1. Trang chủ
  2. » Thể loại khác

CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG IT - PHẦN 2: KIẾN TRÚC AN NINH MẠNG

19 7 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 19
Dung lượng 810 KB

Nội dung

Công ty luật Minh Khuê www.luatminhkhue.vn TIÊU CHUẨN QUỐC GIA TCVN 8051-2:2009 ISO/IEC 18028-2:2006 CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG IT - PHẦN 2: KIẾN TRÚC AN NINH MẠNG Information technology - Security techniques - IT network security - Part 2: Network security architecture Lời nói đầu TCVN 8051-2:2009 hồn tồn tương đương với ISO/IEC 18028-2:2006 TCVN 8051-2:2009 Ban Kỹ thuật Tiêu chuẩn quốc gia TCVN/JTC “Công nghệ thông tin” biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Cơng nghệ cơng bố CƠNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG IT - PHẦN 2: KIẾN TRÚC AN NINH MẠNG Information technology - Security techniques - IT network security - Part 2: Network security architecture Phạm vi áp dụng Tiêu chuẩn xác định kiến trúc an ninh mạng để cung cấp an ninh mạng đầu mút Kiến trúc áp dụng cho nhiều loại mạng tập trung vào an ninh mạng đầu mút không phụ thuộc vào công nghệ tảng mạng Mục đích tiêu chuẩn cung cấp sở xây dựng khuyến cáo chi tiết an ninh mạng đầu mút Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm ban hành áp dụng nêu Đối với tài liệu viện dẫn khơng ghi năm ban hành áp dụng phiên nhất, bao gồm sửa đổi ISO 7498-2:1989, Information processing systems - Open Systems Interconnection - Basic Reference Model - Part 2: Security Architecture (Hệ thống xử lý thông tin - Liên kết nối hệ thống mở - mơ hình tham chiếu - Phần 2: Kiến trúc an ninh); Khuyến cáo X800 (1991) CCITT, Security architecture for Open Systems - Interconnection for CCITT applications (Kiến trúc an ninh hệ thống mở - Liên kết nối ứng dụng CCITT) Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa ISO 7498-2:1989 khuyến cáo Rec.X.800 CCITT sau đây: 3.1 Kiểm soát truy cập (access control) Việc ngăn ngừa sử dụng trái phép tài nguyên, bao gồm việc ngăn ngừa sử dụng tài nguyên theo cách trái phép 3.2 Xác thực nguồn gốc liệu (data origin authentication) Chứng thực nguồn liệu nhận theo yêu cầu 3.3 Xác thực thực thể ngang hàng (peer-entity authentication) Chứng thực thực thể ngang hàng liên kết thực thể u cầu 3.4 Tính sẵn có (availability) Đặc tính truy cập sử dụng theo nhu cầu thực thể cho phép 3.5 Tính bảo mật (confidentiality) Đặc tính mà thơng tin khơng sẵn dùng không bị lộ cá nhân, thực thể q trình trái phép 3.6 Tính tồn vẹn liệu (data integrity) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Đặc tính mà liệu khơng bị thay đổi phá hoại theo cách trái phép 3.7 Không từ chối với chứng nguồn gốc (non-repudiation with proof of origin) Dịch vụ an ninh người nhận liệu đưa chứng minh nguồn gốc liệu CHÚ THÍCH 1: Dịch vụ bảo vệ chống lại cố gắng giả dối người gửi phủ nhận việc gửi liệu nội dung liệu CHÚ THÍCH 2: Phù hợp với ISO 7498-2 khuyến cáo Rec.X.800 CCITT 3.8 Không từ chối với chứng phân phát (non-repudiation with proof of delivery) Dịch vụ an ninh người gửi liệu đưa chứng minh việc phân phát liệu CHÚ THÍCH 1: Dịch vụ bảo vệ chống lại cố gắng giả dối người nhận phủ nhận việc nhận liệu nội dung liệu CHÚ THÍCH 2: Phù hợp với ISO 7498-2 khuyến cáo Rec X.800 CCITT 3.9 Tính bí mật (privacy) Quyền cá nhân để kiểm soát tác động thơng tin thu thập lưu trữ cho người khác mà thông tin bị lộ Từ viết tắt ASP Nhà cung cấp dịch vụ ứng dụng (Application Service Provider) ATM Phương thức truyền không đồng (Asynchronous Transfer Mode) DHCP Giao thức cấu hình máy chủ động (Dynamic Host Configuration Protocol) DS-3 Tín hiệu mức số (Digital Signal level 3) IPsec Giao thức an ninh IP (IP Security protocol) MD5 Bản tóm lược thơng điệp phiên (Message Digest Version 5) OAM&P Cung cấp trì quản trị điều hành (Operations Administration Maintenance and Provisioning) OSI Liên kết nối hệ thống mở (Open Systems Interconnection) PSTN Mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Network) PVC Mạch ảo vĩnh cửu (Permanent Virtual Circuit) SHA-1 Thuật tốn băm an tồn (Secure Hash Algorithm) SIP Giao thức khởi tạo phiên (Session Initiation Protocol) SMTP Giao thức truyền thư tin đơn giản (Simple Mail Transfer Protocol) SONET Mạng quang đồng (Synchronous Optical Network) SS7 Hệ thống tín hiệu #7 (Signalling System #7) SSL Lớp ổ cắm an tồn (mã hóa giao thức xác thực) (Secure Socket Layer (encryption and authentication protocol)) TLS An ninh tầng chuyển vận (mã hóa giao thức xác thực) (Transport Layer Security (encryption and authentication protocol)) VLAN Mạng cục ảo (Virtual Local Area Network) Kiến trúc tham chiếu an ninh mạng Kiến trúc tham chiếu tạo để hướng vào thách thức an ninh toàn cầu nhà cung cấp dịch vụ, doanh nghiệp, khách hàng ứng dụng cho mạng hội tụ, liệu, thoại thông qua đường dây, cáp quang không dây Trong nội dung tiêu chuẩn từ “tham chiếu” kết hợp với từ “kiến trúc” sử dụng để truyền đạt đặc tả thể ví dụ kiến trúc an ninh mức cao sử dụng sở thiết kế giải pháp an ninh chi tiết mạng khác Kiến trúc tham chiếu hướng vào vấn đề an ninh quản lý, kiểm soát sử dụng hạ tầng, dịch vụ ứng dụng mạng Kiến trúc tham chiếu đưa viễn cảnh an ninh mạng đầu mút toàn diện, từ xuống (top-down), áp dụng cho phần tử, dịch vụ ứng dụng mạng để dự báo, phát sửa chữa điểm yếu an ninh LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Về mặt logic, kiến trúc tham chiếu phân chia phức tạp đặc tính liên quan đến an ninh mạng đầu mút thành thành phần kiến trúc riêng biệt cách hợp lý Sự phân tách cho phép cách tiếp cận hệ thống an ninh đầu mút mà sử dụng cho việc lập kế hoạch giải pháp an ninh việc đánh giá an ninh mạng Kiến trúc tham chiếu hướng vào nhu cầu an ninh mạng bao hàm câu hỏi cần thiết sau đây: Loại thông tin cần bảo vệ? Rủi ro an ninh loại bảo vệ cần để quản lý rủi ro? Kiểu hoạt động mạng phân biệt cần bảo vệ? Kiểu thiết bị nhóm phương tiện mạng phân biệt cần bảo vệ? Đánh giá rủi ro nên dẫn yêu cầu bảo vệ ưu tiên giúp xác định biện pháp an ninh thích hợp kiến trúc an ninh Các câu hỏi đưa thông qua ba thành phần kiến trúc là: Kích thước an ninh, mặt phẳng an ninh tầng an ninh Các nguyên tắc mơ tả kiến trúc tham chiếu đa khía cạnh