Dự thảo an toàn mạng

Trang 1

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –

AN TOÀN MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM

Information technology – Security techniques – Network security –

Part 1: Overview and concepts

HÀ NỘI – 2012TCVN

Trang 2

TCVN xxxx-1:2012

Trang 4

Mục lục

1 Phạm vi áp dụng 9

2 Tài liệu viện dẫn 10

3 Thuật ngữ và định nghĩa 10

4 Các thuật ngữ viết tắt 16

5 Cấu trúc 19

6 Tổng quan 21

6.1 Khái quát 21

6.2 Lập kế hoạch và quản lý an toàn mạng 23

7 Nhận dạng các rủi ro và chuẩn bị xác định các biện pháp an toàn 27

7.1 Giới thiệu 27

7.2 Thông tin về mạng hiện thời và/hoặc mạng đã được lập kế hoạch 27

7.2.1 Các yêu cầu an toàn trong chính sách an toàn thông tin doanh nghiệp 27

7.2.2 Thông tin về mạng hiện thời hoặc mạng đã được lập kế hoạch 27

7.2.2.1 Giới thiệu 28

7.2.2.2 Kiến trúc, ứng dụng và dịch vụ mạng 28

7.2.2.3 Các kiểu kết nối mạng 30

7.2.2.4 Các đặc tính mạng khác 31

7.2.2.5 Những thông tin khác 33

7.3 Các rủi ro an toàn thông tin và khu vực kiểm soát tiềm năng 33

8 Các biện pháp hỗ trợ 38

8.2 Quản lý an toàn mạng 38

8.2.1 Kiến thức cơ bản 38

8.2.2 Các hoạt động quản lý an toàn mạng 38

8.2.2.1 Giới thiệu 38

8.2.2.2 Chính sách an toàn mạng 39

8.2.2.3 Các thủ tục vận hành an toàn mạng 39

8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng 40

Trang 5

8.2.2.5 Điều kiện an toàn cho các kết nối mạng đa tổ chức 40

8.2.2.6 Các điều kiện an toàn ban hành cho những người sử dụng mạng từ xa 41

8.2.2.7 Quản lý sự cố an toàn mạng 41

8.2.3 Vai trò và trách nhiệm an toàn mạng 41

8.2.4 Giám sát mạng 43

8.2.5 Đánh giá an toàn mạng 43

8.3 Quản lý điểm yếu kỹ thuật 43

8.4 Nhận dạng và xác thực 44

8.5 Ghi nhật ký và giám sát việc kiểm toán mạng 45

8.6Phát hiện và ngăn chặn xâm nhập 47

8.7 Bảo vệ chống lại mã độc 48

8.8 Dịch vụ dựa trên mã hóa 49

8.9 Quản lý tính liên tục trong nghiệp vụ 51

9 Hướng dẫn thiết kế và triển khai an toàn mạng 52

9.1 Kiến thức cơ bản 52

9.2 Kiến trúc/thiết kế an toàn kỹ thuật mạng 52

10 Các kịch bản mạng tham chiếu – Rủi ro, thiết kế, kỹ thuật và các vấn đề về biện pháp 55

10.2 Các dịch vụ truy cập Internet cho nhân viên 56

10.3 Các dịch vụ hợp tác nâng cao 56

10.4 Các dịch vụ doanh nghiệp tới doanh nghiệp 57

10.5 Các dịch vụ doanh nghiệp tới khách hàng 57

10.6 Các dịch vụ thuê ngoài 57

10.7 Phân đoạn mạng 58

10.8 Thông tin di động 58

10.9 Hỗ trợ mạng cho người sử dụng di chuyển 59

10.10 Hỗ trợ mạng cho hộ gia đình và các văn phòng doanh nghiệp nhỏ 59

11 Các chuyên đề về “công nghệ” – Rủi ro, kỹ thuật thiết kế và các vấn đề về biện pháp 59

12 Phát triển và kiểm thử giải pháp an toàn 60

5

Trang 6

13 Vận hành giải pháp an toàn 61

14 Giám sát và soát xét việc triển khai giải pháp 61

Phụ lục A 62

Các chuyên đề về “công nghệ” – Rủi ro, kỹ thuật thiết kế và các vấn đề về biện pháp 62

A.1 Mạng cục bộ 62

A.1.1 Kiến thức cơ bản 62

A.1.2 Các rủi ro an toàn 63

A.1.3 Các biện pháp an toàn 63

A.2 Mạng diện rộng 65

A.3 Mạng không dây 68

A.4 Mạng vô tuyến 69

A.5 Mạng băng rộng 72

A.6 Cổng thông tin an toàn 73

A.7 Mạng riêng ảo 75

A.8 Mạng thoại 77

Trang 7

A.9 Hội tụ IP 79

A.10 Lưu trữ nội dung Web 81

A.11 Thư điện tử Internet 84

A.11.2 Rủi ro an toàn 85

A.12 Truy cập định tuyến đến các tổ chức bên thứ ba 89

A.13 Trung tâm dữ liệu Intranet 92

Tham chiếu chéo giữa TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, và các điều trong TCVN xxxx-1:2012 94

Phụ lục C 100

Ví dụ mẫu đối với tài liệu về SecOP 100

Thư mục tài liệu tham khảo 105

7

Trang 8

Lời nói đầu

TCVN xxxx-1:2012 được xây dựng trên cơ sở ISO/IEC 27033-1

TCVN xxxx-1:2012 do Viện Khoa học Kỹ thuật Bưu điện và Trung tâm Ứng cứu

Khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị,

Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ

công bố

Trang 9

Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan và khái niệm

Information technology - Security techniques – Network security – Part 1: Overview and concepts

1 Phạm vi áp dụng

Tiêu chuẩn TCVN xxxx-1:2012 cung cấp tổng quan về an toàn mạng và các định nghĩa liên quan Nó định nghĩa và mô tả các khái niệm liên quan đến an toàn mạng và cung cấp hướng dẫn quản lý về an toàn mạng (An toàn mạng áp dụng cho an toàn của các thiết bị, an toàn của các hoạt động quản lý liên quan đến các thiết bị, các ứng dụng/dịch vụ, và những người sử dụng cuối, ngoài ra, còn áp dụng cho an toàn của những thông tin được truyền qua các đường truyền thông)

Tiêu chuẩn này liên quan đến bất cứ ai tham gia sở hữu, vận hành hay sử dụng mạng, bao gồm những nhà quản lý cao cấp và những nhà quản lý phi kỹ thuật khác hoặc những người sử dụng Ngoài ra, còn có những người quản lý và những nhà quản trị, những người mà có trách nhiệm cụ thể đối với an toàn thông tin và/hoặc an toàn mạng, vận hành mạng, hoặc những người chịu trách nhiệm đối với chương trình an toàn tổng thể của tổ chức và phát triển chính sách an toàn Tiêu chuẩn này cũng liên quan đến bất cứ ai tham gia vào việc lập kế hoạch, thiết kế và triển khai các khía cạnh kiến trúc của an toàn mạng

Tiêu chuẩn TCVN xxxx-1:2012 cũng:

yêu cầu an toàn mạng dựa trên các phân tích đó,

biện pháp kỹ thuật liên quan, cũng như các biện pháp phi kỹ thuật và các biện pháp kỹ thuật

mà có khả năng áp dụng không chỉ cho các mạng,

tốt, và xác định rủi ro, thiết kế và các biện pháp liên quan tới các kịch bản mạng điển hình và các lĩnh vực “công nghệ” mạng (chúng được đưa ra một cách chi tiết trong các phần tiếp theo của TCVN xxxx)

Trang 10

mạng, giám sát và soát xét liên tục việc triển khai chúng

Nói chung, Tiêu chuẩn này cung cấp tổng quan của loạt tiêu chuẩn TCVN xxxx và “chỉ dẫn” tới tất cả các phần khác

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có)

an toàn thông tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security

techniques - Information security management systems – Requirements).

cho quản lý an toàn thông tin (TCVN ISO/IEC 27002:2011 – Information technology –

Security techniques – Code of practice for information security management).

management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thông

tin - Kỹ thuật an toàn – Các hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng).

Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối các hệ thống mở – Mô hình tham

chiếu cơ sở).

risk management (ISO/IEC 27005:2011 – Công nghệ thông tin - Kỹ thuật an toàn – Quản lý

rủi ro an toàn thông tin).

