Công ty luật Minh Khuê www.luatminhkhue.vn TIÊU CHUẨN QUỐC GIA TCVN 8051 - 1: 2009 ISO/IEC 18028 - 1: 2006 CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG IT - PHẦN 1: QUẢN LÝ AN NINH MẠNG lnformation technology - Security techniques - IT network security - Part 1: Network security manegement Lời nói đầu TCVN 8051 - 1: 2009 hoàn toàn tương đương với ISO/IEC 18028 -1 : 2006 TCVN 8051 - 1: 2009 Ban Kỹ thuật Tiêu chuẩn quốc gia TCVN/JTC “Công nghệ thông tin” biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Cơng nghệ cơng bố CƠNG NGHỆ THƠNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG IT - PHẦN 1: QUẢN LÝ AN NINH MẠNG Information technology - Security techniques - IT network security - Part 1: Network security management Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn mạng truyền thông, bao gồm khía cạnh an ninh kết nối mạng hệ thống thông tin kết nối người sử dụng từ xa Tiêu chuẩn này, nhằm quản lý an ninh thơng tin nói chung an ninh mạng nói riêng Các hướng dẫn tiêu chuẩn hỗ trợ việc định danh phân tích yếu tố liên quan đến truyền thơng tính đến để thiết lập yêu cầu an ninh mạng, hướng dẫn dẫn cách định danh phạm vi kiểm soát an ninh thích hợp an ninh tương ứng với kết nối mạng truyền thông đưa tổng quan phạm vi kiểm sốt bao gồm chủ đề thực thi thiết kế kỹ thuật trình bày chi tiết tiêu chuẩn TCVN 8051-2:2009 tiêu chuẩn quốc tế từ ISO/IEC 18028-3 đến ISO/IEC 18028-5 Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm ban hành áp dụng nêu Đối với tài liệu viện dẫn khơng ghi năm ban hành áp dụng phiên nhất, bao gồm sửa đổi TCVN 8051-2: 2009 (ISO/IEC 18028-2: 2006), Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng công nghệ thông tin - Phần 2: Kiến trúc an ninh mạng; ISO/IEC 18028-3:2005, Information technology Security techniques IT network security Part 3: Securing communications between networks using security gateways (Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng công nghệ thơng tin - Phần 3: Truyền thơng an tồn mạng sử dụng cổng nối an ninh); ISO/IEC 18028-4:2005, Information technology Security techniques IT network security Part 4: Securing remote access (Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng công nghệ thông tin Phần 4: Truy cập từ xa an toàn); ISO/IEC 18028-5:2005, Information technology Security techniques IT network security Part 5: Securing communications across networks using virtual private networks (Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng công nghệ thông tin - Phần 5: Truyền thông an toàn sử dụng mạng riêng ảo); ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management (Công nghệ thông tin - Kỹ thuật an ninh - Quản lý an ninh công nghệ thông tin truyền thông - Phần 1: Khái niệm mơ hình quản lý an ninh công nghệ thông tin truyền thông); TCVN 7562:2005 (ISO/IEC 17799:2005), Công nghệ thông tin - Kỹ thuật an ninh - Mã thực hành quản lý an ninh thông tin ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident management (Công nghệ thông tin - Kỹ thuật an ninh - Quản lý việc liên quan đến an ninh LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn thông tin); ISO/IEC 18043:2006, lnformation technology Security techniques Selection, deployment and operations of intrusion detection systems (Công nghệ thông tin - Kỹ thuật an ninh - Lựa chọn, triển khai, điều hành hệ thống nhận biết xâm nhập) Thuật ngữ định nghĩa 3.1 Thuật ngữ tiêu chuẩn khác Tiêu chuẩn áp dụng thuật ngữ định nghĩa sau xác định tiêu chuẩn ISO/IEC 7498 (tại tất phần), TCVN 7562:2005 (ISO/IEC 17799:2000) ISO/IEC 13335-1: trách nhiệm giải trình, tài sản, tính xác thực, tính sẵn có, kiểm sốt sở, tính bảo mật, tính tồn vẹn liệu, tác động, tính tồn vẹn, sách an ninh, không từ chối, độ tin cậy, rủi ro, phân tích rủi ro, đánh giá rủi ro, quản lý rủi ro, kiểm soát, mối đe dọa điểm yếu 3.2 Thuật ngữ tiêu chuẩn Tiêu chuẩn áp dụng thuật ngữ định nghĩa sau 3.2.1 Cảnh báo (alert) Dấu hiệu ‘tức thời’ thông báo mạng hệ thống thơng tin bị công bị đe dọa tai nạn, hỏng hóc lỗi người gây 3.2.2 Người cơng (attacker) Mọi cá nhân cố tình lợi dụng điểm yếu kỹ thuật phi kỹ thuật kiểm soát an ninh để lấy cắp gây hại mạng hệ thống thông tin gây hại tính sẵn có để hợp pháp hóa người sử dụng tài nguyên mạng hệ thống thông tin 3.2.3 Đánh giá (audit) Việc điều tra, kiểm tra thức thẩm tra việc tuân thủ phù hợp thực tế mong đợi 3.2.4 Lập ghi đánh giá (audit logging) Việc thu thập liệu kiện an ninh thông tin mục đích xem xét, phân tích giám sát việc xảy 3.2.5 Công cụ đánh giá (audit tools) Công cụ tự động để hỗ trợ việc phân tích ghi đánh giá 3.2.6 Quản lý tính liên tục cơng việc (business continuity management) Quy trình cho phép khơi phục hoạt động cách chắn xảy cố không mong muốn có khả tác động tiêu cực đến tính liên lục chức công việc cần thiết phần tử hỗ trợ CHÚ THÍCH: Quy trình nên đảm bảo việc khôi phục đạt theo quyền ưu tiên thang thời gian u cầu, sau đó, tồn chức công việc phần tử hỗ trợ khôi phục lại bình thường Các phần tử cần thiết quy trình để đảm bảo kế hoạch sở vật chất đặt chỗ, thử nghiệm Các phần tử cần thiết đảm bảo chúng bao gồm thơng tin, quy trình cơng việc, hệ thống dịch vụ thông tin, truyền thông liệu thoại, phương