Giải pháp USG dựa trên công nghệ FPGA

Chuyển đổi số đang thúc đẩy xu hướng hội tụ IT/OT, nơi các hệ thống công nghệ vận hành (OT) và công nghệ thông tin (IT) được kết nối để chia sẻ dữ liệu. Mặc dù mang lại lợi ích vượt trội, sự hội tụ này cũng đặt ra nguy cơ mất an toàn thông tin, đặc biệt khi các hệ thống OT đối mặt với nguy cơ bị tấn công chiếm quyền điều khiển.

Trong môi trường OT, các hệ thống điều khiển công nghiệp thường không được thiết kế để đối phó với các mối đe dọa an ninh mạng hiện đại. Đây là điểm yếu dễ bị khai thác, đặc biệt khi các mạng này ngày càng kết nối với mạng IT. Những cuộc tấn công mạng nhắm vào hệ thống OT có thể gây ra hậu quả nghiêm trọng, không chỉ làm gián đoạn sản xuất mà còn đe dọa an ninh quốc gia và an toàn công cộng.

An ninh mạng trong thời đại số, tập trung vào công nghệ FPGA.

Để giải quyết vấn đề này, các nhà nghiên cứu TS. Lê Xuân Đức, ThS. Đỗ Duy Mạnh, ThS. Nguyễn Văn Dần - Viện Nghiên cứu 486, thuộc Bộ Tư lệnh Tác chiến Không gian mạng (Bộ Tư lệnh 86), đã phát triển giải pháp cổng bảo mật một chiều (Unidirectional Security Gateway - USG) nhằm đảm bảo an toàn cho việc truyền dữ liệu giữa các mạng độc lập.

Theo đó, cổng truyền dữ liệu một chiều USG sử dụng vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA) làm nền tảng. Thiết bị này không chỉ cho phép truyền dữ liệu một chiều giữa hai mạng độc lập mà còn duy trì tốc độ cao, đáp ứng các yêu cầu thời gian thực của các giao thức mạng IT/OT như ModbusTCP, IEC 104, và IEC 61850.

Cụ thể, phần cứng của thiết bị bao gồm 02 thành phần chính bo mạch xử lý FPGA và máy tính nhúng điều khiển (EPC). Bo mạch FPGA sẽ nhận lệnh từ EPC xử lý dữ liệu theo tập lệnh nhận được đồng thời phản hồi lại EPC các sự kiện đã xử lý.

Trên EPC chạy phần mềm, giao diện điều khiển cho phép quản trị, cấu hình, thiết lập luật, hiển thị trạng thái, hiển thị Log sự kiện, nhận lệnh từ hệ thống giám sát thông qua Giao diện lập trình ứng dụng (Application Programming Interface - API). Trên bo mạch FPGA bao gồm bộ nhớ RAM ngoài, bộ nhớ Flash, bộ cấp nguồn, cổng quang SFP/ SFP+ (Small Form-factor Pluggable) kết nối với hệ thống mạng điều khiển, mạng IT/OT và EPC.

Phần sụn (Firmware) của thiết bị bao gồm các khối xử lý trung tâm, khối trao đổi dữ liệu trên cổng quang, khối cấu hình cho các cổng quang. Lõi xử lý trung tâm có nhiệm vụ chính là nhận tập luật điều khiển từ EPC thông qua Module SFP/SFP+. Tập luật nhận từ EPC được ghi vào BLOCK RAM của FPGA. FPGA sẽ dựa theo tập luật điều khiển để thực thi xử lý dữ liệu số vào ra từ luồng dữ liệu trên Khối cổng quang SFP/SFP+. Khối trao đổi dữ liệu trên cổng quang có nhiệm vụ kết nối hệ thống mạng OT với hệ thống mạng IT thông qua chuẩn quang SFP/SFP+, luồng dữ liệu sẽ qua khối này trước khi vào FPGA. Khối cấu hình có nhiệm vụ thiết lập trạng thái làm việc trên cổng quang SFP/SFP+.

Đối với thiết kế phần mềm triển khai trên thiết bị USG sẽ có phần mềm điều khiển có khả năng tương tác nhận lệnh điều khiển hay liên kết với các hệ thống giám sát mạng điều khiển. Trong đó, khối xử lý Trung tâm bao gồm một số chức năng chính như: Tương tác CSDL với FPGA cho phép đẩy dữ liệu xuống FPGA qua cổng SFP/SFP+; Chức năng cập nhật phần mềm cho phép cập nhật các bản nâng cấp, bản vá nếu có; Thiết lập tập luật chặn tất cả gói tin chứa dữ liệu đi từ vùng mạng IT hay những gói tin không nằm trong nằm trong Danh sách kiểm soát truy cập (Access Control List - ACL).

Khối API kết nối với hệ thống giám sát an toàn thông tin cho mạng điều khiển bao gồm một số chức năng chính như: Nhận dữ liệu từ hệ thống giám sát mạng điều khiển; Đọc, ghi vào cơ sở dữ liệu; Gửi tập luật xuống bo mạch FPGA.

