Đang tải... (xem toàn văn)
Dự thảo an toàn mạng
TCVN xxxx-1:2012 T I Ê U C H U Ẩ N Q U Ố C G I A TCVN xxxx-1:2012 Xuất bản lần 1 CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – AN TOÀN MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM Information technology – Security techniques – Network security – Part 1: Overview and concepts HÀ NỘI – 2012 TCVN TCVN xxxx-1:2012 2 TCVN xxxx-1:2012 Mục lục 1. Phạm vi áp dụng . 9 2. Tài liệu viện dẫn 10 3. Thuật ngữ và định nghĩa . 10 4 Các thuật ngữ viết tắt 16 5 Cấu trúc . 19 6 Tổng quan . 21 6.1 Khái quát 21 6.2 Lập kế hoạch và quản lý an toàn mạng .23 7 Nhận dạng các rủi ro và chuẩn bị xác định các biện pháp an toàn 27 7.1 Giới thiệu 27 7.2 Thông tin về mạng hiện thời và/hoặc mạng đã được lập kế hoạch .27 7.2.1 Các yêu cầu an toàn trong chính sách an toàn thông tin doanh nghiệp .27 7.2.2 Thông tin về mạng hiện thời hoặc mạng đã được lập kế hoạch .27 7.2.2.1 Giới thiệu .28 7.2.2.2 Kiến trúc, ứng dụng và dịch vụ mạng 28 7.2.2.3 Các kiểu kết nối mạng 30 7.2.2.4 Các đặc tính mạng khác 31 7.2.2.5 Những thông tin khác 33 7.3 Các rủi ro an toàn thông tin và khu vực kiểm soát tiềm năng .33 8 Các biện pháp hỗ trợ 38 8.1 Giới thiệu 38 8.2 Quản lý an toàn mạng 38 8.2.1 Kiến thức cơ bản 38 8.2.2 Các hoạt động quản lý an toàn mạng .38 8.2.2.1 Giới thiệu .38 8.2.2.2 Chính sách an toàn mạng .39 8.2.2.3 Các thủ tục vận hành an toàn mạng 39 8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng 40 4 TCVN xxxx-1:2012 8.2.2.5 Điều kiện an toàn cho các kết nối mạng đa tổ chức .40 8.2.2.6 Các điều kiện an toàn ban hành cho những người sử dụng mạng từ xa .41 8.2.2.7 Quản lý sự cố an toàn mạng .41 8.2.3 Vai trò và trách nhiệm an toàn mạng .41 8.2.4 Giám sát mạng .43 8.2.5 Đánh giá an toàn mạng 43 8.3 Quản lý điểm yếu kỹ thuật .43 8.4 Nhận dạng và xác thực .44 8.5 Ghi nhật ký và giám sát việc kiểm toán mạng 45 8.6Phát hiện và ngăn chặn xâm nhập 47 8.7 Bảo vệ chống lại mã độc .48 8.8 Dịch vụ dựa trên mã hóa 49 8.9 Quản lý tính liên tục trong nghiệp vụ 51 9 Hướng dẫn thiết kế và triển khai an toàn mạng 52 9.1 Kiến thức cơ bản .52 9.2 Kiến trúc/thiết kế an toàn kỹ thuật mạng .52 10 Các kịch bản mạng tham chiếu – Rủi ro, thiết kế, kỹ thuật và các vấn đề về biện pháp .55 10.1 Giới thiệu 55 10.2 Các dịch vụ truy cập Internet cho nhân viên .56 10.3 Các dịch vụ hợp tác nâng cao .56 10.4 Các dịch vụ doanh nghiệp tới doanh nghiệp .57 10.5 Các dịch vụ doanh nghiệp tới khách hàng 57 10.6 Các dịch vụ thuê ngoài 57 10.7 Phân đoạn mạng 58 10.8 Thông tin di động 58 10.9 Hỗ trợ mạng cho người sử dụng di chuyển 59 10.10 Hỗ trợ mạng cho hộ gia đình và các văn phòng doanh nghiệp nhỏ 59 11 Các chuyên đề về “công nghệ” – Rủi ro, kỹ thuật thiết kế và các vấn đề về biện pháp 59 12 Phát triển và kiểm thử giải pháp an toàn 60 5 TCVN xxxx-1:2012 13 Vận hành giải pháp an toàn 61 14 Giám sát và soát xét việc triển khai giải pháp 61 Phụ lục A 62 Các chuyên đề về “công nghệ” – Rủi ro, kỹ thuật thiết kế và các vấn đề về biện pháp 62 A.1 Mạng cục bộ .62 A.1.1 Kiến thức cơ bản 62 A.1.2 Các rủi ro an toàn 63 A.1.3 Các biện pháp an toàn 63 A.2 Mạng diện rộng 65 A.2.1 Kiến thức cơ bản 65 A.2.2 Các rủi ro an toàn 66 A.2.3 Các biện pháp an toàn .67 A.3 Mạng không dây 68 A.3.1 Kiến thức cơ bản 68 A.3.2 Các rủi ro an toàn .68 A.3.3 Các biện pháp an toàn .68 A.4 Mạng vô