tiện vật chất người 3.2.7 Giải thuật Comp128-1 (Comp128-1) Thuật toán riêng sử dụng mặc định thẻ SIM 3.2.8 Vùng phi quân (demilitarized zone) DMZ Mạng biên (cũng hiểu mạng có chắn) chèn vào “vùng trung lập” mạng CHÚ THÍCH: Vùng phi quan tạo thành vùng đệm an toàn 3.2.9 Từ chối dịch vụ (denial of service) DoS Ngăn ngừa việc truy cập cho phép tới tài nguyên hệ thống trì hỗn chức thao tác hệ thống LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 3.2.10 Mạng ngoại (extranet) Mở rộng mạng nội tổ chức, đặc biệt qua hạ tầng công cộng, cho phép chia sẻ tài nguyên tổ chức tổ chức, cá nhân khác, cách cung cấp truy cập hạn chế mạng nội 3.2.11 Lọc (filtering) Quy trình chấp nhận từ chối luồng liệu thơng qua mạng, theo tiêu chí quy định 3.2.12 Tường lửa (firewall) Kiểu hàng rào an ninh đặt môi trường mạng - bao gồm thiết bị chuyên dụng hỗn hợp số thành phần kỹ thuật - thơng qua tồn lưu lượng từ môi trường mạng tới môi trường mạng khác ngược lại, lưu lượng cấp phép theo quy định sách an ninh cục phép qua 3.2.13 Máy chủ truy cập (Hub) Thiết bị mạng thực thi chức tầng mơ hình tham chiếu OSI (ISO/IEC 9498-1) CHÚ THÍCH: Khơng có trí tuệ thực máy chủ truy cập mạng; chúng cung cấp điểm đính kèm tài nguyên hệ thống mạng 3.2.14 Sự kiện an ninh thông tin (information security event) Sự xuất định danh trạng thái hệ thống, dịch vụ mạng lỗ thủng sách an ninh thơng tin chung tình trạng khơng hoạt động kiểm soát trạng thái chưa biết liên quan đến an ninh CHÚ THÍCH: Xem ISO/IEC 18044 3.2.15 Sự cố an ninh thông tin (Information security incident) Được một chuỗi kiện an ninh thơng tin khơng mong muốn, có khả gây hại hoạt động kinh doanh đe dọa an ninh thơng tin CHÚ THÍCH: Xem ISO/IEC 18044 3.2.16 Quản lý cố an ninh thông tin (Information security incident management) Quy trình thức đáp ứng giải kiện cố an ninh thơng tin CHÚ THÍCH: Xem ISO/IEC 18044 3.2.17 Mạng tồn cầu (internet) Hệ thống toàn cầu mạng liên kết nối phạm vi công cộng 3.2.18 Mạng nội (intranet) Mạng riêng thiết lập tổ chức 3.2.19 Sự xâm nhập (intrusion) Sự truy cập trái phép đến mạng hệ thống kết nối mạng - ví dụ: truy cập trái phép có chủ tâm tình cờ tới hệ thống thơng tin, bao gồm hoạt động có ác ý chống lại hệ thống thơng tin việc sử dụng trái phép tài nguyên hệ thống thông tin 3.2.20 Phát xâm nhập (intrusion detection) Quy trình thức việc phát xâm nhập, đặc trưng việc tập hợp kiến thức mẫu sử dụng, vật cách thức bất thường, điểm yếu bị khai thác cách thức, thời điểm xảy CHÚ THÍCH: Xem ISO/IEC 18043 3.2.21 Hệ thống phát xâm nhập (intrusion detection system) IDS Hệ thống kỹ thuật sử dụng để định danh xâm nhập, xảy ra, xảy có khả phản hồi lại xâm nhập mạng hệ thống thông tin CHÚ THÍCH: Xem ISO/IEC 18043 3.2.22 Hệ thống ngăn ngừa xâm nhập (intrusion prevention system) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn IPS Biến đổi hệ thống phát xâm nhập thiết kế cách cụ thể để cung cấp khả phản hồi nhanh CHÚ THÍCH: Xem ISO/IEC 18043 3.2.23 Sự biến động (jitter) Một dạng biến dạng đường truyền gây tín hiệu truyền lệch hướng từ tham chiếu 3.2.24 Phần mềm độc (malware) Phần mềm gây hại, ví dụ virút trojan horse, phần mềm thiết kế để gây tổn hại phá hỏng hệ thống 3.2.25 Chuyển mạch nhãn đa giao thức (multi protocol label switching) MPLS Kỹ thuật phát triển để sử dụng việc định tuyến liên mạng, nhãn gắn với luồng đường dẫn liệu riêng sử dụng để chuyển mạch kết nối, bổ sung cho cấu giao thức định tuyến thông thường CHÚ THÍCH: Chuyển mạch nhãn sử dụng phương pháp tạo đường hầm 3.2.26 Quản trị mạng (network administration) Thao tác quản lý người sử dụng quy trình sử dụng mạng hàng ngày 3.2.27 Dụng cụ phân tích mạng (network analyzer) Thiết bị sử dụng để lấy giải mã luồng thông tin mạng 3.2.28 Phần tử mạng (network element) Hệ thống thông tin kết nối với mạng CHÚ THÍCH: Mơ tả chi tiết phần tử an ninh đề cập đến TCVN 8051-2 (ISO/IEC 18028-2) 3.2.29 Quản lý mạng (network management) Quy trình lập kế hoạch, thiết kế, thực thi, điều hành, giám sát trì mạng 3.2.30 Giám sát mạng (network monitoring) Quy trình quan sát xem xét liệu ghi lại hoạt động kết nối mạng, bao gồm ghi đánh giá, cảnh báo phân tích liên quan 3.2.31 Chính sách an ninh mạng (network security policy) Tập câu lệnh, quy tắc thực hành giải thích phương pháp tiếp cận sử dụng tài nguyên mạng tổ chức quy định cách dịch vụ sở vật chất mạng bảo vệ 3.2.32 Cổng (port) Điểm cuối kết nối CHÚ THÍCH: Trong giao thức Internet, cổng điểm cuối kênh logic kết nối TCP UDP Các giao thức ứng dụng dựa TCP UDP gắn số cổng mặc định, ví dụ cổng 80 giao thức HTTP 3.2.33 Riêng tư (privacy) Mọi vấn đề liên quan đến cá nhân sống riêng tư, gia đình, nhà thư từ giữ bí mật CHÚ THÍCH: Đối với việc áp dụng quyền khơng cần can thiệp quan có thẩm quyền trừ nơi tuân thủ theo pháp luật điều cần thiết xã hội dân chủ với lợi ích an ninh quốc gia, an ninh công cộng phát triển kinh tế quốc gia, ngăn ngừa tội ác, bảo vệ sức khỏe đạo đức bảo vệ quyền lợi tự cá nhân 3.2.34 Truy cập từ xa (remote access) Quy trình truy cập tài nguyên mang từ mạng khác từ thiết bị cuối mà không kết nối lâu dài, theo luật tự nhiên logic, tới mạng truy cập 3.2.35 Người sử dụng từ xa (remote user) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Người sử dụng địa điểm khác với địa điểm tài nguyên mạng sử dụng định vị 3.2.36 Bộ định tuyến (router) Thiết bị mạng sử dụng để thiết lập kiểm soát luồng liệu mạng khác nhau, thân định tuyến dựa giao thức mạng khác nhau, cách lựa chọn đường dẫn tuyến dựa vào cấu thuật toán giao thức định tuyến Thông tin định tuyến lưu bảng định tuyến 3.2.37 Kích thước an ninh (security dimension) Tập kiểm sốt an tồn thiết kế cho khía cạnh riêng an ninh mạng CHÚ THÍCH: Mơ tả chi tiết kích thước an ninh đề cập đến TCVN 8051-2 (ISO/IEC 18028-2) 3.2.38 Miền an ninh (security domain) Tập tài sản tài nguyên đưa sách an ninh chung 3.2.39 Cổng an ninh (security gateway) Điểm kết nối mạng nhóm mạng mạng ứng dụng phần mềm miền an ninh khác nhằm bảo vệ mạng theo sách an ninh CHÚ THÍCH: Mơ tả chi tiết cổng nối an ninh đề cập đến ISO/IEC 18028-3 3.2.40 Tầng an ninh (security layers) Biểu diễn hệ phân cấp thiết bị mạng nhóm phương tiện bảo vệ kích thước an ninh CHÚ THÍCH: Mô tả chi tiết tầng an ninh đề cập đến TCVN 8051-2 (ISO/IEC 18028-2) 3.2.41 Mặt phẳng an ninh (security plane) Biểu diễn kiểu kết nối mạng bảo vệ kích thước an ninh CHÚ THÍCH: Mơ tả chi tiết mặt phẳng an ninh đề cập TCVN 8051-2 (ISO/IEC 18028-2) 3.2.42 Gửi thư rác (spamming) Gửi hàng loạt thông điệp không yêu cầu việc nhận thơng điệp gây bất lợi đến tính sẵn có tài ngun thơng tin 3.2.43 Giả mạo (spoofing) Bắt chước tài nguyên người sử dụng hợp pháp 3.2.44 Thiết bị chuyển mạch (switch) Thiết bị cung cấp khả kết nối thiết bị mạng cấu chuyển đổi bên CHÚ THÍCH: Các khóa chuyển đổi khác với thiết bị kết nối mạng cục khác (ví dụ: máy chủ truy cập) công nghệ sử dụng khóa chuyển đổi thiết lập kết nối từ điểm sang điểm khác Điều đảm bảo lưu lượng mạng quan sát thiết bị mạng theo địa khiến số kết nối đồng thời Cơng nghệ chuyển đổi thực thi tầng mơ hình tham chiếu OSI (ISO/IEC 7498-1) 3.2.45 Đường hầm (tunnel) Đường dẫn liệu thiết bị mạng thiết lập qua hạ tầng mạng có cách sử dụng kỹ thuật việc đóng gói giao thức, chuyển mạch nhãn mạch ảo 3.2.46 Mạng riêng ảo (virtual private network) Các mạng máy tính logic có giới hạn sử dụng kết cấu từ tài nguyên hệ thống mạng vật lý, ví dụ: cách sử dụng mã hóa và/hoặc truyền liên mạng liên kết mạng ảo qua mạng thực Thuật ngữ viết tắt CHÚ THÍCH Các thuật ngữ viết tắt sau sử dụng tất phần ISO/IEC 18028 LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 3G Hệ thống điện thoại di động hệ thứ (Third Generation mobile telephone system) AAA Xác thực, cấp phép tính tốn (Authentication, Authorization and Accouting) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 3G Hệ thống điện thoại di động hệ thứ (Third Generation mobile telephone system) ACL Danh sách kiểm soát truy cập (Access Control List) ADSL Đường thuê bao số phi đối xứng (Asysmetric Digital Subscriber Line) AES Tiêu chuẩn mật mã hóa tiên tiến (Advanced Encryption Standard) ATM Chế độ truyền khơng đồng (Asynchronous Transfer Mode) CDPD Dữ liệu gói kỹ thuật số di động (Cellular Digital Packet Data) CDMA Đa truy cập phân chia theo mã (Code Division Multiple Access) CLID Thẻ định danh đường gọi (Calling Line ldentifier) CLNP Giao thức mạng không kết nối (Connectionless Network Protocol) CoS Lớp dịch vụ (Class of Service) CRM Quản lý quan hệ khách hàng (Customer Relationship Management) DEL Đường trao đổi trực tiếp (Direct Exchange Line) DES Chuẩn mã hóa liệu (Data Encryption Standard) DMZ Vùng phi quân (Demilitarized Zone) DNS Dịch vụ tên miền (Domain Name Service) DoS Từ chối dịch vụ (Denial of Service) DSL Đường thuê bao số (Digital Subscriber Line) EDGE Thế hệ mạng GSM (Enhanced Data-Rates for GSM Evolution) EDI Trao đổi liệu điện tử (Electronic Data Interchange) EGPRS Dịch vụ vơ tuyến gói chung có độ phân giải cao (Enhanced General Packet Radio Service) EIS Hệ thống thông tin doanh nghiệp (Enterprise Information System) FTP Giao thức truyền tệp (File Transfer Protocol) GPRS Dịch vụ vơ tuyến gói chung (General Packet Radio Service) GSM Hệ thống truyền thông di động toàn cầu (Global Service Mobile Communication) HIDS Hệ thống phát xâm nhập sở máy chủ (Host based Intrusion Detection System) HTTP Giao thức truyền siêu văn (Hypertext Transfer Protocol) IDS Hệ thống phát xâm nhập (Intrusion Detection System) IP Giao thức internet (Internet Protocol) ISP Nhà cung cấp dịch vụ internet (Internet Service Provider) IT Công nghệ thông tin (Information Technology) LAN Mạng cục (Local Area Network) MPLS Chuyển mạch nhãn đa giao thức (Multi-Protocol Label Switching) MRP Hoạch định tài nguyên sản xuất (Manufaturing Resource Planning) NAT Dịch địa mạng (Network Address Translation) NIDS Hệ thống phát xâm nhập mạng (Network Intrusion Detection System) NTP Giao thức thời gian mạng (Network Time Protocol) OOB ‘Ngoài dải tần’ (Out of Band) PC Máy vi tính cá nhân (Personal Computer) PDA Hỗ trợ liệu cá nhân (Personal Data Assistant) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 3G Hệ thống điện thoại di động hệ thứ (Third Generation mobile telephone system) PIN Số nhận dạng cá nhân (Personal Identification Number) PKI Hạ tầng khóa cơng cộng (Public Key Infrastructure) PSTN Mạng thoại chuyển mạch công cộng (Public Switched Telephone Network) QoS