Khi việc Hội tụ IT/OT diễn ra đồng nghĩa với việc nguy cơ lộ lọt thông tin dữ liệu ngày một nhiều hơn, đặc biệt các trang thiết bị điều khiển trong mạng OT phải đối mặt với nguy cơ lớn về tấn công chiếm quyền điều khiển. Cổng bảo mật một chiều (Unidirectional Security Gateway - USG) là công nghệ bảo mật cho phép truyền dữ liệu chỉ theo một hướng duy nhất theo chiều từ mạng ngoài vào mạng nội bộ (hoặc ngược lại) mà không có thông tin nào bị rò rỉ theo chiều ngược lại, đảm bảo việc truyền dữ liệu an toàn giữa hai mạng cách ly và tránh được các tấn công, truy cập trái phép từ bên ngoài.
Cổng truyền dữ liệu một chiều USG (Unidirectional Security Gateway) là công nghệ cho phép kết nối trong suốt, truyền dữ liệu một chiều giữa 02 vùng mạng độc lập hỗ trợ các giao thức trên nền tảng TCP/IP giả lập, giao thức yêu cầu thời gian thực nhằm tăng cường giải pháp bảo đảm an toàn thông tin (ATTT), an ninh mạng (ANM) cho các hệ thống mạng điều khiển IT/OT.
Thiết kế phần cứng của thiết bị
Thiết bị bao gồm 02 thành phần chính bo mạch xử lý FPGA và máy tính nhúng điều khiển (EPC). Bo mạch FPGA sẽ nhận lệnh từ EPC xử lý dữ liệu theo tập lệnh nhận được đồng thời phản hồi lại EPC các sự kiện đã xử lý.
Trên EPC chạy phần mềm, giao diện điều khiển cho phép quản trị, cấu hình, thiết lập luật, hiển thị trạng thái, hiển thị Log sự kiện, nhận lệnh từ hệ thống giám sát thông qua Giao diện lập trình ứng dụng (Application Programming Interface - API).
Trên bo mạch FPGA bao gồm bộ nhớ RAM ngoài, bộ nhớ Flash, bộ cấp nguồn, cổng quang SFP/ SFP+ (Small Form-factor Pluggable) kết nối với hệ thống mạng điều khiển, mạng IT/OT và EPC.
Phần sụn (Firmware) của thiết bị bao gồm các khối xử lý trung tâm, khối trao đổi dữ liệu trên cổng quang, khối cấu hình cho các cổng quang. Lõi xử lý trung tâm có nhiệm vụ chính là nhận tập luật điều khiển từ EPC thông qua Module SFP/SFP+. Tập luật nhận từ EPC được ghi vào BLOCK RAM của FPGA. FPGA sẽ dựa theo tập luật điều khiển để thực thi xử lý dữ liệu số vào ra từ luồng dữ liệu trên Khối cổng quang SFP/SFP+. Khối trao đổi dữ liệu trên cổng quang có nhiệm vụ kết nối hệ thống mạng OT với hệ thống mạng IT thông qua chuẩn quang SFP/SFP+, luồng dữ liệu sẽ qua khối này trước khi vào FPGA. Khối cấu hình có nhiệm vụ thiết lập trạng thái làm việc trên cổng quang SFP/SFP+.
Hình 1. Sơ đồ khối tổng quan của thiết bị
Thiết kế phần mềm triển khai trên thiết bị USG
Phần mềm điều khiển có khả năng tương tác nhận lệnh điều khiển hay liên kết với các hệ thống giám sát mạng điều khiển.
- Khối xử lý Trung tâm bao gồm một số chức năng chính như:
+ Tương tác CSDL với FPGA cho phép đẩy dữ liệu xuống FPGA qua cổng SFP/SFP+.
+ Chức năng cập nhật phần mềm cho phép cập nhật các bản nâng cấp, bản vá nếu có.
+ Thiết lập tập luật chặn tất cả gói tin chứa dữ liệu đi từ vùng mạng IT hay những gói tin không nằm trong nằm trong Danh sách kiểm soát truy cập (Access Control List - ACL).
- Khối API kết nối với hệ thống giám sát ATTT cho mạng điều khiển bao gồm một số chức năng chính như:
+ Nhận dữ liệu từ hệ thống giám sát mạng điều khiển.
