
Trong bối cảnh các hệ thống hạ tầng trọng yếu (IT và OT) liên tục đối mặt với các cuộc tấn công mạng phức tạp, việc đảm bảo cách ly mạng tuyệt đối mà vẫn duy trì khả năng giao tiếp dữ liệu mượt mà là một bài toán khó. Giải pháp Secure Xchange Network (SXN) của Seclab mang đến một cách tiếp cận hoàn toàn mới: một Cổng bảo mật 2 chiều (BSG) ứng dụng công nghệ cách ly dựa trên phần cứng (Hardware Based Isolation).
Phần lớn các giải pháp an ninh mạng tiêu chuẩn hiện nay đều dựa vào các phần mềm tùy chỉnh được thực thi trên máy chủ. Dù việc xử lý bằng CPU mang lại tính linh hoạt cao và khả năng mở rộng dễ dàng, nhưng chúng lại rất dễ bị tấn công thông qua các lỗ hổng phần mềm nhằm thay đổi hành vi của bộ xử lý.
Để giải quyết bài toán cách ly vật lý, nhiều hệ thống sử dụng Data Diode. Tuy nhiên, công nghệ này bộc lộ nhiều điểm yếu chí mạng:
-
Để giao tiếp được 2 chiều, hệ thống buộc phải sử dụng 2 hoặc nhiều Data Diode ngược chiều nhau.
-
Cần phải tích hợp thêm các module bổ sung (Connector, Adapter, protocol converter) để có thể tương thích với các giao thức yêu cầu giao tiếp 2 chiều như IEC 104.
-
Data Diode gặp hạn chế về số lượng giao thức hỗ trợ, độ trễ cao, số kênh truyền đồng thời thấp và không thể giải quyết triệt để vấn đề mất dữ liệu do cơ chế đặc thù.
Trong một thế giới nơi các ranh giới giữa các vùng mạng bên trong (cần được bảo vệ cẩn mật hơn) và mạng ngoài ngày cảng trở nên mờ nhạt, chúng ta không còn có thể dựa vào sự phân tách truyền thống của hai miền này bằng kỹ thuật giao tiếp một chiều (Data Diode) hoặc cách ly mạng. Hệ thống SCADA tiên tiến hiện đang sử dụng cácgiao thức truyền thông đáng tin cậy để đảm bảo hoạt động trơn tru.
Seclab đã nghiên cứu và đưa vào ứng dụng giải pháp Secure Xchange Network cho phép giao tiếp hai chiều thông qua giao thức TCP/UDP trong khi vẫn đảm bảo an ninh bằng cách xử lý dọn dẹp triệt để 4 lớp đầu tiên (Lớp vật lý truyền dẫn) trong mô hình OSI.
Như chúng ta đã biết, hầu hết các tấn công đều đến từ trên tầng kết nối (Network connection)

Các giải pháp bảo mật thông dụng thường không thể bao quất cũng như xử lý triệt để các nguy cơ tấn công tiềm ẩn trong lớp 1-> trong mô hình OSI.

Với cách xử lý của SXN, Seclab tự tin bảo vệ hệ thống mạng khỏi các tấn công tiềm ẩn trong lớp 1 -> 4 của mô hình OSI.
Giải pháp Secure XChange Network
Giải pháp Secure Xchange Network cụ thể thiết bị Denelis là thiết bị phần cứng với đặc điểm được đóng gói dưới dạng rackmount 1U 19” như sau:

Nhiệm vụ của thiết bị SXN là phân đoạn 2 lớp mạng A và B. Để xử lý, việc này, thiết bị chia làm 3 thành phần:
- Thành phần Gate A
- Thành phần lõi Core
- Thành phần Gate B
Toàn bộ 3 thành phần này lắp đặt riêng biệt. Mỗi thành phần được cấu tạo gồm CPU và FPGA – Field Programmable Gate Array, trong đó phần FPGA được xử lý sao cho không thể lập trình lại. Riêng thành phần lõi Core chỉ hiện tại chỉ xử lý toàn bộ tác vụ bằng FPGA. Do thiết bị xử lý tín hiệu thuần túy bằng bo mạch điện tử (Pure Electronic) kết hợp cơ chế cấu hình quản trị độc lập 2 cổng tương ứng trên 2 thành phần Gate A và Gate B, thiết bị đã được chứng thực qua thử nghiệm Pen test là không thể từ giao diện quản trị của cổng này tương tác với cổng còn lại cho dù cho tài khoản quyền cao nhất của thiết bị.
Thay vì sử dụng CPU thông thường, giải pháp của Seclab ứng dụng công nghệ “hardsec” (phần cứng bảo mật) sử dụng logic xác định trên chip FPGA (không phải máy Turing), giúp hệ thống tránh được những cạm bẫy trong tính linh hoạt của phần mềm.
Điểm đáng giá nhất của kiến trúc này là logic hoạt động của FPGA được “đóng cứng” từ nhà máy (Burnt FPGA). Điều này có nghĩa là tin tặc không thể sửa đổi logic FPGA về mặt vật lý trong thời gian chạy, thông qua các cổng I/O hay thậm chí là từ xa. Với kiến trúc này, ngay cả khi kẻ tấn công bằng cách nào đó kiểm soát được FPGA, chúng cũng không thể kiểm soát được toàn bộ hệ thống.
Khác biệt cốt lõi của SXN so với các tường lửa thông thường là khả năng loại bỏ tuyệt đối tầng Transport (OSI L1-4). Thiết bị được kết cấu bao gồm 3 thành phần bo mạch độc lập (3 OS/3 Board), mỗi bo mạch được cấu hình riêng biệt và hai bo mạch kết nối vào hạ tầng mạng không bao giờ giao tiếp trực tiếp với nhau.

Quy trình vận chuyển dữ liệu siêu an toàn (Secure Transport) diễn ra qua 3 bước:
-
Bước 1 (Tại GATE A): Gói IP đến từ mạng nguồn sẽ bị bóc tách và loại bỏ toàn bộ các lớp từ 1 đến 4, chỉ giữ lại phần dữ liệu thô (Data Payload) thuộc lớp 5 đến lớp 7.
-
Bước 2 (Tại Bo mạch Core): Bo mạch lõi làm nhiệm vụ chuyển Data Payload sang quy trình tiếp theo trong trạng thái hoàn toàn không chứa bất kỳ thông tin mạng nào của lớp 1-4.
-
Bước 3 (Tại GATE B): Các lớp 1-4 được thiết bị xây dựng lại hoàn toàn mới dựa trên thông tin cấu hình định trước. Sau đó, Data Payload gốc được gắn vào các lớp 1-4 mới này và toàn bộ gói tin được định tuyến (non-routable) đến dịch vụ đích.

Quá trình tái tạo này giúp triệt tiêu mọi lỗ hổng và nguy cơ tiềm ẩn có thể bám theo tầng truyền dẫn mạng.
So với các giới hạn của Data Diode, công nghệ của Seclab mang đến sự tương thích tuyệt vời:
-
Tương thích TCP/IP 2 chiều: Phù hợp với hầu hết các hệ thống hiện có, cho phép truyền dẫn giữa các vùng mạng IT-IT, IT-OT, OT-OT mà không đòi hỏi nâng cấp phần cứng hay phần mềm đặc biệt.
-
Kiểm soát luồng dữ liệu mạnh mẽ: Thiết bị hỗ trợ kiểm soát hướng kết nối (direction control), lọc IP (như một Firewall cơ bản), hỗ trợ cấu hình VLAN và có khả năng xử lý lên đến 3000 session đồng thời.
-
Module Truyền tệp an toàn (File Transfer): Hoạt động độc lập với tính năng truyền dẫn TCP/IP, hỗ trợ đồng bộ bằng tệp, cập nhật bản vá offline, ký số khi truyền đi và xác thực chữ ký số khi nhận. Các tệp truyền tải còn được phân tích và làm sạch qua hệ thống Antivirus trước khi phân phối.