3 Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong ISO/IEC 7498, ISO/IEC 27000, TCVN

27001, ISO/IEC 27005 và các thuật ngữ, định nghĩa sau:

CHÚ THÍCH: Các thuật ngữ và định nghĩa dưới đây cũng sẽ áp dụng cho các phần có thể có tiếp theo của TCVN xxxx.

Trang 11

Đối tượng tấn công (attacker)

Người có chủ ý khai thác các điểm yếu trong các biện pháp an toàn kĩ thuật lẫn phi kĩ thuật nhằm

ăn cắp hoặc gây hại đối với các hệ thống và mạng thông tin hoặc gây hại đối với tính sẵn sàng trong việc sử dụng các tài nguyên của hệ thống và mạng thông tin của những người sử dụng hợp pháp

3.4

Nhật ký kiểm toán (audit logging)

Việc ghi lại dữ liệu về các sự kiện an toàn thông tin cho mục đích soát xét, phân tích và giám sát liên tục

3.5

Công cụ kiểm toán (audit tools)

Các công cụ tự động để hỗ trợ cho việc phân tích nội dung của nhật ký kiểm toán

3.6

Cơ quan chứng thực (certification authority – CA)

Cơ quan được tin tưởng bởi một hay nhiều người sử dụng để tạo ra và cấp các chứng chỉ khóa công khai

CHÚ THÍCH 1: Cơ quan chứng thực có thể tùy chọn để tạo ra các chìa khóa người sử dụng.

CHÚ THÍCH 2: Vai trò của cơ quan chứng thực trong quy trình này là đảm bảo rằng cá nhân được cấp chứng chỉ duy nhất trong thực tế chính là cá nhân mà cơ quan chứng thực xác nhận Thông thường, điều đó có nghĩa là cơ quan chứng thực có một sự thỏa thuận với một tổ chức cung cấp cho cơ quan chứng thực những thông tin để xác nhận danh tính được khẳng định của một cá nhân Các cơ quan chứng thực chính là một thành tố quan trọng trong an toàn thông tin và thương mại điện tử bởi vì họ đảm bảo rằng hai bên trao đổi thông tin thực sự chính là những người mà họ xác nhận.

3.7

Chính sách an toàn thông tin của tổ chức (corporate information security policy)

Tài liệu mô tả chỉ dẫn quản lý và hỗ trợ cho an toàn thông tin phù hợp với các yêu cầu nghiệp vụ

Trang 12

Mạng vành đai (cũng được biết đến như một mạng lá chắn) được chèn vào như một “mạng nằm giữa” các mạng

3.9

Từ chối dịch vụ (denined of service – DoS)

Sự ngăn cản việc truy cập hợp pháp đến một tài nguyên hệ thống hoặc làm cản trở hoạt động và chức năng hệ thống, dẫn đến kết quả là làm mất đi tính sẵn sàng đối với người sử dụng hợp pháp

3.10

Mạng Extranet (extranet)

Sự mở rộng mạng Intranet của một tổ chức, đặc biệt trên hạ tầng mạng công cộng, cho phép chia

sẻ tài nguyên giữa tổ chức này với các tổ chức và các cá nhân liên quan khác bằng cách cung cấp truy cập có giới hạn đối với mạng Intranet của tổ chức đó

CHÚ THÍCH: Ví dụ, các khách hàng của một tổ chức có thể được cung cấp truy cập đến một vài bộ phận của mạng Intranet của tổ chức đó, tạo ra mạng Extranet, nhưng các khách hàng không thể được xem là “tin cậy” từ một quan điểm

Tường lửa (firewall)

Được xem như là một dạng hàng rào an toàn được đặt giữa các môi trường mạng – bao gồm một thiết bị chuyên dụng hoặc một tập hợp gồm các thành phần và kỹ thuật – mà thông qua đó chỉ cho phép luồng dữ liệu hợp pháp, được xác định dựa trên các chính sách an toàn cục bộ được trao đổi từ môi trường mạng khác và ngược lại

3.13

Hub

Thiết bị mạng hoạt động tại lớp 1 của mô hình tham chiếu OSI

CHÚ THÍCH: Không có đặc tính thông minh thực sự trong các thiết bị mạng này; chúng chỉ cung cấp các điểm kết nối vật lý cho các hệ thống hoặc tài nguyên mạng.

Trang 13

3.18

Phát hiện xâm nhập (intrusion detection)

Là quy trình chính thức phát hiện xâm nhập được đặc trưng bằng việc thu thập các thông tin về các mẫu sử dụng không bình thường cũng như làm gì, làm như thế nào , điểm yếu nào đã bị khai thác , nó xảy ra như thế nào và xảy ra khi nào

CHÚ THÍCH: Xem ISO/IEC 18043.

3.19

Hệ thống phát hiện xâm nhập (intrusion detection system – IDS)

Hệ thống kỹ thuật mà được sử dụng nhằm phát hiện việc một xâm nhập đã được thực hiện, đang xuất hiện hoặc khả năng đối phó với những xâm nhập khi đã bị xâm nhập trong các mạng và các

hệ thống thông tin

CHÚ THÍCH: Xem ISO/IEC 18043

3.20

Ngăn ngừa xâm nhập (intrusion prevention)

Quy trình chính thức của việc phản ứng tích cực để ngăn ngừa những xâm nhập

3.21

Hệ thống ngăn ngừa xâm nhập (intrusion prevention system – IPS)

Một dạng của hệ thống phát hiện xâm nhập, được thiết kế riêng nhằm cung cấp khả năng đối phó xâm nhập một cách linh hoạt

CHÚ THÍCH: Xem ISO/IEC 18043.

3.22

13

Trang 14

TCVN xxxx-1:2012Phần mềm độc hại (malware)

Phần mềm độc hại được thiết kế riêng để phá hủy hoặc làm dừng một hệ thống, tấn công vào tính

bí mật, tính toàn vẹn và/hoặc tính sẵn sàng

CHÚ THÍCH: Các virus và Trojan horses là các ví dụ của phần mềm độc hại.

3.23

Chuyển mạch nhãn đa giao thức (Multi protocol label switching - MPLS)

Là một kỹ thuật, được phát triển để sử dụng trong định tuyến liên mạng, theo đó, các nhãn được gán cho các đường dẫn hoặc các luồng dữ liệu riêng, và được sử dụng để chuyển mạch kết nối, bên dưới và độc lập với các cơ chế giao thức định tuyến thông thường

CHÚ THÍCH: Chuyển mạch nhãn có thể được sử dụng như một phương pháp thiết lập đường hầm.

3.24

Quản trị mạng (network administration)

Vận hành và quản lý hàng ngày các quy trình mạng và các tài sản sử dụng các mạng

3.25

Bộ phân tích mạng (network analyzer)

Thiết bị hay phần mềm được sử dụng để quan sát và phân tích những thông tin truyền trên mạng

CHÚ THÍCH: Trước khi phân tích luồng thông tin thì cần phải thu thập thông tin theo một cách cụ thể như bằng việc sử dụng một bộ sniffer mạng

3.26

Phần tử mạng (network element)

Hệ thống thông tin được kết nối đến một mạng

3.27

Quản lý mạng (network management)

Quy trình lập kế hoạch, thiết kế, triển khai, vận hành, giám sát và duy trì một mạng

3.28

Giám sát mạng (network monitoring)

Quy trình liên tục quan sát và soát xét bản ghi dữ liệu trong các hoạt động và vận hành mạng, bao gồm các bản ghi kiểm toán và các cảnh báo, và bản phân tích liên quan

3.29

Chính sách an toàn mạng (network security policy)

Trang 15

Một tập hợp gồm các điều khoản, qui tắc và bài thực hành mà giải thích phương pháp của tổ chức đối với việc sử dụng các tài nguyên mạng của tổ chức đó, và xác định hạ tầng mạng và dịch vụ mạng của tổ chức đó được bảo vệ như thế nào

3.30

Bộ sniffer mạng (network sniffer)

Thiết bị hay phần mềm được sử dụng để bắt các thông tin truyền trên mạng

3.31

Cổng (port)

Điểm cuối đối với một kết nối

CHÚ THÍCH: Trong ngữ cảnh của giao thức Internet, một cổng là một kênh logic đầu cuối của một kết nối TCP hoặc UDP Các giao thức ứng dụng dựa trên TCP hoặc UDP thường được gán các số cổng mặc định, như cổng 80 cho giao thức HTTP.

