Tổng quan giải pháp
Các hệ thống quan trọng đặc biệt là các hệ thống như hệ thống vận hành Điện, hệ thống Thủy điện, … ngày nay được giám sát và điều khiển tự động từ xa thông qua hệ thống điều khiển giám sát và thu thập dữ liệu SCADA (Supervisory Control And Data Acquisition). Ngoài chức năng chính là vận hành, điều khiển các trạm biến áp không người trực và lưới điện phân phối, hệ thống SCADA còn phục vụ cho công tác quản trị sản xuất kinh doanh điện thông qua những chỉ số được cung cấp bởi hệ thống Tự động hóa. Một máy chủ lưu trữ Replica được tạo ra chứa thông tin truy xuất từ hệ thống máy chủ điều khiển điện, cho phép các máy tính khác truy cập để phục vụ cho các ứng dụng nghiệp vụ. Với việc máy chủ Replica có kết nối đến mạng LAN Công ty, việc xây dựng hệ thống bảo mật làm nhiệm vụ phân tách, cách ly máy chủ đệm Replica với hệ thống điện là yêu cầu thiết yếu.
Mô hình truy xuất dữ liệu từ hệ thống Scada
Nhắc đến đầu tư thiết bị bảo mật, Firewall (tường lửa) luôn là thiết bị được nghĩ đến trước tiên vì tính cốt lõi của nó trong an ninh mạng và đặc biệt trong an ninh mạnh công nghiệp. Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Đa số các Firewall hoạt động sử dụng bộ lọc dữ liệu dựa trên các luật, nguyên tắc đã được cấu hình hoặc cài đặt bởi người quản trị. Nếu dữ liệu vào thoả mãn bộ lọc thì được chuyển qua Firewall, nếu không, nó sẽ bị hủy bỏ. Hệ thống Firewall ngày nay còn được tích hợp hệ thống phát hiện và ngăn ngừa xâm nhập (Intrusion Prevention System – IPS) giúp phát hiện xâm nhập và tự động ngăn chặn các cuộc tấn công vào hệ thống mạng. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào hệ thống máy chủ, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Tuy nhiên, việc sử dụng thiết bị Firewall có phải là phương án tối ưu đảm bảo an toàn cho hệ thống điện?
Về nguyên lý, Firewall chỉ lọc và kiểm tra dữ liệu nên về mặt vật lý, việc truyền và nhận dữ liệu vẫn có thể diễn ra hai chiều. Điều này mang đến rủi ro từ những cuộc xâm nhập bên ngoài vào bên trong hệ thống điều khiển điện. Hơn nữa, với việc Firewall hiện đại ngày càng phức tạp trong cài đặt, người quản trị khó có thể tiếp cận hết những tính năng mà nó mang lại. Một sai lầm nhỏ trong cấu hình cũng có thể tạo ra một lỗ hổng lớn trong hệ thống an ninh, tạo điều kiện cho những cuộc tấn công trái phép vào hệ thống điều khiển điện.
Cách thức hoạt động cơ bản của Firewall
Để giải quyết nhu cầu cấp bách về bảo mật này, các thiết bị data diode 1 chiều đã được chứng minh nhiều lần để bảo vệ mạng OT, tuy nhiên, trong một số trường hợp, các tổ chức cần đảm bảo thông tin liên lạc hai chiều không thể là một chiều. Nắm bắt được nhu cầu đó, Owl Cyber Defense đã ra mắt giải pháp RECON, vẫn sử dụng công nghệ datadiode để bảo mật dữ liệu tuy nhiên, RECON được thiết kế để kết hợp được những lợi ích bảo mật của giải pháp an ninh mạng datadiode tuy nhiên cung cấp khả năng cung cấp giao tiếp hai chiều, khứ hồi an toàn. ReCon cho phép các tổ chức duy trì kết nối hai chiều an toàn giữa các mạng, đồng thời giảm bề mặt tấn công của chúng với sự đảm bảo an ninh cao hơn nhiều so với tường lửa truyền thống.
Được đặt trong một, 1U tiêu chuẩn 1U có thể gắn vào tủ rack, mỗi đường dẫn một chiều trong ReCon hoàn toàn độc lập với đường dẫn kia và sử dụng diode dữ liệu riêng, được xây dựng trên công nghệ độc quyền của Owl. Hai điốt dữ liệu mỗi điốt chỉ cho phép một hướng (gửi hoặc nhận) truyền dữ liệu, cùng nhau tạo ra một đường dẫn hai chiều hoàn chỉnh.
