Với tính tất yếu của tiến trình chuyển đổi số hiện nay, đòi hỏi cần thực hiện đồng bộ nhiều giải pháp, trong đó chú trọng công tác đảm bảo ATTT, nhằm hoàn thành tốt các nhiệm vụ theo tiến trình chuyển đổi số quốc gia, góp phần xây dựng Quân đội hiện đại. Từ đó, đặt ra những nhu cầu cấp thiết việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng TSLQS và mạng Internet, giữa các hệ thống thông tin quân sự và CSDL quốc gia về dân cư, bảo hiểm y tế.
Trên thế giới gần đây đã xuất hiện nhiều sản phẩm Datadiode, cổng kết nối có thể kết nối hai chiều hỗ trợ được các dịch vụ hệ thống truy vấn bằng API. Các hệ thống Datadiode hỗ trợ kết nối API nhập ngoại giá thành rất cao, do đó không thể đảm bảo trang bị rộng rãi cho các đơn vị, đồng thời không kiểm chứng được độ tin cậy về rò rỉ dữ liệu do chưa hiểu và không nắm được thiết kế phần cứng và phần mềm bản quyền của hãng. Các thiết kế phần cứng, phần mềm của các thiết bị ATTT hiện nay theo luật của nhiều quốc gia (Đức, Anh, Mỹ, Nhật...) yêu cầu nhà sản xuất tích hợp các hệ thống để giải mã, hoặc cửa hậu để lực lượng an ninh có thể khai thác thông tin khi chính phủ yêu cầu, do đó, các thiết bị này càng khó được kiểm tra về mặt an ninh, ATTT.
Phòng Thí nghiệm trọng điểm ATTT, là đơn vị duy nhất tại Việt Nam đã nghiên cứu và phát triển thành công thiết bị truyền dữ liệu một chiều an toàn Datadiode để đảm bảo truyền dữ liệu an toàn từ mạng Internet vào mạng máy tính quân sự. Đồng thời, bảo đảm không có thông tin bị rò rỉ từ mạng máy tính quân sự ra ngoài, tránh được các tấn công và truy cập trái phép từ mạng Internet, sản phẩm đã được nghiệm thu cấp Bộ Quốc phòng (BQP) và triển khai ứng dụng tại nhiều đơn vị trong và ngoài Quân đội.
Hình 1. Hệ thống phần mềm truyền dữ liệu một chiều Datadiode của Phòng Thí nghiệm trọng điểm ATTT
Thiết bị V10 Datadiode được sử dụng để trang bị cho các đơn vị trong toàn quân để thay thế cho các thiết bị mang tin trung gian như USB, ổ cứng, thẻ nhớ,... có thể tiềm ẩn các nguy cơ mất ATTT khi lấy số liệu từ mạng Internet vào mạng TSLQS. Hệ thống bao gồm 3 phần mềm chính: Phần mềm hệ thống truyền dữ liệu một chiều; phần mềm ứng dụng web truyền dữ liệu một chiều; phần mềm làm sạch dữ liệu tích hợp hệ thống truyền dữ liệu một chiều.
Về nguyên lý, tính năng quan trọng nhất của một thiết bị truyền dữ liệu một chiều Datadiode là đảm bảo về mặt vật lý việc luồng dữ liệu được truyền theo một chiều duy nhất và ngăn chặn hoàn toàn mọi khả năng dữ liệu truyền theo chiều ngược lại. Tuy nhiên, để ứng dụng thiết bị Datadiode vào các hệ thống, hạ tầng công nghệ thông tin (CNTT) quan trọng như của các cơ quan, tổ chức thì hai vấn đề quan trọng cần phải quan tâm là tính tin cậy và tính an toàn.
Tính tin cậy của dữ liệu là việc dữ liệu nhận được ở mạng đích phải bảo đảm tính toàn vẹn so với dữ liệu được gửi đi. Tính toàn vẹn của dữ liệu được thể hiện qua nhiều đặc tính như: nội dung dữ liệu, định dạng, tên,... Để đảm bảo tính toàn vẹn của dữ liệu, cần sử dụng một số giải pháp kỹ thuật như:
- Sử dụng cơ chế quản lý phiên (session management).
- Đánh số thứ tự cho từng gói tin gửi đi để nhận biết việc mất gói tin.
- Sử dụng các mã sửa lỗi trước FEC.
Tính an toàn của dữ liệu thể hiện ở việc dữ liệu khi được truyền qua một cổng dữ liệu một chiều cần có các cơ chế đảm bảo an toàn nhất định. Vì thiết bị Datadiode là một giải pháp trong chiến thuật phòng thủ sâu nên các nhiệm vụ bảo vệ an toàn thông tin mạng bằng phần mềm chủ yếu thuộc về các thành phần khác của hệ thống. Ví dụ như việc phát hiện, ngăn chặn các hành vi xâm nhập trái phép do các hệ thống IDS/IPS đảm nhận; việc thiết lập các chính sách mềm, tạo lập các danh sách trắng cho phép hay danh sách đen từ chối truy cập là nhiệm vụ của tường lửa; việc phát hiện, loại bỏ các tệp có chứa phần mềm độc hại là nhiệm vụ của phần mềm anti-virus. Mặc dù vậy, để nâng cao tính an toàn cho việc truyền dữ liệu qua thiết bị Datadiode thì việc tự phát triển một số giải pháp an toàn ngay trên thiết bị Datadiode mang lại rất nhiều ưu điểm.
