đọc và định dạng chuẩn (tương ứng với hệ thống BQP) và phản hồi lại hệ thống BQP.
- Các hệ thống và dịch vụ tại mạng BQP và mạng BCA đều được xác thực và định danh đảm bảo ATTT trước khi kết nối với hệ thống truyền nhận dữ liệu qua API sử dụng Datadiode.
Qua nghiên cứu và thử nghiệm giải pháp truyền các dịch vụ, ứng dụng sử dụng API giữa hai mạng qua thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT hỗ trợ kết nối và truyền dữ liệu an toàn giữa hai vùng mạng có các ứng dụng dịch vụ sử dụng Webservice/RestAPI như: chia sẻ dữ liệu định danh dân cư, dữ liệu xuất nhập cảnh,... giữa BQP và các mạng chuyên dùng bên ngoài là khả thi.
Thực tế hiện nay Rest API được sử dụng rất phổ biến, việc ứng dụng Rest API kết hợp với đồng bộ CSDL bằng thiết bị truyền dữ liệu một chiều Datadiode là giải pháp khả thi cho phép các ứng dụng giữa hai vùng mạng kết nối an toàn, hỗ trợ hiệu quả kết nối các hệ thống thiết yếu như Hệ thông tin chỉ đạo điều hành, các trang cổng dịch vụ thông tin Chính phủ điện tử, các hệ thống thông tin nghiệp vụ ngành, ví dụ như: Xuất nhập cảnh của Bộ đội biên Phòng, Bảo hiểm y tế,... phục vụ chuyển đổi số quốc gia, Chính phủ điện tử.
|
TÀI LIỆU THAM KHẢO [1]. OT-Security for IT Professionals, Handbook.pdf, Edward Amoroso. [2]. Secure one-way data transfer system using network interface circuitry, United States Patent, Ronald Mraz, New York, 2013. [3]. Tactical Datadiodes in industrial automation and control systems, Austin Scott, 2015. [4]. The definitive guide to Datadiode technologies from simple to state of the art, Scott W.Coleman, OwlCyberDefense.com, 2018. [5]. Understanding the strategic and technical significance of Technology for security, the case of Datadiodes for cybersecurity, The Hague Security Delta , 2021. [6] Datadiode guide, critical infrastructure protection solutions, OPSWAT, 2021. [7]. The Datadiode explained in 5 simple steps, Wouter Teepe, Fox-IT and Colin Robbins, Nexor. [8]. https://galeracluster.com/library/training/tutorials/configuration.html. |
ThS. Đồng Xuân Chinh (Phòng Thí nghiệm trọng điểm An toàn thông tin, Bộ Tư lệnh 86)
10:00 | 17/05/2022
09:00 | 04/05/2023
Những năm gần đây, các ứng dụng sử dụng hệ thống IoT đang ngày càng phát triển bởi khả năng mềm dẻo trong thiết kế phần cứng và thu thập dữ liệu. Đồng hành cùng với sự thay đổi của các công nghệ mạng truyền dẫn, tín hiệu, Wifi Mesh đang trở thành một lựa chọn thực tế và phù hợp đối với các hệ thống IoT công nghiệp, thương mại điện tử. Thông qua bài báo này, nhóm tác giả sẽ giới thiệu về nền tảng công nghệ mạng Wifi Mesh, từ đó làm cơ sở cho việc ứng dụng để thiết kế hệ thống giám sát đo độ nghiêng sẽ được trình bày trong kỳ tới.
10:00 | 15/02/2023
Phần mềm diệt virus (antivirus) là một trong những giải pháp bảo mật được sử dụng phổ biến, nhằm ngăn chặn tin tặc xâm nhập vào hệ thống. Tuy nhiên, hiện nay tin tặc đã phát triển các kỹ thuật để qua mặt các giải pháp antivirus và giành quyền truy cập vào các hệ thống được bảo vệ. Những kỹ thuật này được sử dụng trong các công cụ lẩn tránh giải pháp antivirus sẵn có dưới dạng công cụ mã nguồn mở mà tin tặc có thể dễ dàng sở hữu và sử dụng để xâm nhập hệ thống máy tính có trang bị chương trình antivirus.
14:00 | 09/12/2022
Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.
13:00 | 06/12/2022
Cùng với sự gia tăng không ngừng của các mối đe dọa an ninh mạng, các tin tặc thay đổi, phát triển các chiến thuật và phương thức tấn công mới tinh vi hơn dường như xuất hiện liên tục. Trong khi đó, các chiến dịch tấn công nhắm vào cơ sở hạ tầng công nghệ thông tin của các tổ chức/doanh nghiệp (TC/DN) được các nhóm tin tặc thực hiện với tần suất nhiều hơn. Chính vì thế, việc xây dựng một chiến lược phòng thủ dựa trên bằng chứng được thực thi tốt là điều mà các TC/DN nên thực hiện để chủ động hơn trước các mối đe dọa trong bối cảnh các cuộc tấn công mạng đang trở nên khó lường và phức tạp.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
09:00 | 28/04/2024
