Tìm hiểu công nghệ Data Diode và một số ứng dụng trong các hệ thống truyền dữ liệu của Bộ đội Biên phòng

Sử dụng hệ thống mạng máy tính để truyền, nhận thông tin là yêu cầu tất yếu của cá nhân, cơ quan, đơn vị. Đảm bảo an toàn thông tin và hệ thống truyền tin khỏi các truy cập trái phép, cài đặt, tấn công bằng các phần mềm độc hại đòi hỏi phải sử dụng nhiều giải pháp khác nhau, như: tường lửa, mã hóa dữ liệu, kiểm soát truy cập, mạng riêng ảo VPN, công nghệ Ipsec. Tuy nhiên những giải pháp này có thể tạo ra sự phức tạp về kiến trúc mạng, từ đó làm tăng nguy cơ mất an toàn thông tin. Bài viết này đi tìm hiểu về công nghệ Data diode,  từ đó  đề xuất một số giải pháp ứng dụng trong các hệ thống truyền dữ liệu của Bộ đội Biên phòng (BĐBP).

Data diode là một thiết bị phần cứng điều khiển việc truyền, nhận dữ liệu trong hệ thống mạng theo một chiều duy nhất. Trong hệ thống mạng thông thường, các máy tính nối mạng được phép truyền và nhận thông tin tại cùng thời điểm. Data diode sẽ loại bỏ một trong các kênh truyền/nhận và chỉ thực thi một luồng dữ liệu đơn hướng. Về mặt vật lý, Data diode chỉ đơn giản bao gồm các cổng cáp quang, kết nối nguồn, đường truyền cho tín hiệu quang và tín hiệu điện (tạo nên dữ liệu), Data diode không chứa bất kỳ phần mềm hay các cổng logic khác.

Data diode gồm 2 hệ thống chính: Hệ thống chỉ nhận (Receive - Only Configuration), chỉ cho phép nhận dữ liệu từ các hệ thống khác, không có bất kỳ dữ liệu nào được truyền theo chiều ngược lại; hệ thống chỉ phát (Transmit Only Configuration), chỉ truyền dữ liệu tới các hệ thống khác, không tiếp nhận bất kỳ dữ liệu nào gửi tới.

Có 2 loại Data diode: Data diode thuần túy, cấu trúc đơn giản chỉ để điều khiển dữ liệu thô truyền theo một hướng và Cổng đơn hướng (Unidirection Gateway) gồm Data diode thuần túy kết hợp với phần mềm chạy trên máy chủ Proxy, thực thi tính đơn hướng theo phần mềm mô phỏng máy chủ. Cổng đơn hướng có khả năng chuyển đồng thời nhiều giao thức và loại dữ liệu. Dữ liệu được truyền đến các địa chỉ xác định với một “ngắt” qua Data diode để hệ thống mạng được bảo vệ, không bị dò quét, chiếm quyền điều khiển, phòng, chống hiệu quả các cuộc tấn công từ chối dịch vụ.

Trong hệ thống sử dụng Data diode, việc mất hay sai lệch dữ liệu có thể xảy ra khi bị tràn bộ nhớ, lỗi phần cứng hoặc sai địa chỉ vật lý. Để giảm thiểu việc mất/sai lệch dữ liệu, Data diode sử dụng phương thức dự phòng, gửi cùng một dữ liệu nhiều lần hoặc thêm thông tin bổ sung (mã sửa lỗi chuyển tiếp - FEC - Forward Error Correction) để tái tạo dữ liệu bị mất.

 Một kỹ thuật khác được sử dụng là kiểm soát tốc độ gửi để đảm bảo rằng bên nhận luôn có thể nhận được dữ liệu kết hợp với việc kiểm tra và phát hiện  bằng phần cứng hoặc phần mềm theo cách gắn thẻ dữ liệu với số thứ tự để phát hiện các gói bị mất. Xác minh tính toàn vẹn thông qua phương thức mã checksum, kiểm tra độ dài và xác thực định dạng trong mỗi gói tin bằng cách sử dụng thuật toán SHA (Secure Hash Algorithm) hay MD5 (Massage Digest algorithm 5) để đảm bảo tính chính xác.

Lý do sử dụng công nghệ Data diode

Có nhiều phương pháp bảo mật mạng bao gồm cách ly về mặt vật lý, các bộ lọc luồng dữ liệu, tạo các VLAN, sử dụng proxy và tường lửa. Tuy nhiên các phương pháp trên, không có phương pháp nào có thể đảm bảo tuyệt đối rằng mạng không thể bị tấn công. Data diode là giải pháp bảo mật duy nhất có thể đảm bảo rằng dữ diệu được truyền theo một chiều, đến địa chỉ xác định, do đó khả năng lỗi cấu hình hoặc bị tấn công là không thể xảy ra. 

