Với tính tất yếu của tiến trình chuyển đổi số hiện nay, đòi hỏi cần thực hiện đồng bộ nhiều giải pháp, trong đó chú trọng công tác đảm bảo ATTT, an ninh mạng nhằm hoàn thành tốt các nhiệm vụ theo tiến trình chuyển đổi số quốc gia, góp phần xây dựng Quân đội hiện đại. Từ đó, đặt ra những nhu cầu cấp thiết việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng TSLQS và mạng Internet, giữa các hệ thống thông tin quân sự và CSDL quốc gia về dân cư, bảo hiểm y tế.
Trên thế giới gần đây đã xuất hiện nhiều sản phẩm Datadiode, cổng kết nối có thể kết nối hai chiều hỗ trợ được các dịch vụ hệ thống truy vấn bằng API. Các hệ thống Datadiode hỗ trợ kết nối API nhập ngoại giá thành rất cao, do đó không thể đảm bảo trang bị rộng rãi cho các đơn vị, đồng thời không kiểm chứng được độ tin cậy về rò rỉ dữ liệu do chưa hiểu và không nắm được thiết kế phần cứng và phần mềm bản quyền của hãng. Các thiết kế phần cứng, phần mềm của các thiết bị ATTT hiện nay theo luật của nhiều quốc gia (Đức, Anh, Mỹ, Nhật...) yêu cầu nhà sản xuất tích hợp các hệ thống để giải mã, hoặc cửa hậu để lực lượng an ninh có thể khai thác thông tin khi chính phủ yêu cầu, do đó, các thiết bị này càng khó được kiểm tra về mặt an ninh, ATTT.
Phòng Thí nghiệm trọng điểm ATTT, Bộ Tư lệnh 86 là đơn vị duy nhất tại Việt Nam đã nghiên cứu và phát triển thành công thiết bị truyền dữ liệu một chiều an toàn Datadiode để đảm bảo truyền dữ liệu an toàn từ mạng Internet vào mạng máy tính quân sự. Đồng thời, bảo đảm không có thông tin bị rò rỉ từ mạng máy tính quân sự ra ngoài, tránh được các tấn công và truy cập trái phép từ mạng Internet, sản phẩm đã được nghiệm thu cấp Bộ Quốc phòng (BQP) và triển khai ứng dụng tại nhiều đơn vị trong và ngoài Quân đội.
Hình 1. Hệ thống phần mềm truyền dữ liệu một chiều Datadiode của Phòng Thí nghiệm trọng điểm ATTT
Thiết bị V10 Datadiode được sử dụng để trang bị cho các đơn vị trong toàn quân để thay thế cho các thiết bị mang tin trung gian như USB, ổ cứng, thẻ nhớ,... có thể tiềm ẩn các nguy cơ mất ATTT khi lấy số liệu từ mạng Internet vào mạng TSLQS. Hệ thống bao gồm 3 phần mềm chính: Phần mềm hệ thống truyền dữ liệu một chiều; phần mềm ứng dụng web truyền dữ liệu một chiều; phần mềm làm sạch dữ liệu tích hợp hệ thống truyền dữ liệu một chiều.
Về nguyên lý, tính năng quan trọng nhất của một thiết bị truyền dữ liệu một chiều Datadiode là đảm bảo về mặt vật lý việc luồng dữ liệu được truyền theo một chiều duy nhất và ngăn chặn hoàn toàn mọi khả năng dữ liệu truyền theo chiều ngược lại. Tuy nhiên, để ứng dụng thiết bị Datadiode vào các hệ thống, hạ tầng công nghệ thông tin (CNTT) quan trọng như của các cơ quan, tổ chức thì hai vấn đề quan trọng cần phải quan tâm là tính tin cậy và tính an toàn.
Tính tin cậy của dữ liệu là việc dữ liệu nhận được ở mạng đích phải bảo đảm tính toàn vẹn so với dữ liệu được gửi đi. Tính toàn vẹn của dữ liệu được thể hiện qua nhiều đặc tính như: nội dung dữ liệu, định dạng, tên,... Để đảm bảo tính toàn vẹn của dữ liệu, cần sử dụng một số giải pháp kỹ thuật như:
- Sử dụng cơ chế quản lý phiên (session management).
- Đánh số thứ tự cho từng gói tin gửi đi để nhận biết việc mất gói tin.
- Sử dụng các mã sửa lỗi trước FEC.