Giải pháp cổng an ninh bảo mật hai chiều sử dụng Datadiode – Owl Cyber Defense RECON
Data Diodes là công nghệ truyền dữ liệu theo 1 chiều vật lý:
- Phần cứng (đã được hardening) an ninh mạng được thiết kế theo nguyên lý 1 chiều ở mức vật lý
- Khả năng miễn nhiễm trước những cuộc tấn công mạng hoặc thay đổi phần mềm của hacker
- Bảo vệ cho vùng biên của mạng nguồn
- Hai Card truyền thông nối tiếp. Tạo ra môi trường “Air gap” quang và áp đặt chính sách tách biệt mạng
- IP Proxies – terminate và khởi tạo lưu lượng IP
- Phần cứng truyền thông một chiều được cưỡng bức bởi cáp quang sợi đơn
Giải pháp RECON
ReCon là một giải pháp an ninh mạng dựa trên phần cứng sử dụng hai đường dẫn một chiều độc lập. Áp dụng nguyên lý hoạt động của Datadiode để truyền dữ liệu theo 1 chiều. RECON sử dụng 02 cặp datadiode đối xứng và ngược chiều nhau để có truyền và nhận dữ liệu theo 02 chiều độc lập mà vẫn có thể đảm bảo được tính an toàn bảo mật thông tin ngăn cách giữa các vùng khác nhau ví dụ: Vùng IT – OT,.. Được đặt trong một, 1U tiêu chuẩn 1U có thể gắn vào tủ rack, mỗi đường dẫn một chiều trong ReCon hoàn toàn độc lập với đường dẫn kia và sử dụng diode dữ liệu riêng, được xây dựng trên công nghệ độc quyền của Owl. Hai điốt dữ liệu mỗi điốt chỉ cho phép một hướng (gửi hoặc nhận) truyền dữ liệu, cùng nhau tạo ra một đường dẫn hai chiều hoàn chỉnh.
Bằng cách hỗ trợ đầy đủ các giao thức điều khiển quá trình như DNP3, ReCon1U cho phép phân đoạn mạng an toàn tuyệt đối, ra lệnh và điều khiển từ xa, giám sát từ xa và sao chép dữ liệu SCADA, thông qua TCP / IP với ít rủi ro hơn đáng kể so với tường lửa phần mềm tiêu chuẩn.
Nguyên lý hoạt động:
-
ReCON và tường lửa chỉ mở cổng ứng dụng cần thiết
-
ReCON proxy chỉ chấp nhận các gói TCP / IP từ địa chỉ IP được định cấu hình trước của nguồn
-
Proxy nguồn ReCON di chuyển request TCP / IP với trọng tải không thể định tuyến độc quyền một chiều sang phía đích
-
Gửi đường truyền qua điốt kép được thực thi phần cứng để thực hiện truyền dữ liệu theo luồng một chiều.
-
Proxy phía đích cấu trúc lại gói TCP và chuyển đến địa chỉ IP đích được định cấu hình trước
-
Tất cả lưu lượng truy cập trên kênh Owl đã định cấu hình đều được chuyển hướng đến một địa chỉ IP đích duy nhất
-
Ứng dụng proxy phía đích không cho phép các hệ thống khác trên mạng đích bắt đầu giao tiếp với ReCON
-
Proxy đích chỉ chấp nhận các gói TCP / IP từ địa chỉ IP và cổng của ứng dụng đích mà nó đã khởi tạo kết nối socket tới.
-
Gửi đường truyền qua điốt kép được thực thi phần cứng để thực hiện truyền dữ liệu theo luồng một chiều hướng ngược lại.