Chất lượng dịch vụ (Quality of Service) RAID Hệ thống đĩa dự phòng (Redundant Array of Inexpensive Disks) RAS Dịch vụ truy cập từ xa (Remote Access Service) RTP Giao thức thời gian thực (Real Time Protocol) SDSL Đường thuê bao số đối xứng (Symmetric Digital Subscriber Line) SecOPs Thủ tục điều hành an ninh (Security Operating Procedures) SIM Môđun nhận dạng thuê bao (Subscriber Identity Module) SNMP Giao thức quản lý mạng đơn (Simple Network Management Protocol) SSH Trình an ninh Shell (Secure Shell) TCP Giao thức điều khiển truyền phát (Transmission Control Protocol) TDMA Đa truy cập phân chi theo thời gian (Time Division Multiple Access) Telnet Chương trình mơ thiết bị đầu cuối làm việc trực tuyến máy vi tính từ xa (Terminal emulation program to work on-line on a remote Computer) TETRA Trung kế vô tuyến mặt đất (Terrestial Trunked Radio) TKIP Giao thức tồn vẹn khóa thời gian (Temporal Key Integrity Protocol) UDP Giao thức gram liệu người sử dụng (User Datagram Protocol) UMTS Hệ thống viễn thông di động đa (Universal Mobile Telecommunication System) UPS Nguồn cấp điện liên tục (Uninterruptible Power Supply) USB Cổng nối tiếp đa (Universal Serial Bus) VHF Tần số cao (Very High Frequency) VolP Thoại thông qua mạng IP (Voice over IP) VPN Mạng riêng ảo (Virtual Private Network) WAN Mạng diện rộng (Wide Area Network) WAP Giao thức ứng dụng không dây (Wireless Application Protocol) WEP Thiết bị bảo mật cài sẵn (Wired Equipment Privacy) WLAN Mạng cục không dây (Wireless Local Area Network) WORM Ghi lần, đọc nhiều lần (Write Once Read Many) Cấu trúc Tiêu chuẩn đưa phương pháp tiếp cận nhằm mục đích: - Tóm tắt tồn quy trình định danh phân tích truyền thơng liên quan đến nhân tố thiết lập yêu cầu an ninh mạng, - Cung cấp dẫn phạm vi kiểm soát tiềm an ninh liên kết với kết nối mạng phương tiện truyền thông Theo cách dẫn cung cấp đến nội dung liên quan ISO/IEC 13335 TCVN 7562:2005 (ISO/IEC 17799:2005) sử dụng, thiết kế kỹ thuật chủ đề thực thi giới thiệu liên quan tới nơi chúng đề cập chi tiết tiêu chuẩn từ TCVN 8051-2 (ISO/IEC 18028-2) ISO/IEC 18028-3 đến ISO/IEC 18028-5 Ba tiêu chí mơ tả để giúp người chịu trách nhiệm an ninh thông tin định danh phạm vi kiểm soát tiềm Các tiêu chí là: LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn - Kiểu kết nối mạng khác nhau, - Đặc điểm kết nối mạng khác mối quan hệ tin cậy liên quan - Kiểu rủi ro an ninh liên kết với kết nối mạng (sử dụng dịch vụ cung cấp qua kết nối đó) Kết việc kết hợp tiêu chí sử dụng để phạm vi kiểm sốt tiềm Sau đó, mơ tả tóm tắt cung cấp phạm vi kiểm soát tiềm năng, với dẫn chi tiết cho tài nguyên Các phạm vi đề cập tới là: - Kiến trúc an ninh mạng, bao gồm:  Kết nối mạng cục bộ,  Kết nối mạng diện rộng,  Mạng không dây,  Mạng vô tuyến,  Mạng băng rộng,  Cổng nối an toàn (xem ISO/IEC 18028-3),  Dịch vụ truy cập từ xa (xem ISO/IEC 18028-4),  Mạng riêng ảo (xem ISO/IEC 18028-5),  Hội tụ IP (dữ liệu, thoại video),  Khả truy cập tới dịch vụ cung cấp mạng bên tổ chức,  Kiến trúc máy chủ, (Chi tiết kiến trúc an ninh mạng xem TCVN 8051-2 (ISO/IEC 18028-2)) - Khung quản lý dịch vụ an ninh, - Quản lý an ninh mạng, - Quản lý điểm yếu kỹ thuật, - Định danh xác thực, - Kiểm tra ghi lại đánh giá mạng, - Phát xâm nhập, - Bảo vệ chống lại mã độc, - Dịch vụ dựa mật mã hạ tầng chung, - Quản lý tính liên tục công việc1 Việc thực thi điều hành kiểm soát an ninh, kiểm tra xem xét việc thực thi, đề cập phần sau Mục đích Mục đích tiêu chuẩn cung cấp: - Hướng dẫn việc định danh phân tích truyền thông liên quan đến nhân tố để thiết lập yêu cầu an ninh mạng, - Chỉ dẫn phạm vi kiểm soát tiềm năng, bao gồm vấn đề đề cập chi tiết tiêu chuẩn từ TCVN 8051-2 (ISO/IEC 18028-2) ISO/IEC 18028-3 đến ISO/IEC 18028-5 Khái quát 7.1 Bối cảnh Hầu hết hệ thống thơng tin phủ tổ chức thương mại kết nối mạng, với chủ đạo kinh doanh điện tử dựa sở toàn cầu gia tăng thời đại Các kết nối mạng Điều bao gồm Kế hoạch khôi phục thảm họa IT LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn kết nối tổ chức, tổ chức khác nhau, tổ chức mạng công cộng Việc phát triển nhanh chóng theo cơng nghệ mạng cơng cộng sẵn có, cụ thể Internet www tương ứng, thể hội lớn kinh doanh cung cấp dịch vụ trực tuyến công Các hội xếp từ việc cung cấp dịch vụ truyền thông liệu rẻ, sử dụng Internet phương tiện kết nối toàn cầu, đến dịch vụ ISP phức tạp Điều có nghĩa cho phép sử dụng điểm gắn kèm cục chi phí thấp mạch đầu cuối, tới tồn phạm vi thương mại điện tử hệ thống phân phối dịch vụ, sử dụng dịch vụ ứng dụng sở Web Ngoài ra, cơng nghệ mới, bao gồm việc tích hợp liệu thoại, làm tăng hội mô hình kinh doanh theo kiểu liên lạc từ xa Điều giúp ích nhân viên điều hành công việc xa địa điểm sở nhiều thời điểm, trì liên lạc với cơng ty cách sử dụng thiết bị từ xa, quay số kết nối mạng LAN không dây để thiết lập điểm liên lạc với mạng công ty truy cập với dịch vụ thông tin hỗ trợ kinh doanh Do đó, mơi trường mang lại lợi ích kinh doanh, mang lại số rủi ro an ninh phải quản lý Đối với tổ chức dựa vào việc sử dụng thông tin để đạo hoạt động kinh doanh, việc tổn hại tính bảo mật, tính tồn vẹn, tính sẵn có, khơng từ chối, trách nhiệm giải trình, tính xác thực độ tin cậy thơng tin dịch