An ninh mạng là vấn đề ưu tiên hàng đầu vì nó có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến quy trình công nghiệp cũng như gây thiệt hại cho doanh nghiệp.Các cuộc tấn công mạng là không ngừng và liên tục chống lại môi trường mạng công nghiệp SCADA/ ICS trên hệ thống OT. Hiện nay có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích ATP và Tưởng lửa 1 chiều Data diodes…. để bảo vệ mạng công nghiệp SCADA/ICS
Khái niệm về Data diodes – một thiết bị phần cứng chỉ cho phép dữ liệu ra khỏi vành đai được bảo vệ và ngăn chặn mọi dữ liệu đi vào – đã được áp dụng trong lĩnh vực cơ sở hạ tầng quan trọng nhằm bảo vệ mạng OT trong khi vẫn cho phép truyền dữ liệu từ mạng OT ra mạng IT.
Các trao đổi dữ liệu giữa hệ thống OT về IT luôn chỉ cho phép truyền dẫn vật lý một chiều, điều này đảm bảo rằng mọi kết nối hay tấn công vào mạng hệ thống điều khiển điện (OT) từ mạng IT luôn bị từ chối, mà không cần quan tâm địa chỉ hay giao thức của chúng.
Sản phẩm Data Diode đã và đang được sử dụng thử nghiệm tại các đơn vị như: Trung tâm điều khiển Công ty Điện lực Phú Yên, Bình Định, Quảng Trị, Quảng Bình và Trung tâm giám sát tại EVNCPC.
1. Các thành phần và chức năng
a. Thiết bị phần cứng: thiết kế lắp đặt trên Rack 19 inch, có chức năng kết nối hệ thống để truyền dữ liệu một chiều từ mạng OT sang mạng IT. Thiết bị có hai cổng mạng Ethernet 10/100 Mbps để kết nối với máy chủ Historical của hệ thống SCADA và máy chủ DataBase của hệ thống mạng IT nhằm khai thác dữ liệu SCADA.
b. Phần mềm: Do đội ngũ Kỹ sư CPC IT tự phát triển, chức năng nhận và truyền dữ liệu từ máy chủ Historical của hệ thống SCADA đến máy chủ DataBase của hệ thống mạng IT.
2. Mô hình lắp đặt và đấu nối Data Diode trong hệ thống
a. Yêu cầu chung:
Máy tính ở mạng OT và máy tính mạng IT cần có card mạng độc lập để kết nối trực tiếp với Data Diode, không kết nối trung gian qua Switch.
b. Sơ đồ đấu nối vật lý:
− Cổng Ethernet bên trái 10/100 Mbps, giao tiếp RJ-45 kết nối đến máy chủ
DataBase Historical thuộc mạng OT.
− Cổng Ethernet bên phải 10/100 Mbps, giao tiếp RJ-45 kết nối đến máy chủ DataBase thuộc mạng IT.
c. Sơ đồ kết nối Data Diode tại Trung tâm điều khiển
3. Tiêu chuẩn và thông số kỹ thuật của hệ thống
− Thiết bị đã được đơn vị chuyên trách an toàn thông tin (ATTT) PenTest và cấp chứng nhận đạt tiêu chuẩn OWASP
- Đảm bảo không thể truy cập vật lý vào thiết bị
- Đảm bảo truyền file và DataBase SQL an toàn
- Đảm bảo không thể bypass qua bằng một số hình thức tấn công
- Đảm bảo thiết bị chỉ cho phép truyền dữ liệu 1 chiều từ mạng hệ thống điện (OT) sang mạng Công nghệ thông tin (IT) và đảm bảo không thể truyền theo chiều ngược lại.
− Phần cứng:
- Kích thước: 485mm x 245mm x 90 mm, 19inch cao 2U
- Nguồn Input: 100-240VAC
- Truyền dữ liệu:
- File, SQL DB
- Tốc độ: tối đa 50 Mbps
- Nhiệt độ hoạt động: 0-60 độ C
- Độ ẩm: 5-90%
4. Khả năng nâng cấp, mở rộng và tích hợp của hệ thống
− Thiết bị Data Diode do CPC IT nghiên cứu, thiết kế, lắp ráp có thể sử dụng trong các hệ thống mạng cần độ an toàn cao và nhu cầu truyền dữ liệu một chiều từ hệ thống mạng quan trọng sang hệ thống mạng khai thác dữ liệu IT. Trước mắt phù hợp cho việc lắp đặt tại các trung tâm điều khiển của các Công ty Điện lực để khai thác dữ liệu SCADA phục vụ công tác quản lý vận hành hệ thống Điện và công tác quản lý Kỹ thuật.
− Phần mềm do CPC IT tự phát triển, có thể chủ động nâng cấp để tăng tốc
độ truyền dữ liệu > 50Mbps khi có nhu cầu.
− CPC IT làm chủ công nghệ phần cứng cũng như phần mềm sẽ thuận tiện cho việc nâng cấp mở rộng sau này.
Tài liệu về sản phẩm Data Diode – Giải pháp bảo mật hệ thống mạng