-
Gói TCP / IP được tái cấu trúc và gửi đến địa chỉ IP của ứng dụng nguồn đã thực hiện yêu cầu ban đầu. Đảm bảo được tính bảo mật và một chiều an toàn cho dữ liệu
Tính năng giải pháp
- Tính năng bảo mật
Hai điốt kép đơn hướng
-
-
Giao thức TCP / IP chia thành các luồng một chiều trên các đường dẫn độc lập
-
Không có thông tin TCP / IP định tuyến nào được chuyển giữa các mạng
-
Hạn chế việc sử dụng các cổng TCP / IP
-
- Không có lưu lượng truy cập tcp / ip đi qua trực tiếp
Cho phép thiết lập kết nối bảo mật mức độ cao
-
-
Chỉ cho phép kết nối tcp / ip chỉ có thể được bắt đầu từ một phía
-
Kết nối phía nguồn từ một địa chỉ ip nguồn có trong những địa chỉ được cấu hình từ trước, ngăn chặn việc hacker có thể tự thiết lập kết nối tới phía đích
-
Kết nối với địa chỉ ip đích cố định
-
Xác thực máy khách dựa trên chứng chỉ
-
Các tính năng nổi bật
Truyền tệp tin (File & Directory Transfer)
Truyền tệp tin hoặc dữ liệu theo một chiều một cách đáng tin cậy qua các ranh giới về mạng/an ninh. Các giải pháp của Owl có thể chuyển bất kỳ loại tệp có kích thước bất kỳ và có thể tự động nhân bản cấu trúc thư mục mạng nguồn nguồn đến mạng đích.
–
Streaming dữ liệu theo thời gian thực (Real-Time Data Streaming)
Chuyển dữ liệu theo thời gian thực một chiều, như các luồng (stream) gói tin. Các giải pháp của Owl bao gồm từ các cách triển khai rộng khắp trên mạng để truyền các gói tin Ethernet thô với dải tốc độ truyền đầy đủ đến các mạng triển khai chiến thuật nhỏ hơn với một luồng UDP Video duy nhất.
Lược sử & Sao chép cơ sở dữ liệu (Historian & Database Replication)
Sao chép toàn bộ hoặc một phần các cơ sở dữ liệu quan hệ và lược sử qua các ranh giới miền của mạng. Owl cho phép chèn / cập nhật / xóa các chức năng và sao chép hoàn toàn từ giản đồ nguồn, với tính sẵn sàng cao và khả năng chèn lấp lược sử.
–
Giám sát từ xa (Remote Monitoring)
Kích hoạt tính năng giám sát từ xa theo thời gian thực mà không cần truy cập từ xa. Các giải pháp của Owl đảm bảo an toàn cho việc chuyển các loại thông tin như syslog, OPC, SNMP, SIEM, sự kiện & cảnh báo về hoạt động và các HMI cho người dùng cuối ở bên ngoài mạng trong khi vẫn giữ các hệ thống quan trọng được cô lập và bảo vệ.
Giao diện điều khiển quy trình (Process Control Interfaces)
Truyền dữ liệu DCS và SCADA đến các mạng bên ngoài /mạng phục vụ kinh doanh một cách an toàn mà không gây nguy hiểm cho an ninh mạng vận hành nhà máy (Operation Technology). Giải pháp của Owl đã được thử nghiệm và xác minh là hỗ trợ hầu hết các Hãng cung cấp hệ thống điều khiển quy trình lớn.
Hoạt động với tiêu chuẩn IEC 104
- Tính năng Giám sát TCP
IEC60870-5-104 qua giải pháp Diode dữ liệu hai chiều ReCon với chức năng Giám sát TCP: Phía Nguồn của ReCon có Máy khách IEC104 và kết nối với Máy chủ IEC104 trong mạng Nguồn. Phía Nguồn của ReCon gửi thông tin Giám sát qua một cổng TCP duy nhất đến phía Đích của ReCon. ReCon gửi TCP từ Nguồn đến Đích thông qua Kênh BTCP. Phía Đích của ReCon tạo một máy chủ IEC104. Máy khách IEC104 trong mạng đích kết nối với Máy chủ IEC104 ở phía Đích của ReCon và nhận thông tin Giám sát. Trong tính năng Điều khiển máy chủ IEC104 bị tắt. Khi máy khách IEC104 gửi lệnh đến ReCon Destination, nó sẽ báo hiệu lại rằng các lệnh không được phép trong Chế độ Chỉ Giám sát.