Mỗi một cổng sẽ bao gồm 2 cổng quản trị qua giao diện Ethernet và cổng USB console. Để cấu hình, mỗi cổng, quản trị viên phải kết nối và cấu hình riêng biệt và cả 2 phía phải cấu hình tương thích với nhau. Khi đó, thiết bị mới cho dữ liệu truyền dẫn qua.
Thành phần lõi Core sẽ chỉ sao chép lớp 5 đến lớp 7 trong mô hình OSI của các gói tin khi truyền dữ liệu từ cổng này sang cổng kia. Dữ liệu khi qua đến cổng kia sẽ được đóng gói đầy đủ lại theo đúng mô hình OSI.

Như đã trình bày ở trên, SXN gồm 2 module chính:
- File Transfer (FT): truyền tệp
- Transport Protocol (TP) : tương thích với truyền dẫn TCP/IP
Hai module trên được tích hợp và hoàn toàn có thể sử dụng đồng thời cùng lúc trên cùng 1 thiết bị SXN.
Thiết bị SXN không yêu cầu thêm bất kỳ phần mềm hay hệ thống phụ trợ nào bên ngoài, Tất cả các hệ thống, ứng dụng sử dụng TCP/IP chuyển thông tin qua lớp 5->7 trong mô hình OSI đều tương thích với SXN.
Minh chứng độ tin cậy từ các chứng nhận và triển khai thực tế:
Certified
SECLAB products are certified by the French Cybersecurity Agency (ANSSI) for being used in critical infrastructures (“CIIP Law”):
Chất lượng và độ tin cậy của Seclab SXN không chỉ nằm trên lý thuyết. Các sản phẩm của hãng đã được chứng nhận bởi Cơ quan an ninh mạng Pháp (ANSSI) với chứng chỉ CSPN.
Ứng dụng của thiết bị Seclab Denelis
.png)
Giải pháp cho phép liên lạc an toàn với các hệ thống bị mạng, lớp mạng cô lập
Seclad SXN là giải pháp Data Diode 2.0 thay thế cho Data Diode ( tường lửa 1 chiều ) truyền thống đảm bảo an ninh, đồng bộ thời gian thực gồm 03 yêu tố sau :
– Tính bảo mật: Các gói tin được thất lạc, mất gói, có xác thực khi truyền nhận các thông tin.
– Tính toàn vẹn: Các gói tin được đảm bảo không bị thay đổi trên đường truyền.
– Tính xác thực: Các gói tin được gửi từ 1 nguồn tin cậy.
Các ứng dụng Seclab SXN :

– Hệ thống mạng OT/IT , OT ( SCADA,EMS,ICS,DCS,HMI,IoT…) cho các nhà máy điện , xăng dầu , khoáng sản , các nhà máy sản xuất ,nhà máy năng lượng quan trọng, mạng điều độ đường sắt , điều khiển không lưu sân bay ….
– Hệ thống mạng internet / mạng dự liệu bộ quốc phòng, bộ công an
– Hệ thống mạng internet/ mạng nội bộ chính phủ , quốc hội , đảng …
– Hệ thống mạng internet / mạng nội bộ lease line ngân hàng , tài chính , chứng khoán….
– Mạng truyền dẫn Smart city / Mạng điều khiển Smart city
– Hệ thống cách ly vùng dữ liệu backup khôi phục thảm họa , phòng chống bị mã hóa dữ liệu : Airgap Security , Airgap Backup , Air Gap Data Protection , Airgap vault
Model của Seclab SXN:
Một số model của Seclab SXN có thể sản xuất theo yêu cầu của từng khách hàng yêu cầu .
.png)