áp dụng rộng rãi cho nhiều mạng khác độc lập với công nghệ vị trí mạng ngăn xếp giao thức Các điều mô tả chi tiết phần tử cấu trúc chức chúng mối đe dọa an ninh Kích thước an ninh Thơng thường, q trình quản lý rủi ro, biện pháp an ninh thích hợp định danh để quản lý giảm bớt rủi ro đánh giá Kích thước an ninh đưa việc nhóm biện pháp an ninh sử dụng để thực thi khía cạnh riêng an ninh mạng Khái niệm kích thước an ninh khơng hạn chế mạng, mà sử dụng bối cảnh ứng dụng thơng tin người sử dụng cuối, kích thước an ninh áp dụng nhà cung cấp dịch vụ doanh nghiệp để cung cấp dịch vụ an ninh cho khách hàng Kích thước an ninh là: (1) Kiểm soát truy cập, (2) Xác thực, (3) Không từ chối, (4) Bảo mật liệu, (5) An ninh luồng truyền thơng, (6) Tính tồn vẹn liệu, (7) Tính sẵn có (8) Tính bí mật Kích thước an ninh thiết kế thực thi thích hợp hỗ trợ sách an ninh định nghĩa cho mạch riêng biệt tạo thuận lợi cho quy tắc thông qua việc quản lý an ninh 6.1 Kích thước an ninh kiểm sốt truy cập Kích thước an ninh kiểm sốt truy cập đưa việc phân quyền để sử dụng tài nguyên mạng Kiểm soát truy cập bảo đảm cá nhân thiết bị cấp phép phép truy cập phần tử mạng, thông tin lưu trữ, luồng thông tin, dịch vụ ứng dụng mạng; Kiểm sốt truy cập dựa vai trị (RBAC) đưa mức độ truy cập khác để bảo đảm cá nhân thiết bị tiến hành truy cập thực thi điều hành phần tử mạng, thông tin lưu trữ luồng thơng tin phân quyền 6.2 Kích thước an ninh xác thực Kích thước an ninh xác thực sử dụng để xác nhận định danh thuộc tính phân quyền khác thực thể truyền thống Xác thực bảo đảm tính hợp lệ định danh tuyên bố sử dụng việc phân quyền kiểm soát truy cập thực thể tham gia truyền thông (như là; cá nhân, thiết bị, dịch vụ ứng dụng) đưa việc đảm bảo thực thể không cố gắng giả mạo xem lại cách trái phép thông tin trước Các phương pháp xác định sử dụng kỹ thuật dựa cặp định danh mật người sử dụng (ví dụ: mã thơng báo), phương pháp sinh trắc học phương pháp sử dụng rộng rãi 6.3 Kích thước an ninh khơng từ chối Kích thước an ninh khơng từ chối đưa biện pháp kỹ thuật việc ngăn ngừa cá nhân thực thể từ chối thực hành động đặc biệt liên quan đến liệu việc tạo chứng có hiệu lực hành động khác liên quan đến mạng (như chứng bổn phận, mục đích cam kết, chứng nguồn gốc liệu, chứng quyền sở hữu, chứng sử dụng tài ngun) Nó giúp bảo đảm tính sẵn có chứng cớ trình bày cho bên thứ ba chứng kỹ thuật vài kiện hành động xảy Tuy nhiên, ý không từ chối đưa biện pháp kỹ thuật không dẫn tới kết luận luật cần thiết, phương pháp mã hóa thường sử dụng việc đưa khơng từ chối 6.4 Kích thước an ninh bảo mật liệu LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Kích thước an ninh bảo mật liệu, bảo vệ liệu khỏi làm lộ trái phép Mật mã hóa phương pháp thường sử dụng để bảo đảm tính bảo mật liệu Danh sách kiểm soát truy cập cho phép tệp tin phương pháp giữ bảo mật liệu 6.5 Kích thước an ninh luồng truyền thơng Kích thước an ninh luồng truyền thông bảo đảm thông tin truyền điểm đầu mút cho phép (thông tin khơng bị lệch hướng bị chặn truyền điểm đầu mút này) Cơ chế an ninh kích thước an ninh luồng truyền thông không bảo vệ chống lại sửa đổi/làm sai lệch; chức tính tồn vẹn liệu Đường hầm MPLS, VLAN VPN ví dụ cơng nghệ đưa an ninh luồng truyền thơng 6.6 Kích thước an ninh tính tồn vẹn liệu Kích thước an ninh tính tồn vẹn liệu bảo đảm tính đắn mức xác (nghĩa là; liệu xử lý trình phân quyền hành động cá nhân thiết bị phân quyền) liệu Dữ liệu bảo vệ chống lại sửa đổi, xóa bỏ, tạo chép trái phép đưa dấu hiệu hoạt động trái phép Phương pháp mã hóa xác thực thông điệp băm (như MD5, SHA-1) thường sử dụng cho việc đảm bảo tính tồn vẹn liệu 6.7 Kích thước an ninh tính sẵn có Kích thước an ninh tính sẵn có bảo đảm khơng từ chối truy cập phân quyền phần tử mạng, thông tin lưu trữ, luồng thông tin, dịch vụ ứng dụng kiện tác động đến mạng Các giải pháp khắc phục tai họa nằm phạm vi kích thước an ninh 6.8 Kích thước an ninh tính bí mật Kích thước an ninh tính bí mật bảo vệ thông tin (định danh bên tham gia truyền thông liệu bao gồm tiêu đề gói gắn liền với hoạt động tiến hành bên tham gia đó) tạo từ quan sát hoạt động mạng Ví dụ thơng tin bao gồm trang web mà người sử dụng vào, địa điểm địa lý người sử dụng địa IP tên DNS thiết bị mạng nhà cung cấp dịch vụ Việc chuyển dịch địa mạng (NAT) ủy quyền ứng dụng ví dụ kỹ thuật sử dụng việc bảo vệ tính bí mật Phụ thuộc vào luật quy chuẩn bảo vệ liệu tính bí mật quốc gia, kích thước an ninh tính bí mật đưa kiểm sốt cấu trúc bảo vệ thích hợp thu thập, xử lý phổ biến thông tin cá nhân Tầng an ninh Để cung cấp giải pháp an ninh đầu cuối, kích thước an ninh mơ tả phải áp dụng cho hệ thống phân cấp thiết bị mạng nhóm phương tiện đề cập đến tầng an ninh Kiến trúc tham chiếu xác định ba tầng an ninh; Tầng an ninh hạ tầng, tầng an ninh dịch vụ tầng an ninh ứng dụng, xây dựng tầng an ninh khác để cung cấp giải pháp sở mạng Các tầng an ninh chuỗi cấp phép giải pháp mạng an toàn: Tầng an ninh hạ tầng cấp phép cho tầng an ninh dịch vụ tầng an ninh dịch vụ cấp phép cho tầng an ninh ứng dụng Kiến trúc tham chiếu hướng vào việc việc tầng có điểm yếu an ninh khác địi hỏi tính linh hoạt việc chống lại mối đe dọa tiềm ẩn theo cách phù hợp với tầng an ninh riêng Việc định mức cao phải giả định an ninh mức thấp hoạt động dự kiến chúng bao gồm quy trình để phát lỗi lại thực thi Nên ý tầng an ninh (như định nghĩa trên) khác so với ý nghĩa tầng OSI Các tầng an ninh định danh nơi an ninh phải hướng vào sản phẩm giải pháp việc đưa viễn cảnh an ninh mạng Ví dụ, điểm yếu an ninh đề cập tầng an ninh hạ tầng, sau tầng an ninh dịch vụ cuối điểm yếu an ninh đề cập tầng an ninh ứng dụng Kích thước an ninh định danh phạm vi cần đề cập tầng an ninh Hình mơ tả cách thức chế kích thước an ninh áp dụng cho tầng an ninh để giảm bớt điểm yếu tồn tầng giảm bớt công an ninh LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Hình - Việc áp dụng kích thước an ninh cho tầng an ninh 7.1 Tầng an ninh hạ tầng Tầng an ninh hạ tầng bao gồm phương tiện truyền tải mạng phần tử mạng riêng lẻ bảo vệ chế thực thi kích thước an ninh Tầng an ninh hạ tầng trình bày khối xây dựng mạng tảng, dịch vụ ứng dụng chúng Ví dụ thành phần thuộc tầng an