+ Đọc, ghi vào CSDL.
+ Gửi tập luật xuống bo mạch FPGA.
- Khối giao diện quản trị, cấu hình bao gồm một số chức năng chính như:
+ Quản lý người dùng, phân quyền, quản lý chức năng hệ thống cho phép tạo mới, sửa và cấp quyền cho người sử dụng.
+ Quản lý và cấu hình hệ thống cho phép thiết lập cấu hình
mặc định cho thiết bị trên giao diện điều khiển.
+ Quản lý các lệnh điều khiển cho phép thêm sửa xóa bằng tay các tập luật trên giao diện điều khiển.
- Khối cấu hình, điều khiển phần cứng bao gồm một số chức năng chính như sau:
+ Tiếp nhận luật từ phân hệ xử lý trung tâm. + Ra lệnh chặn/bỏ chặn gói tin theo luật đã nhận.
+ Thiết lập tự động chặn gói tin, cách ly với vùng mạng bị nhiễm mã độc theo dữ liệu nhận được từ hệ thống giám sát.
- Khối lưu trữ CSDL: Đọc/Ghi CSDL về thông tin User, Password; tập luật thiết lập; trạng thái liên kết với hệ thống giám sát mạng, đường truyền; Log sự kiện.
Nguyên lý hoạt động được thể hiện trong Hình 2.
Hình 2. Sơ đồ khối nguyên lý hoạt động của thiết bị USG
Quản lý thiết bị được phép truyền dữ liệu ra mạng IT
Khi một gói tin truyền từ vùng mạng OT đến IT, phần Header của gói tin sẽ được phân tách thành các địa chỉ MAC, IP và PORT. Các thông tin này sau đó được xử lý và so sánh với ACL nhận từ máy tính điều khiển EPC. Nếu các thành phần của gói tin khớp với ACL, gói tin sẽ được phép đi qua. Ngược lại, nếu không khớp, gói tin sẽ bị chặn lại.
Thông tin về địa chỉ MAC, IP, PORT, loại giao thức của các gói tin truyền qua và bị chặn sẽ được thu thập. Những dữ liệu này sau đó được đi qua bộ lọc để loại bỏ các sự kiện trùng lặp, không cần thiết và chỉ giữ lại những bản ghi phù hợp với tiêu chí đã xác định nhằm giảm bớt khối lượng dữ liệu, tối ưu hiệu suất cho EPC. Dữ liệu về Log sự kiện quan trọng sau đó sẽ được gửi lên EPC để lưu trữ nhằm phục vụ cho việc kiểm tra ATTT trên hệ thống, phát hiện lỗ hổng bảo mật.
Về đường truyền ngược từ vùng mạng IT đến OT, tất cả các gói tin chứa dữ liệu đều bị chặn. Chỉ những gói tin không chứa dữ liệu nhưng cần thiết cho kết nối giao thức TCP mới được phép đi qua như các gói tin phục vụ quá trình bắt tay 3 bước: SYN, SYN-ACK, FIN-ACK hay các gói ACK xác nhận toàn vẹn dữ liệu.
So với các thiết bị DataDiode truyền thống, thiết bị USG trong giải pháp này được bổ sung thêm cơ chế quản lý truy cập dựa trên địa chỉ MAC, IP, và PORT, giúp kiểm soát chặt chẽ việc truyền dữ liệu từ các thiết bị nằm trong vùng mạng bảo vệ ra ngoài mạng.
Hỗ trợ các giao thức OT yêu cầu thời gian thực được phát triển trên nền tảng TCP/IP như: ModbusTCP, IEC 104, IEC 61850,...
Mô hình giải pháp TCP/IP giả lập
Thiết bị USG được thiết kế để chặn mọi luồng dữ liệu đi qua chiều ngược, nhằm bảo vệ an ninh cho hệ thống mạng điều khiển. Tuy nhiên, với các giao thức như TCP/IP, việc duy trì kết nối tin cậy đòi hỏi sự trao đổi qua lại của các gói tin như ACK, SYNACK và FIN-ACK, cũng như các gói tin ở Layer 2 trong mô hình OSI như ARP, IGMP để duy trì và kết thúc kết nối.