vụ có ảnh hưởng có hại hoạt động kinh doanh Vì vậy, yêu cầu đặt phải bảo vệ thông tin quản lý an ninh hệ thống thơng tin doanh nghiệp Ví dụ kịch kết nối mạng điển hình, kịch áp dụng cho nhiều tổ chức hình Hình - Mơi trường kết nối mạng điển hình Mạng nội quy định mạng mà tổ chức dựa vào trì Thơng thường, cá nhân làm việc cho tổ chức truy cập trực tiếp với mạng này, mạng đặt địa điểm mà tổ chức sở hữu, nên dễ dàng đạt mức bảo vệ sở vật chất Trong hầu hết trường hợp, kỹ thuật sử dụng yêu cầu an ninh mạng nội khơng đồng nhất; nên có hạ tầng sở cần có mức bảo vệ cao so với mức bảo vệ mạng nội đưa Các hạ tầng sở vậy, ví dụ thành phần thiết yếu mơi trường PKI, hoạt động phân đoạn mạng nội chuyên dụng Nói cách khác, số cơng nghệ địi hỏi cách ly chúng đưa rủi ro bổ sung cho hệ thống, ví dụ hạ tầng sở WLAN Với hai trường hợp trên, cổng nối an ninh nội sử dụng để thực thi phân đoạn Các nhu cầu kinh doanh tổ chức địi hỏi phải có giao tiếp trao đổi liệu với đối tác bên với tổ chức khác Thông thường, hầu hết đối tác quan trọng kết nối theo cách mở rộng trực tiếp mạng nội tổ chức mạng tổ chức đối tác; thuật ngữ mạng ngoại sử dụng phổ biến mở rộng Trong hầu hết trường hợp, tin cậy đối tác kết nối ln thấp tổ chức đó, nên sử dụng cổng nối an ninh mạng ngoại để khống chế rủi ro xảy kết nối Các mạng công cộng, chủ yếu mạng Internet, ngày thúc đẩy sử dụng để cung cấp phương tiện liên lạc thiết bị trao đổi liệu với đối tác khách hàng (bao gồm lĩnh vực LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn - Các kiểm soát chống virút webproxy emailproxy Các kiểm sốt điển hình bao gồm phương tiện để cách ly tệp tin đáng ngờ (ví dụ, kiểu nội dung) che chắn URL địa thư điện tử chống lại danh sách “đen” (Cần ý danh sách “đen” coi rõ ràng, danh sách lấy từ danh sách khác Có thể mối nguy hiểm tính xác thực giả) Thơng tin thêm kiểm sốt chống virút đưa Điều 13.9 đây, - Chống chuyển tiếp máy chủ thư điện tử tra cứu DNS đảo Các kiểm soát chống chuyển tiếp bị phát thư điện tử đến từ tổ chức có địa xác; khơng, thư điện tử ghi (hoặc cách ly) máy chủ thư điện tử không đưa thêm hành động nào, - Các cảnh báo bẫy SNMP SNMP sử dụng để điều khiển từ xa thiết bị mạng thiết bị gửi thông điệp (hoặc ‘các bẫy’) để thông báo trạm giám sát điều kiện thiết bị đó, - Giám sát ghi lại đánh giá mạng (xem Điều 13.7 bên dưới), - Xây dựng máy quản lý OOB, liên quan đến việc thực hành sử dụng mạng liệu khác việc quản lý để đảm bảo người công khơng có khả kết nối đến thiết bị đích, - Đảm bảo điểm yếu phần mềm máy khách sử dụng để truy cập dịch vụ Internet (ví dụ: trình duyệt web) tương ứng với điểm yếu thích hợp sửa tạm quy trình quản lý 13.2.12 Kiến trúc máy chủ web 13.2.12.1 Bối cảnh Các dịch vụ máy chủ web nhà cung cấp dịch vụ mạng đưa dạng dịch vụ chuẩn hóa, thường bao gồm phương tiện để điều khiển liệu liên tục môi trường chạy ứng dụng Mặc dù hầu hết thành phần cần thiết để thực thi đưa dịch vụ web nằm ngồi phạm vi tiêu chuẩn (ví dụ máy chủ web phần mềm sở liệu) số xem xét toàn dịch vụ lập tài liệu nhiều người xem máy chủ web phần thiếu mạng Các vị trí máy chủ web gặp rủi ro từ nhiều mối đe dọa, cụ thể nơi chúng kết nối Internet ví dụ tổ chức danh tiếng bị cơng từ nhóm bên ngồi Do đó, mối đe dọa định danh điểm yếu khai thác mối đe dọa khép kín Điều đạt cách thiết kế điểm yếu Đề cập đến vấn đề theo hướng dẫn cung cấp, có khả thiết kế trang web an toàn, tin cậy rủi ro thấp 13.2.12.2 Các rủi ro an ninh Phạm vi rủi ro bao gồm: - Truy cập người công ứng dụng liệu với hành vi bảo vệ vịng ngồi đơn lẻ, - Hành động phơi bày điểm yếu thành phần hạ tầng, - Các điểm hỏng hóc đơn, - Mất dịch vụ phần cứng bị hỏng hóc, - Khơng có khả đưa dịch vụ trì, - Người sử dụng vơ tình truy cập vào phạm vi dự trữ liệu, - Phần mềm độc tải lên hệ thống, - Thỏa hiệp web sử dụng chức chuyển mạch, - Không có khả chép dự phịng mà khơng ảnh hưởng đến việc thực thi web, - Phơi bày trái phép địa IP, tạo thuận lợi việc công web, - Khai thác kết nối trạm quản lý web, - Tấn công không bị phát hiện, - Khó khăn việc tìm dấu vết xâm nhập thiết bị, - Khơng có khả khơi phục liệu, - Khơng có khả đáp ứng yêu cầu thỏa thuận cung cấp dịch vụ, - Khơng có khả trì liên tục dịch vụ, - Sử dụng trái phép dịch vụ web, bao gồm vi phạm sách tổ chức (ví dụ: sử dụng máy chủ lợi ích cá nhân) khơng tn theo quy định luật pháp (ví dụ: lưu trữ tài liệu vi phạm quyền lưu trữ sách báo khiêu dâm) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn 13.2.12.3 Các kiểm soát an ninh Các kiểm soát an ninh kỹ thuật quản lý rủi ro từ mối đe dọa web, bao gồm: - Phân vùng cung cấp biện pháp an ninh để hạn chế sác xuất thành công, - Đặc tả tường lửa khác để chống lại điểm yếu (Thông tin thêm tường lửa cung cấp Điều 13.2.7 ISO/IEC 18028-3.), - Độ đàn hồi; điểm đơn hỏng hóc thiết kế nên kiểm tra loại bỏ, - Tính sẵn có cao để đề phịng trang thiết bị hỏng hóc - Việc hội tụ đó, tính sẵn có cao yêu cầu môi trường 24x7, - Các dịch vụ ủy quyền hạn chế truy cập vào web cho phép mức độ ghi cao, - Các kiểm soát chống virút tệp tin tải lên để ngăn ngừa việc nhập phần mềm độc (Thông tin thêm kiểm sốt để tìm ngăn ngừa mã độc đưa Điều 13.9 đây.), - Tầng 2: chuyển mạch thường sử dụng thiết kế web Tầng 3: chuyển mạch không nên sử dụng cơng việc liên quan đến u cầu, ví dụ tính sẵn có cao Chuyển mạch vật lý giống không nên sử dụng tường lửa tầng tầng Các điểm thử nghiệm nên bao gồm thiết kế chuyển mạch, - Các VLAN (mạng LAN ảo) phân chia chức năng, giúp IDS có khả điều chỉnh dễ dàng có tập giao thức rút gọn VLAN Thêm nữa, việc thực thi VLAN dự phòng cho phép dự phòng điều hành thời gian ngày mà không cần gây hại - Địa IP hạn chế số địa công cộng tới mức tối thiểu, địa IP giữ “tuyệt mật” nhận biết khả đặt công sở Web, - Khi liên kết quản lý kết nối qua mạng công cộng, chúng nên mã hóa (xem ISO/IEC 18028-4 để biết thêm thông tin truy cập từ xa) Điều bao gồm cảnh báo/các bẫy SNMP kết nối cổng giao tiếp, - Tất giao dịch sổ ghi kiện từ thiết bị chép đến máy chủ đánh giá, sau chép đến phương tiện dự phịng, ví dụ đĩa CD (Thông tin thêm việc giám sát ghi lại đánh giá mạng đưa Điều 13.7 đây.), - Dịch vụ đồng hóa thời gian thực thi khóa phân tích truy cập trái phép có khả tìm dấu vết qua tệp tin sổ ghi Điều yêu cầu đếm tệp tin sổ ghi, sau máy chủ đồng hóa tới +/- giây thấp (liên quan đến NTP, để biết thêm thông tin xem ISO/IEC 17799, Điều 10.6.), - Dịch vụ dự phòng tập trung có khả thực thi có yêu cầu, - Đối với web làm việc suốt 24 ngày yêu cầu phần cứng chất lượng cao để đứng vững mơi trường Hạ tầng máy chủ web nên quy định để hỗ trợ hoạt động 24x7 Các hệ điều hành phụ nên làm rắn chắc, tất máy chủ thiết bị khác nên trải qua thử nghiệm an ninh để đảm tất thiết bị rắn chắc, - Phần mềm Ứng dụng mạnh thực thi, mã kiểm tra cấu trúc sử dụng phần mềm xác thực phê chuẩn Chú ý vấn đề quản lý tính liên tục cơng việc không thường xuyên xem xét thiết kế sở Web Các hoạt động quản lý tính liên tục công việc nên đạo liên quan đến web (Thông tin thêm tham chiếu quản lý tính liên tục cơng việc có điều 13.11 đây.) 13.3 Khung quản lý dịch vụ an toàn 13.3.1 Các hoạt động quản lý Yêu cầu an ninh mạng mạng hỗ trợ hoạt động quản lý an toàn, khởi tạo kiểm sốt việc thực thi thao tác Các hoạt động diễn để đảm bảo an ninh tất hệ thống thông tin tổ chức cộng đồng Liên quan đến kết nối mạng, hoạt động quản lý bao gồm: - Xác định tất trách nhiệm liên quan tới an ninh mạng thiết kế nhà quản lý mạng bao gồm trách nhiệm, - Chính sách an ninh mạng tài liệu hóa cung cấp thêm kiến trúc an ninh kỹ thuật tài liệu - SecOPs tài liệu hóa, LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn - Chỉ đạo kiểm tra việc tuân thủ, bao gồm thử nghiệm an ninh để đảm bảo an ninh trì mức yêu cầu, - Các điều kiện an ninh tài liệu hóa kết nối được ăn khớp với trước kết nối tổ chức cá nhân cho phép, - Các điều kiện an ninh tài liệu hóa người sử dụng dịch vụ mạng, - Lược đồ quản lý an ninh, - Các kế hoạch khơi phục thảm họa/tính liên tục cơng việc thử nghiệm lập tài liệu - Chú ý điều phát triển khía cạnh mô tả TCVN 7562 mô tả ISO/IEC 13335-2 xuất Chỉ có chủ đề đặc biệt quan trọng liên quan tới việc sử dụng mạng mô tả thêm tiêu chuẩn Ví dụ nội dung sách an ninh mạng thủ tục điều hành an ninh, cịn chủ đề khơng đề cập đây, người đọc nên tham khảo TCVN 7562 ISO/IEC 13335-2 xuất cung cấp thêm thơng tin 13.3.2 Chính sách an ninh mạng Đó trách nhiệm quản lý để tiếp nhận hỗ trợ sách an ninh mạng tổ chức (đã đề cập tới TCVN 7562) Chính sách an ninh mạng nên bắt nguồn quán với sách an ninh thơng tin tổ chức Chính sách nên có khả thực thi, có sẵn thành viên tổ chức, bao gồm tuyên bố sau đây: - Quan điểm tổ chức việc sử dụng mạng - Các quy tắc rõ ràng việc sử dụng an toàn tài nguyên mạng, dịch vụ, ứng dụng cụ thể, - Các hậu việc hỏng hóc tuân theo quy tắc an ninh, - Thái độ tổ chức với việc lạm dụng mạng, - Các nhân tố sách quy tắc an ninh cụ thể (Trong số trường hợp, tuyên bố hợp thành sách an ninh thơng tin, sách thuận tiện tổ chức và/hoặc rõ ràng cá nhân tổ chức đó.) Nội dung sách an ninh thông tin thường bao gồm kết từ (các) đánh giá quản lý xác định rủi ro an ninh (cung cấp lý lẽ bào chữa việc sử dụng kiểm soát), bao gồm chi tiết tất kiểm soát an ninh lựa chọn tương xứng với rủi ro (xem Điều 12 trên) 13.3.3 Thủ tục điều hành an ninh Để hỗ trợ sách an ninh mạng, tài liệu SecOPs phát triển trì, bao hàm kết nối thích hợp Các tài liệu nên bao gồm chi tiết thủ tục điều hành hàng ngày gắn với vấn đề an ninh người chịu trách nhiệm với việc sử dụng quản lý 13.3.4 Kiểm tra việc tuân thủ an ninh Với tất kết nối mạng, kiểm tra việc tuân thủ an ninh diễn dựa liệt kê xây dựng từ kiểm sốt quy định trong: - Chính sách an ninh mạng - SecOPs liên quan, - Kiến trúc an ninh kỹ thuật, - Chính sách (an ninh) truy cập dịch vụ cổng nối an ninh, - (Các) kế hoạch tính liên tục cơng việc, - Các điều kiện an ninh kết nối Kiểm tra việc tuân thủ an ninh diễn trước hoạt động kết nối mạng trước ấn (liên quan tới công việc quan trọng thay đổi liên quan đến mạng) Điều bao gồm cách đạo việc thử nghiệm an ninh theo tiêu chuẩn công nhận, chiến lược thử nghiệm an ninh kế hoạch liên quan sinh trước bắt đầu với thử nghiệm đạo, với gì, đâu Thơng thường, kiểm tra việc tuân thủ an ninh bao gồm kết hợp việc xóa bỏ điểm yếu thử nghiệm thâm nhập Trước bắt đầu thử nghiệm, kế hoạch thử nghiệm nên kiểm tra để đảm bảo việc thử nghiệm đạo theo cách phù hợp với luật pháp liên quan Khi