Tính an toàn của dữ liệu thể hiện ở việc dữ liệu khi được truyền qua một cổng dữ liệu một chiều Datadiode cần có các cơ chế đảm bảo an toàn nhất định. Vì thiết bị Datadiode là một giải pháp trong chiến thuật phòng thủ sâu nên các nhiệm vụ bảo vệ an toàn thông tin mạng bằng phần mềm chủ yếu thuộc về các thành phần khác của hệ thống. Ví dụ như việc phát hiện, ngăn chặn các hành vi xâm nhập trái phép do các hệ thống IDS/IPS đảm nhận; việc thiết lập các chính sách mềm, tạo lập các danh sách trắng cho phép hay danh sách đen từ chối truy cập là nhiệm vụ của tường lửa; việc phát hiện, loại bỏ các tệp có chứa phần mềm độc hại là nhiệm vụ của phần mềm anti-virus. Mặc dù vậy, để nâng cao tính an toàn cho việc truyền dữ liệu qua thiết bị Datadiode thì việc tự phát triển một số giải pháp an toàn ngay trên thiết bị Datadiode mang lại rất nhiều ưu điểm.
Tuy nhiên, thiết bị truyền dữ liệu một chiều của Phòng Thí nghiệm trọng điểm ATTT tới thời điểm hiện tại chưa đáp ứng được tính năng có thể cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI. Trong khi việc kết nối chia sẻ dữ liệu của các hệ thống ứng dụng CNTT giữa các mạng đa số sử dụng giao thức WebService/RestAPI là rất cần thiết. Thiết bị Datadiode do Phòng Thí nghiệm trọng điểm ATTT làm chủ về công nghệ sử dụng phương pháp mã sửa lỗi trước, giám sát gói tin truyền,... hoàn toàn đáng tin cậy trong quá trình truyền dữ liệu API, qua nghiên cứu là có khả năng xây dựng tích hợp vào hệ thống cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI thông qua 02 thiết bị Datadiode.
Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RestAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode.
Hình 2. Mô hình kết nối cho phép các ứng dụng giữa hai vùng mạng kết nối với nhau bằng giao thức WebService/RESTAPI sử dụng thiết bị truyền dữ liệu một chiều Datadiode
Trong mô hình này sẽ sử dụng 02 thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT nghiên cứu: 01 thiết bị dùng để truyền các yêu cầu (request), 01 thiết bị dùng để truyền các trả lời (response) độc lập và tách biệt với chiều request theo chiều ngược lại. Như vậy, việc bảo đảm tính một chiều sẽ được giữ nguyên.
- Tại vùng mạng hệ thống BQP request sẽ được gửi đi vào thiết bị máy gửi 01, tại đây cài đặt phần mềm bên gửi nhận yêu cầu và lưu vào CSDL 01 các dữ liệu (bao gồm body, header,…), dữ liệu dưới dạng các bản ghi sẽ được truyền 01 chiều đồng bộ CSDL 01 sang CSDL 02.
- Tại vùng mạng bên ngoài - mạng các dịch vụ của Bộ Công an (BCA), tại máy nhận 01 cài đặt ứng dụng đọc dữ liệu từ CSDL 02 và chuyển thành các request gửi đến hệ thống API của BCA, sau đó nhận lại response trả lời. Phản hồi này sẽ được chuyển đến tại máy nhận 01, tại đây cài đặt phần mềm bên nhận nhận phản hồi và lưu vào CSDL, dữ liệu dưới dạng các bản ghi sẽ được truyền một chiều đồng bộ CSDL 03 sang CSDL 04.
- Tại vùng mạng hệ thống BQP tại máy nhận 02 cài đặt CSDL 04 được đồng bộ một chiều từ CSDL 03, dữ liệu này sẽ được phần mềm bên gửi tại máy gửi 01 đọc và định dạng chuẩn (tương ứng với hệ thống BQP) và phản hồi lại hệ thống BQP.
- Các hệ thống và dịch vụ tại mạng BQP và mạng BCA đều được xác thực và định danh đảm bảo ATTT trước khi kết nối với hệ thống truyền nhận dữ liệu qua API sử dụng Datadiode.
Qua nghiên cứu và thử nghiệm giải pháp truyền các dịch vụ, ứng dụng sử dụng API giữa hai mạng qua thiết bị Datadiode của Phòng Thí nghiệm trọng điểm ATTT hỗ trợ kết nối và truyền dữ liệu an toàn giữa hai vùng mạng có các ứng dụng dịch vụ sử dụng Webservice/RestAPI như: chia sẻ dữ liệu định danh dân cư, dữ liệu xuất nhập cảnh,... giữa BQP và các mạng chuyên dùng bên ngoài là khả thi.