3.32

Truy cập từ xa (remote access)

Quá trình truy cập tài các nguyên mạng từ mạng khác, hoặc từ một thiết bị đầu cuối mà thường xuyên không có kết nối vật lý hoặc logic trực tiếp đến mạng mà nó đang truy cập

3.33

Người sử dụng từ xa (remote user)

Người sử dụng tại vị trí khác với vị trí chứa tài nguyên mạng đang được sử dụng

3.34

Bộ định tuyến (router)

Thiết bị mạng được sử dụng để thiết lập và điều khiển luồng dữ liệu giữa các mạng khác nhau bằng cách chọn lựa các đường đi hoặc tuyến dựa trên các giao thức mạng và thuật toán định tuyến

CHÚ THÍCH 1: Các mạng có thể dựa trên các giao thức khác nhau.

CHÚ THÍCH 2: Thông tin định tuyến được lưu giữ trong bảng định tuyến.

3.35

Miền an toàn (security domain)

Một tập hợp gồm các tài sản và nguồn lực phụ thuộc vào một chính sách an toàn chung

3.36

Cổng an toàn (security gateway)

15

Trang 16

Điểm kết nối giữa các mạng, hoặc giữa các nhóm trong mạng, hoặc giữa các phần mềm ứng dụng trong các miền an toàn khác nhau nhằm bảo vệ mạng theo các chính sách an toàn mạng đã được đưa ra

3.37

Thư rác (spam)

Thư điện tử tự gửi đến, có thể mang các nội dung phần mềm độc hại và/hoặc các bản tin lừa đảo

3.38

Sự giả mạo (spoofing)

Mạo nhận tài nguyên hoặc người dùng hợp pháp

3.39

Thiết bị chuyển mạch (switch)

Thiết bị cung cấp kết nối giữa các thiết bị mạng bằng cơ chế chuyển mạch trong, với công nghệ chuyển mạch được triển khai tại lớp 2 hoặc lớp 3 của mô hình tham chiếu OSI

CHÚ THÍCH: Các thiết bị chuyển mạch được phân biệt với các thiết bị kết nối mạng cục bộ (như là hub) bởi vì công nghệ được sử dụng trong các bộ chuyển mạch là thiết lập các kết nối trên cơ sở điểm tới điểm

Mạng cục bộ ảo (virtual local area network)

Một mạng độc lập, có tính logic được tạo ra từ hạ tầng mạng vật lý

4 Các thuật ngữ viết tắt

CHÚ THÍCH: Các thuật ngữ viết tắt sau được sử dụng trong tất cả các phần của TCVN xxxx.

Accounting

Trang 17

system

cao

Enhanced Data-Rates for GSM Evolution

Service

communication

System

IP

IPS

Giao thức Internet

Hệ thống ngăn ngừa xâm nhập

Internet ProtocolIntrusion Prevention System

17

Trang 18

exchange

Disks

Protocol

System

IEEE 802.11

Wired Equivalent Privacy

Trang 19

5, 6 và 7).

Do đó, đối với bất kì tổ chức nào bắt đầu từ đầu, hay thực hiện soát xét chủ yếu (các) mạng đang tồn tại, trước hết phải sử dụng nội dung Phần 1 và sau đó là Phần 2, nhưng tham khảo khi cần thiết và thích hợp những thông tin về các rủi ro an toàn, các kỹ thuật thiết kế và các vấn đề về biện pháp trong Phần 3 đến Phần 7

Ví dụ, một tổ chức đang xem xét việc triển khai một môi trường mạng mới mà bao gồm việc sử dụng hạ tầng mạng IP, các cổng an toàn và một số sử dụng công nghệ không dây, cũng như sử dụng lưu trữ web và Internet (như đối với thư điện tử và truy cập trực tuyến gửi đi)

Khi sử dụng các quy trình được mô tả trong Phần 1 để xác định các rủi ro an toàn đối với môi trường mạng mới, tổ chức có thể tham khảo những thông tin liên quan đến rủi ro từ các Phần có liên quan khác của TCVN xxxx, tức là các Phần mà xác định những rủi ro an toàn cụ thể (cũng như các kỹ thuật thiết kế và các vấn đề về biện pháp) liên quan đến hội tụ IP, các cổng an toàn và

sử dụng công nghệ không dây, cũng như sử dụng lưu trữ web và Internet (như đối với thư điện tử

và truy cập trực tuyến)

Khi sử dụng Phần 2 để xác định kiến trúc an toàn kỹ thuật mạng cần thiết, tổ chức có thể tham khảo thông tin về các kỹ thuật thiết kế và các vấn đề về biện pháp từ các Phần có liên quan khác của TCVN xxxx, tức là các Phần mà xác định các kỹ thuật thiết kế và các vấn đề về biện pháp cụ thể (cũng như các rủi ro an toàn) – liên quan đến hội tụ IP, các cổng an toàn và sử dụng công

19

Trang 20

Cấu trúc của TCVN xxxx bao gồm:

Phần 1 Hướng dẫn cho an toàn mạng

Phần 3 Các kịch bản mạng tham chiếu – Rủi ro, thiết kế, kỹ thuật và các vấn

đề về biện pháp

Phần 2 Hướng dẫn thiết kế và triển

khai an toàn mạng

Phần 5

An toàn thông tin qua các mạng sử dụng mạng riêng ảo (VPN) – Rủi ro,

Phần 6

An toàn thông tin qua các mạng sử dụng

hạ tầng mạng

IP – Rủi ro, kỹ thuật thiết kế

và các vấn đề

về biện pháp

Trang 21

các biện pháp an toàn, tức là thiết lập các yêu cầu an toàn mạng (xem Điều 7),

pháp kỹ thuật có liên quan của các kiến trúc đó, tức là các biện pháp khác (phi kỹ thuật và

kỹ thuật) mà có khả năng áp dụng không chỉ cho mạng (xem Điều 8) Các tham chiếu được cung cấp cho những nội dung có liên quan của TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011 và ISO/IEC 27005,

đảm bảo an toàn mạng thích hợp cho môi trường nghiệp vụ kinh doanh của tổ chức, sử dụng một phương pháp phù hợp với việc lập kế hoạch và thiết kế an toàn mạng, như có liên quan được bổ trợ bởi việc sử dụng các mô hình/các khung (tức là một phần giới thiệu

về nội dung của TCVN xxxx-2) (xem Điều 9),

liên quan đến các kịch bản mạng tham chiếu (tức là một phần giới thiệu về nội dung của TCVN xxxx-3) (xem Điều 10),

cho các chủ đề về “công nghệ” mạng (tức là một phần giới thiệu về nội dung của TCVN xxxx-4, TCVN xxxx-5, TCVN xxxx-6, TCVN xxxx-7 và các phần khác có thể có trong tương lai) (xem Điều 11 và Phụ lục A)

toàn mạng (xem Điều 12), vận hành giải pháp an toàn mạng (xem Điều 13), và giám sát và soát xét liên tục việc triển khai an toàn mạng (xem Điều 14), và

các biện pháp và các điều khoản của TCVN xxxx-1 được trình bày ở Phụ lục B

6 Tổng quan

6.1 Khái quát

Một ví dụ môi trường mạng mà có thể thấy trong rất nhiều tổ chức hiện nay được đưa ra trong Hình 2 dưới đây (Hình 2 chỉ hoàn toàn dành cho các mục đích minh họa trong phần tổng quan này, và không có ý định dành cho bất cứ một mục đích nào khác)

21

Trang 22

Hình 2 – Ví dụ môi trường mạng

Mạng Intranet xác định mạng mà một tổ chức dựa vào và duy trì từ bên trong Thông thường, chỉ các cá nhân làm việc cho tổ chức mới được truy cập trực tiếp vào mạng, và do mạng được đặt trong phạm vi mà tổ chức làm chủ nên mức độ bảo vệ có thể dễ dàng đạt được Trong hầu hết các trường hợp, mạng Intranet không đồng nhất về các công nghệ được sử dụng và các yêu cầu

an toàn; có thể có những hạ tầng mà đòi hỏi mức bảo vệ cao hơn so với mức mà chính mạng Intranet đưa ra Các hạ tầng như vậy, ví dụ như các phần quan trọng của một môi trường PKI, có thể được vận hành trong một đoạn xác định của mạng Intranet Mặt khác, các công nghệ hiện thời (như các hạ tầng WLAN) có thể yêu cầu sự cách ly và xác thực vì chúng phát sinh thêm các rủi ro Trong cả hai trường hợp, các cổng an toàn bên trong có thể được sử dụng để triển khai việc phân đoạn này