thực thi việc kiểm tra nên nhớ mạng không hạn chế với quốc gia - phân phối qua quốc gia khác với luật pháp khác Ở thử nghiệm tiếp theo, báo cáo nên đặc trưng điểm yếu gặp phải LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn vị trí phát yêu cầu quyền ưu tiên 13.3.5 Các điều kiện an ninh kết nối Nếu điều kiện an ninh kết nối không thỏa thuận theo hợp đồng, tổ chức chịu rủi ro gắn với giới hạn kết nối khác bên ngồi phạm vi tổ chức Các rủi ro bao gồm vấn đề liên quan đến việc bảo vệ liệu/sự riêng tư kết nối sử dụng để trao đổi liệu cá nhân phụ thuộc vào luật pháp quốc gia hai giới hạn, giới hạn khác kết nối mạng (bên phạm vi tổ chức) quốc gia khác, luật pháp khác Ví dụ, tổ chức A yêu cầu trước tổ chức B kết nối với hệ thống qua kết nối mạng, B trì thực thi mức an ninh hệ thống liên quan kết nối Theo cách A đảm bảo B quản lý rủi ro theo cách cho phép Trong trường hợp A sinh văn kiện điều kiện an ninh kết nối mà chi tiết kiểm sốt có giới hạn B Các điều kiện thực thi B, sau tổ chức ký tuyên bố liên kết hiệu lực thi hành an ninh trì A dành quyền đạo việc kiểm tra tuân thủ B Có số trường hợp đó, tổ chức cộng đồng thỏa thuận với văn kiện ‘các điều kiện an ninh kết nối’ ghi lại nghĩa vụ trách nhiệm tất bên, bao gồm việc kiểm tra tuân thủ đôi bên 13.3.6 Điều kiện an ninh tài liệu hóa người sử dụng dịch vụ mạng Người sử dụng từ xa ban hành văn kiện ‘điều kiện an ninh người sử dụng dịch vụ mạng’ Văn kiện mô tả trách nhiệm người sử dụng phần cứng, phần mềm liệu liên quan đến mạng an ninh mạng 13.3.7 Quản lý cố Các cố an ninh thông tin xảy nhiều công việc bất lợi tác động đến kết ngày nhiều hơn, nơi có kết nối mạng (khác với nơi khơng có kết nối nào) Thêm nữa, kết nối mạng đến tổ chức khác, có hàm ý quan trọng liên quan tới cố Do đó, tổ chức với kết nối mạng nên có lược đồ quản lý cố an ninh thông tin hạ tầng liên quan cho phép đáp ứng nhanh chóng cố định danh, giảm thiểu tác động chúng học hỏi để ngăn ngừa tái diễn Giản đồ cho phép đề cập đến kiện an ninh thông tin (các lần xuất định danh hệ thống, dịch vụ tình trạng mạng vi phạm sách an ninh thơng tin hỏng hóc phận an tồn trường hợp khơng biết trước liên quan đến an ninh) cố an ninh thông tin (một chuỗi kiện an ninh thông tin không mong đợi có khả gây hại hoạt động kinh doanh đe dọa đến an ninh thông tin) Thông tin thêm việc quản lý cố an ninh thông tin đưa ISO/IEC 18044 13.4 Quản lý an ninh mạng 13.4.1 Lời nói đầu Việc quản lý mạng nên triển khai theo cách an toàn hỗ trợ việc quản lý toàn an ninh mạng Điều thực thi với xem xét giao thức mạng khác dịch vụ an ninh sẵn có liên quan Để đẩy mạnh việc quản lý an ninh mạng, tổ chức nên xem xét số kiểm soát, phần lớn định danh thơng qua việc sử dụng TCVN 7562 ISO/IEC 13335-2 xuất Ngồi ra, cổng chẩn đốn từ xa, dù dạng ảo vật lý nên bảo vệ khỏi truy cập trái phép 13.4.2 Các khía cạnh mạng Các khía cạnh khác hệ thống mạng phân loại sau: Người sử dụng mạng - người sử dụng và/hoặc quản trị mạng Phạm vi người sử dụng xếp loại từ cá nhân truy cập tài nguyên từ xa qua internet, quay số kết nối không dây, tới cá nhân sử dụng trạm công tác máy tính cá nhân gắn với mạng cục Người sử dụng kết nối với mạng cục phép kết nối với tài nguyên từ xa qua kết nối bên mạng, kết nối tồn mạng cục mạng khác Người sử dụng khơng thể nhìn thấy kết nối này, Các hệ thống cuối - máy tính, trạm cơng tác thiết bị di động (ví dụ: điện thoại mềm PDA) kết nối với mạng Hệ thống cuối bao gồm thiết bị sử dụng để truy cập phương tiện mạng (ví dụ: hệ thống máy khách) thiết bị sử dụng để cung cấp dịch vụ (ví dụ: máy chủ, hệ thống máy tính máy chủ) Loại bao gồm phần cứng, phần mềm hệ điều hành LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn phần mềm ứng dụng cục bộ, bao gồm phần mềm sử dụng để truy cập mạng Ứng dụng mạng - phần mềm Ứng dụng, chạy máy chủ hệ thống máy chủ truy cập qua kết nối mạng máy tính, để cung cấp cho: - Các dịch vụ giao dịch tài chính, - Các dịch vụ phần mềm doanh nghiệp (ví dụ CRM, EIS, MRP, v.v ), - Các dịch vụ sở Web, - Các dịch vụ sở liệu trực tuyến, - Các dịch vụ lưu trữ trực tuyến Các dịch vụ mạng - dịch vụ cung cấp mạng, thường thực thi phần mềm hệ thống máy chủ máy chủ cuối thành phần sở vật chất mạng, ví dụ: - Khả liên kết, - Thư điện tử, - Chuyển tệp tin, - Các dịch vụ thư mục Các dịch vụ mạng có thể: - Được sở hữu điều hành tổ chức - Được sở hữu tổ chức lại hoạt động quan theo hợp đồng, - Được thuê từ quan ngoài, - Được mua từ nhà cung cấp ngoài, - Là kết hợp điều Hạ tầng mạng - phương tiện phần cứng phần mềm, ví dụ: - Các dinh cơ, - Dây cáp, - Các phương tiện không dây, - Các thiết bị mạng (ví dụ: định tuyến, chuyển mạch, modem, v.v) Như phản ánh Điều 12 trên, Các khía cạnh an ninh mạng nên mơ hình hóa khía cạnh mạng Các khía cạnh xây dựng để tạo khung quản lý an ninh mạng, khung biểu diễn hình đây: Người sử dụng mạng Hệ thống cuối mạng Ứng dụng mạng Các dịch vụ mạng Hạ tầng mạng Hình - Các khía cạnh khung quản lý an ninh mạng Có số chồng chéo hệ thống biểu diễn nhiều vai trò kịch mạng thực tế Tuy nhiên, khía cạnh chức giúp quy trình đánh giá có hệ thống để xác định rủi ro xuất kịch mạng riêng Mỗi khía cạnh nên quản lý chung để đảm bảo toàn đối tượng gặp mạng an tồn 13.4.3 Vai