Ứng dụng Data Diode trong quân đội các nước
Trước đây, Bộ Quốc phòng (BQP) Cộng hòa Ý dùng hệ thống firewall CC EAL4+ để bảo vệ các cơ sở hạ tầng và mạng trọng yếu. Tuy nhiên, do có nhiều thông tin nhạy cảm, có tính tuyệt mật nên công nghệ tường lửa không đáp ứng được yêu cầu đảm bảo an toàn. Do đó, BQP Ý đã quyết định tìm đến các thiết bị “one-way traffic” và lựa chọn các thiết bị Data Diode của hãng Fox-IT để triển khai cho hệ thống mạng của mình.
Các lý do để BQP Cộng hòa Ý chọn Data Diode:
- Hệ thống mạng của BQP gồm nhiều mạng riêng lẻ với cấp độ khác nhau, khi một mạng có độ bảo mật cao cần nhận dữ liệu từ một mạng có độ bảo mật thấp hơn, khi đó dữ liệu chỉ được phép truyền theo 1 chiều.
- Bảo vệ các thông tin mật: thực tế, luồng dữ liệu đến có thể được kiểm soát bằng rất nhiều công cụ quét kiểm tra, bảo mật, antivirus với công nghệ cao. Tuy nhiên, mọi giải pháp về phần mềm đều có thể bị thỏa hiệp. Nhưng với công nghệ Data Diode, không có bất kì biện pháp nào về phần mềm có thể làm lộ lọt các thông tin mật ra khỏi mạng được bảo vệ.
Đáng lưu ý, Bộ An ninh nội địa Mỹ (DHS) cùng FBI, NSA cung cấp tài liệu đưa ra 7 phương thức bảo vệ các hệ thống ICS, trong đó Data Diode là một giải pháp hiệu quả.
Ngoài ra, các phòng Lab thuộc BQP của nhiều nước đã tham gia ngiên cứu và sản xuất các thiết bị Data Diode như: Australia, Mỹ, Israel… Các giải pháp về Data Diode của Fibersystem [5,6,7,8] được rất nhiều tập đoàn lớn sử dụng, trong đó nổi bật là:
- Tập đoàn sản xuất vũ khí SAAB của Thụy Điển, ứng dụng Data Diode trong các hệ thống kiểm soát, điều khiển trên không, trên bộ, trên biển.
- Các tập đoàn điện tử lớn như Toshiba, Ericsson, Rolls-Royce, ứng dụng Data Diode trong các IACS, các trung tâm dữ liệu để bảo vệ chống ăn cắp công nghệ…
Hình 5. Các đối tác sử dụng Data Diode của Fibersystem
Thiết bị Data Diode của Viện 10, Bộ Tư lệnh 86
Nhóm nghiên cứu phòng Tự động hóa, Viện 10, Bộ Tư lệnh 86 đã hoàn thành nghiên cứu thiết kế và thử nghiệm thành công thiết bị Data Diode sợi quang học phục vụ truyền dữ liệu một chiều an toàn từ 2 mạng khác nhau. Hiện nay, thiết bị DATA DIODE-V10 đã được chế tạo đóng gói thành sản phẩm hoàn thiện phiên bản 1 và dự kiến sẽ đưa vào sử dụng trong thời gian tới có các tính năng:
- Tốc độ truyền tối đa 248 Mbps.
- Cho phép truyền dữ liệu chỉ theo một chiều từ máy tính phát nối mạng Internet sang máy tính thu nối mạng nội bộ thông qua khối phát thu sợi quang một chiều, và dữ liệu không thể truyền theo chiều ngược lại.
- Giao thức UDP được xây dựng để thực hiện việc truyền dữ liệu một chiều giữa hai máy tính phát thu của thiết bị Data Diode.
- Giao thức FTP được xây dựng để tự động đẩy dữ liệu từ máy tính mạng ngoài vào máy tính phát của thiết bị Data Diode và tự động đẩy dữ liệu từ máy tính thu của thiết bị Data Diode ra máy tính thu mạng nội bộ.
- Hỗ trợ các ứng dụng sử dụng các giao thức như UDP, FTP, Modbus, RTP,…
- Kiểm tra tính toàn vẹn của dữ liệu truyền thông qua thuật toán SHA.
- Điều khiển lưu lượng truyền thông qua độ trễ thời gian xử lý giữa bên phát và bên thu, thực hiện đa tiến trình xử lý song song.