Các yêu cầu trong nghiệp vụ của phần lớn các tổ chức ngày nay cần những phương tiện liên lạc

và trao đổi dữ liệu với các đối tác bên ngoài và các tổ chức khác Thông thường, các đối tác kinh doanh quan trọng nhất được kết nối bằng cách trực tiếp mở rộng kết nối mạng Intranet của tổ chức với mạng của tổ chức đối tác; khái niệm mạng Extranet thường được sử dụng cho các mở rộng như vậy Bởi vì độ tin cậy trong các tổ chức đối tác được kết nối trong phần lớn các trường

Trang 23

hợp thường thấp hơn so với trong cùng tổ chức, các cổng an toàn mạng extranet được sử dụng

để kiểm soát các rủi ro do các kết nối này phát sinh

Các mạng công cộng, mà mạng Internet là ví dụ chung nhất của loại mạng này, ngày nay được sử dụng rộng rãi nhằm cung cấp các phương tiện thông tin và trao đổi dữ liệu tối ưu về chi phí với các đối tác, khách hàng, và công chúng nói chung, và cung cấp các dạng mở rộng khác nhau của mạng Intranet Do mức độ tin cậy thấp trong các mạng công cộng, đặc biệt là Internet, nên cần phải có các cổng an toàn tinh vi nhằm hỗ trợ quản lý các rủi ro có liên quan Các cổng an toàn này bao gồm các thành phần đặc trưng để đáp ứng các yêu cầu của các dạng mở rộng khác nhau của mạng Intranet cũng như các kết nối của đối tác và khách hàng

Người sử dụng từ xa có thể được kết nối thông qua công nghệ VPN, và họ có thể sử dụng thêm các phương tiện kết nối không dây như các điểm truy cập WLAN công cộng để truy cập Internet Một lựa chọn khác, người sử dụng từ xa có thể sử dụng mạng điện thoại để thiết lập các kết nối quay số trực tiếp đến một máy chủ truy cập từ xa, máy chủ này thường được đặt bên trong môi trường DMZ của tường lửa Internet

Khi một tổ chức quyết định sử dụng các công nghệ VoIP để triển khai mạng điện thoại nội bộ thì các cổng an toàn thích hợp với mạng điện thoại thường cũng phải hiện diện

Các cơ hội nghiệp vụ đạt được bởi các môi trường mạng mới phải được cân đối với các rủi ro nảy sinh từ các công nghệ mới hơn Ví dụ, mạng Internet có một số đặc tính kỹ thuật mà có thể là nguyên nhân của những mối lo ngại từ một quan điểm về an toàn, bởi vì ban đầu nó được thiết kế

ưu tiên tính mềm dẻo hơn là tính an toàn - và nhiều giao thức cơ bản được sử dụng rộng rãi về bản chất là không an toàn Có một số lượng lớn người sử dụng trong môi trường toàn cầu có khả năng, hiểu biết và khuynh hướng truy cập vào cơ cấu hạ tầng và các giao thức cơ bản, và từ đó tạo ra những sự cố về an toàn, trải rộng khắp từ những truy cập trái phép tới phá hoại và từ chối các dịch vụ trên qui mô rộng

6.2 Lập kế hoạch và quản lý an toàn mạng

Khi xem xét các kết nối mạng, tất cả các cá nhân trong tổ chức mà có trách nhiệm liên quan đến các kết nối phải hiểu rõ các yêu cầu và lợi ích nghiệp vụ, các rủi ro an toàn có liên quan, và các khía cạnh về kiến trúc an toàn kỹ thuật/các kỹ thuật thiết kế và các biện pháp an toàn có liên quan Các yêu cầu và lợi ích nghiệp vụ sẽ ảnh hưởng nhiều đến việc đưa ra các quyết định và hành động trong quá trình xem xét các kết nối mạng, xác định các khía cạnh về kiến trúc an toàn kỹ thuật/các kỹ thuật thiết kế và các biện pháp an toàn tiềm năng và từ đó lựa chọn, thiết kế, triển khai và duy trì mạng an toàn

Toàn bộ quá trình để đạt được và duy trì an toàn mạng cần thiết có thể được tóm tắt như sau:a) Xác định phạm vi/ngữ cảnh và sau đó đánh giá các rủi ro an toàn:

23

Trang 24

1) Thu thập những thông tin trong môi trường mạng hiện thời và/hoặc mạng đã được lập

kế hoạch:

những rủi ro liên quan đến mạng, những rủi ro mà luôn được xem là ở mức cao, và về các biện pháp an toàn mạng cần được triển khai bất kể những rủi ro

đã được đánh giá

CHÚ THÍCH: Chính sách này cũng phải bao gồm cả quan điểm của tổ chức về (1) các yêu cầu an toàn có tính qui định và lập pháp liên quan đến các kết nối mạng như đã được định rõ bởi các cơ quan lập pháp và qui định có liên quan (bao gồm các cơ quan cầm quyền thuộc quốc gia), và (2) tính nhạy cảm của dữ liệu được lưu giữ hoặc được truyền tải trên mạng

được lập kế hoạch – (các) kiến trúc, các ứng dụng, các dịch vụ, các loại kết nối

và các đặc tính khác – điều này sẽ có liên quan tới việc nhận dạng và đánh giá các rủi ro, và xác định điều gì là có thể về mặt kiến trúc/thiết kế an toàn kỹ thuật mạng

bất lợi tiềm năng, các mối đe dọa và các điểm yếu (bao gồm giá trị đối với các hoạt động nghiệp vụ của những thông tin được truyền tải qua các kết nối mạng, bất kì thông tin nào khác có khả năng bị truy cập một cách bất hợp pháp thông qua các kết nối này, và của các dịch vụ được cung cấp)

2) Xác định và đánh giá các rủi ro an toàn mạng, và các biện pháp tiềm năng thích hợp:

dụng những thông tin về rủi ro liên quan tới các kịch bản mạng cần thiết và các chuyên đề về “công nghệ” (xem Điều 10 và 11) – xác định các yêu cầu an toàn (Lưu ý rằng, điều này bao gồm (1) đánh giá các rủi ro liên quan đến các vi phạm tiềm năng các qui định và luật pháp tương ứng liên quan đến các kết nối mạng như đã được định rõ bởi các cơ quan lập pháp hay qui định có liên quan (bao gồm các cơ quan cầm quyền thuộc quốc gia), và (2) sử dụng các tác động nghiệp vụ bất lợi tiềm năng đã được chấp nhận, khẳng định tính nhạy cảm/sự phân loại của dữ liệu được lưu giữ hoặc được truyền tải trên mạng),

b) Xác định các biện pháp an toàn hỗ trợ - các biện pháp phi kỹ thuật và kỹ thuật – những biện pháp mà không chỉ áp dụng cho các mạng (xem Điều 8),

c) Soát xét các tùy chọn về kiến trúc/thiết kế an toàn kỹ thuật, xem xét các kịch bản mạng và các chuyên đề về “công nghệ”, và lựa chọn và dẫn chứng bằng tài liệu kiến trúc/thiết kế an toàn kỹ thuật được ưu tiên và các biện pháp an toàn có liên quan (xem Điều 9 đến Điều

11, và Phụ lục A) [Lưu ý rằng, điều này bao gồm các biện pháp được yêu cầu tuân thủ theo các qui định và luật pháp tương ứng liên quan đến các kết nối mạng như đã được

Trang 25

định rõ bởi các cơ quan lập pháp hay qui định có liên quan (bao gồm các cơ quan cầm quyền thuộc quốc gia)],

d) Phát triển và kiểm thử giải pháp an toàn (xem Điều 12),

e) Triển khai và vận hành các biện pháp an toàn (xem Điều 13),

f) Giám sát và soát xét việc triển khai (xem Điều 14) (Lưu ý rằng, điều này bao gồm việc giám sát và soát xét các biện pháp được yêu cầu tuân thủ theo các qui định và luật pháp tương ứng liên quan đến các kết nối mạng như đã được định rõ bởi các cơ quan lập pháp hay qui định có liên quan (bao gồm các cơ quan cầm quyền thuộc quốc gia):

