Các công nghệ trong sản xuất, thiết kế Data Diode

143

Thiết bị bảo mật dữ liệu một chiều, Data Diode, về lý thuyết đã được chứng minh mức độ an toàn tiệm cận “air gap” (air-gap: một thuật ngữ chỉ mức độ bảo mật cao nhất khi giao tiếp hai chiều là không có, hay chỉ là không khí), khi sử dụng Diode dạng quang để truyền tín hiệu giữa hai hệ thống mà không có kết nối dạng vật lý, đồng thời có Diode dành riêng cho yêu cầu truyền (Tx) và nhận (Rx) dữ liệu.

Với ưu thế bảo mật cao, kết hợp với lợi thế kinh tế trong việc đưa vào thiết kế hệ thống bảo mật truyền dữ liệu một chiều, Data Diode, dưới dạng thiết bị ứng dụng thương mại được đóng gói hoàn chỉnh (Commercial-Off-The-Shelf – COTS), phương án này, có sự cân bằng giữa chất lượng dịch vụ với mức chi phí hợp lý dựa trên việc lựa chọn cẩn thận các thành phần và giao thức có sẵn, được tích hợp rồi đưa vào sản xuất thương mại số lượng lớn thiết bị trong ứng dụng công nghiệp.

Thiết kế Diode kép (Dual Diode)

Thiết bị Data Diode sử dụng thiết kế phần cứng một chiều cho việc truyền/nhận dữ liệu một chiều. Để duy trì hiệu suất tốc độ đường truyền, phần cứng cơ sở sử dụng giao thức truyền không đồng bộ (ATM – Asynchronous Transfer Mode), ban đầu được phát triển cho truyền thông khoảng cách xa, có hỗ trợ băng thông rộng. Giao thức ATM tự nhiên bao gồm hai kênh truyền thông một chiều riêng biệt, mỗi kênh truyền/nhận đều không yêu cầu xác nhận. Khi được triển khai như một kết nối điểm-điểm, một chiều, do đó không cần thiết phải có cơ chế thiết lập hai chiều như giao thức MAC (Media Access Control – Điều khiển truy nhập môi trường) cho công nghệ kết nối Ethernet trong mạng LAN/WAN/MAN. Thiết bị Data Diode hiện đại sử dụng mỗi diode riêng biệt cho mỗi mục đích truyền/nhận dữ liệu.

Công nghệ thiết kế

Phần cứng DualDiode thiết kế gồm một cặp thẻ giao tiếp một chiều (one-way communication cards ) để truyền dữ liệu theo một hướng. Thẻ Chỉ-gửi (Send-only card) được cài đặt trong nền tảng Máy chủ chuyên gửi (Send Host Server) và thẻ Chỉ-nhận (Receive-only card) được cài đặt trong nền tảng Máy chủ chuyên nhận (Reiceive Host Server). Hai nền tảng gửi và nhận này kết nối thông qua một sợi quang đơn mode, được đại diện bởi các thẻ giao tiếp.

Mô hình kỹ thuật của công nghệ Diode kép:

  • Hệ thống gồm hai phần riêng biệt, mỗi Diode ở một bên, tạo ra thiết kế diode kép
  • Phần bên trái (màu xanh) chứa Diode chỉ gửi, phần màu đỏ chứa Diode chỉ nhận
  • Bảng mạch thiết kế đơn chức năng cho phép mỗi phần chỉ thực hiện 1 tác vụ duy nhất (chỉ nhận/chỉ gửi dữ liệu)
  • Thiết kế không tiếp xúc về vật lý ngăn chặn không cho phép dữ liệu truyền theo hướng ngược lại
  • Triển khai ngắt giao thức không định tuyến ATM giữa các mạng

Ngắt giao thức không định tuyến sử dụng giao thức truyền thông ATM, là công nghệ lớp 2 nằm trong Mô hình tham chiếu kết nối các hệ thống mở (OSI – Open Systems Interconnection), được sử dụng để cung cấp gói tin truyền dữ liệu với chất lượng dịch vụ cao và độ trễ thấp. Công nghệ ATM trong thiết kế Diode kép, không thể định tuyến được do các tế bào (cell) ATM không giữ lại thông tin nguồn và thông tin đích. Và, thông tin IP không được gửi qua liên kết một chiều. Thay vào đó, thông tin IP tĩnh các tuyến được ánh xạ bằng các bảng nằm trong máy chủ Gửi và máy chủ Nhận trên hai bên của giao diện Diode và cần cả sự toàn vẹn giữa 2 đầu để đảm bảo an toàn hệ thống.

