BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ TS TRẦN ĐỨC SỰ, KS PHẠM MINH THUẤN GIÁO TRÌNH ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HỆ THỐNG THƠNG TIN HÀ NỘI, 2013 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ TS TRẦN ĐỨC SỰ, KS PHẠM MINH THUẤN GIÁO TRÌNH ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HỆ THỐNG THƠNG TIN HÀ NỘI, 2013 MỤC LỤC Mục lục ii Danh mục từ viết tắt vii Danh mục bảng viii Danh mục hình vẽ ix Lời nói đầu xii Chương TỔNG QUAN VỀ ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TỒN HÊ THỐNG THƠNG TIN 1.1 Khái niệm đánh giá kiểm định an tồn hệ thống thơng tin 1.1.1 Khái niệm đánh giá an tồn hệ thống thơng tin 1.1.2 Khái niệm kiểm định an tồn hệ thống thơng tin 1.2 Phân biệt đánh giá kiểm định an toàn hệ thống thông tin 1.3 Các kỹ thuật đánh giá an tồn hệ thống thơng tin 1.3.1 Đánh giá hộp trắng3 1.3.2 Đánh giá hộp đen 1.3.3 Đánh giá hộp xám 1.4 Các bước thực đánh giá kiểm định an tồn hệ thống thơng tin 1.4.1 Lập kế hoạch chuẩn bị5 1.4.2 Thực đánh giá kiểm định 1.4.3 Lập báo cáo cấp chứng nhận 1.5 Một số tiêu chuẩn đánh giá an tồn hệ thống thơng tin 1.5.1 Phương pháp ISSAF 1.5.2 Phương pháp OSSTMM 10 1.5.3 Phương pháp OWASP 16 Chương ĐÁNH GIÁ AN TOÀN HỆ THỐNG VÀ CÁC THIẾT BỊ MẠNG 20 2.1 Thu thập thông tin mạng 20 2.1.1 Thu thập thông tin bị động 20 2.1.2 Thu thập thông tin chủ động 26 2.2 Dò quét, điểm danh mạng 29 ii 2.2.1 Xác định máy hoạt động 30 2.2.2 Xác định dịch vụ hệ điều hành 31 2.2.3 Xác định thiết bị mạng 37 2.3 Đánh giá an toàn cho hệ thống 39 2.3.1 Đánh giá an toàn hệ điều hành Windows 39 2.3.1.1 Xâm nhập hệ thống sử dụng phương pháp bẻ mật khẩu.40 2.3.1.2 Tấn công lên điểm yếu hệ thống .43 2.3.2 Đánh giá an toàn hệ điều hành Unix/ Linux 52 2.3.2.1 Xác định máy hoạt động 52 2.3.2.2 Xác định cổng dịch vụ 53 2.3.2.3 Tấn công điểm danh 53 2.3.2.4 Kiểm tra hệ thống UNIX 65 2.3.3 Đánh giá điểm yếu an toàn cho WebServer 76 2.4 Đánh giá an toàn cho thiết bị mạng 81 2.4.1 Đánh giá Switch 81 2.4.2 Đánh giá Router 90 2.4.3 Đánh giá Firewall 100 2.4.4 Đánh giá hệ thống IDS/IPS 122 2.4.4.1 Kiểm tra phát xâm nhập 124 2.4.4.2 Kiểm tra sử dụng tài nguyên IDS 125 2.4.4.3 Kiểm tra tải .125 2.4.4.4 Các cổng mặc định IDS/IPS 127 2.4.5 Đánh giá hệ thống Antivirus 131 2.4.5.1 Kiểm tra tiêu chuẩn hệ thống chống virus 131 2.4.5.2 Kiểm tra hướng dẫn Antivirus người dùng cuối 131 2.4.5.3 Kiểm tra cấu hình máy chủ AntiVirus 133 2.4.5.4 Kiểm tra cấu hình cảnh báo 133 2.4.6 Đánh giá thiết bị khác 133 2.4.7 Một số công cụ hỗ trợ đánh giá an ninh cho thiết bị mạng 133 2.4.7.1 Công cụ Footprinting 133 2.4.7.2 Công cụ quét .138 iii 2.4.7.3 Công cụ liệt kê 141 2.4.7.4 Công cụ khai thác .143 2.5 Đánh giá an tồn mạng khơng dây 150 2.5.1 Khái niệm mạng không dây 150 2.5.2 Wifi 152 2.5.3 Các chuẩn mạng không dây 153 2.5.4 Bảo mật mạng không dây 156 2.5.4.1 Bảo mật WEP (Wired Equivalent Privacy) 157 2.5.4.2 Bảo mật WPA (Wifi Protected Access ) .158 2.5.4.3 Tăng cường bảo mật với chuẩn 802.11i 160 2.5.5 Đánh giá an toàn mạng không dây 160 2.5.5.1 Phát WLAN 161 2.5.5.2 Mã hóa WLAN 163 2.5.5.3 Tấn công WLAN 165 2.6 Thực hành 170 2.6.1 Thực hành thu thập thông tin dò quét, điểm danh mạng 170 2.6.2 Thực hành đánh giá an toàn cho hệ thống 170 2.6.3 Thực