tuyến 69 A.4.1 Kiến thức cơ bản 69 A.4.2 Các rủi ro an toàn 70 A.4.3 Các biện pháp an toàn .71 A.5 Mạng băng rộng .72 A.5.1 Kiến thức cơ bản 72 A.5.2 Các rủi ro an toàn 72 A.5.3 Các biện pháp an toàn .73 A.6 Cổng thông tin an toàn .73 A.6.1 Kiến thức cơ bản 73 A.6.2 Các rủi ro an toàn .73 A.6.3 Các biện pháp an toàn .74 A.7 Mạng riêng ảo 75 A.7.1 Kiến thức cơ bản 75 A.7.2 Các rủi ro an toàn 75 A.7.3 Các biện pháp an toàn .76 A.8 Mạng thoại .77 A.8.1 Kiến thức cơ bản 77 6 TCVN xxxx-1:2012 A.8.2 Các rủi ro an toàn 77 A.8.3 Các biện pháp an toàn .78 A.9 Hội tụ IP 79 A.9.1 Kiến thức cơ bản 79 A.9.2 Các rủi ro an toàn 79 A.9.3 Các biện pháp an toàn .80 A.10 Lưu trữ nội dung Web 81 A.10.1 Kiến thức cơ bản .81 A.10.2 Các rủi ro an toàn 81 A.10.3 Các biện pháp an toàn .82 A.11 Thư điện tử Internet .84 A.11.1 Kiến thức cơ bản .84 A.11.2 Rủi ro an toàn 85 A.11.3 Các biện pháp an toàn .86 A.12 Truy cập định tuyến đến các tổ chức bên thứ ba 89 A.12.1 Kiến thức cơ bản .89 A.12.2 Rủi ro an toàn 91 A.12.3 Các biện pháp an toàn .91 A.13 Trung tâm dữ liệu Intranet .92 A.13.1 Kiến thức cơ bản .92 A.13.2 Rủi ro an toàn 92 A.13.3 Các biện pháp an toàn .93 Tham chiếu chéo giữa TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, và các điều trong TCVN xxxx-1:2012 . 94 Phụ lục C . 100 Ví dụ mẫu đối với tài liệu về SecOP . 100 Thư mục tài liệu tham khảo 105 7 TCVN xxxx-1:2012 Lời nói đầu TCVN xxxx-1:2012 được xây dựng trên cơ sở ISO/IEC 27033-1. TCVN xxxx-1:2012 do Viện Khoa học Kỹ thuật Bưu điện và Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. 8 Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan và khái niệm Information technology - Security techniques – Network security – Part 1: Overview and concepts 1. Phạm vi áp dụng Tiêu chuẩn TCVN xxxx-1:2012 cung cấp tổng quan về an toàn mạng và các định nghĩa liên quan. Nó định nghĩa và mô tả các khái niệm liên quan đến an toàn mạng và cung cấp hướng dẫn quản lý về an toàn mạng. (An toàn mạng áp dụng cho an toàn của các thiết bị, an toàn của các hoạt động quản lý liên quan đến các thiết bị, các ứng dụng/dịch vụ, và những người sử dụng cuối, ngoài ra, còn áp dụng cho an toàn của những thông tin được truyền qua các đường truyền thông). Tiêu chuẩn này liên quan đến bất cứ ai tham gia sở hữu, vận hành hay sử dụng mạng, bao gồm những nhà quản lý cao cấp và những nhà quản lý phi kỹ thuật khác hoặc những người sử dụng. Ngoài ra, còn có những người quản lý và những nhà quản trị, những người mà có trách nhiệm cụ thể đối với an toàn thông tin và/hoặc an toàn mạng, vận hành mạng, hoặc những người chịu trách nhiệm đối với chương trình an toàn tổng thể của tổ chức và phát triển chính sách an toàn. Tiêu chuẩn này cũng liên quan đến bất cứ ai tham gia vào việc lập kế hoạch, thiết kế và triển khai các khía cạnh kiến trúc của an toàn mạng. Tiêu chuẩn TCVN xxxx-1:2012 cũng: - Cung cấp hướng dẫn về việc nhận dạng và phân tích các rủi ro an toàn mạng và xác định các yêu cầu an toàn mạng dựa trên các phân tích đó, - Cung cấp tổng quan gồm những biện pháp hỗ trợ các kiến trúc an toàn kỹ thuật mạng và các biện pháp kỹ thuật liên quan, cũng như các biện pháp phi kỹ thuật và các biện pháp kỹ thuật mà có khả năng áp dụng không chỉ cho các mạng, - Giới thiệu cách làm thế nào để đạt được các kiến trúc an toàn kỹ thuật mạng có chất lượng tốt, và xác