1) Soát xét phải được tiến hành định kì, và trong trường hợp có những thay đổi lớn (về các yêu cầu nghiệp vụ, công nghệ, các giải pháp an toàn,…), và khi cần thiết thì các kết quả từ các giai đoạn trước được phác thảo ở trên phải được xem lại và cập nhật

Tổng quan về quá trình lập kế hoạch và quản lý an toàn mạng được đưa ra dưới dạng biểu đồ trong Hình 3 bên dưới

25

Trang 26

Hình 3 - Quy trình lập kế hoạch và quản lý an toàn mạng

Cần nhấn mạnh rằng, trong toàn bộ quy trình này, tham chiếu phải được thực hiện một cách thích hợp với TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011, và ISO/IEC 27005, bao gồm cho việc tư vấn chung về nhận dạng các biện pháp an toàn Tiêu chuẩn TCVN xxxx-1 là sự bổ sung

Xác định các rủi ro liên quan đến mạng và chuẩn bị xác định các biện pháp an toàn:

+Thu thập thông tin về môi trường mạng hiện thời và/hoặc môi trường mạng đã được lập kế hoạch:

- Soát xét chính sách an toàn thông tin doanh nghiệp

(Điêu 7)

Xác định các biện pháp hỗ trợ:

- Biện pháp phi kỹ thuật

- Biện pháp kỹ thuật, áp dụng không chỉ cho các mạng

kế an toàn kỹ thuật được ưu tiên và các biện pháp an toàn

có liên quan (điều 9 đến 11) Phát triển, triển khai và kiểm thử giải pháp an toàn (điều 12)

Vận hành giải pháp an toàn (điều 13)

Giám sát và soát xét việc triển khai (điều 14)

CHÚ THÍCH: Xem TCVN 27001, TCVN 27002, ISO/IEC 27003, ISO/IEC 24004 và ISO/IEC 27005

Trang 27

7.2 Thông tin về mạng hiện thời và/hoặc mạng đã được lập kế hoạch

7.2.1 Các yêu cầu an toàn trong chính sách an toàn thông tin doanh nghiệp

Chính sách an toàn thông tin doanh nghiệp của một tổ chức (hay của một cộng đồng) có thể bao gồm những công bố về sự cần thiết đối với tính bí mật, tính toàn vẹn, sự không chối bỏ và tính sẵn sàng, cũng như các quan điểm về các loại đe dọa và rủi ro, và các biện pháp an toàn mạng sẽ cần phải được triển khai bất kể những rủi ro đã được đánh giá Do đó, bước đầu tiên phải là soát xét chính sách an toàn thông tin doanh nghiệp để có những chi tiết về các rủi ro liên quan đến mạng, những rủi ro mà luôn được xem là ở mức cao, và về các biện pháp an toàn mạng phải được triển khai

Ví dụ, một chính sách như vậy có thể công bố rằng

Các yêu cầu như vậy phải được tính đến khi thực hiện đánh giá rủi ro và soát xét quản lý, và xác định các khía cạnh kiến trúc/thiết kế an toàn kỹ thuật và các biện pháp an toàn tiềm năng Bất kì yêu cầu nào như vậy sẽ phải ghi lại trong danh sách phác thảo các vấn đề về những biện pháp tiềm năng, và khi cần thì được phản ánh trong các tùy chọn kiến trúc/thiết kế an toàn kỹ thuật.Hướng dẫn về chính sách an toàn thông tin được cung cấp trong TCVN ISO/IEC 27002:2011 và ISO/IEC 27005

7.2.2 Thông tin về mạng hiện thời hoặc mạng đã được lập kế hoạch

27

Trang 28

TCVN xxxx-1:20127.2.2.1 Giới thiệu

Bước tiếp theo phải là thu thập và soát xét những thông tin về (các) mạng hiện thời và/hoặc (các) mạng đã được lập kế hoạch – (các) kiến trúc, những ứng dụng, các dịch vụ, các loại kết nối và các đặc tính khác – điều này sẽ có liên quan đến việc nhận dạng và đánh giá các rủi ro, và xác định điều gì là có thể về mặt kiến trúc/thiết kế an toàn kỹ thuật Các khía cạnh này được mô tả dưới đây

7.2.2.2 Kiến trúc, ứng dụng và dịch vụ mạng

Phải đạt được chi tiết về kiến trúc, các ứng dụng và dịch vụ của mạng hiện thời và/hoặc mạng đã được lập kế hoạch, và phải được soát xét để cung cấp những hiểu biết và ngữ cảnh cần thiết cho việc thực hiện đánh giá rủi ro an toàn mạng và soát xét quản lý và sau đó xem xét các tùy chọn kiến trúc an toàn kỹ thuật mạng Bằng cách làm rõ các khía cạnh này ở giai đoạn sớm nhất có thể, quá trình xác định và đánh giá các rủi ro an toàn và các biện pháp an toàn liên quan, và các tùy chọn kiến trúc an toàn kỹ thuật mạng và quyết định cái nào sẽ được thông qua, sẽ trở nên hiệu quả hơn và cuối cùng đưa đến được một giải pháp an toàn khả thi hơn

Hơn nữa, việc xem xét các khía cạnh kiến trúc, ứng dụng và dịch vụ mạng hiện thời và/hoặc mạng

đã được lập kế hoạch ở giai đoạn đầu phải cho phép có thời gian để soát xét và có khả năng sửa đổi các khía cạnh này nếu một giải pháp an toàn có thể chấp nhận được không thể hoạt động thực tiễn trong môi trường hiện thời và/hoặc môi trường đã được lập kế hoạch

Phụ thuộc vào lĩnh vực mà chúng đảm nhiệm, các mạng có thể được phân loại rất rộng như sau:

(Một số tài liệu cũng định nghĩa thuật ngữ Metropolitan Area Network (MAN) – mạng đô thị - cho mạng WAN giới hạn cục bộ, ví dụ như trong một thành phố Tuy nhiên, ngày nay, những công nghệ giống nhau được sử dụng cho các mạng WAN và do đó không còn có khác biệt đáng kể nào giữa mạng WAN và mạng MAN nữa Hơn nữa, vì những mục đích của tiêu chuẩn này, Personal Area Network (PAN) – mạng cá nhân - sẽ được phân loại như mạng LAN Một thuật ngữ khác được sử dụng ngày nay là Global Area Network (GAN) – mạng toàn cầu – tức là mạng WAN toàn cầu Lưu ý rằng, ngày nay, có các thuật ngữ được sử dụng cho các mạng liên quan đến lưu trữ, như Storage Area Network (SAN) – mạng lưu trữ - và Network Attached Storage (NAS) – Thiết bị lưu trữ gắn vào mạng, tuy nhiên chúng không nằm trong phạm vi của Tiêu chuẩn này)

Các giao thức khác nhau có các đặc tính an toàn khác nhau và phải được xem xét đặc biệt Ví dụ:

cung cấp các cơ chế để điều chỉnh việc sử dụng chia sẻ đa phương tiện giữa các hệ thống kết nối Khi sử dụng chia sẻ phương tiện thông tin, toàn bộ thông tin trong mạng có khả năng bị truy cập vật lý bởi tất cả các hệ thống kết nối Ví dụ ở đây là Ethernet hub

Trang 29

dụ ở đây bao gồm IEEE 802.1x và WPA,

khác nhau mà ở đó thông tin được truyền đi qua các đoạn mạng, hoặc các mạng LAN hoặc các mạng WAN Thông tin có thể bị truy cập vật lý đối với tất cả hệ thống theo đường định tuyến, và việc định tuyến có thể bị thay đổi, hoặc do vô tình hoặc do cố ý,

truyền tải, cho phép một mạng truyền tải lõi được chia sẻ bởi nhiều mạng đa cá nhân mà không có bất kỳ một thành viên nào của một mạng cá nhân nhận biết được rằng có những mạng cá nhân khác cũng đang chia sẻ mạng lõi Ứng dụng chủ yếu là triển khai các mạng VPN, ở đây các nhãn khác nhau được sử dụng để nhận biết và phân biệt luồng thông tin thuộc các mạng VPN khác nhau (một mạng VPN mà dựa trên MPLS thì không dựa vào các cơ cấu mã hoá dữ liệu) Điều này làm cho nhóm khách hàng của doanh nghiệp thuê ngoài mạng nội bộ của họ sang một nhà cung cấp dịch vụ và vì vậy tránh được yêu cầu triển khai và quản lý mạng lõi IP của chính bản thân họ Lợi ích chủ yếu ở đây là khả năng hội tụ các dịch vụ mạng, như là thoại và dữ liệu trên một mạng, sử dụng các cơ cấu QoS