ninh hạ tầng định tuyến, chuyển mạch máy chủ riêng lẻ, đường liên kết truyền thông định tuyến, chuyển mạch máy chủ riêng lẻ 7.2 Tầng an ninh dịch vụ Tầng an ninh dịch vụ hướng vào an ninh dịch vụ nhà cung cấp dịch vụ đưa cho khách hàng họ Dịch vụ xếp từ truyền tải ghép nối tới cấp phép dịch vụ cần thiết để cung cấp việc truy cập mạng/internet (ví dụ; xác thực, cấp phép, dịch vụ toán, dịch vụ cấu hình máy chủ động, dịch vụ tên miền v.v…) dịch vụ giá trị gia tăng dịch vụ điện thoại miễn phí, QoS, VPN, dịch vụ định vị, truyền thông điệp tạm thời, v.v…Tầng an ninh dịch vụ thường sử dụng để bảo vệ nhà cung cấp dịch vụ khách hàng họ, nhà cung cấp dịch vụ khách hàng mục tiêu tiềm ẩn đe dọa an ninh Ví dụ, người cơng cố gắng từ chối khả đưa dịch vụ nhà cung cấp dịch vụ, người cơng cố gắng phá vỡ dịch vụ khách hàng riêng lẻ nhà cung cấp dịch vụ (như là; công ty) 7.3 Tầng an ninh ứng dụng Tầng an ninh ứng dụng tập trung vào tính an toàn ứng dụng sở mạng truy cập khách hàng nhà cung cấp dịch vụ Các ứng dụng cho phép dịch vụ mạng bao gồm truyền tải tệp tin sở (như là, FTP) ứng dụng trình duyệt web, ứng dụng tảng hỗ trợ thư mục, truyền thông điệp thoại sở mạng, thư điện tử/email, ứng dụng đầu quản lý quan hệ khách hàng, thương mại điện tử/di động, đào tạo sở mạng, cộng tác video, v.v…Các ứng dụng sở mạng đưa bên thứ ba nhà cung cấp dịch vụ ứng dụng (ASP), nhà cung cấp dịch vụ hoạt động giống nhà cung cấp dịch vụ ứng dụng (ASP) máy chủ doanh nghiệp trung tâm liệu mà họ sở hữu (hoặc thuê) Tại tầng này, có bốn mục tiêu tiềm tàng cho công an ninh; người sử dụng ứng dụng, nhà cung cấp ứng dụng, phần sụn cung cấp bên hợp thứ ba (như là, dịch vụ máy chủ web) nhà cung cấp dịch vụ Mặt phẳng an ninh Mặt phẳng an ninh kiểu hoạt động mạng bảo vệ chế thực thi kích thước an ninh Kiến trúc tham chiếu xác định ba mặt phẳng an ninh đại diện cho ba kiểu hoạt động bảo vệ tiến hành mạng Các mặt phẳng an ninh là: (1) Mặt phẳng an ninh quản lý, (2) Mặt phẳng an ninh kiểm soát (3) Mặt phẳng an ninh người sử dụng cuối Các mặt phẳng an ninh hướng vào nhu cầu an ninh cụ thể tương ứng với hoạt động quản lý mạng, hoạt động truyền tín hiệu kiểm sốt mạng hoạt động người sử dụng cuối tương ứng Mạng nên thiết kế theo cách kiện mặt phẳng an ninh trì nhiều tốt cách ly thích hợp với mặt phẳng an ninh khác Ví dụ, tra cứu DNS mặt phẳng an ninh người sử dụng cuối bị tràn, khởi tạo yêu cầu người sử dụng cuối nên khơng đóng giao diện OM&P mặt phẳng an ninh quản lý phép người quản trị chỉnh sửa vấn đề Hình minh họa kiến trúc tham chiếu với mặt phẳng an ninh Mỗi kiểu hoạt động mạng mơ tả có nhu cầu an ninh riêng Khái niệm mặt phẳng an ninh cho phép phân biệt vấn đề LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn an ninh cụ thể tương ứng với hoạt động khả đề cập chúng cách độc lập Ví dụ, dịch vụ VoIP đề cập tầng an ninh dịch vụ Bảo vệ việc quản lý dịch vụ VoIP (như là, việc cung cấp người sử dụng) phải độc lập với bảo vệ việc kiểm sốt dịch vụ (như là, giao thức SIP) phải độc lập với việc bảo vệ liệu người sử dụng cuối truyền tải dịch vụ (như là; tín hiệu thoại người sử dụng) Hình - Mặt phẳng an ninh phản ánh kiểu hoạt động mạng khác 8.1 Mặt phẳng an ninh quản lý Mặt phẳng an ninh quản lý liên quan đến việc bảo vệ chức OAM&P phần tử mạng, phương tiện truyền tải, hệ thống hỗ trợ văn phòng (hệ thống hỗ trợ điều hành, hệ thống hỗ trợ kinh doanh, hệ thống chăm sóc khách hàng, v.v.), trung tâm liệu Mặt phẳng an ninh quản lý hỗ trợ chức về: lỗi, quản trị, cung cấp an ninh (FCAPS) Nên ý rằng, mạng mang lưu lượng cho hoạt động dải dải lưu lượng người sử dụng nhà cung cấp dịch vụ 8.2 Mặt phẳng an ninh kiểm soát Mặt phẳng an ninh kiểm soát liên quan đến việc bảo vệ hoạt động cho phép truyền phát tín hiệu thơng tin, dịch vụ ứng dụng qua mạng Thông thường, bao gồm truyền thơng tin từ máy đến máy (như là; tổng đài chuyển mạch định tuyến) cho phép máy xác định cách thức tốt lưu lượng chuyển mạch định tuyến qua mạng truyền tải sở Kiểu thông tin xem thơng tin kiểm sốt truyền tín hiệu Mạng mang kiểu thơng điệp nằm dải dải lưu lượng người sử dụng nhà cung cấp dịch vụ Ví dụ, mạng IP mang thơng tin kiểm sốt dải, PSTN mang thơng tin kiểm sốt mạng tín hiệu riêng (mạng SS7) Ví dụ lưu lượng kiểu gồm: giao thức định tuyến, DNS, SIP, SS7, Megacol/H.248, v.v… 8.3 Mặt phẳng an ninh người sử dụng cuối Mặt phẳng an ninh người sử dụng cuối hướng vào an ninh truy cập việc sử dụng mạng nhà cung cấp dịch vụ khách hàng Mặt phẳng liên quan đến việc bảo vệ luồng liệu người sử dụng cuối hiên thời Người sử dụng cuối sử dụng mạng cung cấp kết nối, sử dụng dịch vụ giá trị gia tăng VPN, sử dụng để truy cập ứng dụng dựa mạng Đe dọa an ninh Kiến trúc tham chiếu xác định kế hoạch nguyên tắc mô tả cấu trúc an ninh cho giải pháp an ninh đầu mút Kiến trúc định danh vấn đề an ninh cần thiết phải hướng vào để ngăn ngừa mối đe dọa có chủ ý ngẫu nhiên Các mối đe dọa sau mô tả ISO 7498-2:1989 Rec X.800 (1991) CCITT: - Phá hoại thông tin và/hoặc nguồn tài nguyên khác; - Sửa đổi làm sai lạc thơng tin; - Đánh cắp, xóa bỏ làm thông tin và/hoặc nguồn tài nguyên khác; - Làm lộ thông tin; - Ngắt dịch vụ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Phần giao tầng an ninh với mặt phẳng an ninh biểu diễn viễn cảnh an ninh kích thước an ninh áp dụng để chống lại mối đe dọa Bảng đưa việc ánh xạ kích thước an ninh vào mối đe dọa an ninh Việc ánh xạ giống viễn cảnh an ninh Ký tự “Y” ô tạo phần giao cột hàng định rõ ràng mối đe dọa bảo vệ kích thước an ninh tương ứng Bảng - Việc ánh xạ kích thước an ninh vào mối đe dọa an ninh Mối đe dọa an ninh Đánh cắp, xóa bỏ Kích thước an Phá hoại thơng Sửa đổi hoặc làm tin và/hoặc Làm lộ thông ninh làm sai lạc thông tin và/hoặc Ngắt dịch vụ nguồn tài tin thơng tin nguồn tài ngun ngun khác khác Kiểm sốt truy cập Y Y Y Y Y Y Y Y Bảo mật liệu Y Y An ninh luồng truyền thơng Y Y Xác thực Khơng từ chối Y Tính tồn vẹn liệu Y Tính sẵn có Y Y Y Y Tính bí mật Y Y Hình minh họa kiến trúc tham chiếu với phần tử kiến trúc thể rõ mối đe dọa an ninh mơ tả Hình vẽ bên mơ tả khái niệm bảo vệ mạng kích thước an ninh mặt phẳng an ninh tầng an ninh để cung cấp giải pháp an ninh toàn diện Nên ý phụ thuộc vào yêu cầu an