Các máy tính ở mạng trong có thể truy cập tới hoặc chứa các tài liệu, dữ liệu, thông tin cần bảo mật, hoàn toàn không có kết nối Internet tuân thủ đúng hướng dẫn của Bộ Công an tại Quyết định 71/2004/QĐ-BCA.
Mạng trong và mạng ngoài bị ngăn cách bởi “Tường lửa trong”. Tường lửa trong ngăn chặn mọi kênh kết nối, trừ một kênh kết nối riêng cho một giao thức đặc biệt, đảm bảo an toàn và được theo dõi chặt chẽ.
Hệ thông V-Azur có các nhóm chức năng chính sau đây:
Truy cập Internet an toàn:
Người dùng sử dụng phần mềm VCM12 client P0 trên máy trạm thuộc mạng trong không có kết nối Internet, kích hoạt một giao thức an toàn đặc biệt, nối bàn phím và màn hình của máy trạm này tới máy chủ VIE-P0 ở mạng ngoài.
Máy chủ VIE-P0, sau khi kiểm soát quyền truy cập của máy trạm, sinh ra một máy ảo và khởi động một trình duyệt trên máy ảo. Mọi hình ảnh của trình duyệt ảo hóa sẽ được truyền tới màn hình của máy trạm ở mạng trong, và tác động trên bàn phím của máy này sẽ được truyền tới ứng dụng của trình duyệt nhờ giao thức nói trên.
Giữa các ứng dụng, thông tin trên máy trạm ở mạng trong và trình duyệt ảo hóa trên VIE-P0 hoàn toàn không có bất cứ sự trao đổi dữ liệu nào, dù vô tình hay cố ý. Vì vậy người dùng không thể chuyển dữ liệu, tài liệu ra mạng ngoài và từ đó lên Internet và cũng không thể đưa mã độc vào mạng trong, dù là vô tình hay cố ý.
Các tài liệu tải từ trên mạng về, nếu người dùng có yêu cầu chuyển vào mạng bên trong, hệ thống sẽ tiến hành quét và chỉ cho phép các tệp được quy định là an toàn mới được chuyển vào mạng trong nhờ giao thức an toàn nói trên.
Làm việc từ xa an toàn:
Người dùng sử dụng phần mềm VCM12 Client P3 truy cập vào mạng ngoài của mạng nội bộ. Module VIE-VPN2.0 [13] sẽ kiểm tra quyền truy cập dựa trên các thông số được cài trên phần mềm và các thông số phần cứng của máy trạm từ xa đã được đăng ký từ trước.
Sau khi máy truy cập từ xa đã trở thành thành viên của mạng bên ngoài, phần mềm VCM12 Client P3 lại tiếp tục kích hoạt giao thức an toàn nói trên để kết nối màn hình và bàn phím của máy trạm từ xa với ứng dụng ảo hóa trên máy chủ VIE-P3 ở mạng trong và bắt đầu truy cập các tài liệu thông tin trong mạng trong.
Nhờ một cơ chế tương tự, trong suốt phiên làm việc ứng dụng ảo hóa hoàn toàn cách ly với các ứng dụng, clipboard, bộ nhớ của máy truy cập từ xa. Do đó việc truyền mã độc từ ngoài vào và thất thoát dữ liệu từ mạng trong ra Internet là tuyệt đối bị loại trừ.
Các chức năng trên được thực hiện trên cơ sở tuân thủ quy định tại Quyết định 71a/2004/QĐ-BCA của Bộ trưởng Bộ Công an.