định rủi ro, thiết kế và các biện pháp liên quan tới các kịch bản mạng điển hình và các lĩnh vực “công nghệ” mạng (chúng được đưa ra một cách chi tiết trong các phần tiếp theo của TCVN xxxx) T I Ê U C H U Ẩ N Q U Ố C G I A TCVN xxxx-1:2012 TCVN xxxx-1:2012 - Đưa ra ngắn gọn các vấn đề liên quan tới việc triển khai và vận hành các biện pháp an toàn mạng, giám sát và soát xét liên tục việc triển khai chúng. Nói chung, Tiêu chuẩn này cung cấp tổng quan của loạt tiêu chuẩn TCVN xxxx và “chỉ dẫn” tới tất cả các phần khác. 2. Tài liệu viện dẫn Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có) [1] TCVN ISO/IEC 27001:2009 – Công nghệ thông tin - Kỹ thuật an toàn – Các hệ thống quản lý an toàn thông tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security techniques - Information security management systems – Requirements). [2] TCVN ISO/IEC 27002:2011 – Công nghệ thông tin - Kỹ thuật an toàn – Quy trình kỹ thuật cho quản lý an toàn thông tin (TCVN ISO/IEC 27002:2011 – Information technology – Security techniques – Code of practice for information security management). [3] ISO/IEC 27000:2009 – Information technology – Security techniques - Information security management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thông tin - Kỹ thuật an toàn – Các hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng). [4] ISO/IEC 7498 – Information technology – Open Systems Interconnection – Basis Reference Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối các hệ thống mở – Mô hình tham chiếu cơ sở). [5] ISO/IEC 27005:2011– Information technology – Security techniques – Information security risk management (ISO/IEC 27005:2011 – Công nghệ thông tin - Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin). 3. Thuật ngữ và định nghĩa Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong ISO/IEC 7498, ISO/IEC 27000, TCVN 27001, ISO/IEC 27005 và các thuật ngữ, định nghĩa sau: CHÚ THÍCH: Các thuật ngữ và định nghĩa dưới đây cũng sẽ áp dụng cho các phần có thể có tiếp theo của TCVN xxxx. 3.1 Cảnh báo (alert) Chỉ báo “tức thời” cho thấy hệ thống thông tin và mạng có thể đang bị tấn công, hoặc trong tình trạng nguy hiểm bởi những sự cố, hỏng hóc hoặc do lỗi con người 3.2 Kiến trúc (architecture) 10 [...]... Hướng dẫn cho an toàn mạng Phần 2 Phần 3 Hướng dẫn thiết kế và triển Các kịch bản mạng tham chiếu – khai an toàn mạng Rủi ro, thiết kế, kỹ thuật và các vấn đề về biện pháp Phần 4 Phần 5 Phần 6 Phần 7 An toàn thông An toàn thông An toàn thông An toàn thông tin giữa các tin qua các tin qua các tin qua các mạng sử dụng mạng sử dụng mạng sử dụng mạng sử dụng cổng an toàn – mạng riêng ảo hạ tầng mạng công... vấn đề liên quan tới việc phát triển, triển khai và kiểm thử giải pháp an toàn mạng (xem Điều 12), vận hành giải pháp an toàn mạng (xem Điều 13), và giám sát và soát xét liên tục việc triển khai an toàn mạng (xem Điều 14), và • Một bảng tham khảo chéo giữa an toàn mạng TCVN ISO/IEC 27001/27002 liên quan tới các biện pháp và các điều khoản của TCVN xxxx-1 được trình bày ở Phụ lục B 6 Tổng quan 6.1 Khái... biện pháp an toàn có liên quan Các yêu cầu và lợi ích nghiệp vụ sẽ ảnh hưởng nhiều đến việc đưa ra các quyết định và hành động trong quá trình xem xét các kết nối mạng, xác định các khía cạnh về kiến trúc an toàn kỹ thuật/các kỹ thuật thiết kế và các biện pháp an