Data diode có chi phí đầu tư ban đầu rẻ, cấu trúc hệ thống mạng không phức tạp như hệ thống tường lửa và các giải pháp phần mềm, phí duy trì vận hành thấp, về mặt vật lý không phải thường xuyên cập nhật như phần mềm trên máy chủ. Cấu hình của Data diode đơn giản, không yêu cầu người có chuyên môn cao. Việc sử dụng Data diode không phát sinh lỗi, quản trị viên chỉ cần kiểm tra, đảm bảo dữ liệu truyền theo một hướng, đến địa chỉ nhận.

Ngày nay, lượng dữ liệu truyền qua hệ thống mạng ngày càng tăng, yêu cầu hệ thống phải có khả năng xử lý nhanh. Sử dụng Data diode cho phép truyền dữ liệu thời gian thực, tốc độ truyền tin cao, xử lý được các dữ liệu có dung lượng lớn, trong môi trường bảo mật, an toàn.

Data diode còn có khả năng ngăn chặn truy cập trái phép vào hệ thống mạng nội bộ của cơ quan đơn vị khi hệ thống kết nối với mạng không bảo mật (Internet).

Yêu cầu thiết kế Data diode phục vụ nhiệm vụ quốc phòng, an ninh

Về tốc độ, cần đạt tốc độ cao nhất có thể trên công nghệ đường truyền cáp quang, (tốc độ truyền tối đa đặt từ 248 Mbps trở lên).

          Hệ thống hạ tầng mạng, cho phép truyền dữ liệu chỉ theo một chiều từ máy tính phát, sử dụng hệ thống mạng Internet sang máy tính thu, nối mạng nội bộ thông qua khối phát thu sợi quang một chiều, và dữ liệu không thể truyền theo chiều ngược lại.

Giao thức truyền nhận, xây dựng giao thức UDP để thực hiện việc truyền dữ liệu một chiều giữa hai máy tính phát, thu của thiết bị Data diode. Xây dựng giao thức FTP tự động đẩy dữ liệu từ máy tính mạng ngoài vào máy tính phát của thiết bị Data diode và tự động đẩy dữ liệu từ máy tính thu của thiết bị Data diode ra máy tính thu mạng nội bộ. Hỗ trợ các ứng dụng sử dụng  giao thức như UDP, FTP, Modbus, RTP.

Về khắc phục lỗi dữ liệu trên đường truyền, kiểm tra tính toàn vẹn của dữ liệu truyền thông qua thuật toán SHA. Điều khiển lưu lượng truyền thông qua độ trễ, thời gian xử lý giữa bên phát và bên thu, thực hiện đa tiến trình xử lý song song. Tăng độ tin cậy của đường truyền sử dụng mã tự sửa lỗi.

Khả năng truyền nhận file, truyền các định dạng file khác nhau: word, excel, pdf, .zip, .zar, folder, subfolder, video, audio, image, exe... Tự động ghi log giám sát tên file, dung lượng file truyền, trạng thái file được truyền, nhận. Độ tin cậy 100% đã được thử nghiệm với các tệp dữ liệu lớn Gigabytes

Ứng dụng công nghệ Data diode trong các hệ thống truyền dữ liệu của BĐBP

Ứng dụng truyền dữ liệu trong hệ thống mạng toàn lực lượng: Hiện tại hệ thống mạng của Bộ Tư lệnh BĐBP được xây dựng gồm nhiều mạng LAN riêng lẻ, nhiều cấp độ khác nhau từ hệ thống mạng của Bộ Tư lệnh, Bộ chỉ huy BĐBP các tỉnh, thành phố đến các đồn biên phòng. Hệ thống đang phát triển dựa trên cơ sở hạ tầng mạng sẵn có, sử dụng các đường truyền dữ liệu riêng của quân đội, có giải pháp bảo mật đường truyền, kiểm soát, antivirus. Tuy nhiên, các giải pháp này không đồng bộ, hệ thống phần mềm, nhất là phần mềm antivirus có thể bị can thiệp để đạt mục đích riêng. Việc phát triển ứng dụng công nghệ Data diode là thật sự cần thiết, để đảm bảo an toàn dữ liệu khi truyền nhận từ Bộ Tư lệnh BĐBP tới các đơn vị và ngược lại. Các thông tin truyền nhận gồm hệ thống văn bản hàng ngày, công văn, giáo trình, tài liệu huấn luyện, các báo cáo tình hình vụ việc, điện chỉ huy, chỉ đạo. Việc ứng dụng công nghệ Data diode trong truyền nhận dữ liệu giữa các hệ thống mạng của Bộ Tư lệnh BĐBP sẽ không phải sử dụng nhiều phương pháp bảo mật, xây dựng nhiều lớp dữ liệu, sử dụng nhiều máy chủ dự phòng, thường xuyên cập nhật các phần mềm, đầu tư trang thiết bị theo cấu hình bảo mật mà vẫn đảm bảo an toàn, chống lại các hoạt động truy cập, chặn thu, kiểm soát thông tin làm tê liệt, rối loạn hệ thống truyền tin.