Thực tế hiện nay Rest API được sử dụng rất phổ biến, việc ứng dụng Rest API kết hợp với đồng bộ CSDL bằng thiết bị truyền dữ liệu một chiều Datadiode là giải pháp khả thi cho phép các ứng dụng giữa hai vùng mạng kết nối an toàn, hỗ trợ hiệu quả kết nối các hệ thống thiết yếu như Hệ thông tin chỉ đạo điều hành, các trang cổng dịch vụ thông tin Chính phủ điện tử, các hệ thống thông tin nghiệp vụ ngành, ví dụ như: Xuất nhập cảnh của Bộ đội biên Phòng, Bảo hiểm y tế,... phục vụ chuyển đổi số quốc gia, Chính phủ điện tử.
TÀI LIỆU THAM KHẢO [1]. OT-Security for IT Professionals, Handbook.pdf, Edward Amoroso. [2]. Secure one-way data transfer system using network interface circuitry, United States Patent, Ronald Mraz, New York, 2013. [3]. Tactical Datadiodes in industrial automation and control systems, Austin Scott, 2015. [4]. The definitive guide to Datadiode technologies from simple to state of the art, Scott W.Coleman, OwlCyberDefense.com, 2018. [5]. Understanding the strategic and technical significance of Technology for security, the case of Datadiodes for cybersecurity, The Hague Security Delta , 2021. [6] Datadiode guide, critical infrastructure protection solutions, OPSWAT, 2021. [7]. The Datadiode explained in 5 simple steps, Wouter Teepe, Fox-IT and Colin Robbins, Nexor. [8]. https://galeracluster.com/library/training/tutorials/configuration.html. |
ThS. Đồng Xuân Chinh (Phòng Thí nghiệm trọng điểm An toàn thông tin, Bộ Tư lệnh 86)
10:00 | 17/05/2022
16:00 | 23/05/2024
14:00 | 29/07/2024
09:00 | 05/09/2024
09:00 | 17/09/2024
Hệ thống TETRA được sử dụng rộng rãi cho các hệ thống thông tin chuyên dùng như cảnh sát, cứu hỏa, dịch vụ khẩn cấp, dịch vụ an ninh thậm chí là quân đội [1]. Tuy nhiên với sự phát triển của công nghệ di động mạng tổ ong công cộng (GSM, 3G, 4G, 5G), nhiều ý kiến cho rằng nhiều người dùng TETRA có thể sẽ chuyển sang sử dụng hệ thống công cộng. Bài báo này phân tích những yêu cầu chặt chẽ của TETRA và những ưu điểm nó với hệ thống truyền thông công cộng, từ đó có cái nhìn tổng thể hơn về xây dựng hệ thống liên lạc chuyên dùng với TETRA.
13:00 | 21/08/2024
Tội phạm mạng gần đây đã chuyển từ tấn công các tập đoàn đa ngành lớn sang các ngành công nghiệp hẹp hơn, ví dụ như các lĩnh vực dịch vụ tài chính hoặc chăm sóc sức khỏe. Đặc biệt trong lĩnh vực chăm sóc sức khỏe, tin tặc chú trọng nhắm mục tiêu vào các thiết bị y tế của bệnh nhân được kết nối với Internet. Bài báo sẽ thông tin tới độc giả tình tình an ninh mạng trong lĩnh vực y tế, chăm sóc sức khỏe, các mối đe dọa từ bên trong, bên ngoài và đưa ra một số giải pháp giúp cải thiện tình hình an ninh mạng trong lĩnh vực này.
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
08:00 | 10/02/2024
Hệ thống mật mã RSA là một trong các hệ mật mã khóa công khai đang được sử dụng rất phổ biến trong hệ thống mạng máy tính hiện nay. Việc lựa chọn tham số an toàn cho hệ mật RSA là vấn đề rất quan trọng trong cài đặt ứng dụng hệ mật này. Bài báo này trình bày chi tiết về khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA như thừa số modulo, số mũ bí mật, số mũ công khai và các thừa số nguyên tố trong một số tiêu chuẩn mật mã của châu Âu, Đức và Mỹ.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Deepfake là một công nghệ mới nổi trong lĩnh vực xử lý hình ảnh và video. Bằng cách sử dụng các kỹ thuật học máy và trí tuệ nhân tạo, Deepfake có thể biến đổi hình ảnh và video, tạo ra những nội dung giả mạo với độ chân thực cao, khó phân biệt được thật và giả. Mặc dù công nghệ này mang lại nhiều ứng dụng trong giải trí và sáng tạo, nhưng nó cũng ẩn chứa những mối nguy tiềm tàng gây mất an toàn, an ninh thông tin.
10:00 | 04/11/2024