Chia sẻ

Nếu bạn muốn triển khai Data Diode thật trong hệ SCADA / OT, thì phần cứng thường mua các thiết bị chuyên dụng (appliance) của các hãng bảo mật công nghiệp. Dưới đây là các thiết bị phổ biến nhất.

1. Thiết bị Data Diode công nghiệp

1️⃣ Waterfall Security Solutions – Unidirectional Security Gateway

Thiết bị nổi tiếng nhất trong SCADA.

Phần cứng gồm:

Gateway TX (OT side)
Gateway RX (IT side)
Fiber optic link

Ứng dụng:

SCADA → Cloud
PLC → Historian
Power plant

Đặc điểm:

truyền OPC, Modbus, MQTT
tốc độ 100 Mbps → 10 Gbps
dùng nhiều trong nhà máy điện

Waterfall có hơn 3000 hệ thống công nghiệp đang dùng.

2️⃣ Owl Cyber Defense – OPDS Series

Thiết bị rất phổ biến trong quốc phòng và năng lượng.

Ví dụ model:

OPDS-100
OPDS-1000
EPDS

Đặc điểm:

dạng 1U rack server
tốc độ 10 Mbps → 1 Gbps
hỗ trợ nhiều protocol SCADA.

3️⃣ Siemens – Data Capture Unit (DCU)

Dùng trong hệ thống công nghiệp và đường sắt.

Đặc điểm:

tốc độ ~200 Mbps
thu thập dữ liệu từ hệ điều khiển
gửi lên IT hoặc cloud.

4️⃣ Fox‑IT – Fox Data Diode

Thiết bị bảo mật rất cao.

tốc độ 1–10 Gbps
chứng nhận NATO / quân sự.

2. Cấu hình phần cứng khi triển khai

Một hệ Data Diode thật thường có:


PLC / RTU
     │
SCADA Server
     │
Switch OT
     │
Data Diode TX
     │ (fiber one-way)
Data Diode RX
     │
Switch IT
     │
Historian / Cloud

Thiết bị cần mua:

Thiết bị	Số lượng
Data Diode appliance	1 bộ
server OT	1
server IT replica	1
switch OT	1
switch IT	1
cáp fiber	1

3. Giá tham khảo (thực tế)

Data Diode không rẻ.

Hãng	Giá
Waterfall	~30k – 100k USD
Owl Cyber Defense	~20k – 80k USD
Fox-IT	>100k USD

Vì nó dùng cho:

điện lực
nuclear
quân sự
SCADA quốc gia

4. Nếu làm Data Diode DIY giá rẻ

Có thể làm bằng:

2 media converter fiber
cắt chiều RX/TX


Ethernet → Fiber TX ───► Fiber RX → Ethernet

Chi phí:

~100–300 USD

Nhưng không đạt chuẩn bảo mật công nghiệp.

💡 Với hệ thống bạn đang làm (MQTT + SCADA + Cloud), thực ra có một giải pháp giống Data Diode nhưng rẻ hơn 100 lần.

Nhiều nhà máy đang dùng cách này:


SCADA → MQTT broker DMZ → Cloud

Cloud chỉ subscribe, không publish xuống PLC.

Nếu bạn muốn, tôi có thể chỉ bạn cách làm Data Diode bằng MQTT + firewall trong SCADA (rất thực tế cho nhà máy).

mqtt broker dùng sub cũng an toàn như data diot ak

Ngắn gọn: MQTT broker chỉ dùng SUB không an toàn bằng Data Diode.
Nó an toàn ở mức logic phần mềm, còn Data Diode là bảo mật vật lý.

Tôi giải thích rõ để bạn dễ so sánh trong hệ SCADA/PLC.

1. MQTT chỉ SUB (logic security)

Kiến trúc thường dùng:


PLC → SCADA → MQTT Broker → Cloud
                        ↑
                    Cloud SUB

Cloud chỉ subscribe topic để đọc dữ liệu.

Bạn có thể:

tắt quyền publish
tắt write topic
firewall chặn chiều ngược

➡ bình thường khá an toàn.