Ứng dụng truyền dữ liệu trong hệ thống chỉ huy tác chiến nghiệp vụ: Hệ thống chỉ huy tác chiến nghiệp vụ cần có hạ tầng mạng thông suốt từ đơn vị cơ sở tới cơ quan Bộ Tư lệnh, việc truyền nhận dữ liệu trên hệ thống mạng phải đảm bảo nhanh, chính xác và tuyệt đối an toàn, thông tin truyền đa dạng gồm dữ liệu về hình ảnh, video theo thời gian thực. Việc ứng dụng công nghệ Data diode đáp ứng được yêu cầu truyền tin một chiều từ các đơn vị tới Trung tâm Chỉ huy tác chiến nghiệp vụ biên phòng và ngược lại. Các thông tin nhanh, chính xác là cơ sở tăng cường hiệu quả hoạt động hiệp đồng tác chiến ở các đơn vị của BĐBP. Tất cả các đối tượng tham gia tác chiến được tích hợp vào một mạng thống nhất, đồng bộ, thông tin từ hiện trường được đưa về cho người chỉ huy trên nền tảng Giao thức UDP. Người chỉ huy có nhiều thông tin để phân tích, đánh giá khách quan, chính xác từ đó xác định được tình hình cụ thể, đưa ra quyết định nhanh chóng, kịp thời đảm bảo an ninh, trật tự, xử lý triệt để các tình huống an ninh phi truyền thống trên biên giới.

 Ứng dụng truyền dữ liệu trong quản lý, kiểm soát xuất, nhập cảnh: Bộ đội Biên phòng quản lý toàn bộ các cửa khẩu quốc tế trên tuyến biên giới đất liền, cảng biển và hàng trăm cửa khẩu phụ, đường mòn lối mở, việc triển khai hệ thống mạng đến các cửa khẩu hiện nay còn gặp nhiều khó khăn. Nghiên cứu thành công công nghệ Data diode đảm bảo tuyệt đối an toàn dữ liệu truyền trên hệ thống cơ sở hạ tầng mạng Internet thực sự hữu ích cho việc truyền nhận dữ liệu xuất, nhập cảnh từ các cửa khẩu về Bộ Tư lệnh. Các thông tin về đối tượng cấm nhập, cấm xuất, hộ chiếu hết giá trị, thông tin phục hồi hộ chiếu, điện chỉ đạo đoàn ra, đoàn vào từ Bộ Tư lệnh được truyền trực tiếp đến tất cả các cửa khẩu giúp việc kiểm tra, giám sát ở cửa khẩu đạt hiệu quả, không xảy ra sai sót, bỏ lọt đối tượng xuất, nhập cảnh. Các vụ việc phức tạp, tình hình xuất, nhập cảnh ở các điểm nóng trên cửa khẩu sẽ được báo cáo kịp thời, thông tin đầy đủ giúp người chỉ huy chỉ đạo nhanh, đúng, đảm bảo an ninh cửa khẩu, đáp ứng yêu cầu cải cách thủ tục hành chính, phù hợp với thông lệ quốc tế.

Ứng dụng trong đào tạo trực tuyến tại Học viện Biên phòng và các trường trong BĐBP: Đào tạo trực tuyến là việc học tập và đào tạo dựa trên nền tảng công nghệ thông tin và truyền thông với nội dung học sử dụng các công cụ như máy tính, mạng máy tính, mạng Internet, Intranet… nội dung học có thể thu được từ việc truy cập qua hệ thống mạng đến website, đĩa CD, video clip. Trên thực tế, đào tạo trực tuyến đã và đang trở thành xu thế tất yếu, nhất là trong giai đoạn dịch Covid-19 hiện nay và được rất nhiều các cơ sở đào tạo sử dụng. Với các học viện, trường của BĐBP việc đào tạo trực tuyến không được triển khai vì các tài liệu, giáo trình đào tạo đều là tài liệu mật không thể chia sẻ, khai thác qua hệ thống mạng. Công nghệ Data diode giúp học viện các học viện, trường của BĐBP có thể phát triển phương thức đào tạo trực tuyến khi dữ liệu được đảm bảo tuyệt đối an toàn trên đường truyền. Hiệu quả từ phương pháp này tạo điều kiện cho người học và giáo viên đưa ra nội dung học tập phù hợp với khả năng, thời gian và yêu cầu công việc, đáp ứng nhiệm vụ huấn luyện - đào tạo của các học viện nhà trường, xây dựng nhà trường thông minh tiếp cận tiếp cận cuộc cách mạng công nghệ lần thứ 4.

Việc ứng dụng Data diode là thực sự cần thiết khi vấn đề an toàn thông tin đặt ra nhiều thách thức trong tình hình hiện nay. Chế tạo thành công thiết bị Data diode sẽ góp phần làm chủ công nghệ, sẵn sàng triển khai đồng bộ trong các hệ thống truyền dữ liệu quân sự, đáp ứng yêu cầu nhiệm vụ bảo vệ Tổ quốc trong tình hình mới.

Vũ Tuấn Lâm

Tài liệu tham khảo

1. https://owlcyberdefense.com/learn-about-data-diodes

2. https://techinsight.com.vn/en/next-generation-data-diode-stronger-than-firewall-smarter-than-data-diode/