hành đánh giá an toàn cho thiết bị mạng đánh giá an tồn mạng khơng dây 170 Chương ĐÁNH GIÁ AN TOÀN CƠ SỞ DỮ LIỆU VÀ ỨNG DỤNG WEB 171 3.1 Đánh giá an toàn sở liệu 171 3.1.1 Hệ quản trị sở liệu SQL Server 175 3.1.1.1 Tài khoản người sử dụng 175 3.1.1.2 Các chế phân quyền .176 3.1.1.3 Các thủ tục lưu trữ 177 3.1.1.4 Một số công cụ hỗ trợ 178 3.1.2 Hệ quản trị sở liệu Oracle185 3.1.2.1 Tài khoản người sử dụng 186 3.1.2.2 Các chế phân quyền .186 3.1.2.3 Các thủ tục lưu trữ 187 iv 3.1.2.4 Một số công cụ hỗ trợ 188 3.2 Đánh giá an toàn cho ứng dụng Web 195 3.2.1 Các lỗ hổng thường gặp với ứng dụng Web 195 3.2.2 Quy trình thực đánh giá an tồn ứng dụng Web 197 3.2.2.1 Kiểm tra quản lý cấu hình 198 3.2.2.2 Kiểm tra business logic .201 3.2.2.3 Kiểm tra chế xác thực 201 3.2.2.4 Kiểm tra quản lý phiên giao dịch 204 3.2.2.5 Kiểm tra quản lý uỷ quyền 207 3.2.2.6 Kiểm tra liệu đầu vào 208 3.2.2.7 Kiểm tra khả công từ chối dịch vụ .214 3.2.2.8 Kiểm tra dịch vụ Web 215 3.2.2.9 Kiểm tra AJAX 216 3.2.3 Một số công cụ hỗ trợ 217 3.3 Thực hành 232 3.3.1 Thực hành đánh giá an toàn sở liệu 232 3.3.2 Thực hành công Directory Traversal 232 3.3.3 Thực hành công XSS SQL Injection 232 Chương KIỂM ĐỊNH AN TỒN HỆ THỐNG THƠNG TIN 233 4.1 Giới thiệu tiêu chuẩn ISO 27001:2005 233 4.2 Thực kiểm định an tồn hệ thống thơng tin 237 4.2.1 Xác định sách 238 4.2.2 Xác định phạm vi 238 4.2.3 Xác định rủi ro 238 4.2.4 Quản lý rủi ro 239 4.2.5 Lựa chọn đối tượng kiểm soát mục tiêu kiểm soát 240 4.2.6 Tuyên bố khả đáp ứng hệ thống 240 4.3 Chứng nhận kiểm định an tồn hệ thống thơng tin 241 Chương BÁO CÁO KẾT QUẢ ĐÁNH GIÁ VÀ KIỂM ĐỊNH 243 5.1 Tổng hợp thông tin 243 5.1.1 Các rủi ro xác định thông qua đánh giá 243 v 5.1.2 Các rủi ro xác định thông qua kiểm định 5.1.3 Phân loại rủi ro 244 5.2 Viết báo cáo kết đánh giá 245 5.2.1 Thông tin chung hệ thống đánh giá 246 5.2.2 Cấu trúc hệ thống đánh giá 246 5.2.3 Các rủi ro mức cao248 5.2.4 Các rủi ro mức trung bình mức thấp 5.2.5 Tổng hợp đánh giá đề xuất giải pháp 5.3 Viết báo cáo kết kiểm định 249 5.3.1 Thông tin chung tài nguyên kiểm định 5.3.2 Danh mục mục kiểm định 250 5.3.3 Chi tiết kết kiểm định 252 5.4 Một số mẫu báo cáo tham khảo 254 Tài liệu tham khảo 255 vi 244 249 249 250 DANH MỤC TỪ VIẾT TẮT CVE : Common Vulnerabilities and Exposures (CVE) SQL : Structured Query Language IDS/IPS : Intrusion Detection system/ Intrusion Prevention System ISSAF : Information System Security Assessment Framework OSSTMM : Open Source Security Testing Mothodology Manual OWASP : Open Web Application Security Project NIST : National Institute of Standards and Technology HTTP : Hypertext Transfer Protocol SSH : Secure Socket Layer DNS : Domain Name System ICMP : Internet Control Message Protocol TCP : Transmission Control Protocol UDP : User Datagram Protocol IP : Internet Protocol SNMP : Simple Network Management Protocol DC : Domain Controller SID : Security Identifier SAM : Security Accounts Manager SMB : Server Messenger Block LPC : Local Procedure Call API : Application programming interface ISO : International Organization for Standardization IEC : International Electrotechnical Commission ISMS : Information Security Management System SOA : Statement of Applicability vii DANH MỤC BẢNG