Giải pháp Data Diode truyền dữ liệu một chiều an toàn và ứng dụng trong quân đội các nước (Phần 2)
Ứng dụng Data Diode trong quân đội các nước
Trước đây, Bộ Quốc phòng (BQP) Cộng hòa Ý dùng hệ thống firewall CC EAL4+ để bảo vệ các cơ sở hạ tầng và mạng trọng yếu. Tuy nhiên, do có nhiều thông tin nhạy cảm, có tính tuyệt mật nên công nghệ tường lửa không đáp ứng được yêu cầu đảm bảo an toàn. Do đó, BQP Ý đã quyết định tìm đến các thiết bị “one-way traffic” và lựa chọn các thiết bị Data Diode của hãng Fox-IT để triển khai cho hệ thống mạng của mình.
Các lý do để BQP Cộng hòa Ý chọn Data Diode:
- Hệ thống mạng của BQP gồm nhiều mạng riêng lẻ với cấp độ khác nhau, khi một mạng có độ bảo mật cao cần nhận dữ liệu từ một mạng có độ bảo mật thấp hơn, khi đó dữ liệu chỉ được phép truyền theo 1 chiều.
- Bảo vệ các thông tin mật: thực tế, luồng dữ liệu đến có thể được kiểm soát bằng rất nhiều công cụ quét kiểm tra, bảo mật, antivirus với công nghệ cao. Tuy nhiên, mọi giải pháp về phần mềm đều có thể bị thỏa hiệp. Nhưng với công nghệ Data Diode, không có bất kì biện pháp nào về phần mềm có thể làm lộ lọt các thông tin mật ra khỏi mạng được bảo vệ.
Đáng lưu ý, Bộ An ninh nội địa Mỹ (DHS) cùng FBI, NSA cung cấp tài liệu đưa ra 7 phương thức bảo vệ các hệ thống ICS, trong đó Data Diode là một giải pháp hiệu quả.
Ngoài ra, các phòng Lab thuộc BQP của nhiều nước đã tham gia ngiên cứu và sản xuất các thiết bị Data Diode như: Australia, Mỹ, Israel… Các giải pháp về Data Diode của Fibersystem [5,6,7,8] được rất nhiều tập đoàn lớn sử dụng, trong đó nổi bật là:
- Tập đoàn sản xuất vũ khí SAAB của Thụy Điển, ứng dụng Data Diode trong các hệ thống kiểm soát, điều khiển trên không, trên bộ, trên biển.
- Các tập đoàn điện tử lớn như Toshiba, Ericsson, Rolls-Royce, ứng dụng Data Diode trong các IACS, các trung tâm dữ liệu để bảo vệ chống ăn cắp công nghệ…
Hình 5. Các đối tác sử dụng Data Diode của Fibersystem
Thiết bị Data Diode của Viện 10, Bộ Tư lệnh 86
Nhóm nghiên cứu phòng Tự động hóa, Viện 10, Bộ Tư lệnh 86 đã hoàn thành nghiên cứu thiết kế và thử nghiệm thành công thiết bị Data Diode sợi quang học phục vụ truyền dữ liệu một chiều an toàn từ 2 mạng khác nhau. Hiện nay, thiết bị DATA DIODE-V10 đã được chế tạo đóng gói thành sản phẩm hoàn thiện phiên bản 1 và dự kiến sẽ đưa vào sử dụng trong thời gian tới có các tính năng:
- Tốc độ truyền tối đa 248 Mbps.
- Cho phép truyền dữ liệu chỉ theo một chiều từ máy tính phát nối mạng Internet sang máy tính thu nối mạng nội bộ thông qua khối phát thu sợi quang một chiều, và dữ liệu không thể truyền theo chiều ngược lại.
- Giao thức UDP được xây dựng để thực hiện việc truyền dữ liệu một chiều giữa hai máy tính phát thu của thiết bị Data Diode.
- Giao thức FTP được xây dựng để tự động đẩy dữ liệu từ máy tính mạng ngoài vào máy tính phát của thiết bị Data Diode và tự động đẩy dữ liệu từ máy tính thu của thiết bị Data Diode ra máy tính thu mạng nội bộ.
- Hỗ trợ các ứng dụng sử dụng các giao thức như UDP, FTP, Modbus, RTP,…
- Kiểm tra tính toàn vẹn của dữ liệu truyền thông qua thuật toán SHA.
- Điều khiển lưu lượng truyền thông qua độ trễ thời gian xử lý giữa bên phát và bên thu, thực hiện đa tiến trình xử lý song song.
- Tăng độ tin cậy của đường truyền sử dụng mã tự sửa lỗi đường truyền dựa trên thuật toán Vandermonde.
- Truyền các định dạng file khác nhau: word, excel, pdf, .zip, .zar, folder, subfolder, video, audio, image, exe...
- Tự động ghi log giám sát tên file, dung lượng file truyền, trạng thái file được truyền, nhận.
- Độ tin cậy 100% đã được thử nghiệm với các tệp dữ liệu lớn Gigabytes
Trong thời gian tới, nhóm nghiên cứu tiếp tục tìm hiểu để đưa ra các giải pháp cải tiến tăng tốc độ, truyền được nhiều định dạng khác nhau và xây dựng giải pháp triển khai thực tế tới người dùng.
Kết luận
Hiện nay, việc truyền dữ liệu thủ công không chỉ tạo ra nguy cơ về bảo mật mà còn tạo ra các nguy cơ do chính con người thực hiện. Do đó, các công nghệ bảo mật mạng khác nhau đã được phát triển để bảo vệ cơ sở hạ tầng, dữ liệu của các tổ chức từ các mạng cô lập. Data Diode là một trong những công nghệ hiện đại và hiệu quả nhất hiện nay để thực hiện nhiệm vụ này. Data Diode giải quyết vấn đề trên bằng cách tạo ra một kênh truyền một chiều an toàn về mặt vật lý từ mạng không bảo mật vào mạng bảo mật, cho phép dữ liệu được chuyển một cách an toàn vào mạng bảo mật, trong khi không cho phép bất kỳ dữ liệu nào truyền ra theo chiều ngược lại. Data Diode đảm bảo không thể truy cập vào mạng bảo mật từ mạng bên ngoài ít bảo mật hơn và ngăn chặn tối đa việc dò rỉ dữ liệu vì dữ liệu từ mạng bảo mật không thể truyền ra ngoài.
Tài liệu tham khảo [1]. Tactical Data Diodes in Industrial Automation and Control Systems, Austin Scott, SANS Institute, 2015. [2]. OPDS-1000 Product Sheet, <http://library.owlcyberdefense.com/opds-1000> [3]. https://www.fox-it.com/Data Diode/2018/03/13/the-one-way-security-of-a-data-diode-top-5-reasons-you-need-one-now/[4]. Seven Steps to Effectively Defend Industrial Control System, Department of Homeland Security, <https://ics-cert.us-cert.gov/sites/default/files/documents/Seven%20Steps%20to%20Effectively%20Defend%20Industrial%20Control%20Systems_S508C.pdf> [5]. https://www.fibersystem.com/our-customers/ [6]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rugged/ [7]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rack-module/ [8]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-integrated/ |
Phạm Thị Huyền, Lưu Đức Anh, Viện 10, Bộ Tư lệnh 86