Nhưng vẫn có rủi ro:

broker bị hack
cấu hình sai ACL
bug phần mềm
admin vô tình mở publish

Khi đó:


Cloud → publish → Broker → SCADA

vẫn có khả năng xảy ra.

2. Data Diode (hardware security)

Kiến trúc:


SCADA → Data Diode → IT / Cloud

Điểm khác biệt:

không tồn tại đường truyền ngược

Không phải:


block publish

mà là:


không có dây truyền ngược

Ngay cả khi:

server IT bị hack
cloud bị hack
malware

➡ cũng không thể gửi dữ liệu về OT.

3. So sánh trực tiếp

Tiêu chí	MQTT SUB	Data Diode
Kiểu bảo mật	phần mềm	phần cứng
Hai chiều mạng	có	không
Hacker có thể bypass	có khả năng	gần như không
Chi phí	rẻ	rất đắt
Dùng trong SCADA quốc gia	ít	rất nhiều

4. Trong thực tế nhà máy

90% hệ thống công nghiệp không dùng Data Diode vì quá đắt.

Họ dùng kiến trúc:


PLC
 │
SCADA
 │
DMZ
 │
MQTT Broker
 │
Cloud

Kèm theo:

firewall
VLAN
ACL topic
VPN

➡ gọi là Defense in depth.

5. Với hệ bạn đang làm

Bạn đang dùng:

Kepware
MQTT
WinCC Unified
FUXA

Nếu cấu hình đúng:


SCADA publish only
Cloud subscribe only

và:

disable broker publish từ cloud
firewall block inbound

➡ đã khá an toàn cho hệ thống công nghiệp bình thường.

💡 Nhưng có một điều rất thú vị trong SCADA:

MQTT thực ra có thể cấu hình gần giống Data Diode 90% nếu đặt broker trong DMZ đúng cách.

Nhiều nhà máy điện đang dùng kiến trúc này.

Nếu bạn muốn, tôi có thể vẽ cho bạn kiến trúc MQTT cho SCADA chuẩn ISA-95 / Purdue Model (rất hay và đúng chuẩn nhà máy).

Nội dung chính

giải pháp truyền thông tin 1 chiều

1. Thiết bị Data Diode công nghiệp

1️⃣ Waterfall Security Solutions – Unidirectional Security Gateway

2️⃣ Owl Cyber Defense – OPDS Series

3️⃣ Siemens – Data Capture Unit (DCU)

4️⃣ Fox‑IT – Fox Data Diode

2. Cấu hình phần cứng khi triển khai

3. Giá tham khảo (thực tế)

4. Nếu làm Data Diode DIY giá rẻ

1. MQTT chỉ SUB (logic security)

2. Data Diode (hardware security)

3. So sánh trực tiếp

4. Trong thực tế nhà máy

5. Với hệ bạn đang làm

Tin mới

Liên hệ (Contact)

Tìm kiếm (SEARCH)

Main Tags

Thời tiết hiện tại

Lịch làm việc

Thông báo

Đọc nhiều

Có thể bạn quan tâm

Ban biên tập

Thống kê

giải pháp truyền thông tin 1 chiều

gửi email cho tác giả

1. Thiết bị Data Diode công nghiệp

1️⃣ Waterfall Security Solutions – Unidirectional Security Gateway

2️⃣ Owl Cyber Defense – OPDS Series

3️⃣ Siemens – Data Capture Unit (DCU)

4️⃣ Fox‑IT – Fox Data Diode

2. Cấu hình phần cứng khi triển khai

3. Giá tham khảo (thực tế)

4. Nếu làm Data Diode DIY giá rẻ

1. MQTT chỉ SUB (logic security)

2. Data Diode (hardware security)

3. So sánh trực tiếp

4. Trong thực tế nhà máy

5. Với hệ bạn đang làm

Cùng chuyên mục

Tin mới

Liên hệ (Contact)

Tìm kiếm (SEARCH)

Main Tags

Thời tiết hiện tại

Lịch làm việc

Thông báo

Đọc nhiều

Có thể bạn quan tâm

Ban biên tập

Thống kê