để đảm bảo hiệu năng thời gian thực

Có rất nhiều giao thức được sử dụng trên các mạng mà không phải triển khai bất kỳ một biện pháp an toàn nào Ví dụ, các công cụ để lấy mật khẩu từ lưu lượng mạng thường được sử dụng bởi những đối tượng tấn công mạng Điều này làm cho các giao thức, như Telnet, khi gửi các mật khẩu không được mã hóa qua một mạng công cộng sẽ dễ bị nguy cơ tấn công cao

CHÚ THÍCH: Telnet là chương trình mô phỏng đầu cuối làm việc trực tuyến trên một máy tính từ xa

Nhiều giao thức có thể được sử dụng kết hợp với các cấu trúc và phương tiện mạng khác nhau,

và bằng cách sử dụng các công nghệ mạng có dây cũng như mạng không dây Trong nhiều trường hợp, điều này cũng ảnh hưởng đến các đặc tính an toàn

Các loại ứng dụng được sử dụng trong một mạng phải được xem xét trong bối cảnh của tính an toàn Các loại ứng dụng này có thể bao gồm:

Trang 30

Những ví dụ sau chỉ ra những đặc tính ứng dụng ảnh hưởng như thế nào đến các yêu cầu an toàn cho các môi trường mạng mà chúng có thể sử dụng:

cấp một mức an toàn thỏa đáng mà không cần triển khai các biện pháp an toàn chuyên dụng trên mạng,

Trong khi tính bảo mật có thể không phải là vấn đề lớn trong bối cảnh này thì tính toàn vẹn

là quan trọng và mạng phải cung cấp các cơ chế thích hợp cho nó Ngoài ra, nếu các yêu cầu cao hơn cần được thoả mãn, chữ ký số của mã di dộng sẽ cung cấp tính toàn vẹn và xác thực bổ sung Thường thì điều này được thực hiện trong phạm vi bản thân khung ứng dụng, và như vậy có thể không cần thiết cung cấp các dịch vụ này trên mạng,

các dữ liệu quan trọng trên các nút trung gian cho các xử lý tiếp theo Nếu có các yêu cầu

về tính toàn vẹn và tính bảo mật thì các biện pháp thích hợp sẽ cần thiết trong mạng để bảo vệ dữ liệu truyền đi Tuy nhiên, bởi lưu trữ dữ liệu tạm thời trên các máy chủ trung gian nên các biện pháp này có thể là không đủ Do đó, các biện pháp bổ sung có thể cần được áp dụng cũng để bảo vệ dữ liệu được lưu trữ trên các nút trung gian

được xem xét trong ngữ cảnh an toàn

Khi soát xét kiến trúc, các ứng dụng và dịch vụ mạng cũng cần phải đưa ra những xem xét đối với các kết nối mạng đang tồn tại trong, tới hay từ tổ chức/cộng đồng, và tới mạng mà một kết nối tới

đó được đề xuất Các kết nối đang tồn tại của tổ chức/cộng đồng có thể hạn chế hay ngăn cản các kết nối mới, như do thỏa thuận hay hợp đồng Sự tồn tại của các kết nối khác tới hay từ mạng

mà một kết nối tới đó được yêu cầu có thể phát sinh thêm các điểm yếu và do đó rủi ro cao hơn,

có khả năng phải đưa ra các biện pháp bổ sung và/hoặc các biện pháp mạnh hơn

(Hướng dẫn chung về các kiến trúc mạng và ứng dụng có thể xem trong ISO/IEC 7498)

7.2.2.3 Các kiểu kết nối mạng

Có nhiều loại kết nối mạng chung mà một tổ chức/cộng đồng có thể cần sử dụng Một vài trong số những loại kết nối này có thể được thiết lập qua các mạng cá nhân (việc truy cập vào đó được giới hạn cho một cộng đồng đã biết), và một vài loại kết nối có thể được thiết lập qua các mạng công cộng (việc truy cập vào đó có khả năng sẵn sàng cho bất cứ tổ chức hay cá nhân nào) Hơn nữa, các loại kết nối mạng này có thể được sử dụng cho những dịch vụ khác nhau, như thư điện

tử, và có thể liên quan đến việc sử dụng phương tiện mạng Internet, mạng Intranet hoặc mạng Extranet, mà mỗi một loại này có các vấn đề bảo mật khác nhau Mỗi loại kết nối này có thể có những điểm yếu khác nhau và vì vậy có những rủi ro an toàn có liên quan khác nhau, và do đó dẫn đến hệ quả là cần yêu cầu một tập hợp các biện pháp khác nhau

Trang 31

Một cách phân loại các loại kết nối mạng chung, có thể được yêu cầu để thực hiện nghiệp vụ, được đưa ra như sau:

nghĩa là một toà nhà hoặc vị trí đơn lẻ được kiểm soát,

các văn phòng trong vùng với vị trí trụ sở điều hành, thông qua một mạng diện rộng Nếu không phải là tất cả thì cũng hầu hết những người sử dụng có khả năng truy cập các hệ thống thông tin sẵn có thông qua mạng, nhưng không phải tất cả những người sử dụng trong tổ chức có quyền truy cập hợp pháp đến tất cả các ứng dụng hoặc thông tin,

lập các đường liên kết từ xa đến các hệ thống máy tính của tổ chức bởi các nhân viên đang làm việc từ nhà hoặc từ các vị trí từ xa khác mà không có đường liên kết qua mạng được duy trì bởi tổ chức,

hợp có các ràng buộc về thỏa thuận hoặc về mặt luật pháp, hoặc có cùng lợi ích nghiệp vụ như ngân hàng hoặc bảo hiểm Các kết nối như thế có thể không cung cấp truy cập đến tất

cả các loại ứng dụng được sử dụng bởi mỗi tổ chức tham gia,

các tổ chức khác Trong loại kết nối mạng này, tất cả những người sử dụng, bao gồm cả những người thuộc các tổ chức kết nối, được uỷ quyền trước từng người một bởi tổ chức ngoài, mà thông tin của tổ chức này đang được truy cập,

của tổ chức tới cơ sở dữ liệu công cộng, các trang Web, và/hoặc các phương tiện thư điện

tử (như thông qua Internet),

đến PSTN từ một máy điện thoại trong một mạng IP Những kết nối như vậy không được kiểm soát bởi vì các cuộc gọi có thể được nhận từ bất kỳ một vị trí nào đó trên thế giới.Cho dù bất cứ phương tiện nào được sử dụng để phân loại thì các loại kết nối khác nhau trong môi trường mạng hiện thời và/hoặc môi trường mạng đã được lập kế hoạch phải được soát xét để bảo đảm tính an toàn cho các kết nối đó và thông tin nhận được phải được sử dụng trong quá trình xác định và đánh giá các rủi ro an toàn và các biện pháp an toàn liên quan, và các tùy chọn

về kiến trúc an toàn kỹ thuật mạng và quyết định cái nào được thông qua

7.2.2.4 Các đặc tính mạng khác

31

Trang 32

cho dữ liệu, hoặc

Một số thông tin khác cũng liên quan như là:

năng phù hợp, tính tin cậy và tính sẵn sàng Các dịch vụ mạng phải được đưa đến để cung cấp mức hiệu năng tối thiểu có khả năng sử dụng được Ví dụ, dịch vụ thoại sẽ bị tiếng vọng hoặc mất âm nếu băng thông không đủ QoS đề cập đến khả năng của một hệ thống mạng duy trì một dịch vụ cho trước tại mức hiệu năng tối thiểu yêu cầu hoặc trên mức đó).Hơn nữa, nó phải được thiết lập bất kể kết nối là thường xuyên, hay được thiết lập khi cần thiết.Một khi các đặc tính này của mạng hiện thời/mạng đã được lập kế hoạch được xác định, và ở mức tối thiểu nó đã được thiết lập nếu mạng là công cộng hay cá nhân, sau đó cần thiết xem xét các điều sau cho đầu vào của đánh giá rủi ro an toàn mạng và soát xét quản lý Phân loại mạng một cách khái quát thành các mạng giống như – mạng có:

doanh nghiệp khép kín (có nhiều hơn một tổ chức),

Sau đó, xem xét phân loại trong bối cảnh liệu mạng đã được sử dụng/mạng sẽ được sử dụng là mạng công cộng hay mạng cá nhân, và sau đó phân loại tiếp như:

công cộng,

doanh nghiệp khép kín, và sử dụng một mạng công cộng,

Trang 33

doanh nghiệp khép kín, và sử dụng một mạng cá nhân,

một mạng cá nhân

Cho dù điều này được soát xét theo bất cứ cách nào thì cũng cần phải nhận thức được rằng, các

tổ hợp nhất định có vẻ như có mức rủi ro thấp hơn các tổ hợp khác Thông tin nhận được phải được sử dụng trong quá trình xác định và đánh giá các rủi ro an toàn và các biện pháp an toàn liên quan, và các tùy chọn về kiến trúc an toàn kỹ thuật mạng và quyết định cái nào được thông qua