Tuy nhiên, thiết bị truyền dữ liệu một chiều của Phòng Thí nghiệm trọng điểm ATTT tới thời điểm hiện tại chưa đáp ứng được tính năng có thể cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI. Trong khi việc kết nối chia sẻ dữ liệu của các hệ thống ứng dụng CNTT giữa các mạng đa số sử dụng giao thức WebService/RestAPI là rất cần thiết. Thiết bị Datadiode do Phòng Thí nghiệm trọng điểm ATTT làm chủ về công nghệ sử dụng phương pháp mã sửa lỗi trước, giám sát gói tin truyền,... hoàn toàn đáng tin cậy trong quá trình truyền dữ liệu API, qua nghiên cứu là có khả năng xây dựng tích hợp vào hệ thống cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI thông qua 02 thiết bị Datadiode.
Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode.
Hình 2. Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RESTAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode
Trong mô hình này sẽ sử dụng 02 thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT nghiên cứu: 01 thiết bị dùng để truyền các yêu cầu (request), 01 thiết bị dùng để truyền các trả lời (response) độc lập và tách biệt với chiều request theo chiều ngược lại. Như vậy, việc bảo đảm tính một chiều sẽ được giữ nguyên.
- Tại vùng mạng hệ thống BQP request sẽ được gửi đi vào thiết bị máy gửi 01, tại đây cài đặt phần mềm bên gửi nhận yêu cầu và lưu vào CSDL 01 các dữ liệu (bao gồm body, header,…), dữ liệu dưới dạng các bản ghi sẽ được truyền 01 chiều đồng bộ CSDL 01 sang CSDL 02.
- Tại vùng mạng bên ngoài - mạng các dịch vụ của Bộ Công an (BCA), tại máy nhận 01 cài đặt ứng dụng đọc dữ liệu từ CSDL 02 và chuyển thành các request gửi đến hệ thống API của BCA, sau đó nhận lại response trả lời. Phản hồi này sẽ được chuyển đến tại máy nhận 01, tại đây cài đặt phần mềm bên nhận nhận phản hồi và lưu vào CSDL, dữ liệu dưới dạng các bản ghi sẽ được truyền một chiều đồng bộ CSDL 03 sang CSDL 04.
- Tại vùng mạng hệ thống BQP tại máy nhận 02 cài đặt CSDL 04 được đồng bộ một chiều từ CSDL 03, dữ liệu này sẽ được phần mềm bên gửi tại máy gửi 01 đọc và định dạng chuẩn (tương ứng với hệ thống BQP) và phản hồi lại hệ thống BQP.
- Các hệ thống và dịch vụ tại mạng BQP và mạng BCA đều được xác thực và định danh đảm bảo ATTT trước khi kết nối với hệ thống truyền nhận dữ liệu qua API sử dụng Datadiode.
Qua nghiên cứu và thử nghiệm giải pháp truyền các dịch vụ, ứng dụng sử dụng API giữa hai mạng qua thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT hỗ trợ kết nối và truyền dữ liệu an toàn giữa hai vùng mạng có các ứng dụng dịch vụ sử dụng Webservice/RestAPI như: chia sẻ dữ liệu định danh dân cư, dữ liệu xuất nhập cảnh,... giữa BQP và các mạng chuyên dùng bên ngoài là khả thi.
Thực tế hiện nay Rest API được sử dụng rất phổ biến, việc ứng dụng Rest API kết hợp với đồng bộ CSDL bằng thiết bị truyền dữ liệu một chiều Datadiode là giải pháp khả thi cho phép các ứng dụng giữa hai vùng mạng kết nối an toàn, hỗ trợ hiệu quả kết nối các hệ thống thiết yếu như Hệ thông tin chỉ đạo điều hành, các trang cổng dịch vụ thông tin Chính phủ điện tử, các hệ thống thông tin nghiệp vụ ngành, ví dụ như: Xuất nhập cảnh của Bộ đội biên Phòng, Bảo hiểm y tế,... phục vụ chuyển đổi số quốc gia, Chính phủ điện tử.
|
TÀI LIỆU THAM KHẢO [1]. OT-Security for IT Professionals, Handbook.pdf, Edward Amoroso. [2]. Secure one-way data transfer system using network interface circuitry, United States Patent, Ronald Mraz, New York, 2013. [3]. Tactical Datadiodes in industrial automation and control systems, Austin Scott, 2015. [4]. The definitive guide to Datadiode technologies from simple to state of the art, Scott W.Coleman, OwlCyberDefense.com, 2018. [5]. Understanding the strategic and technical significance of Technology for security, the case of Datadiodes for cybersecurity, The Hague Security Delta , 2021. [6] Datadiode guide, critical infrastructure protection solutions, OPSWAT, 2021. [7]. The Datadiode explained in 5 simple steps, Wouter Teepe, Fox-IT and Colin Robbins, Nexor. [8]. . [9]. . |
ThS. Đồng Xuân Chinh (Phòng Thí nghiệm trọng điểm An toàn thông tin, Bộ Tư lệnh 86)
10:00 | 17/05/2022
16:00 | 23/05/2024
14:00 | 29/07/2024
09:00 | 05/09/2024
13:00 | 30/07/2024
Trong thế giới số hiện nay, việc nhận thức về cách các công ty thu thập và sử dụng dữ liệu của người dùng trở nên quan trọng hơn bao giờ hết. Nếu dữ liệu cá nhân rơi vào tay kẻ xấu, người dùng có thể trở thành nạn nhân của việc gian lận và bị đánh cắp danh tính. Dưới đây là năm lời khuyên để bảo vệ quyền riêng tư dữ liệu cho người dùng.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
14:00 | 23/02/2024
SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
10:00 | 25/10/2024