Ứng dụng truyền dữ liệu đa kênh

Giao thức ATM gồm các cơ chế cho phép nhiều kênh ảo độc lập kết nối với nhiều mức dịch vụ khác nhau để phù hợp với yêu cầu truyền dữ liệu đồng thời, với nhiều dạng dữ liệu (hình ảnh, âm thanh, text). Các tệp, gói UDP, luồng dữ liệu TCP và gói IP có thể được truyền qua thiết bị phần cứng sử dụng Diode kép được thiết kế phù hợp mà không làm mất dữ liệu.

Mô hình truyền dữ liệu:

  • Hình ảnh nguồn (hay là tất cả dữ liệu IIoT) được chuyển thành luồng dữ liệu UDP được xử lý đồng thời, và được Diode kép xử lý dữ liệu ở lớp truyền tải (lớp 2 mô hình OSI);
  • Hệ thống truyền gói tin mạng bảo mật (SNTS) lọc các truy cập, rồi truyền dữ liệu UDP thành một luồng;
  • Giao diện mạng Xanh lấy luồng UDP từ ứng dụng SNTS và chuyển nó đến Diode phần cứng chỉ gửi để chuyển sang Diode bên đỏ (Diode chỉ nhận);
  • Hệ thống SNTS bên đỏ hủy luồng UDP và gửi lưu lượng truy cập đến người dùng cuối.

Kỹ thuật xác minh tính toàn vẹn dữ liệu

Trong giao thức ATM, tính toàn vẹn dữ liệu được xác minh bằng phần cứng tích hợp, sử dụng các phương pháp CRC (cyclic redundancy check) và thuật toán băm nâng cao (hasd advanced), được tích hợp sẵn trong hệ thống. Hệ thống chuyển đổi DualDiode không mất dữ liệu và không chuyển tiếp phương pháp sửa lỗi là bắt buộc.

Việc sử dụng nhiều cấp độ kiểm tra tính toàn vẹn dữ liệu, cùng với ứng dụng giao thức ATM với chất lượng dịch vụ cao, cho phép thiết kế Diode kép có thể truyền các tệp với kích thước lên đến hàng terabyte, một cách nhất quán và không có lỗi, cũng như di chuyển số lượng lớn các tệp dung lượng nhỏ một cách hiệu quả.

Áp dụng chính sách Phòng thủ theo chiều sâu

Trong các hệ thống Diode kép, mỗi cấp độ của hệ thống đều hỗ trợ thực thi chính sách truyền dữ liệu một chiều. Toàn bộ hệ thống thiết kế và vận hành dạng đường ống, đồng thời sử dụng Diode kép với đơn chức năng chỉ truyền/nhận dữ liệu. Do vậy, cho dù toàn bộ phần cứng và phần mềm có thể bị xâm phạm, cũng không thể điều khiển dữ liệu đi ngược chiều.

Để tăng mức độ bảo mật, các ứng dụng phần mềm cũng cần được thiết kế dạng kiến trúc đường ống để cách ly Diode truyền/nhận dữ liệu.

Rủi ro nhất là hệ thống có thể không truyền được dữ liệu, nhưng nó vẫn đảm bảo an toàn. Và cách tấn công duy nhất là tác động vật lý, còn tấn công phần mềm không thể ảnh hưởng đến an toàn của hệ thống.

Sử dụng các giao diện chuẩn công nghiệp

Công nghệ và thiết kế Diode kép tuân theo các giao diện chuẩn công nghiệp. Một loạt các giao thức truyền thông công nghiệp được hỗ trợ bởi mô-đun phần mềm giao diện, bao gồm cả OSIsoft PI và MODBUS.

Đánh giá

Công nghệ Diode kép được thiết kế tuân theo các tiêu chuẩn công nghiệp, ứng dụng các công nghệ hiện đại, đảm bảo an toàn truyền dữ liệu cao nhất và đóng gói thương mại có mức độ ứng dụng rất cao trong nhiều lĩnh vực công nghiệp cần đảm bảo an toàn hệ thống như Xăng dầu, Điện, Nước, Năng lượng hạt nhân.

Song Phương – FPT IS

Tin liên quan:
  • 7
    Shares