Bảng 1: Các kênh tương tác 12 Bảng 2: Mô tả kiểu đánh giá 13 Bảng 3: Mẫu minh họa viết hướng dẫn đánh giá Bảng 4: Các lỗ hổng thường gặp với dịch vụ IIS 76 Bảng 5: Các đặc điểm kỹ thuật IEEE 802.11 155 viii 18 DANH MỤC HÌNH VẼ Hình 1.1 Sơ đồ phương pháp đánh giá ISSAF Hình 1.2 Khái qt mơ hình OSSTMM 11 Hình 1.3 Các kiểu đánh giá 13 Hình 1.4 Quy trình đánh giá an ninh hoạt động 15 Hình 2.1 Kết hiển thị từ Google.com.vn Học viện Kỹ thuật Mật mã 22 Hình 2.2 Kết từ Wikipedia Học viện Kỹ thuật Mật mã 22 Hình 2.3 Kết từ Whois.net.vn Học viện Kỹ thuạt Mật mã 23 Hình 2.4 Website Học viện Kỹ thuật Mật mã ngày 30/4/2013 trang Archive.org24 Hình 2.5 Kết từ Google Map Học viện Kỹ thuật Mật mã 24 Hình 2.6 Kết từ Dig Học viện Kỹ thuật Mật mã 25 Hình 2.7 Kết từ nslookup Học viện Kỹ thuật Mật mã 26 Hình 2.8 Super Email Spider 28 Hình 2.9 Kết từ Maltego liên kết tới domain actvn.edu.vn 28 Hình 2.10 Xác định máy hoạt động sử dụng giao thức ICMP 30 Hình 2.11 Ví dụ Ping 30 Hình 2.12 Advanced IP Scanner 31 Hình 2.13 Angry IP Scanner 31 Hình 2.14 Truyền tin TCP dựa bắt tay ba bước 32 Hình 2.15 TCP Connect Scan 32 Hình 2.16 Stealth Scan 33 Hình 2.17 XMAS Scan 33 Hình 2.18 FIN Scan 33 Hình 2.19 NULL Scan 34 Hình 2.20 Client gửi yêu cầu kết nối tới Zombie để thăm dị IPID 34 Hình 2.21 Server gửi gói tin SYN/ACK cho Zombie cổng mở 35 Hình 2.22 Server gửi gói tin RST cho Zombie cổng đóng 35 ix CHƯƠNG BÁO CÁO KẾT QUẢ ĐÁNH GIÁ VÀ KIỂM ĐỊNH Trong chương trước nói phương pháp thực đánh giá kiểm định an tồn hệ thống thơng tin Tuy nhiên thực chưa đủ Công việc cuối người đánh giá kiểm định cần phải tổng hợp lại tồn cơng việc thực kết đạt trình đánh giá, từ đưa đề xuất, khuyến nghị để đảm bảo an tồn cho hệ thống thơng tin 5.1 TỔNG HỢP THƠNG TIN Cơng việc cần chuẩn bị trước lập báo cáo tổng hợp thơng tin Đây thơng tin có q trình thực đánh giá Các thơng tin cần thiết gồm có:  Các rủi ro xác định thông qua đánh giá  Các rủi ro xác định thông qua kiểm định  Phân loại rủi ro 5.1.1 Các rủi ro xác định thông qua đánh giá Sau thực đánh giá, thu thơng tin rủi ro xảy đến hệ thống đánh giá Các rủi ro tìm thấy thơng qua q trình thực đánh giá an toàn hệ điều hành, đánh giá an toàn webserver, đánh giá an toàn sở liệu, đánh giá an toàn ứng dụng web, đánh giá an toàn thiết bị mạng mạng không dây, … q trình dị qt thu thập thơng tin ban đầu Tùy hệ thống đánh có kết khác Các kết thu phụ thuộc 254 vào hệ thống tồn nhiều điểm yếu, khả khai thác điểm yếu Chúng ta cần tổng hợp thông tin từ tất bước trình thực đánh giá, xếp theo danh mục khác để tiện cho việc lập báo cáo sau Ví dụ: Các rủi ro tìm thấy q trình thu thập thơng tin Các rủi ro tìm thấy thực đánh giá an tồn hệ điều hành Windows: a Thơng tin rủi ro b Mức độ nguy hiểm c Cách thức phát d Các ảnh hưởng, … Các rủi ro tìm thấy thực đánh giá an tồn hệ điều hành Linux Các rủi ro tìm thấy thực đánh giá an toàn cho WebServer … 5.1.2 Các rủi ro xác định thông qua kiểm định Tương tự đánh giá an tồn hệ thống thơng tin, sau thực kiểm định an tồn cho hệ thống thơng tin, xác định rủi ro xảy đến với hệ thống kiểm định Bây cần liệt kê chi tiết toàn rủi ro xếp theo khuôn khổ định để phục vụ cho trình lập báo cáo kiểm định sau Thông thường, rủi ro xác định thông qua kiểm định không nhiều rủi ro thu