toàn tiềm năng và từ đó lựa chọn, thiết kế, triển khai và duy trì mạng an toàn Toàn bộ quá trình để đạt được và duy trì an toàn mạng cần thiết... Điều quan trọng là phải xác định liệu mạng đã được sử dụng hay mạng sẽ được sử dụng là một mạng công cộng – một mạng có thể truy cập được bởi bất kỳ ai, hay một mạng cá nhân, như một mạng được cấu thành từ các đường thuê bao riêng, do đó mạng được xem là an toàn hơn một mạng công cộng Một điều cũng quan trọng nữa là phải biết được loại dữ liệu được truyền trên mạng, ví dụ như: - Mạng dữ liệu - mạng truyền... Metropolitan Area Network (MAN) – mạng đô thị - cho mạng WAN giới hạn cục bộ, ví dụ như trong một thành phố Tuy nhiên, ngày nay, những công nghệ giống nhau được sử dụng cho các mạng WAN và do đó không còn có khác biệt đáng kể nào giữa mạng WAN và mạng MAN nữa Hơn nữa, vì những mục đích của tiêu chuẩn này, Personal Area Network (PAN) – mạng cá nhân - sẽ được phân loại như mạng LAN Một thuật ngữ khác được... ro an toàn mạng và các biện pháp tiềm năng thích hợp Mục 7.3 bên dưới cung cấp hướng dẫn cho vấn đề này 7.2 Thông tin về mạng hiện thời và/hoặc mạng đã được lập kế hoạch 7.2.1 Các yêu cầu an toàn trong chính sách an toàn thông tin doanh nghiệp Chính sách an toàn thông tin doanh nghiệp của một tổ chức (hay của một cộng đồng) có thể bao gồm những công bố về sự cần thiết đối với tính bí mật, tính toàn. .. sản và nguồn lực phụ thuộc vào một chính sách an toàn chung 3.36 Cổng an toàn (security gateway) 15 TCVN xxxx-1:2012 Điểm kết nối giữa các mạng, hoặc giữa các nhóm trong mạng, hoặc giữa các phần mềm ứng dụng trong các miền an toàn khác nhau nhằm bảo vệ mạng theo các chính sách an toàn mạng đã được đưa ra 3.37 Thư rác (spam) Thư điện tử tự gửi đến, có thể mang các nội dung phần mềm độc hại và/hoặc các... nhận dạng các rủi ro có liên quan đến mạng và chuẩn bị xác định các biện pháp an toàn, tức là thiết lập các yêu cầu an toàn mạng (xem Điều 7), • Một tổng quan về các biện pháp mà hỗ trợ các kiến trúc kỹ thuật an toàn mạng và các biện pháp kỹ thuật có liên quan của các kiến trúc đó, tức là các biện pháp khác (phi kỹ thuật và kỹ thuật) mà có khả năng áp dụng không chỉ cho mạng (xem Điều 8) Các tham chiếu... là Global Area Network (GAN) – mạng toàn cầu – tức là mạng WAN toàn cầu Lưu ý rằng, ngày nay, có các thuật ngữ được sử dụng cho các mạng liên quan đến lưu trữ, như Storage Area Network (SAN) – mạng lưu trữ - và Network Attached Storage (NAS) – Thiết bị lưu trữ gắn vào mạng, tuy nhiên chúng không nằm trong phạm vi của Tiêu chuẩn này) Các giao thức khác nhau có các đặc tính an toàn khác nhau và phải được... soát xét để bảo đảm tính an toàn cho các kết nối đó và thông tin nhận được phải được sử dụng trong quá trình xác định và đánh giá các rủi ro an toàn và các biện pháp an toàn liên quan, và các tùy chọn về kiến trúc an toàn kỹ thuật mạng và quyết định cái nào được thông qua 7.2.2.4 Các đặc tính mạng khác 31 TCVN xxxx-1:2012 Các đặc tính khác của (các) mạng hiện thời và/hoặc (các) mạng đã được lập kế hoạch . quan về an toàn mạng và các định nghĩa liên quan. Nó định nghĩa và mô tả các khái niệm liên quan đến an toàn mạng và cung cấp hướng dẫn quản lý về an toàn. rủi ro an toàn mạng và xác định các yêu cầu an toàn mạng dựa trên các phân tích đó, - Cung cấp tổng quan gồm những biện pháp hỗ trợ các kiến trúc an toàn