ninh mạng cho trước, không cần thiết có tồn phần tử kiến trúc thực thi (bộ đầy đủ kích thước an ninh, tầng an ninh mặt phẳng an ninh) Hình - Kiến trúc tham chiếu an ninh mạng đầu mút 10 Mô tả mục tiêu đạt việc ứng dụng kích thước an ninh cho tầng an ninh Kiến trúc tham chiếu áp dụng tất khía cạnh giai đoạn chương trình an ninh mơ tả Hình Trong Hình 4, chương trình an ninh bao gồm sách thủ tục bổ sung cho cơng nghệ tiến trình thơng qua giai đoạn thời gian tồn tại: (1) giai đoạn định nghĩa lập kế hoạch, (2) giai đoạn thực thi, (3) giai đoạn trì Kiến trúc tham chiếu với hướng dẫn ISO/IEC 13335 áp dụng cho sách thủ tục an ninh cơng nghệ cho tồn giai đoạn chương trình an ninh LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Dựa yêu cầu kinh doanh, kiến trúc mạng, định nghĩa sách, phản hồi rắc rối kế hoạch khôi phục xác định Trong trình này, kiến trúc tham chiếu hướng dẫn xây dựng định nghĩa sách an ninh tồn diện, phản hồi rắc rối kế hoạch khôi phục kiến trúc cơng nghệ việc tính đến kích thước an ninh tầng an ninh mặt phẳng an ninh giai đoạn định nghĩa lập kế hoạch Kiến trúc an ninh sử dụng sở đánh giá an ninh để nghiên cứu cách thực thi chương trình an ninh hướng vào kích thước an ninh, tầng an ninh mặt phẳng an ninh sách thủ tục giới thiệu công nghệ triển khai Ngay chương trình an ninh triển khai, trì để giữ trạng thái môi trường an ninh thay đổi Tham chiếu an ninh hỗ trợ việc quản lý sách thủ tục an ninh, phản hồi rắc rối, kế hoạch khôi phục kiến trúc công nghệ việc đảm bảo sửa đổi chương trình an ninh hướng vào kích thước an ninh tầng mặt phẳng an ninh LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Hình - Việc áp dụng kiến trúc an ninh tham chiếu chương trình an ninh Ngồi ra, kiến trúc tham chiếu áp dụng cho kiểu mạng mức ngăn xếp giao thức Ví dụ, mạng IP tập trung tầng ngăn xếp giao thức an ninh hạ tầng, kiến trúc an ninh đề cập đến bô định tuyến riêng rẽ, truyền thông điểm-điểm liên kết bô định tuyến (như là: NET, ATM PVCs, v.v…), tảng máy chủ sử dụng để cung cấp dịch vụ hỗ trợ yêu cầu mạng IP Tầng an ninh dịch vụ, đề cập đến thân dịch vụ IP sở (như là; tính kết nối mạng tồn cầu), dịch vụ hỗ trợ IP (như là: AAA, DNS, DHCP, v.v…) dịch vụ giá trị gia tăng tiên LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn tiến đưa nhà cung cấp dịch vụ (như là: VoIP, QoS, VPN, v.v…) Cuối cùng, tầng an ninh ứng dụng đề cập đến an ninh ứng dụng người truy cập qua mạng IP (như là; thư điện tử, v.v….) Tương tự, mạng ATM nằm tầng đôi ngăn xếp giao thức, tầng an ninh hạ tầng đề cấp đến chuyển mạch riêng truyền thông điểm- điểm liên kết chuyển mạch (phương tiện mạng, ví dụ DS-3) Tầng an ninh dịch vụ đề cập tới tầng truyền tải khác cung cấp dịch vụ ATM (tốc độ bít bất biến, tốc độ bít biến đổi - thời gian thực, tốc độ bít biến đổi - thời gian phithực, tốc độ bít hiệu dụng tốc độ bít khơng xác định) Cuối cùng, tầng an ninh ứng dụng đề cập tới người sử dụng cuối ứng dụng sử dụng mạng ATM để truy cập, ứng dụng hội nghị video Hình 5, trình bày kiến trúc tham chiếu dạng bảng minh họa phương pháp tiếp cận an ninh mạng Như trình bày hình, phần giao tầng an ninh với mặt phẳng an ninh thể viễn cảnh để xem xét tám kích thước an ninh Mỗi mơ đun chín mơ đun kết hợp với tám kích thước an ninh áp dụng cho tầng an ninh cụ thể mặt phẳng an ninh cụ thể Cần ý kích thước an ninh mơ đun khác có mục tiêu khác gồm kích thước an ninh khác Bảng đưa cách mơ tả mục tiêu kích thước an ninh cho mơ đun Hình - Kiến trúc tham chiếu dạng bảng Cần ý khái niệm bảo vệ sử dụng bảng bao hàm việc tạo chế để phát nơi mà chế kiểm soát lỗi để bảo đảm kiện báo cáo hành động và/hoặc thiết bị/q trình mà chỉnh sửa hệ lỗi 10.1 Tầng an ninh hạ tầng Việc bảo vệ mặt phẳng an ninh quản lý tầng an ninh hạ tầng liên quan đến việc bảo vệ thao tác, việc quản trị, trì cung cấp (OAM&P) cấu hình phần tử mạng riêng, liên kết truyền thơng, tảng máy chủ bao gồm mạng Ví dụ quản lý hạ tầng cần bảo vệ cấu hình định tuyến chuyển mạch riêng cá nhân hoạt động mạng Bảng mô tả mục tiêu việc áp dụng kích thước an ninh vào tầng an ninh hạ tầng, mặt phẳng an ninh quản lý Bảng - Việc áp dụng kích thước an ninh cho tầng an ninh hạ tầng, mặt phẳng an ninh quản lý Mô đun 1: Tầng an ninh hạ tầng, mặt phẳng an ninh quản lý Kích thước an ninh Mục tiêu an ninh Bảo đảm cá nhân thiết bị cho phép (như là; thiết bị Kiểm soát truy quản lý SNMP) phép thực cố gắng thực hoạt động cập quản trị quản lý thiết bị mạng liên kết truyền thông Điều áp dụng cho quản lý trực tiếp thiết bị qua cổng quản lý thiết bị từ xa Xác thực Kiểm tra định danh người thiết bị thực hoạt động quản trị quản lý thiết bị mạng liên kết truyền thông Các kỹ thuật xác thực yêu cầu phần kiểm soát truy cập LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mô đun 1: Tầng an ninh hạ tầng, mặt phẳng an ninh quản lý Đưa ghi định danh cá nhân thiết bị thực hoạt động quản trị quản lý thiết bị mạng liên kết truyền thông hành động tiến Không từ chối hành Bản ghi sử dụng chứng người khởi tạo hoạt động quản trị quản lý Bảo vệ thơng tin cấu hình thiết bị mạng liên kết truyền thông khỏi việc truy cập xem cách trái phép Điều áp dụng thông tin cấu hình lưu trú thiết bị mạng liên kết truyền thơng, thơng tin cấu hình truyền tới thiết bị mạng liên kết truyền thông thơng tin cấu Bảo mật liệu hình lưu dự phòng lưu trữ ngoại tuyến Bảo vệ thông tin xác thực quản trị (như là, định danh quản trị mật khẩu) khỏi truy cập xem cách trái phép Các kỹ thuật sử dụng để hướng vào kiểm sốt truy cập góp phần cung cấp tính bảo mật liệu Trong trường hợp quản lý từ xa thiết bị mạng liên kết truyền thông, bảo đảm thông tin quản lý truyền trạm quản lý từ xa với thiết bị An ninh luồng liên kết truyền thông quản lý Thông tin quản lý không bị lệch hướng truyền thơng bị chặn khí truyền điểm đầu mút Áp dụng việc xem xét tương tự thông tin xác thực quản trị (như là, định danh người quản trị mật khẩu) Bảo vệ thơng tin cấu hình thiết bị mạng liên kết truyền thông chống lại việc sửa đổi trái phép Việc bảo vệ áp dụng thơng tin kết cấu hình lưu Tính tồn vẹn trú thiết bị mạng liên kết truyền thông thơng tin cấu hình chuyển tiếp lưu trữ hệ thống ngoại tuyến liệu Áp dụng việc xem xét tương tự thông tin