qua trình thực đánh giá Bởi thường thực kiểm định phạm vi hẹp, như: hệ thống máy chủ, hệ thống sở liệu, vấn đề thực thi sách, … khơng kiểm định tồn hệ thống Như rủi ro khoanh vùng phạm vi đánh giá rủi ro hệ thống 5.1.3 Phân loại rủi ro Phân loại rủi ro công việc cần thiết người đánh giá kiểm định Việc phân loại rủi ro giúp cho báo cáo cụ thể rõ ràng Như người không hiểu biết nhiều công 255 nghệ thông tin không am hiểu cơng dễ dàng xác định nguy xảy đến hệ thống Tùy trường hợp phân thành mức độ rủi ro khác Tuy nhiên thông thường rủi ro chia làm loại sau:  Rủi ro mức cao: Đây rủi ro có mức ảnh hưởng nghiêm trọng tới hệ thống, cho phép kẻ cơng chiếm quyền điều khiển hệ thống Thơng thường chương trình đánh giá tự động, rủi ro mức cao thể màu đỏ Hình BÁO CÁO KẾT QUẢ ĐÁNH GIÁ VÀ KIỂM ĐỊNH.85 Rủi ro mức cao  Rủi ro mức trung bình: Đây rủi ro có ảnh hưởng tới hệ thống khơng ảnh hưởng trực tiếp rủi ro mức cao Các rủi ro mức trung bình thường rủi ro liên quan đến quyền sử dụng người dùng bình thường, thực số thao tác lên hệ thống thực hành động người quản trị Tuy nhiên kẻ công lợi dụng rủi ro để cơng leo thang đặc quyền, từ người dùng bình thường nâng quyền lên mức quản trị để chiếm quyền điều khiển hệ thống Thơng thường chương trình đánh giá tự động, rủi ro mức trung bình thể màu vàng Hình BÁO CÁO KẾT QUẢ ĐÁNH GIÁ VÀ KIỂM ĐỊNH.86 Rủi ro mức trung bình  Rủi ro mức thấp: Đây rủi ro có ảnh hưởng tới hệ thống ảnh hưởng mức thấp Các rủi ro thường rủi ro lộ thông tin, lộ tài khoản email, sử dụng thư mục ẩn hệ thống, … Khi bị khai thác, kẻ cơng biết vài thông tin liên quan hệ thống 256 chiếm quyền điều khiển hệ thống Thơng thường chương trình đánh giá tự động, rủi ro mức thấp thể màu xanh nhạt Hình BÁO CÁO KẾT QUẢ ĐÁNH GIÁ VÀ KIỂM ĐỊNH.87 Rủi ro mức thấp 5.2 VIẾT BÁO CÁO KẾT QUẢ ĐÁNH GIÁ Từ thông tin tổng hợp trên, lúc người đánh giá cần viết báo cáo kết đánh giá Trong báo cáo đánh giá, người đánh giá cần có thông tin sau:  Thông tin chung hệ thống đánh giá  Cấu trúc hệ thống đánh giá  Các rủi ro mức cao  Các rủi ro mức trung bình  Các rủi ro mức thấp  Tổng hợp đánh giá đề xuất giải pháp 5.2.1 Thông tin chung hệ thống đánh giá Đây thông tin hệ thống đánh giá, như:  Địa điểm thực đánh giá  Thời gian thực đánh giá  Người thực đánh giá  Người theo dõi đánh giá  Thông tin hợp đồng đánh giá  Phiên báo cáo, … Các thông tin giúp cho người đánh giá đơn vị cần thực đánh giá biết thông tin chung mục tiêu, địa điểm, đối tượng thực Đồng thời pháp lý có cố xảy 5.2.2 Cấu trúc hệ thống đánh giá Đây thông tin sơ đồ cấu trúc hệ thống đánh giá Đối với đánh giá an toàn cho Website, người đánh giá cần liệt kê cấu trúc sơ đồ hệ thống 257 Website dựa thư mục file trang Web Đối với đánh giá an toàn cho hệ thống, người đánh giá cần thể sơ đồ hệ thống đánh giá thông qua sơ đồ mạng địa IP cụ thể Ví dụ liệt kê cấu trúc Website: Hình BÁO CÁO KẾT QUẢ ĐÁNH GIÁ VÀ KIỂM ĐỊNH.88 Cấu trúc Website đánh giá Ví dụ cấu trúc hệ thống mạng đánh giá: 258 Hình BÁO CÁO KẾT QUẢ ĐÁNH GIÁ VÀ KIỂM ĐỊNH.89 Cấu trúc mạng đánh giá 5.2.3 Các rủi ro mức cao Để dễ dàng cho người đọc báo cáo, người lập báo cáo cần tổng hợp thông tin theo mức độ rủi ro khác Ở đây, cần liệt kê điểm yếu thử nghiệm đánh giá Trong điểm yếu, cần có thông tin sau:  Mức