Khi các gói tin được truyền từ mạng IT qua USG vào hệ thống OT, chúng được tách thành các bit riêng biệt và được khối xử lý trung tâm phân tích để xác định loại gói tin. Thông qua quá trình này, hệ thống có thể nhận diện các gói tin điều khiển quan trọng như ACK, SYN-ACK và FIN-ACK cần thiết cho việc duy trì kết nối TCP/IP. Những gói tin này sẽ được thiết lập trên một luồng dữ liệu riêng biệt trong hệ thống và được phép đi qua chiều ngược của thiết bị USG. Điều này đảm bảo rằng chỉ những gói tin điều khiển quan trọng mới được truyền qua và tất cả các gói tin chứa dữ liệu hoặc bất kỳ thông tin không mong muốn nào đều bị chặn lại. Nhờ cơ chế này, thiết bị USG vẫn duy trì được tính một chiều của nó, đồng thời cho phép giao thức TCP/IP hoạt động bình thường.
Đối với các gói tin ICMP, nguy cơ bị tấn công DoS (Denial of Service) và DDoS (Distributed Denial of Service) luôn hiện hữu. Với giải pháp này, kỹ thuật viên có thể dễ dàng vô hiệu hóa quyền truy cập giao thức ICMP thông qua giao diện phần mềm. Sau khi xác nhận kết nối giữa hệ thống mạng IT/OT đã được thiết lập thành công và kiểm tra hoàn tất, kỹ thuật viên có thể tiến hành chặn kết nối qua giao thức ICMP để tăng cường bảo mật.
Hình 3. Sơ đồ khối giải pháp TCP/IP giả lập
Thử nghiệm giải pháp TCP/IP giả lập
Hình 4. Mô hình thử nghiệm giải pháp
Hiện tại, nhóm tác giả đã thử nghiệm thành công mô hình giải pháp (Hình 4), với kết quả được kiểm chứng bằng các công cụ phần mềm như Iperf và Wireshark.
Từ kết quả thu được (Hình 5, 6), nhận thấy rằng máy tính User1 có địa chỉ IP-172.168.1.10 nằm trong vùng mạng điều khiển OT có thể truyền dữ liệu qua giao thức TCP (vùng số 1, 2) với máy tính User2 nằm trong vùng mạng IT có địa chỉ IP-172.168.1.52. Ngược lại, những gói tin chứa dữ liệu-TCP Data (vùng số 4) hay thực hiện chức năng rà quét-ICMP (vùng số 3) đều bị chặn lại khi truyền từ máy tính User2 vào vùng mạng điều khiển.
Hình 5. Dữ liệu được truyền từ vùng mạng điều khiển ra vùng mạng ngoài bằng giao thức TCP
Hình 6. Mọi truy cập hay gửi dữ liệu đến vùng mạng điều khiển đều bị chặn lại
Kết quả thử nghiệm
Giải pháp cổng truyền dữ liệu một chiều USG đã đáp ứng tốt các yêu cầu kỹ thuật đề ra. Dữ liệu chỉ được truyền theo một chiều từ vùng mạng điều khiển, trong khi mọi luồng dữ liệu theo chiều ngược lại đều bị chặn, đảm bảo an ninh và tính toàn vẹn của hệ thống.
Trong bài viết, nhóm tác giả đã trình bày chi tiết mô hình phần cứng và phần mềm cùng với nguyên lý hoạt động của Giải pháp Cổng truyền dữ liệu một chiều USG. Đồng thời, bài viết giới thiệu sử dụng TCP/IP giả lập hỗ trợ các giao thức truyền thông tin cậy như TCP làm tiền đề kết nối các giao thức mạng điều như IEC 104, IEC 61850… trên nền tảng TCP/IP. Giải pháp này có thể được triển khai tại khu vực giao thoa giữa mạng điều khiển SCADA của các trạm và vùng mạng điều khiển chung (IT/OT Network) đáp ứng nhu cầu truyền dữ liệu một chiều từ vùng mạng điều khiển (ICS/SCADA) sang vùng mạng chung (IT/OT Network) hoặc giữa các vùng mạng IT/OT với mức độ bảo mật và ATTT khác nhau. Giải pháp đảm bảo nhiệm vụ truyền dữ liệu an toàn trong các hệ thống mạng điện lưới của EVN cũng như trong mạng điều khiển các dây chuyền sản xuất của nhà máy và xí nghiệp bắt kịp xu hướng hội tụ IT/OT hiện nay.