xác thực quản trị (như là, định danh người quản trị mật khẩu) Tính sẵn có Bảo đảm khả quản lý thiết bị mạng liên kết truyền thông cá nhân thiết bị cho phép bị từ chối Điều bao gồm việc bảo vệ chống lại hoạt động công công từ chối dịch vụ (DoS) bảo vệ chống lại công bị động việc sửa đổi xóa bỏ thơng tin xác thực quản trị (như là, định danh người quản trị mật khẩu) Tính bí mật Bảo đảm thơng tin sử dụng để định danh thiết bị mạng liên kết truyền thông không sẵn dùng cá nhân thiết bị trái phép Ví dụ kiểu thông tin bao gồm địa IP thiết bị mạng tên miền DNS Ví dụ, khả định danh thiết bị mạng cung cấp thông tin đích người cơng Bảo đảm thông tin cá nhân thu thập, xử lý phổ biến qua mạng tuân theo quy chuẩn pháp lý bảo vệ liệu cục Việc bảo vệ mặt phẳng an ninh kiểm soát tầng an ninh hạ tầng bao gồm việc bảo vệ thông tin truyền tín hiệu kiểm sốt lưu trú phần tử mạng tảng máy chủ bao gồm mạng bảo vệ việc xác nhận truyền thơng tin truyền tín hiệu kiểm sốt phần tử mạng tảng máy chủ Ví dụ, việc chuyển bảng lưu trú chuyển mạch mạng cần bảo vệ khỏi can thiệp làm lộ cách trái phép Một ví dụ khác, định tuyến cần phải bảo vệ khỏi việc nhận truyền bá cập nhật định tuyến khơng có thật việc phản hồi u cầu định tuyến khơng có thật bắt nguồn từ định tuyến giả mạo Bảng mơ tả mục tiêu áp dụng kích thước an ninh tầng an ninh hạ tầng, mặt phẳng an ninh kiểm soát Bảng - Việc áp dụng kích thước an ninh tầng an ninh hạ tầng, mặt phẳng an ninh kiểm sốt Mơ đun 2: Tầng an ninh hạ tầng, mặt phẳng an ninh kiểm sốt Kích thước an ninh Mục tiêu an ninh Bảo đảm cá nhân thiết bị cấp phép phép truy cập, thử truy cập, kiểm sốt thơng tin lưu trú thiết bị mạng (như là, bảng định Kiểm soát truy tuyến) lưu trữ ngoại tuyến Bảo đảm thiết bị mạng chấp nhận cập thơng tin kiểm sốt thơng điệp cho phép thiết bị mạng (ví dụ cập nhật định tuyến) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mô đun 2: Tầng an ninh hạ tầng, mặt phẳng an ninh kiểm soát Xác thực Kiểm soát định danh người thiết bị quan sát sửa đổi thông tin kiểm soát lưu trú thiết bị mạng Kiểm tra định danh thiết bị gửi thông tin kiểm soát tới thiết bị mạng Các Kỹ thuật xác thực yêu cầu phần kiểm soát truy cập Cung cấp ghi định danh cá nhân thiết bị quan sát sửa đổi thơng tin kiểm sốt thiết bị mạng hành động thực Bản ghi sử dụng chứng cho truy cập cải biến thơng tin kiểm sốt Khơng từ chối Đưa định danh ghi thiết bị khởi tạo thông điệp kiểm soát gửi đến thiết bị mạng hành động thực Bản ghi sử dụng chứng mà thiết bị khởi tạo thông điệp kiểm sốt Bảo vệ thơng tin kiểm sốt lưu trú thiết bị mạng lưu trữ ngoại tuyến khỏi truy cập xem trái phép Các kỹ thuật thường hướng vào Kiểm soát truy cập đóng góp vào tính bảo mật liệu thơng Bảo mật liệu tin kiểm sốt lưu trú thiết bị mạng Bảo vệ thông tin kiểm soát dành riêng cho thiết bị mạng khỏi truy cập xem trái phép truyền qua mạng Bảo đảm thơng tin kiểm sốt truyền qua mạng (ví dụ cập nhật định An ninh luồng tuyến) chảy nguồn thông tin kiểm sốt đích mong muốn truyền thơng Thơng tin kiểm sốt khơng bị chệch hướng bị chặn truyền điểm đầu mút Tính tồn vẹn Bảo vệ thơng tin kiểm sốt lưu trú thiết bị mạng, truyền qua mạng, liệu lưu trữ ngoại tuyến chống lại việc sửa đổi trái phép Tính sẵn có Bảo đảm thiết bị mạng ln có giá trị để nhận thơng tin kiểm soát từ nguồn cho phép, bảo đảm bao gồm việc bảo vệ chống công chủ ý công từ chối dịch vụ (DoS) cố ngẫu nhiên (ví dụ việc sửa đổi xóa bỏ thông tin xác thực quản trị (như là, vỡ định tuyến) Tính bí mật Bảo đảm thơng tin dùng để định danh thiết bị mạng liên kết truyền thông không sẵn dùng cá nhân thiết bị trái phép, ví dụ kiểu thông tin bao gồm địa IP thiết bị mạng tên miền DNS Ví dụ, có khả để định danh thiết bị mạng liên kết truyền thơng cung cấp thơng tin đích cho người công Bảo đảm thông tin cá nhân thu thập, xử lý phổ biến qua mạng tuân thủ quy chuẩn luật bảo vệ liệu cục Việc bảo vệ mặt phẳng an ninh người sử dụng cuối tầng an ninh hạ tầng bao gồm việc bảo vệ liệu tín hiệu thoại người sử dụng lưu trú truyền qua phần tử mạng truyền qua liên kết truyền thông Việc bảo vệ liệu người sử dụng lưu trú nên tảng máy chủ quan tâm việc bảo vệ liệu người sử dụng chống lại bị chặn trái phép truyền qua phần tử mạng qua kết nối truyền thông Bảng mô tả việc áp dụng kích thước an ninh tầng an ninh hạ tầng, mặt phẳng an ninh người sử dụng cuối Bảng - Việc áp dụng kích thước an ninh tầng an ninh hạ tầng, mặt phẳng an ninh người sử dụng cuối Mô đun 3: Tầng an ninh hạ tầng, mặt phẳng an ninh người sử dụng cuối Kích thước an ninh Mục tiêu an ninh Bảo đảm cá nhân thiết bị cấp phép phép truy cập, Kiểm soát truy thử truy cập liệu người sử dụng cuối truyền phần tử mạng cập liên kết truyền thông lưu trú thiết bị lưu trữ ngoại tuyến Xác thực Kiểm tra định danh người thiết bị thử truy cập liệu người sử dụng cuối truyền phần tử mạng liên kết truyền thông lưu trú thiết bị lưu trữ ngoại tuyến Các kỹ thuật xác thực yêu cầu phần kiểm soát truy cập Không từ chối Cung cấp ghi định danh cá nhân thiết bị truy cập liệu người sử dụng cuối truyền qua phần tử mạng liên kết truyền thông LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mô đun 3: Tầng an ninh hạ tầng, mặt phẳng an ninh người sử dụng cuối lưu trú thiết bị lưu trữ ngoại tuyến hành động thực hiện, ghi sử dụng chứng cho truy cập liệu người sử dụng cuối Bảo vệ liệu người sử dụng cuối truyền qua phần tử mạng liên kết truyền thông lưu trú thiết bị lưu trữ ngoại tuyến chống lại truy cập Bảo mật liệu xem trái phép Các kỹ thuật sử dụng để hướng vào kiểm sốt truy cập đóng góp vào việc cung cấp tính bảo mật liệu cho liệu người sử dụng cuối Bảo đảm liệu người sử dụng cuối truyền qua phần tử mạng liên An ninh luồng kết truyền thông không bị lệch hướng bị chặn truyền điểm đầu truyền thông cuối mà không cấp phép truy cập (như là; nghe trộm điện thoại hợp pháp) Bảo vệ liệu người sử dụng cuối truyền qua phần tử mạng liên kết Tính tồn vẹn truyền thơng lưu trú thiết bị lưu trữ ngoại tuyến chống lại việc sửa đổi liệu trái phép Tính sẵn có Bảo đảm truy cấp đến liệu người sử dụng cuối lưu trú thiết bị cá nhân (bao gồm người sử dụng cuối) thiết bị cấp quyền bị từ chối Điều bao gồm việc bảo vệ chống lại công chủ động công từ chối dịch vụ (DoS) việc bảo vệ chống lại công thụ động việc sửa đổi xóa bỏ thơng tin xác thực (như là; định danh mật người sử dụng, định danh mật người quản trị) Tính bí mật Bảo đảm phần tử mạng không cung cấp thông tin gắn liền với hoạt động mang người sử dụng cuối (như là; địa điểm địa lý người sử dụng, trang web vào, v.v…) cho cá nhân thiết bị trái phép Đảm bảo thông tin cá nhân thu thập, xử lý phổ biến qua mạng tuân thủ quy chuẩn luật bảo vệ liệu cục 10.2 Tầng an ninh dịch vụ Việc bảo vệ tầng an ninh dịch vụ phức tạp thực thực tế dịch vụ xây dựng sở dịch vụ khác để thỏa mãn yêu cầu khách hàng Ví dụ, để cung cấp dịch vụ VoIP, nhà cung cấp dịch vụ phải cung cấp dịch vụ IP sở, với điều kiện cần thiết cho phép dịch vụ AAA, DHCP, DNS, v.v Nhà cung cấp dịch vụ phải triển khai dịch vụ VPN để đáp ứng yêu cầu an ninh QoS khách hàng dịch vụ VoIP Vì vậy, dịch vụ đưa phải phân tách thành dịch vụ hỗn hợp để hướng vào an ninh toàn diện Việc bảo vệ mặt phẳng an ninh quản lý tầng an ninh dịch vụ liên quan đến việc bảo vệ chức cấu hình (OAM&P) dịch vụ mạng Ví dụ quản lý dịch vụ cần bảo vệ việc cung cấp người sử dụng cấp phép dịch vụ người sử dụng cuối cụ thể cá nhân điều hành mạng Bảng mô tả mục tiêu việc áp dụng kích thước an ninh tầng an ninh dịch vụ, mặt phẳng an ninh quản lý Bảng - Việc áp dụng kích thước an ninh tầng an ninh dịch vụ, mặt phẳng an ninh quản lý Mô đun 4: Tầng an ninh dịch vụ, mặt phẳng an ninh quản lý phẳng an ninh quản lý Kích thước an ninh Mục tiêu an ninh Bảo đảm cá nhân thiết bị cập phép phép thực Kiểm soát truy thử thực hoạt động quản trị quản lý dịch vụ mạng (cung cấp người cập sử dụng dịch vụ) Xác thực Kiểm tra định danh người thiết bị thử thực hoạt động quản trị quản lý dịch vụ mạng Các kỹ thuật xác thực yêu cầu phần kiểm soát truy cập Cung cấp ghi định danh cá nhân thiết bị thực hoạt động quản lý quản trị dịch vụ mạng hành động thực Bản ghi Khơng từ chối sử dụng chứng cá nhân thiết bị thực hoạt độn quản lý quản trị LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mô đun 4: Tầng an ninh dịch vụ, mặt phẳng an ninh quản lý phẳng an ninh quản lý Bảo vệ thông tin quản lý cấu hình dịch vụ mạng (như là; cài đặt cho ứng dụng khách hàng lpsec tải xuống cho dịch vụ VPN) khỏi truy cập xem trái phép Điều áp dụng thơng tin cấu hình quản lý lưu trú Bảo mật liệu thiết bị mạng truyền qua mạng lưu trữ ngoại tuyến Bảo vệ thơng tin quản lý cấu hình dịch vụ mạng (như là; định danh mật người sử dụng, định danh mật người quản trị) khỏi truy cập xem trái phép Trong trường hợp quản lý từ xa dịch vụ mạng, bảo đảm thông tin quản lý quản trị chi truyền trạm quản lý từ xa thiết bị quản lý phần dịch vụ mạng Thông tin quản lý quản trị không bị lệch hướng An ninh luồng bị chặn truyền điểm đầu mút truyền thông Áp dụng việc xem xét tương tự thông tin xác thực dịch vụ mạng (như là; định danh mật người sử dụng, định danh mật người quản trị) Bảo vệ thơng tin cấu hình quản trị dịch vụ mạng chống lại việc sửa đổi trái phép Việc bảo vệ áp dụng thông tin quản trị quản lý lưu trú thiết bị mạng truyền qua mạng lưu trữ hệ thống ngoại Tính tồn vẹn tuyến liệu Áp dụng việc xem xét tương tự thông tin xác thực dịch vụ mạng (Như là; định danh mật người sử dụng, định danh mật người quản trị) Tính sẵn có Bảo đảm khả quản lý dịch vụ mạng cá nhân thiết bị cấp phép bị từ chối Việc bảo vệ chống lại hoạt động công công từ chối dịch vụ (DoS) bảo vệ chống lại công thụ động việc sửa đổi xóa bỏ thơng tin xác thực quản trị dịch vụ mạng (như là; định danh mật người quản trị) Tính bí mật Bảo đảm thơng tin dùng để định danh hệ thống quản lý quản trị dịch vụ mạng không sẵn dùng cá nhân thiết bị trái phép, ví dụ kiểu thơng tin bao gồm địa IP hệ thống tên miền DNS Ví dụ, khả định danh hệ thống quản trị dịch vụ mạng cung cấp thông tin đích cho người cơng Đảm bảo thơng tin cá nhân thu thập, xử lý phổ biến qua mạng tuân thủ quy chuẩn luật bảo vệ liệu cục Việc bảo vệ mặt phẳng an ninh kiểm soát tầng an ninh dịch vụ bao gồm việc bảo vệ thơng tin truyền tín hiệu kiểm soát sử dụng dịch vụ mạng Ví dụ, vấn đề bảo vệ giao thức SIP sử dụng để khởi tạo trì phiên VoIP đề cập Bảng mơ tả mục tiêu việc áp dụng kích thước an ninh tầng an ninh dịch vụ, mặt phẳng an ninh kiểm soát Bảng - Việc áp dụng kích thước an ninh tầng an ninh dịch vụ, mặt phẳng an ninh kiểm sốt Mơ đun 5: Tầng an ninh dịch vụ, mặt phẳng an ninh kiểm sốt Kích thước an ninh Mục tiêu an ninh Bảo đảm thơng tin kiểm sốt nhận thiết bị mạng dịch vụ mạng khởi tạo từ nguồn cấp phép (như là; thông tin khởi tạo phiên VoIP Kiểm soát truy khởi tạo từ người sử dụng thiết bị cấp phép) trước chấp cập nhận Ví dụ, bảo vệ chống lại giả mạo thông điệp khởi tạo phiên VoIP thiết bị trái phép) Xác thực Kiểm tra định danh nguồn gốc thông tin kiểm soát dịch vụ mạng gửi tới thiết bị mạng tham gia dịch vụ mạng Các kỹ thuật xác thực sử dụng phần kiểm soát truy cập Cung cấp ghi định danh người thiết bị khởi đầu thơng điệp kiểm sốt dịch vụ mạng nhận thiết bị mạng tham gia dịch vụ Không từ chối mạng hành động thực Bản ghi sử dụng chứng người thiết bị khởi tạo thơng điệp kiểm soát dịch vụ mạng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mô đun 5: Tầng an ninh dịch vụ, mặt phẳng an ninh kiểm sốt Bảo vệ thơng tin kiểm soát dịch vụ mạng lưu trú thiết bị mạng (Như là; sở liệu phiên IPsec) truyền qua mạng lưu trữ ngoại Bảo mật liệu tuyến từ truy cập xem trái phép Các kỹ thuật hướng vào kiểm soát truy cập đóng góp vào việc cung cấp tính bảo mật liệu thơng tin kiểm sốt dịch vụ lưu trú thiết bị mạng Bảo đảm thơng tin kiểm sốt dịch vụ mạng truyền qua mạng An ninh luồng (như là; thông điệp thương lượng IPsec) truyền nguồn thơng tin truyền thơng kiểm sốt đích mong muốn Thơng tin kiểm sốt dịch vụ mạng khơng bị lệch hướng bị chặn không truyền điểm đầu mút Tính tồn vẹn Bảo vệ thơng tin kiểm soát dịch vụ mạng lưu trú thiết bị mạng, truyền liệu qua mạng, lưu trữ ngoại tuyến chống lại việc sửa đổi trái phép Tính sẵn có Bảo đảm thiết bị mạng tham gia dịch vụ mạng ln có sẵn dùng để nhận thơng tin kiểm sốt từ nguồn cho phép Điều bao gồm việc bảo vệ chống lại công chủ ý công từ chối dịch vụ (DoS) Tính bí mật Bảo đảm thơng tin dùng để định danh thiết bị mạng liên kết truyền thông