- Tăng độ tin cậy của đường truyền sử dụng mã tự sửa lỗi đường truyền dựa trên thuật toán Vandermonde.
- Truyền các định dạng file khác nhau: word, excel, pdf, .zip, .zar, folder, subfolder, video, audio, image, exe...
- Tự động ghi log giám sát tên file, dung lượng file truyền, trạng thái file được truyền, nhận.
- Độ tin cậy 100% đã được thử nghiệm với các tệp dữ liệu lớn Gigabytes
Trong thời gian tới, nhóm nghiên cứu tiếp tục tìm hiểu để đưa ra các giải pháp cải tiến tăng tốc độ, truyền được nhiều định dạng khác nhau và xây dựng giải pháp triển khai thực tế tới người dùng.
Kết luận
Hiện nay, việc truyền dữ liệu thủ công không chỉ tạo ra nguy cơ về bảo mật mà còn tạo ra các nguy cơ do chính con người thực hiện. Do đó, các công nghệ bảo mật mạng khác nhau đã được phát triển để bảo vệ cơ sở hạ tầng, dữ liệu của các tổ chức từ các mạng cô lập. Data Diode là một trong những công nghệ hiện đại và hiệu quả nhất hiện nay để thực hiện nhiệm vụ này. Data Diode giải quyết vấn đề trên bằng cách tạo ra một kênh truyền một chiều an toàn về mặt vật lý từ mạng không bảo mật vào mạng bảo mật, cho phép dữ liệu được chuyển một cách an toàn vào mạng bảo mật, trong khi không cho phép bất kỳ dữ liệu nào truyền ra theo chiều ngược lại. Data Diode đảm bảo không thể truy cập vào mạng bảo mật từ mạng bên ngoài ít bảo mật hơn và ngăn chặn tối đa việc dò rỉ dữ liệu vì dữ liệu từ mạng bảo mật không thể truyền ra ngoài.
Tài liệu tham khảo [1]. Tactical Data Diodes in Industrial Automation and Control Systems, Austin Scott, SANS Institute, 2015. [2]. OPDS-1000 Product Sheet, <> [3].[4]. Seven Steps to Effectively Defend Industrial Control System, Department of Homeland Security, <> [5]. [6]. [7]. [8]. |
Phạm Thị Huyền, Lưu Đức Anh, Viện 10, Bộ Tư lệnh 86
10:00 | 17/05/2022
09:00 | 18/10/2019
08:00 | 26/08/2024
DNS Tunneling là một kỹ thuật sử dụng giao thức DNS (Domain Name System) để truyền tải dữ liệu thông qua các gói tin DNS. Giao thức DNS được sử dụng để ánh xạ các tên miền thành địa chỉ IP, nhưng DNS tunneling sử dụng các trường dữ liệu không được sử dụng thông thường trong gói tin DNS để truyền tải dữ liệu bổ sung. DNS Tunneling thường được sử dụng trong các tình huống mà việc truy cập vào Internet bị hạn chế hoặc bị kiểm soát, như trong các mạng cơ quan, doanh nghiệp hoặc các mạng công cộng. Tuy nhiên, DNS Tunneling cũng có thể được sử dụng để thực hiện các cuộc tấn công mạng, bao gồm truy cập trái phép vào mạng hoặc truyền tải thông tin nhạy cảm mà không bị phát hiện.
13:00 | 21/08/2024
Tội phạm mạng gần đây đã chuyển từ tấn công các tập đoàn đa ngành lớn sang các ngành công nghiệp hẹp hơn, ví dụ như các lĩnh vực dịch vụ tài chính hoặc chăm sóc sức khỏe. Đặc biệt trong lĩnh vực chăm sóc sức khỏe, tin tặc chú trọng nhắm mục tiêu vào các thiết bị y tế của bệnh nhân được kết nối với Internet. Bài báo sẽ thông tin tới độc giả tình tình an ninh mạng trong lĩnh vực y tế, chăm sóc sức khỏe, các mối đe dọa từ bên trong, bên ngoài và đưa ra một số giải pháp giúp cải thiện tình hình an ninh mạng trong lĩnh vực này.
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
09:00 | 07/06/2023
Công ty an ninh mạng Kaspersky đã phát hành một công cụ rà quét mã độc mới để phát hiện IPhone cũng như các thiết bị iOS khác có bị nhiễm phần mềm độc hại “Triangulation” trong chiến dịch tấn công APT (Advanced Persistent Threat) gần đây hay không.
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024