Giải pháp Datadiode cho phép ứng dụng giữa hai vùng mạng kết nối sử dụng API
GIỚI THIỆU TỔNG QUAN
Với tính tất yếu của tiến trình chuyển đổi số hiện nay, đòi hỏi cần thực hiện đồng bộ nhiều giải pháp, trong đó chú trọng công tác đảm bảo ATTT, an ninh mạng nhằm hoàn thành tốt các nhiệm vụ theo tiến trình chuyển đổi số quốc gia, góp phần xây dựng Quân đội hiện đại. Từ đó, đặt ra những nhu cầu cấp thiết việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng TSLQS và mạng Internet, giữa các hệ thống thông tin quân sự và CSDL quốc gia về dân cư, bảo hiểm y tế.
Trên thế giới gần đây đã xuất hiện nhiều sản phẩm Datadiode, cổng kết nối có thể kết nối hai chiều hỗ trợ được các dịch vụ hệ thống truy vấn bằng API. Các hệ thống Datadiode hỗ trợ kết nối API nhập ngoại giá thành rất cao, do đó không thể đảm bảo trang bị rộng rãi cho các đơn vị, đồng thời không kiểm chứng được độ tin cậy về rò rỉ dữ liệu do chưa hiểu và không nắm được thiết kế phần cứng và phần mềm bản quyền của hãng. Các thiết kế phần cứng, phần mềm của các thiết bị ATTT hiện nay theo luật của nhiều quốc gia (Đức, Anh, Mỹ, Nhật...) yêu cầu nhà sản xuất tích hợp các hệ thống để giải mã, hoặc cửa hậu để lực lượng an ninh có thể khai thác thông tin khi chính phủ yêu cầu, do đó, các thiết bị này càng khó được kiểm tra về mặt an ninh, ATTT.
NGHIÊN CỨU THIẾT BỊ TRUYỀN DỮ LIỆU TẠI VIỆT NAM
Phòng Thí nghiệm trọng điểm ATTT, Bộ Tư lệnh 86 là đơn vị duy nhất tại Việt Nam đã nghiên cứu và phát triển thành công thiết bị truyền dữ liệu một chiều an toàn Datadiode để đảm bảo truyền dữ liệu an toàn từ mạng Internet vào mạng máy tính quân sự. Đồng thời, bảo đảm không có thông tin bị rò rỉ từ mạng máy tính quân sự ra ngoài, tránh được các tấn công và truy cập trái phép từ mạng Internet, sản phẩm đã được nghiệm thu cấp Bộ Quốc phòng (BQP) và triển khai ứng dụng tại nhiều đơn vị trong và ngoài Quân đội.
Hình 1. Hệ thống phần mềm truyền dữ liệu một chiều Datadiode của Phòng Thí nghiệm trọng điểm ATTT
Thiết bị V10 Datadiode được sử dụng để trang bị cho các đơn vị trong toàn quân để thay thế cho các thiết bị mang tin trung gian như USB, ổ cứng, thẻ nhớ,... có thể tiềm ẩn các nguy cơ mất ATTT khi lấy số liệu từ mạng Internet vào mạng TSLQS. Hệ thống bao gồm 3 phần mềm chính: Phần mềm hệ thống truyền dữ liệu một chiều; phần mềm ứng dụng web truyền dữ liệu một chiều; phần mềm làm sạch dữ liệu tích hợp hệ thống truyền dữ liệu một chiều.
Về nguyên lý, tính năng quan trọng nhất của một thiết bị truyền dữ liệu một chiều Datadiode là đảm bảo về mặt vật lý việc luồng dữ liệu được truyền theo một chiều duy nhất và ngăn chặn hoàn toàn mọi khả năng dữ liệu truyền theo chiều ngược lại. Tuy nhiên, để ứng dụng thiết bị Datadiode vào các hệ thống, hạ tầng công nghệ thông tin (CNTT) quan trọng như của các cơ quan, tổ chức thì hai vấn đề quan trọng cần phải quan tâm là tính tin cậy và tính an toàn.
Tính tin cậy của dữ liệu là việc dữ liệu nhận được ở mạng đích phải bảo đảm tính toàn vẹn so với dữ liệu được gửi đi. Tính toàn vẹn của dữ liệu được thể hiện qua nhiều đặc tính như: nội dung dữ liệu, định dạng, tên,... Để đảm bảo tính toàn vẹn của dữ liệu, cần sử dụng một số giải pháp kỹ thuật như:
- Sử dụng cơ chế quản lý phiên (session management).
- Đánh số thứ tự cho từng gói tin gửi đi để nhận biết việc mất gói tin.
- Sử dụng các mã sửa lỗi trước FEC.
Tính an toàn của dữ liệu thể hiện ở việc dữ liệu khi được truyền qua một cổng dữ liệu một chiều Datadiode cần có các cơ chế đảm bảo an toàn nhất định. Vì thiết bị Datadiode là một giải pháp trong chiến thuật phòng thủ sâu nên các nhiệm vụ bảo vệ an toàn thông tin mạng bằng phần mềm chủ yếu thuộc về các thành phần khác của hệ thống. Ví dụ như việc phát hiện, ngăn chặn các hành vi xâm nhập trái phép do các hệ thống IDS/IPS đảm nhận; việc thiết lập các chính sách mềm, tạo lập các danh sách trắng cho phép hay danh sách đen từ chối truy cập là nhiệm vụ của tường lửa; việc phát hiện, loại bỏ các tệp có chứa phần mềm độc hại là nhiệm vụ của phần mềm anti-virus. Mặc dù vậy, để nâng cao tính an toàn cho việc truyền dữ liệu qua thiết bị Datadiode thì việc tự phát triển một số giải pháp an toàn ngay trên thiết bị Datadiode mang lại rất nhiều ưu điểm.