tham gia dịch vụ mạng không sẵn dùng cá nhân thiết bị trái phép Ví dụ kiểu thơng tin bao gồm địa IP thiết bị mạng tên miền DNS Ví dụ, có khả định danh thiết bị mạng liên kết truyền thông cung cấp thông tin đích cho người cơng Bảo đảm thơng tin cá nhân thu thập, xử lý phổ biến qua mạng tuân thủ quy chuẩn luật bảo vệ liệu cục Việc bảo vệ mặt phẳng an ninh người sử dụng cuối an ninh dịch vụ bao gồm việc bảo vệ liệu thoại người sử dụng sử dụng dịch vụ mạng Ví dụ, tính bảo mật đàm thoại người sử dụng phải bảo vệ dịch vụ VoIP Tương tự vậy, dịch vụ DNS phải bảo đảm tính bảo mật người sử dụng dịch vụ Bảng mô tả mục tiêu việc áp dụng kích thước an ninh tầng an ninh dịch vụ, mặt phẳng an ninh người sử dụng cuối Bảng - Việc áp dụng kích thước an ninh tầng an ninh dịch vụ, mặt phẳng an ninh người sử dụng cuối Mô đun 6: Tầng an ninh dịch vụ, mặt phẳng an ninh người sử dụng cuối Kích thước an ninh Mục tiêu an ninh Kiểm sốt truy Bảo đảm cá nhân thiết bị cấp phép phép truy cập, cập thử truy cập sử dụng dịch vụ mạng Xác thực Kiểm tra định danh người sử dụng thiết bị thử truy cập sử dụng dịch vụ mạng Các kỹ thuật xác thực yêu cầu phần kiểm soát truy cập Cung cấp ghi định danh người sử dụng thiết bị truy cập sử dụng dịch vụ mạng hành động thực Bản ghi sử dụng Khơng từ chối chứng cho truy cập, sử dụng dịch vụ mạng người sử dụng cuối thiết bị Bảo vệ liệu người sử dụng cuối truyền lưu trữ dịch vụ mạng chống lại truy cập xem trái phép Kỹ thuật sử dụng Bảo mật liệu hướng vào kiểm soát truy cập đóng góp vào tính bảo mật liệu liệu người sử dụng cuối Bảo đảm liệu người sử dụng cuối truyền lưu trữ dịch vụ An ninh luồng mạng không bị lệch hướng bị chặn truyền điểm đầu cuối ngồi truyền thơng truy cập cho phép (như là: nghe trộm điện thoại hợp pháp) Tính tồn vẹn Bảo vệ liệu người sử dụng cuối truyền, xử lý lưu trữ liệu dịch vụ mạng chống lại việc sửa đổi trái phép Tính sẵn có Bảo đảm truy cập dịch vụ mạng người sử dụng cuối thiết bị cho phép bị từ chối Điều bao gồm việc bảo vệ chống lại công công từ chối dịch vụ (DoS) bảo vệ chống lại công thụ động sửa đổi xóa bỏ thơng tin xác thực người sử dụng cuối (như là; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mô đun 6: Tầng an ninh dịch vụ, mặt phẳng an ninh người sử dụng cuối định danh mật người sử dụng) Bảo đảm dịch vụ mạng không cung cấp thông tin gắn liền với việc sử dụng dịch vụ người sử dụng cuối (như là; dịch vụ VoIP, bên gọi) cá nhân thiết bị trái phép Bảo đảm thông tin cá nhân thu thập, xử lý phổ biến qua mạng tuân thủ quy chuẩn luật bảo vệ liệu cục Tính bí mật 10.3 Tầng an ninh ứng dụng Việc bảo vệ mặt phẳng quản lý an ninh ứng dụng liên quan đến việc bảo vệ cấu hình chức OAM&P ứng dụng dựa mạng Đối với ứng dụng thư điện tử, ví dụ hoạt động quản lý cần bảo vệ việc cung cấp quản trị hộp thư người sử dụng Bảng mô tả mục tiêu việc áp dụng kích thước an ninh tầng an ninh ứng dụng, mặt phẳng an ninh quản lý Bảng - Việc áp dụng kích thước an ninh tầng an ninh ứng dụng, mặt phẳng an ninh quản lý Mô đun 7: Tầng an ninh ứng dụng, mặt phẳng an ninh quản lý Kích thước an ninh Mục tiêu an ninh Bảo đảm cá nhân thiết bị cấp phép phép thực Kiểm soát truy thử thực hoạt động quản trị quản lý ứng dụng dựa cập mạng (như là; hộp thư người sử dụng người quản trị ứng dụng thư điện tử) Xác thực Kiểm tra định danh người thiết bị thử thực hoạt động quản trị quản lý ứng dụng sở mạng Các kỹ thuật xác thực yêu cầu phần kiểm soát truy cập Cung cấp ghi định danh cá nhân thiết bị thực hoạt động quản trị quản lý ứng dụng dựa mạng hành động thực Bản Khơng từ chối ghi sử dụng chứng hoạt động quản trị quản lý thực với dấu hiệu cá nhân thiết bị thực Bảo vệ tất tệp sử dụng việc tạo thực ứng dụng dựa mạng (như là; tệp nguồn, tệp đối tượng, tệp thực thi, tệp tạm thời, v.v…) tệp cấu hình ứng dụng khỏi việc truy cập xem trái phép Điều áp dụng tệp ứng dụng lưu trú thiết bị mạng truyền Bảo mật liệu qua mạng lưu trữ ngoại tuyến Bảo vệ thơng tin quản lí quản lý ứng dụng dựa mạng (như là; định danh mật người sử dụng, định danh mật người quản trị) khỏi truy cập xem trái phép Trong trường hợp quản lý quản trị từ xa ứng dụng dựa mạng, bảo đảm thông tin quản lý quản trị truyền trạm quản lý từ xa thiết bị bao gồm ứng dụng dựa mạng Thơng tin quản lý quản trị An ninh luồng khơng bị lệch hướng bị chặn truyền điểm đầu mút truyền thông Áp dụng việc xem xét tương tự thông tin ứng dụng dựa mạng thông tin quản lý quản trị (như là; định danh mật người sử dụng, định danh mật người quản trị) Bảo vệ tất tệp sử dụng việc tạo thực ứng dụng dựa mạng (như là; tệp nguồn, tệp đối tượng, tệp thực thi, tệp tạm thời, v.v…) ứng dụng tệp cấu hình ứng dụng chống lại sửa đổi trái phép Việc Tính toàn vẹn bảo vệ áp dụng tệp ứng dụng lưu trú thiết bị mạng truyền qua mạng lưu trữ hệ thống ngoại tuyến liệu Áp dụng việc xem xét tương tự thông tin ứng dụng dựa mạng thông tin quản lý quản trị (định danh mật người sử dụng, định danh mật người quản trị) Tính sẵn có Bảo đảm khả quản lý quản trị ứng dụng dựa mạng cá nhân thiết bị cho phép bị từ chối Điều bao gồm việc bảo vệ chống lại hoạt động công chủ động công từ chối dịch vụ (DoS) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mô đun 7: Tầng an ninh ứng dụng, mặt phẳng an ninh quản lý bảo vệ chống lại công thụ động sửa đổi xóa bỏ thơng tin xác thực quản trị ứng dụng dựa mạng (như là; định danh mật người quản trị) Bảo đảm thơng tin dùng để định danh hệ thống quản trị quản lý ứng dụng dựa mạng không sẵn dùng cá nhân thiết bị trái phép Ví dụ kiểu thông tin bao gồm địa IP thiết bị mạng tên miền DNS Ví dụ, khả định danh hệ thống quản trị ứng dụng dựa mạng cung cấp thơng tin đích cho người công Bảo đảm thông tin cá nhân thu thập, xử lý phổ biến qua mạng tuân thủ quy chuẩn luật bảo vệ liệu cục Tính bí mật Việc bảo vệ mặt phẳng an ninh kiểm soát tầng an ninh ứng dụng bao gồm việc bảo vệ thơng tin truyền tín hiệu kiểm soát sử dụng ứng dụng dựa mạng Kiểu thông tin thường gây cho ứng dụng thực hành động theo phản hồi việc nhận thơng tin Ví dụ, vấn đề bảo vệ giao thức SMTP POP sử dụng để kiểm soát việc phân phát thư điện tử đề cập Bảng mô tả mục tiêu việc áp dụng kích thước an ninh tầng an ninh ứng dụng, mặt phẳng an ninh kiểm soát Bảng - Áp dụng kích thước an ninh tầng an ninh ứng dụng, mặt phẳng an ninh kiểm sốt Mơ đun 8: Tầng an ninh ứng dụng, mặt phẳng an ninh kiểm sốt Kích thước an ninh Mục tiêu an ninh Bảo đảm thông tin kiểm soát ứng dụng nhận thiết bị mạng Kiểm soát truy tham gia ứng dựa mạng bắt nguồn từ nguồn cho phép (như cập là; thông điệp SMTP yêu cầu truyền thư điện tử) trước chấp nhận Ví dụ, bảo vệ chống lại giả mạo máy SMTP khách thiết bị trái phép Xác thực Kiểm tra định danh nguồn gốc thơng tin kiểm sốt ứng dụng gửi tới thiết bị mạng tham gia ứng dụng dựa mạng Các kỹ thuật xác thực sử dụng phần kiểm soát truy cập Cung cấp ghi định danh người thiết bị khởi tạo thơng điệp kiểm sốt ứng dụng nhận thiết bị mạng tham gia ứng dụng Không từ chối dựa mạng hành động thực Bản ghi sử dụng chứng người thiết bị khởi tạo thơng điệp kiểm sốt ứng dụng Bảo mật liệu Bảo vệ thơng tin kiểm sốt ứng dụng lưu trú thiết bị mạng (như là, sở liệu phiên TLS SSL) truyền qua mạng đó, lưu trữ ngoại tuyến khỏi truy cập xem trái phép Các kỹ thuật sử dụng hướng vào kiểm sốt truy cập đóng góp vào tính bảo mật liệu cho thơng tin kiểm soát ứng dụng dựa sở mạng lưu trú thiết bị mạng Bảo đảm thơng tin kiểm sốt ứng dụng truyền qua mạng (như là; thông điệp thương lượng TLS SSL) truyền nguồn thơng tin kiểm An ninh luồng sốt đích mong muốn Thơng tin kiểm sốt ứng dụng dựa sở truyền thơng mạng khơng bị lệch hướng bị chặn truyền điểm đầu mút Bảo vệ thơng tin kiểm sốt ứng dụng dựa mạng lưu trú thiết bị Tính tồn vẹn mạng, truyền qua mạng đó, lưu trữ ngoại tuyến chống lại sửa đổi, liệu xóa bỏ trái phép Tính sẵn có Tính bí mật Bảo đảm thiết bị mạng tham gia ứng dụng dựa mạng sẵn dùng để nhận thơng tin kiểm sốt từ nguồn cho phép Điều bao gồm việc bảo vệ chống lại công chủ ý công từ chối dịch vụ (DoS) Bảo đảm thơng tin dùng để định danh thiết bị mạng liên kết truyền thông tham gia ứng dụng dựa mạng không sẵn dùng cá nhân thiết bị trái phép Ví dụ kiểu thơng tin gồm địa IP thiết bị mạng tên miền DNS Ví dụ, có khả định danh thiết bị mạng liên kết truyền thông cung cấp thông tin đích cho người cơng Bảo đảm thơng tin cá nhân thu thập, xử lý phổ biến qua mạng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Mô đun 8: Tầng an ninh ứng dụng, mặt phẳng an ninh kiểm soát tuân thủ quy chuẩn luật bảo vệ liệu cục Việc bảo vệ mặt phẳng an ninh người sử dụng cuối ứng dụng tầng an ninh bao gồm việc bảo vệ liệu người sử dụng cung cấp cho ứng dụng dựa mạng Ví dụ tính bảo mật số thẻ tín dụng người sử dụng phải bảo vệ ứng dụng thương mại điện tử Bảng 10 - Áp dụng kích thước an ninh tầng an ninh ứng dụng, mặt phẳng an ninh người sử dụng cuối Mô đun 9: Tầng an ninh dịch vụ, mặt phẳng an ninh người sử dụng cuối Kích thước an ninh Mục tiêu an ninh Kiểm soát truy Bảo đảm người sử dụng thiết bị cho phép phép truy cập thử cập truy cập sử dụng ứng dụng dựa mạng Xác thực Kiểm tra định danh người sử dụng thiết bị thử truy cập sử dụng ứng dụng dựa mạng Các kỹ thuật xác thực yêu cầu phần kiểm soát truy cập Cung cấp ghi định danh người sử dụng thiết bị truy cập sử dụng ứng dụng dựa mạng hành động thực Bản ghi sử Không từ chối dụng chứng để truy cập sử dụng ứng dụng người sử dụng cuối thiết bị Bảo vệ liệu người sử dụng cuối (như là; số thẻ tín dụng người sử dụng) truyền, xử lý lưu trữ ứng dụng dựa mạng chống lại truy cập xem trái phép Bảo mật liệu Áp dụng việc xem xét tương tự liệu người sử dụng truyền từ người sử dụng đến ứng dụng dựa mạng Các kỹ thuật sử dụng để hướng vào kiểm sốt truy cập góp phần vào việc cung cấp tính bảo mật liệu cho liệu người sử dụng cuối Bảo đảm liệu người sử dụng cuối truyền, xử lý lưu trữ ứng dụng dựa mạng không bị lệch hướng bị chặn truyền An ninh luồng điểm đầu mút truy cập cho phép (như là, nghe trộm điện truyền thông thoại hợp pháp) Áp dụng việc xem xét tương tự liệu người sử dụng truyền từ người sử dụng đến ứng dụng dựa mạng Bảo vệ liệu người sử dụng cuối truyền, xử lý lưu trữ ứng Tính tồn vẹn dụng dựa mạng chống lại việc sửa đổi trái phép liệu Áp dụng việc xem xét tương tự đối liệu người sử dụng truyền từ người sử dụng đến ứng dụng dựa mạng Tính sẵn có Bảo đảm truy cập ứng dụng dựa mạng người sử dụng thiết bị cho phép bị từ chối Điều bao gồm việc bảo vệ chống lại công chủ động công từ chối dịch vụ (DoS) bảo vệ chống lại công thụ động sửa đổi xóa bỏ thơng tin xác thực người sử dụng cuối (như là; định danh mật người quản trị) Tính bí mật Bảo đảm ứng dụng dựa mạng không cung cấp thông tin gắn liền với việc sử dụng người sử dụng cuối ứng dụng (như là; trang web vào) cá nhân thiết bị trái phép Ví dụ, tiết lộ kiểu thông tin cho cá nhân thi hành luật pháp với giấy chứng nhận tìm kiếm Bảo đảm thông tin cá nhân thu thập, xử lý phổ biến qua mạng tuân thủ quy chuẩn luật bảo vệ liệu cục MỤC LỤC Phạm vi áp dụng Tài liệu viện dẫn LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Thuật ngữ định nghĩa 3.1 Kiểm soát truy cập (access control) 3.2 Xác thực nguồn gốc liệu (data origin authentication) 3.3 Xác thực thực thể ngang hàng (peer - entity authentication) 3.4 Tính sẵn có (availability) 3.5 Tính bảo mật (confidentiality) 3.6 Tính tồn vẹn liệu (data integrity) 3.7 Không từ chối với chứng nguồn gốc (non-repudiation with proof of origin) 3.8 Không từ chối với chứng phân phát (non-repudiation with proof of delivery) 3.9 Tính bí mật (privacy) Từ viết tắt Kiến trúc tham chiếu an ninh mạng Kích thước an ninh 6.1 Kích thước an ninh kiểm sốt truy cập 6.2 Kích thước an ninh xác thực 6.3 Kích thước an ninh khơng từ chối 6.4 Kích thước an ninh bảo mật liệu 6.5 Kích thước an ninh luồng truyền thơng 6.6 Kích thước an ninh tính tồn vẹn liệu 6.7 Kích thước an ninh tính sẵn có 6.8 Kích thước an ninh tính bí mật Tầng an ninh 7.1 Tầng an ninh hạ tầng 7.2 Tầng an ninh dịch vụ 7.3 Tầng an ninh ứng dụng Mặt phẳng an ninh 8.1 Mặt phẳng an ninh quản lý 8.2 Mặt phẳng an ninh kiểm soát 8.3 Mặt phẳng an ninh người sử dụng cuối Đe dọa an ninh 10 Mô tả mục tiêu đạt việc ứng dụng kích thước an ninh cho tầng an ninh 10.1 Tầng an ninh hạ tầng 10.2 Tầng an ninh dịch vụ 10.3 Tầng an ninh ứng dụng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162

Ngày đăng: 12/02/2022, 00:40

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w