độ nguy hại  Cơng cụ sử dụng (nếu có)  Cách thức kiểm tra  Kết đánh giá  Mô tả nguy hại xảy đến  Các khuyến cáo để phịng chống rủi ro Dưới ví dụ cụ thể lập báo cáo điểm yếu Cross Site Scripting: - Mức độ nguy hại: Cao - Công cụ: Firefox, Internet Explorer, … - Cách kiểm tra:  Gõ từ khóa bất kỳ, ví dụ "a" vào trang login email địa chỉ: http://test.edu.vn/Email/web/default.asp -> Xuất thông báo lỗi http://test.edu.vn/Email/web/default.asp? 259 URL IE: error_code=213&values=a@test.edu.vn||a||210.245.84.7|| 210.245.84.7||110||25||0&mode=standard_login  Thử thay ký tự "a" đoạn script: http://test.edu.vn/Email/web/default.asp? error_code=213&values=>"''>@test.edu.vn|| >"''>|| 210.245.123.12||210.245.123.12||110||25|| 0&mode=standard_login  -> Xuất thông báo lỗi Internet Explorer ASPSESSIONIDQCADAQBS=JCFBFJIAEMALMLKEEOAK CFLL - Kết quả: Trang Web bị lỗi Cross Site Scripting địa chỉ: http://test.edu.vn/email/web/default.asp - Mơ tả + Rủi ro gặp phải: Khi phát lỗi Cross Site Scripting, Hacker thực thi đoạn Script cách liên kết đến trang web đó, xây dựng file script cho URL trỏ đến file để thực thi file, đánh cắp account thực công hijacking, thay đổi thiệt đặt người sử dụng, đánh cắp cookie, … - Khuyến cáo: Để fix lỗi GET data từ url phải lọc ký tự < > từ đặc biệt script chẳng hạn Đối với điểm yếu khác, thực tương tự 5.2.4 Các rủi ro mức trung bình mức thấp Với rủi ro mức trung bình mức thấp, quy trình lập báo cáo hoàn toàn tương tự với lập báo cáo với rủi ro mức cao Đầu tiên cần nhấn mạnh lại mức độ nguy hại, sau nói cơng cụ thực hiện, phương thức thực hiện, kết thu mô tả, khuyến cáo khắc phục rủi ro 5.2.5 Tổng hợp đánh giá đề xuất giải pháp Công việc cuối lập báo cáo tổng hợp ngắn gọn lại toàn kết đánh giá đề xuất giải pháp tổng thể giúp bảo vệ an toàn cho 260 hệ thống Phần tổng hợp kết cần mục tiêu đặc biệt nghiêm trọng, ảnh hưởng đến an ninh toàn hệ thống phải sớm khắc phục Các giải pháp bảo vệ giải pháp cơng nghệ, Firewall, IDS/IPS, Antivirus, … giải pháp quản trị như: xây dựng sách cho hệ thống, quy định người quản trị, người sử dụng, … 5.3 VIẾT BÁO CÁO KẾT QUẢ KIỂM ĐỊNH Viết báo cáo kết kiểm định yêu cầu cần thiết sau kiểm định an tồn hệ thống thơng tin Báo cáo kết kiểm định khơng nhằm tái lại tồn nội dung, cách thức thực kiểm định mà sở để quan thẩm định cấp chứng nhận mục tiêu kiểm định đáp ứng yêu cầu đặt Để có báo cáo kết kiểm định hồn chỉnh, báo cáo cần có đầy đủ thông tin sau:  Thông tin chung tài nguyên kiểm định  Danh mục mục kiểm định  Chi tiết kết kiểm định 5.3.1 Thông tin chung tài nguyên kiểm định Thông tin chung tài nguyên kiểm định thông tin về:  Cơ quan có nhu cầu thực kiểm định  Cơ quan chịu trách nhiệm kiểm định  Mục tiêu kiểm định  Phạm vi kiểm định  Thời gian thực kiểm định  Mã số tài liệu kiểm định  … Đây thông tin liên quan đến mục tiêu, phạm vi đối tượng kiểm định Các thơng tin có từ q trình trao đổi thơng tin ban đầu, trước bên bắt tay vào thực kiểm định 261 5.3.2 Danh mục mục kiểm định Danh mục mục kiểm định thông tin chi tiết phạm vi kiểm định bên kiểm định xác định sau bước trình kiểm định Đây nội dung bên kiểm định kiểm tra để xem xét khả đáp ứng hệ thống từ đưa kết luận kết kiểm định Thông thường mục kiểm định lựa chọn từ A.5 tới A.15 phụ lục A tiêu chuẩn