Khối giao diện quản trị, cấu hình bao gồm một số chức năng chính như: Quản lý người dùng, phân quyền, quản lý chức năng hệ thống cho phép tạo mới, sửa và cấp quyền cho người sử dụng; Quản lý và cấu hình hệ thống cho phép thiết lập cấu hình mặc định cho thiết bị trên giao diện điều khiển; Quản lý các lệnh điều khiển cho phép thêm sửa xóa bằng tay các tập luật trên giao diện điều khiển.

Khối cấu hình, điều khiển phần cứng bao gồm một số chức năng chính như sau: Tiếp nhận luật từ phân hệ xử lý trung tâm. + Ra lệnh chặn/bỏ chặn gói tin theo luật đã nhận; Thiết lập tự động chặn gói tin, cách ly với vùng mạng bị nhiễm mã độc theo dữ liệu nhận được từ hệ thống giám sát.

Khối lưu trữ cơ sở dữ liệu: Đọc/Ghi cơ sở dữ liệu về thông tin User, Password; tập luật thiết lập; trạng thái liên kết với hệ thống giám sát mạng, đường truyền; Log sự kiện.

USG được trang bị cơ chế quản lý truy cập dựa trên địa chỉ MAC, IP và PORT. Khi gói tin từ mạng OT đến IT, thông tin về địa chỉ MAC, IP, và PORT sẽ được đối chiếu với ACL. Gói tin chỉ được phép truyền nếu khớp với Danh sách kiểm soát truy cập (Access Control List - ACL), ngược lại sẽ bị chặn. Tương tự, các gói tin từ mạng IT đến OT cũng bị kiểm soát chặt chẽ để ngăn chặn nguy cơ rò rỉ dữ liệu.

Thiết bị USG cũng hỗ trợ xử lý các gói tin TCP quan trọng, như các gói SYN, SYN-ACK, FIN-ACK, và ACK, đảm bảo kết nối ổn định mà không làm rò rỉ dữ liệu. Đặc biệt, các giao thức thời gian thực như IEC 104 và IEC 61850 được tối ưu hóa để đảm bảo không làm gián đoạn hoạt động sản xuất.

So với các thiết bị Data Diode truyền thống, USG vượt trội nhờ: Hỗ trợ giao thức thời gian thực trên nền TCP/IP, USG cho phép truyền dữ liệu với tốc độ cao, đáp ứng các yêu cầu nghiêm ngặt trong môi trường công nghiệp. Quản lý truy cập chặt chẽ dựa trên thông tin MAC, IP và PORT, tính năng này giúp tăng cường an ninh, ngăn chặn các cuộc tấn công giả mạo. USG dễ dàng tùy biến để đáp ứng nhu cầu đặc thù của từng ngành công nghiệp.

Vai trò của quân đội trong bảo vệ an ninh mạng quốc gia

Trung tá Vũ Duy Thăng, Trưởng phòng Phân tích mã độc, Viện Nghiên cứu 486, thuộc Bộ Tư lệnh tác chiến không gian mạng (Bộ Tư lệnh 86) cho biết, đến đầu năm 2024, đơn vị tiếp nhận gần 1.000 mã, chủng loại mã độc từ các đơn vị trong toàn quân. Những mã độc này được thiết kế để đánh cắp thông tin, dữ liệu.

Viện Nghiên cứu 486 cũng ứng cứu và điều tra hàng loạt sự cố liên quan tới mất an toàn thông tin nhằm vào các tập đoàn kinh tế lớn, các cơ quan của Đảng và Chính phủ trong thời gian qua.

Trung tướng, PGS.TS Nguyễn Đức Hải - Nguyên Viện trưởng Viện Chiến lược Quốc phòng, Bộ Quốc phòng cho biết, đấu tranh phản bác các quan điểm sai trái trên không gian mạng là mặt trận quyết liệt, phức tạp và lâu dài. Các thế lực thù địch lợi dụng triệt để không gian mạng, nhất là mạng xã hội với khả năng tương tác, tạo hiệu ứng nhanh, rất khó kiểm soát, quản lý, giám sát, kiểm duyệt.

Trong khi những thủ đoạn tấn công ngày càng tinh vi và phức tạp, việc sử dụng sức người để chiến đấu đòi hỏi các cán bộ, chiến sĩ phải làm việc liên tục, có khi tới 200% sức lực. Tuy nhiên, với sự bùng nổ của Internet trong kỷ nguyên 4.0, nhiệm vụ này sẽ trở nên "bất khả thi" nếu không có giải pháp ứng dụng công nghệ.

Nhận thức rõ tầm quan trọng của vấn đề, ngay từ năm 2021, Bộ Tư lệnh 86 và Tập đoàn Công nghiệp – Viễn thông Quân đội (Viettel) đã chung tay xây dựng giải pháp. Tháng 11/2022, 2 đơn vị đã ký kết thoả thuận tăng cường phối hợp trong tác chiến, bảo đảm an toàn, chủ quyền Việt Nam trên không gian mạng.

Bộ Tư lệnh 86 và Tập đoàn Viettel đã phối hợp xây dựng các giải pháp an ninh mạng tiên tiến, đồng thời phát triển nguồn nhân lực chất lượng cao trong lĩnh vực công nghệ thông tin và an ninh mạng. Với sự đầu tư mạnh mẽ vào nghiên cứu và phát triển, hai đơn vị này đặt mục tiêu đưa Việt Nam trở thành một trong những quốc gia dẫn đầu về công nghệ an ninh mạng.