7.2.2.5 Những thông tin khác

Cuối cùng, những thông tin khác phải được thu thập để chuẩn bị một cách trọn vẹn cho việc đánh giá rủi ro an toàn mạng và soát xét quản lý tương thích với TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011, bao gồm xác định cẩn thận giới hạn/phạm vi soát xét Thực hiện việc này vào thời điểm sớm nhất sẽ tránh được sự mơ hồ, công việc không cần thiết về sau và sẽ nâng cao sự tập trung và tính hiệu quả của việc soát xét Xác định giới hạn/phạm vi phải chỉ rõ cái nào sau đây phải được xem xét khi thực hiện đánh giá rủi ro an toàn mạng và soát xét quản lý:

tiềm năng (nếu không biết cụ thể thì dưới dạng những thuật ngữ chung),

Thông tin này, cùng với thông tin đã thu thập được phù hợp với Mục 7.2 ở trên, phải được sử dụng trong đánh giá rủi ro an toàn mạng và soát xét quản lý, các hoạt động này được tóm tắt trong Mục 7.3 ở dưới

7.3 Các rủi ro an toàn thông tin và khu vực kiểm soát tiềm năng

Như đã được phản ánh ở trên, phần lớn các tổ chức ngày nay phụ thuộc vào việc sử dụng các mạng và các hệ thống thông tin và những thông tin có liên quan để hỗ trợ cho các hoạt động

33

Trang 34

nghiệp vụ của họ Hơn nữa, trong nhiều trường hợp, có một yêu cầu nghiệp vụ xác định cho việc

sử dụng các mạng giữa các hệ thống thông tin ở mỗi vị trí của tổ chức, và tới các vị trí khác ở trong và ở ngoài tổ chức, bao gồm tới/từ cộng đồng chung Khi một kết nối được thiết lập đến một mạng khác, cần phải tiến hành các xem xét tương đối để đảm bảo rằng tổ chức kết nối không phát sinh thêm các rủi ro (từ các mối đe dọa tiềm năng đang khai thác các điểm yếu) Các rủi ro này có thể, ví dụ như xảy ra từ chính kết nối của nó hoặc từ các kết nối mạng từ đầu kia

Một vài trong số những rủi ro này có thể liên quan đến việc đảm bảo tuân thủ luật pháp và các qui định có liên quan (Đặc biệt chú ý đối với tính riêng tư và luật bảo vệ dữ liệu Nhiều quốc gia có luật về biện pháp thu thập, xử lý và truyền tải các dữ liệu cá nhân, nghĩa là các dữ liệu mà có liên quan đến một hoặc nhiều cá nhân cụ thể Phụ thuộc vào luật pháp của riêng từng quốc gia mà các biện pháp này có thể áp đặt thi hành cho việc thu thập, xử lý và phổ biến những thông tin cá nhân qua các mạng và thậm chí có thể hạn chế khả năng truyền các dữ liệu này đến các quốc gia nhất định khác, mang lại các vấn đề an toàn bổ sung quan trọng Các ví dụ ít rõ ràng hơn về loại

dữ liệu mà có thể phải phụ thuộc vào luật pháp như vậy là một số phần cứng và địa chỉ IP)

Do đó, các rủi ro gặp phải được đề cập ở trên có thể liên quan đến truy cập thông tin bất hợp pháp, gửi thông tin trái phép, đưa vào các mã độc, từ chối nhận hoặc từ chối nguồn gốc, từ chối kết nối dịch vụ, và tính không sẵn sàng của thông tin và dịch vụ Chúng có thể liên quan đến việc mất đi:

quản trị),

mạng),

gồm trong bối cảnh chính sách tổ chức (như bán băng thông hoặc sử dụng băng thông cho lợi ích của chính bản thân) và các trách nhiệm liên quan đến luật pháp và qui định (như lưu trữ ảnh đồi trụy),

Trang 35

Mô hình khái niệm an toàn mạng chỉ ra các loại rủi ro an toàn có thể xuất hiện ở đâu được chỉ ra trong Hình 4 dưới đây

Hình 4 – Mô hình khái niệm các lĩnh vực rủi ro an toàn mạng

Do đó, đánh giá rủi ro an toàn mạng và soát xét quản lý phải được thực hiện để xác định và khẳng định các biện pháp an toàn kỹ thuật và các khía cạnh kiến trúc/thiết kế an toàn kỹ thuật, và hỗ trợ các biện pháp an toàn phi kỹ thuật, và song song với việc thực hiện tốt các biện pháp an toàn đã được công nhận đó, như đã được đưa ra trong TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011 và ISO/IEC 27005 Nó liên quan đến năm hoạt động chính:

phạm vi của các tác động bất lợi tiềm năng đến các hoạt động nghiệp vụ mà ở đó các sự

cố không mong muốn xảy ra (đôi khi được gọi là định giá tài sản) Điều này bao gồm các giá trị đối với các hoạt động nghiệp vụ của thông tin được truyền qua một mạng, bất kì thông tin nào khác có khả năng bị truy cập bằng cách bất hợp pháp thông qua mạng và của các dịch vụ được cung cấp),

tin và dịch vụ,

35

Trang 36

thương (điểm yếu) có thể bị khai thác bởi các mối đe dọa đã được nhận dạng,

lợi tiềm năng đến các hoạt động nghiệp vụ và các mức đe dọa và điểm yếu,

toàn tiềm năng được điều chỉnh và do đó cần thiết để đảm bảo rằng các rủi ro đã được đánh giá còn nằm trong các giới hạn cho phép

Các quy trình chính của việc đánh giá và quản lý rủi ro an toàn mạng được chỉ ra trong Hình 5 dưới đây (Hình này trong thực tế là một sự mở rộng của hộp trong Hình 3 ở trên với nhan đề “Xác định phạm vi/bối cảnh và sau đó đánh giá các rủi ro” và hộp liên quan “Xác định các rủi ro liên quan đến mạng và chuẩn bị xác định các biện pháp an toàn”)

Trong Hình 5, hai hàng hộp đầu tiên có tiêu đề “Thiết lập giới hạn/phạm vi soát xét” và “Xác định các tài sản” chỉ ra các hoạt động chuẩn bị Hai hàng hộp sau chỉ ra các hoạt động đánh giá rủi ro,

và hai hàng hộp cuối cùng chỉ ra việc lựa chọn biện pháp an toàn thông tin và các hoạt động chấp thuận rủi ro (còn lại)

Trang 37

Hình 5 – Các quy trình đánh giá và quản lý rủi ro an toàn mạng

CHÚ THÍCH: Đối với những thông tin chi tiết về việc thực hiện đánh giá và soát xét quản lý rủi ro an toàn mạng, xem TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011 và ISO/IEC 27005.

Cần nhấn mạnh rằng, khi thực hiện các soát xét như vậy phải sử dụng, khi có khả năng ứng dụng, những thông tin về các rủi ro (và biện pháp an toàn) liên quan đến các kịch bản mạng yêu cầu và

37

Thiết lập giới hạn/phạm vi soát xét

Xác định và soát xét các ràng buộc Quản lý rủi ro

có và các biện pháp đã được lập kế hoạch

Đánh giá điểm yếu

Xác định các tài sản

Đánh giá các rủi ro

Xác định/lựa chọn các biện pháp

Chấp nhận rủi ro

Thiết lập bối cảnh

Đánh giá rủi ro

- Phân tích rủi ro

Xác định rủi ro

Ước lượng rủi ro

- Đánh giá rủi ro Xử lý rủi ro

Chấp nhận rủi ro

Các rủi ro (thông tin)

∗ Cũng được biết như

định giá các tài sản

Các thuật ngữ như đã được sử dụng trong TCVN 27001 và các tiêu chuẩn có liên quan được thể hiện

dưới dạng in nghiêng.