Tuy nhiên, thiết bị truyền dữ liệu một chiều của Phòng Thí nghiệm trọng điểm ATTT tới thời điểm hiện tại chưa đáp ứng được tính năng có thể cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI. Trong khi việc kết nối chia sẻ dữ liệu của các hệ thống ứng dụng CNTT giữa các mạng đa số sử dụng giao thức WebService/RestAPI là rất cần thiết. Thiết bị Datadiode do Phòng Thí nghiệm trọng điểm ATTT làm chủ về công nghệ sử dụng phương pháp mã sửa lỗi trước, giám sát gói tin truyền,... hoàn toàn đáng tin cậy trong quá trình truyền dữ liệu API, qua nghiên cứu là có khả năng xây dựng tích hợp vào hệ thống cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI thông qua 02 thiết bị Datadiode.
ĐỀ XUẤT GIẢI PHÁP CHO PHÉP CÁC ỨNG DỤNG GIỮA HAI VÙNG MẠNG KẾT NỐI VỚI NHAU BẰNG GIAO THỨC WEBSERVICE/ RESTAPI THÔNG QUA 02 THIẾT BỊ DATADIODE
Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode.
Hình 2. Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RESTAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode
Trong mô hình này sẽ sử dụng 02 thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT nghiên cứu: 01 thiết bị dùng để truyền các yêu cầu (request), 01 thiết bị dùng để truyền các trả lời (response) độc lập và tách biệt với chiều request theo chiều ngược lại. Như vậy, việc bảo đảm tính một chiều sẽ được giữ nguyên.
- Tại vùng mạng hệ thống BQP request sẽ được gửi đi vào thiết bị máy gửi 01, tại đây cài đặt phần mềm bên gửi nhận yêu cầu và lưu vào CSDL 01 các dữ liệu (bao gồm body, header,…), dữ liệu dưới dạng các bản ghi sẽ được truyền 01 chiều đồng bộ CSDL 01 sang CSDL 02.
- Tại vùng mạng bên ngoài - mạng các dịch vụ của Bộ Công an (BCA), tại máy nhận 01 cài đặt ứng dụng đọc dữ liệu từ CSDL 02 và chuyển thành các request gửi đến hệ thống API của BCA, sau đó nhận lại response trả lời. Phản hồi này sẽ được chuyển đến tại máy nhận 01, tại đây cài đặt phần mềm bên nhận nhận phản hồi và lưu vào CSDL, dữ liệu dưới dạng các bản ghi sẽ được truyền một chiều đồng bộ CSDL 03 sang CSDL 04.
- Tại vùng mạng hệ thống BQP tại máy nhận 02 cài đặt CSDL 04 được đồng bộ một chiều từ CSDL 03, dữ liệu này sẽ được phần mềm bên gửi tại máy gửi 01 đọc và định dạng chuẩn (tương ứng với hệ thống BQP) và phản hồi lại hệ thống BQP.
- Các hệ thống và dịch vụ tại mạng BQP và mạng BCA đều được xác thực và định danh đảm bảo ATTT trước khi kết nối với hệ thống truyền nhận dữ liệu qua API sử dụng Datadiode.
Qua nghiên cứu và thử nghiệm giải pháp truyền các dịch vụ, ứng dụng sử dụng API giữa hai mạng qua thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT hỗ trợ kết nối và truyền dữ liệu an toàn giữa hai vùng mạng có các ứng dụng dịch vụ sử dụng Webservice/RestAPI như: chia sẻ dữ liệu định danh dân cư, dữ liệu xuất nhập cảnh,... giữa BQP và các mạng chuyên dùng bên ngoài là khả thi.
KẾT LUẬN
Thực tế hiện nay Rest API được sử dụng rất phổ biến, việc ứng dụng Rest API kết hợp với đồng bộ CSDL bằng thiết bị truyền dữ liệu một chiều Datadiode là giải pháp khả thi cho phép các ứng dụng giữa hai vùng mạng kết nối an toàn, hỗ trợ hiệu quả kết nối các hệ thống thiết yếu như Hệ thông tin chỉ đạo điều hành, các trang cổng dịch vụ thông tin Chính phủ điện tử, các hệ thống thông tin nghiệp vụ ngành, ví dụ như: Xuất nhập cảnh của Bộ đội biên Phòng, Bảo hiểm y tế,... phục vụ chuyển đổi số quốc gia, Chính phủ điện tử.
TÀI LIỆU THAM KHẢO [1]. OT-Security for IT Professionals, Handbook.pdf, Edward Amoroso. [2]. Secure one-way data transfer system using network interface circuitry, United States Patent, Ronald Mraz, New York, 2013. [3]. Tactical Datadiodes in industrial automation and control systems, Austin Scott, 2015. [4]. The definitive guide to Datadiode technologies from simple to state of the art, Scott W.Coleman, OwlCyberDefense.com, 2018. [5]. Understanding the strategic and technical significance of Technology for security, the case of Datadiodes for cybersecurity, The Hague Security Delta , 2021. [6] Datadiode guide, critical infrastructure protection solutions, OPSWAT, 2021. [7]. The Datadiode explained in 5 simple steps, Wouter Teepe, Fox-IT and Colin Robbins, Nexor. [8]. https://galeracluster.com/library/training/tutorials/configuration.html. |
ThS. Đồng Xuân Chinh (Phòng Thí nghiệm trọng điểm An toàn thông tin, Bộ Tư lệnh 86)