ISO 27001 Trong danh mục kiểm định, thông tin cần phải có bao gồm:  Đối tượng kiểm định  Các yêu cầu kiểm định Đối tượng kiểm định (hay gọi mục kiểm định), nội dung người kiểm định thực kiểm định Các yêu cầu kiểm định nội dung phía cần kiểm định phải thực Dựa vào yêu cầu mà người kiểm định biết bên cần kiểm định đáp ứng hay chưa Dưới ví dụ bảng danh mục mục kiểm định: Annex A reference A.5 Control title Control description Security Policy To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations A5.1 Information security policy A.5.1.1 Information security policy document An information security policy document shall be approved by management, and published and communicated to all employees and relevant external parties A.5.1.2 Review of the information security policy The information security policy shall be reviewed at planned intervals or if significant changes occur to ensure its continuing suitability, adequacy, and effectiveness A.6 A.6.1 Organization of information security Internal Organization To manage information security within the organization Management shall actively support security within the organization through clear direction, demonstrated commitment, explicit assignment, and acknowledgement of information security responsibilities A.6.1.1 Management commitment to information security A.6.1.2 Information security coordination Information security activities shall be co-ordinated by representatives from different parts of the organization with relevant roles and job function A.6.1.3 Allocation of information security responsibilities All information security responsibilities shall be clearly defined 262 A.6.1.4 Authorization process for information processing facilities A.6.1.5 Confidentiality agreements A.6.1.6 Contact with authorities A.6.1.7 Contact with special interest groups A.6.1.8 Independent review of information security A6.2 External parties A.6.2.1 Identification of risks related to external parties A.6.2.2 Addressing security when dealing with customers A.6.2.3 Addressing security in third party contracts A management authorization process for new information processing facilities shall be defined and implemented Requirements for confidentiality or non-disclosure agreements reflecting the organization's needs for the protection of information shall be identified and regularly reviewed Appropriate contacts with relevant authorities shall be maintained Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained The organization's approach to managing information security and its implementation (i.e control objectives, controls, policies, processes, and procedures for information security) shall be reviewed independently at planned intervals, or when significant changes to the security implementation occur To maintain the security of organization's information and information processing facilities that are accessed, processed, communicated to, or managed by external parties The risks to the organization's information and information processing facilities from business processes involving external parties shall be identified and appropriate controls implemented before granting access All identified security requirements shall be addressed before