Trang 38

và ước lượng an toàn mạng), quản lý điểm yếu kỹ thuật, nhận biết và xác thực, giám sát và lưu trữ thông tin kiểm toán mạng, phát hiện xâm nhập, bảo vệ chống lại mã độc, dịch vụ dựa trên mã hóa, và quản lý tính liên tục trong nghiệp vụ Tương ứng, các tham chiếu được cung cấp đối với các nội dung liên quan của TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011 và ISO/IEC 27005.

8.2 Quản lý an toàn mạng

8.2.1 Kiến thức cơ bản

Quản lý tổng thể an toàn mạng cần phải được tiến hành theo một cách thức an toàn và phải được hoàn thành cùng với việc xem xét đúng đắn các giao thức mạng khác nhau đang sẵn có và các dịch vụ an toàn liên quan Để thực hiện điều này, tổ chức phải xem xét một số biện pháp an toàn mạng, phần lớn các biện pháp này có thể được xác định qua việc sử dụng TCVN ISO/IEC 27002

và ISO/IEC 27005 Những biện pháp mà cần được mở rộng trong ngữ cảnh an toàn mạng được

mô tả từ Mục 8.2.2 đến Mục 8.2.5 dưới đây

8.2.2 Các hoạt động quản lý an toàn mạng

8.2.2.1 Giới thiệu

Một yêu cầu chính cho bất kỳ mạng nào là phải được hỗ trợ bởi những hoạt động quản lý an toàn, những hoạt động này sẽ khởi động và kiểm soát việc triển khai và vận hành an toàn Các hoạt động này cần phải đảm bảo an toàn cho tất cả các hệ thống thông tin của một tổ chức/cộng đồng Các hoạt động quản lý an toàn mạng phải bao gồm:

quản lý an toàn chịu trách nhiệm tổng thể,

mạng đã được tài liệu hóa,

Trang 39

được duy trì ở mức độ đã được yêu cầu,

cho phép – bởi các tổ chức hoặc cá nhân bên trong và bên ngoài có liên quan,

khôi phục sau thảm họa

Đối với những thông tin chi tiết về các chuyên đề này cần phải tham chiếu thêm ở TCVN ISO/IEC 27002:2011, ISO/IEC 27005 và ISO/IEC 27035 Chỉ các chuyên đề ở trên là đặc biệt quan trọng đối với việc sử dụng mạng và hướng dẫn tiếp theo được cung cấp trong các mục sau

mạng cụ thể,

(Trong một vài trường hợp, các tuyên bố rõ ràng này có thể được hợp nhất vào chính sách an toàn thông tin, nếu điều này thuận lợi hơn cho tổ chức và/hoặc nó có thể dễ hiểu hơn cho nhân viên)

Nội dung của chính sách an toàn mạng thường bao gồm một bản tóm tắt các kết quả từ việc đánh giá rủi ro an toàn mạng và soát xét quản lý (nó cung cấp các điều chỉnh cho các biện pháp), bao gồm chi tiết của tất cả các biện pháp an toàn được lựa chọn tương ứng với những rủi ro đã được đánh giá (xem Mục 7.3 ở trên)

8.2.2.3 Các thủ tục vận hành an toàn mạng

Để hỗ trợ chính sách an toàn mạng, các tài liệu SecOPs phải được phát triển và duy trì Chúng

39

Trang 40

phải bao gồm các chi tiết về các thủ tục vận hành hàng ngày liên quan đến an toàn mạng, và người chịu trách nhiệm sử dụng và quản lý chúng Một mẫu ví dụ được thể hiện ở trong Phụ lục C

8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng

Đối với tất cả các mạng, kiểm tra việc tuân thủ an toàn phải được thực hiện dựa vào một danh sách kiểm tra toàn diện được tạo nên từ các biện pháp cụ thể trong:

Các vấn đề này phải được thực hiện ưu tiên trước khi vận hành bất kỳ một mạng nào, ưu tiên cho phiên bản mới nhất (liên quan đến thay đổi đáng kể về nghiệp vụ hoặc thay đổi liên quan đến mạng), và được thực hiện hàng năm

Các vấn đề này bao gồm việc thực hiện kiểm thử an toàn đối với các tiêu chuẩn đã được công nhận, cùng với một chiến lược kiểm thử an toàn và các kế hoạch liên quan được hoàn thành trước để thiết lập chính xác các bài kiểm thử nào sẽ được thực hiện, cùng với cái gì, ở đâu, và khi nào Điều này bao gồm một sự kết hợp giữa việc quét phát hiện điểm yếu và kiểm tra xâm nhập Trước khi bắt đầu bất kỳ một bài kiểm tra nào như vậy thì kế hoạch kiểm thử phải được kiểm tra

để chắc chắn rằng bài kiểm thử sẽ được thực hiện theo một cách thức hoàn toàn thích hợp với pháp luật có liên quan Khi thực hiện việc kiểm tra này, cũng không nên quên rằng, mạng có thể không chỉ bị giới hạn trong một quốc gia – nó có thể được phân bố trên khắp các quốc gia khác nhau với những luật pháp khác nhau Tiếp theo quá trình kiểm thử, các báo cáo phải chỉ ra các đặc tính của các điểm yếu gặp phải, và các xử lý cần thiết và theo thứ tự ưu tiên nào

8.2.2.5 Điều kiện an toàn cho các kết nối mạng đa tổ chức

Nếu những điều kiện an toàn cho kết nối không được đưa vào và thỏa thuận bằng hợp đồng thì tổ chức sẽ phải chấp nhận những rủi ro liên quan đến điểm cuối khác của một kết nối mạng nằm bên ngoài phạm vi miền của nó Các rủi ro như vậy có thể bao gồm những rủi ro liên quan đến vấn đề bảo vệ tính cá nhân/dữ liệu, khi mà một kết nối có thể được sử dụng để trao đổi dữ liệu cá nhân tùy thuộc vào luật pháp quốc gia tại một hay cả hai điểm đầu cuối, và nếu điểm đầu cuối khác của một kết nối mạng (bên ngoài miền của một tổ chức) nằm ở quốc gia khác, luật pháp có thể cũng khác nhau

Ví dụ như, một tổ chức A có thể yêu cầu rằng, trước khi tổ chức B có thể được kết nối đến các hệ

Định dạng
Số trang	105
Dung lượng	3,02 MB

Tài liệu tham khảo	Loại	Chi tiết
[1] ISO/IEC 27033-1:2009 - Information technology – Security techniques – Network security – Part 1: Overview and concepts. (ISO/IEC 27033-1:2009 - Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan và khái niệm)	Khác
[2] ISO/IEC 18028-1:2006 - Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng IT – Phần 1: Quản lý an toàn mạng. (Information technology – Security techniques – IT network security – Part 1: Network security management)	Khác
[3] ISO/IEC 18028-2:2006 - Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng IT – Phần 2: Kiến trúc an toàn mạng. (Information technology – Security techniques – IT network security – Part 1: Network security architecture)	Khác
[4] TCVN 27001:2009 – Công nghệ thông tin - Kỹ thuật an toàn – Các hệ thống quản lý an toàn thông tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security techniques - Information security management systems – Requirements)	Khác
[5] TCVN 27002:2009 – Công nghệ thông tin - Kỹ thuật an toàn – Quy trình kỹ thuật cho quản lý an toàn thông tin (TCVN 27002:2009 – Information technology – Security techniques – Code of practice for information security management)	Khác
[6] ISO/IEC 27000:2009 – Information technology – Security techniques - Information security management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thông tin - Kỹ thuật an toàn – Các hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng)	Khác
[7] ISO/IEC 7498 – Information technology – Open Systems Interconnection – Basis Reference Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối các hệ thống mở – Mô hình tham chiếu cơ sở)	Khác
[8] ISO/IEC 27005:2011 – Information technology – Security techniques – Information security risk management (ISO/IEC 27005:2011 – Công nghệ thông tin - Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin)	Khác