- Tính năng Giám sát và Kiểm soát (Monitoring and Control)
IEC60870-5-104 qua giải pháp Diode dữ liệu hai chiều ReCon với chức năng Giám sát và Kiểm soát: Phía Nguồn của ReCon có Máy khách IEC104 và kết nối với Máy chủ IEC104 trong mạng Nguồn. Phía Nguồn của ReCon gửi thông tin Giám sát qua một cổng TCP duy nhất đến phía Đích của ReCon. ReCon gửi TCP từ Nguồn đến Đích thông qua Kênh BTCP. Phía Đích của ReCon tạo một máy chủ IEC104. Máy khách IEC104 trong mạng đích kết nối với Máy chủ IEC104 ở phía Đích của ReCon và nhận thông tin Giám sát. Khi máy khách IEC104 gửi lệnh đến Đích ReCon, nó sẽ gửi lệnh qua phía Nguồn của ReCon đến máy chủ IEC104 thực trong Mạng nguồn. Đây là Chế độ Giám sát và Kiểm soát.
–
Ra lệnh điều khiển từ xa (Remote command and control)
Cho phép chuyên viên quản trị và giám sát hệ thống gửi các lệnh điều khiển từ bên khu vực IT vào trong khu vực OT an toàn, mà không sợ bị tin tặc tấn công từ bên ngoài vào khu vực OT
–
Lợi ích của giải pháp:
Bảo mật hơn tường lửa truyền thống
- Bảo mật cấp vật lý cho truyền thông hai chiều an toàn tuyệt đối so với tường lửa dựa trên phần mềm
Truy cập từ xa an toàn
-
Thiết lập / thiết lập lại an toàn truy cập từ xa, helpdesk từ xa và các dịch vụ chỉ huy và điều khiển từ xa giữa CNTT và OT và các tài nguyên phía biên của từng khu vực
-
Giao tiếp ứng dụng hai chiều
-
Giao tiếp hai chiều an toàn giữa các ứng dụng máy khách / máy chủ trong các trường hợp sử dụng không thể là một chiều
So sánh giữa RECON và Tường lửa công nghiệp:
| An ninh mạng thực thi tại mức vật lý | Yes | No |
| Khả năng giới hạn sử dụng cổng TCP / IP | Yes | Yes |
| Ngắt giao thức không định tuyến – không có thông tin định tuyến được phân biệt giữa mạng nguồn và mạng đích | Yes | No |
| Danh sách nguồn cho phép – kết nối phía nguồn bị hạn chế đối với địa chỉ ip danh sách trắng | Yes | Yes |
| Hạn chế kết nối bắt hai đường dẫn một chiều độc lập, bị hạn chế | Yes | Yes |
| Giao tiếp gián tiếp giữa nguồn và đích | Yes | No |
| Dừng phiên tcp ngay sau khi ngắt giao thức | Yes | No |
| địa chỉ IP đích cố định – phía đích chỉ cho phép kết nối với hệ thống tại địa chỉ IP được định cấu hình | Yes | No |
| Quản trị riêng biệt – kiểm soát quản lý được phân đoạn cao với chính sách / cấu hình quản lý riêng biệt cho từng CPU | Yes | No |
| Ánh xạ cổng – cho phép quản trị viên kiểm soát địa chỉ đích để kết nối. Không có thực thể nào bên ngoài mạng đích biết bất kỳ điều gì về mạng đó (số lượng và loại thiết bị, địa chỉ ip của mạng) | Yes | No |
| Mgăn chặn việc ghi mật mã – Việc ngắt giao thức TCP / IP sẽ xóa tất cả thông tin tiêu đề gói tin ngăn chặn tiêu đề hoạt động như một phương tiện để che giấu thông báo hoặc thông tin độc hại trong dữ liệu | Yes | No |
Ứng dụng mô hình triển khai
Đảm mật cho việc liên lạc 2 chiều bằng 2 Data Diode khác nhau được sử dụng ở các trường hợp sau
-
Giao tiếp giữa Máy trạm và máy chủ
-
Truy cập từ xa
-
Ra lệnh và điều khiển từ xa
-
Giám sát từ xa
-
Cách ly hệ thống một cách an toàn
-
Không truyền trực tiếp dữ liệu thông qua TCP/IP
Mô hình triển khai dùng trong phân đoạn hệ thống an toàn
–
Mô hình triển khai dùng để điều khiển từ xa
Mô hình triển khai dùng cho điều khiển, ra lệnh và giám sát
–
Thông số kỹ thuật
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