giving customers access to the organization's information or assets Agreements with third parties involving accessing, processing, communicating or managing the organization's information or information processing facilities, or adding products or services to information processing facilities shall cover all relevant security requirements 5.3.3 Chi tiết kết kiểm định Nội dung cuối nội dung quan trọng báo cáo kiểm định kết kiểm định Dựa theo mục kiểm định trên, người kiểm định cần thực bước kiểm định đưa kết kiểm định Kết kiểm định xác định theo nhiều mức sau:  D: Kiểm soát lập tài liệu thực thi  MD: Kiểm soát thực thi cần phải tài liệu hóa  RD: Kiểm sốt chưa phù hợp với chuẩn cần phải đăng ký để phù hợp với chuẩn  PNP: Việc thực thi không nơi thực kiểm tra chưa thực thi 263  NA: Kiểm sốt khơng áp dụng với tổ chức Dưới ví dụ chi tiết kết kiểm định: Annex A reference A.5 Control title Information security policy A.5.1.1 Information security policy document A.5.1.2 Review of the information security policy Internal Organization A.6.1.1 Management commitment to information security A.6.1.2 Information security coordination A.6.1.4 Status To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations An information security policy document shall be approved by management, and published and communicated to all employees and relevant external parties The information security policy shall be reviewed at planned intervals or if significant changes occur to ensure its continuing suitability, adequacy, and effectiveness Top Manage ment D Top Manage ment D Top Manage ment MD CISO RD HR PNP CISO NA CISO D Administr ation D IT D Organization of information security A.6.1 A.6.1.3 Function Security Policy A5.1 A.6 Control description Allocation of information security responsibilities Authorization process for information processing facilities A.6.1.5 Confidentiality agreements A.6.1.6 Contact with authorities A.6.1.7 Contact with special interest groups To manage information security within the organization Management shall actively support security within the organization through clear direction, demonstrated commitment, explicit assignment, and acknowledgement of information security responsibilities Information security activities shall be coordinated by representatives from different parts of the organization with relevant roles and job function All information security responsibilities shall be clearly defined A management authorization process for new information processing facilities shall be defined and implemented Requirements for confidentiality or nondisclosure agreements reflecting the organization's needs for the protection of information shall be identified and regularly reviewed Appropriate contacts with relevant authorities shall be maintained Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained 264 Recomme ndations A.6.1.8 Independent review of information security A6.2 External parties A.6.2.1 Identification of risks related to external parties A.6.2.2 Addressing security when dealing with customers Addressing security in third party contracts A.6.2.3 The organization's approach to managing information security and its implementation (i.e control objectives, controls, policies, processes, and