TÀI LIỆU THAM KHẢO [1]. Youngjun Heo, Byoungkoo Kim, Dongho Kang, Jungchan Na. “A Design of Unidirectional Security Gateway for Enforcement Reliability and Security of Transmission Data in Industrial Control Systems.” ICS Security Research Section, Electronics and Telecommunications Research Institute 218 Gajeong-ro, Yuseong-gu, Daejeon, 34129, KOREA. [2]. Giải pháp Cổng bảo mật 01 chiều – Datadiode USG – OPSWAT NETWALL. Đường dẫn: https://vntek.vn/vi/san-pham/giai-phapcong-bao-mat-01-chieu-data-diode-usg-opswat-netwall.html. [3]. Jeong Kwang Il, “Design of Unidirectional Optical Communication Structure Satisfying Defense-In-Depth Characteristics against Cyber Attack”, KIPS Tr. Comp. and Comm. Sys. Vol.2, No.12 pp.561~568. [4]. R.T. Barker, “The Application of Data Diodes for Security Connecting Nuclear Power Plant Safety Systems to the Corporate IT Network”, System Safety, incorporating the Cyber Security Conference 2012, 7th IET International Conference on, (2012), pp.1-6. |
TS. Lê Xuân Đức, ThS. Đỗ Duy Mạnh, ThS. Nguyễn Văn Dần (Viện Nghiên cứu 486, Bộ Tư lệnh 86)
10:00 | 13/05/2024
13:00 | 09/10/2023
10:00 | 15/08/2021
16:00 | 13/09/2024
Cùng với sự phát triển của công nghệ, tội phạm mạng đang gia tăng thủ đoạn sử dụng video, hình ảnh ghép mặt người quen cùng với giọng nói đã được ghi âm sẵn (deepfake) với mục đích tạo niềm tin, khiến nạn nhân tin tưởng và chuyển tiền cho thủ phạm nhằm lừa đảo chiếm đoạt tài sản. Bài báo sau đây sẽ thông tin đến độc giả về cách nhận biết và đưa ra những biện pháp phòng tránh và giảm thiểu trước các cuộc tấn công lừa đảo sử dụng công nghệ Deepfake.
17:00 | 30/08/2024
Xu hướng sử dụng mạng botnet để thực hiện tấn công DDoS của tin tặc ngày càng tăng cao, dẫn đến lưu lượng truy cập vào trang web tăng đột ngột và làm cho server bị quá tải, gây ra những tổn thất nặng nề cho các doanh nghiệp. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên máy tính của các cơ quan, tổ chức tại Việt Nam dễ bị tin tặc tấn công. Qua đó cũng đề xuất một số khuyến nghị nâng cao cảnh giác góp phần cho công tác phòng chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
14:00 | 05/08/2024
Mỗi quốc gia sẽ có các quy định và chính sách riêng để bảo vệ dữ liệu cá nhân, nhưng có một số nguyên tắc và biện pháp chung mà hầu hết các quốc gia áp dụng để đảm bảo an toàn và quyền riêng tư cho dữ liệu cá nhân của công dân. Dưới đây là một số cách mà các nước trên thế giới áp dụng bảo vệ dữ liệu cá nhân cho công dân của mình.
09:00 | 13/06/2024
Trong phạm vi của bài báo này, chúng tôi sẽ trình bày những nội dung xoay quanh các vấn đề về sự tác động của trí tuệ nhân tạo (AI) cùng với hậu quả khi chúng ta tin tưởng tuyệt đối vào sức mạnh mà nó mang tới. Cũng như chúng tôi đề xuất sự cần thiết của việc xây dựng và hoàn thiện các chính sách bảo vệ các nội dung do AI tạo ra tuân thủ pháp luật và bảo vệ người dùng.
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025
Sau hơn một tháng hợp tác với Cục An toàn thông tin Việt Nam (AIS), tính năng Google Play Protect nâng cao đã bảo vệ hơn 360.000 thiết bị khỏi hơn 1,5 triệu cài đặt rủi ro trên 8.000 ứng dụng độc hại tại Việt Nam. Google đã tiết lộ 5 hình thức lừa đảo trực tuyến phổ biến nhất hiện nay, đồng thời chia sẻ cách giúp người dùng an toàn hơn trên Internet.
13:00 | 14/02/2025