procedures for information security) shall be reviewed independently at planned intervals, or when significant changes to the security implementation occur To maintain the security of organization's information and information processing facilities that are accessed, processed, communicated to, or managed by external parties The risks to the organization's information and information processing facilities from business processes involving external parties shall be identified and appropriate controls implemented before granting access CISO D CISO D All identified security requirements shall be addressed before giving customers access to the organization's information or assets IT D Agreements with third parties involving accessing, processing, communicating or managing the organization's information or information processing facilities, or adding products or services to information processing facilities shall cover all relevant security requirements Finance D Tổng hợp kết quả: Count Status Code Meaning 131 D MD RD PNP NA (Not Applicable) Control is documented and implemented Control is implemented and process must be documented to ensure repeatability of process and mitigate the risks Control is not comply with standards and it must be redesigned to comply with standards Process is not in place / not implemented (Required Control is neither documented nor implemented) Control is not applicable for the company as per the business 135 5.4 MỘT SỐ MẪU BÁO CÁO THAM KHẢO  Báo cáo Offenseive Security: 265 Contribution % 97% 1% 1% 1% 1% Website: report-2013/  http://www.offensive-security.com/offsec/penetration-test- Báo cáo SANS: 266 Website: http://www.sans.org/readingroom/whitepapers/bestprac/writing-penetration-testing-report-33343  Báo cáo đánh giá theo OWASP: Website: http://www.cenzic.com/downloads/cloud-samplereports/Products-Cloud-Sample-Report-Gold-OWASP.pdf 267 TÀI LIỆU THAM KHẢO [1] Jeremy Faircloth, Penetration Tester’s Open Source Toolkit – Third Edition, 2005 [2] National Institute of Standards and Technology, Technical Guide to Information Security Testing and Assessment (SP 800-15), 2008 [3] Open Information System Security Group, Information System Security Assessment Framework (ISSAF) Draft 0.2.1, 2006 [4] British Standards Institution - BS ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements, 2008 [5] Thomas Wilhelm, Professional Penetration Testing - Creating and Operating a Formal Hacking Lab, 2009 [6] Patrick Engebretson, The Basics of Hacking and Penetration Testing, 2011 [7] Lee Allen, Advanced Penetration Environments, 2012 268 Testing for Highly-Secured ... hoạt động là:  Advanced IP Scanner  Angry IP Scanner  Fips, … Ví dụ sử dụng Advanced IP Scanner để dò quét địa IP hoạt động dải từ 63.215.91.1 tới 63.215.91.255: Hình ĐÁNH GIÁ AN TOÀN HỆ THỐNG... Advanced IP Scanner Ví dụ sử dụng Angry IP Scanner để dò quét địa IP hoạt động dải từ 216.239.33.1 tới 216.239.33.255: 32 Hình ĐÁNH GIÁ AN TOÀN HỆ THỐNG VÀ CÁC THIẾT BỊ MẠNG.17 Angry IP Scanner... ISSAF Giai đoạn 1: Lên kế hoạch chuẩn bị Đây giai đoạn trao đổi thông tin ban đầu, lập kế hoạch chuẩn bị cho đánh giá Ký thỏa thuận đánh giá thức làm sở pháp lý Xác định thời gian khoảng thời gian