trị trách nhiệm Các vai trò trách nhiệm liên kết với việc quản lý an ninh mạng sau (các vai trò kết hợp với phụ thuộc vào kích cỡ tổ chức) Quản lý cấp cao: - Xác định đối tượng an ninh tổ chức, - Khởi tạo, phê chuẩn, công bố áp đặt sách an ninh, thủ tục quy tắc tổ chức, LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn - Khởi tạo, phê chuẩn, cơng bố áp đặt sách sử dụng tổ chức, - Đảm bảo sách an ninh cách sử dụng bắt buộc, Quản lý mạng: - Xây dựng sách an ninh mạng, - Thực thi sách an ninh mạng, - Thực thi sách sử dụng, - Quản lý giao diện người giữ tiền cược bên ngoài/người cung cấp dịch vụ bên để đảm bảo phù hợp với sách an ninh mạng bên bên ngoài, Đội an ninh mạng: - Thu được, xây dựng, thử nghiệm, kiểm tra trì cơng cụ thành phần an ninh, - Duy trì công cụ thành phần an ninh để theo dõi sát tiến triển mối đe dọa (ví dụ: cập nhật tệp tin chứa chữ ký có virút), - Cập nhật cấu hình liên quan đến an ninh (ví dụ: danh sách điều khiển truy cập) theo yêu cầu thay đổi doanh nghiệp, Người quản trị mạng: - Lắp đặt, cập nhật, sử dụng bảo vệ thành phần dịch vụ an ninh mạng, - Thực thi nhiệm vụ hàng ngày áp dụng đặc tả an ninh, quy tắc thơng số u cầu sách an ninh bắt buộc, - Dùng phép đo thích hợp để đảm bảo việc bảo vệ thành phần an ninh mạng (ví dụ: dự trữ, giám sát kết nối mạng, đáp ứng cố cảnh báo an ninh, v.v), Người sử dụng mạng: - Truyền đạt yêu cầu an ninh người sử dụng, - Tuân theo sách an ninh, - Tuân theo sách tài nguyên mạng, - Báo cáo cố an ninh mạng, - Cung cấp thơng tin phản hồi có hiệu lực an ninh mạng, Kiểm toán (bên và/hoặc bên ngồi): - Đánh giá đánh giá (ví dụ: thử nghiệm theo định kỳ tính hiệu lực an ninh mạng), - Kiểm tra tuân thủ hệ thống với sách an ninh, - Kiểm tra thử nghiệm thích hợp quy tắc điều hành yêu cầu hành giới hạn hợp pháp (ví dụ: danh sách cấp truy cập mạng) 13.4.4 Giám sát mạng Giám sát mạng phần quan trọng việc quản lý an ninh mạng Điều đề cập Điều 13.7 đây: 13.4.5 Đánh giá an ninh mạng An ninh mạng khái niệm động Nhân viên mạng nên cập nhật phát triển thời đại đảm bảo mạng làm việc với hầu hết miếng an ninh hành vị trí phát từ nhà cung cấp Các bước nên đưa cách định kỳ để đánh giá kiểm sốt an ninh có dựa vào điểm chuẩn thiết lập, bao gồm việc thử nghiệm an ninh - xóa bỏ điểm yếu, v.v An ninh vấn đề xem xét việc đánh giá công nghệ mạng 13.5 Quản lý điểm yếu kỹ thuật Các môi trường mạng, hệ thống phức tạp khơng có sai sót khác Các điểm yếu kỹ thuật có mặt cơng bố thành phần sử dụng thường xuyên mạng Sự khai thác điểm yếu kỹ thuật tác động đến an ninh mạng, thường quan sát phạm vi sẵn có bảo mật Do việc quản lý điểm yếu kỹ thuật nên bao trùm tất thành phần mạng bao gồm: LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn - Việc có thơng tin kịp thời điểm yếu kỹ thuật, - Đánh giá tình trạng bị phơi bày mạng điểm yếu này, - Xác định kiểm sốt thích hợp để đề cập đến rủi ro liên kết - Thực thi xác minh kiểm soát xác định Điều kiện tiên quản lý điểm yếu kỹ thuật nên sẵn có kiểm kê đầy đủ hành tất thành phần mạng, cung cấp thơng tin kỹ thuật cần thiết, ví dụ: kiểu thiết bị, nhà cung cấp, phiên phần cứng, chương trình phần mềm thơng tin tổ chức, ví dụ: nhà quản trị có trách nhiệm Nếu tổ chức thiết lập chương trình quản lý tồn điểm yếu kỹ thuật, hợp việc quản lý điểm yếu kỹ thuật thành phần mạng thành nhiệm vụ tổng thể giải pháp thích hợp (Thơng tin thêm quản lý điểm yếu kỹ thuật, bao gồm việc thực thi hướng dẫn đề cập TCVN 7562.) 13.6 Định danh xác thực 13.6.1 Bối cảnh Điều quan trọng đảm bảo an ninh thiết bị mạng thông tin liên quan bảo quản cách hạn chế truy cập qua kết nối nhân viên (bên tổ chức) Các yêu cầu không loại trừ việc sử dụng kết nối mạng, thích hợp việc sử dụng kết nối mạng, điều đạt cách sử dụng TCVN 7562 ISO/IEC 13335-2, xuất cung cấp chi tiết liên quan Bốn phạm vi kiểm soát liên quan đến việc sử dụng kết nối mạng hệ thống thông tin liên quan trực tiếp đến kết nối giới thiệu Điều từ 13.6.2 đến 13.6.5 13.6.2 Đăng nhập từ xa Các đăng nhập từ xa, từ nhân viên làm việc cách xa tổ chức, máy móc từ xa nhân viên tổ chức khác, thực thi qua việc quay số đến tổ chức, kết nối internet, trung kế chuyên dụng từ tổ chức khác truy cập qua internet Chúng kết nối thiết lập hệ thống bên đối tác sử dụng mạng công cộng Mỗi kiểu đăng nhập từ xa nên có kiểm sốt bổ sung thích hợp với chất kết nối Ví dụ như: - Khơng cho phép truy cập trực tiếp đến hệ thống phần mềm mạng từ tài khoản dùng cho truy cập từ xa, ngoại trừ nơi cung cấp quyền xác thực bổ sung (xem Điều 13.6.3 dưới) mã hóa nối đầu, - Bảo vệ thơng tin liên kết với phần mềm thư điện tử liệu thư mục lưu trữ máy tính cá nhân máy tính xách tay sử dụng bên ngồi văn phòng tổ chức nhân viên, khỏi việc truy cập trái phép 13.6.3 Nâng cao tính xác thực Việc sử dụng cặp id/mật người sử dụng cách đơn giản để xác thực người sử dụng, ngồi gây hại đốn Có nhiều cách an tồn để xác thực người sử dụng, đặc biệt với người sử dụng từ xa Việc nâng cao tính xác thực nên yêu cầu người sử dụng truy cập trái phép đến hệ thống quan trọng Việc truy cập khởi tạo cách sử dụng mạng công cộng truy cập hệ thống nằm vùng kiểm sốt tổ chức (ví dụ: qua máy tính xách tay) Khi việc nâng cao tính xác thực qua kết nối mạng yêu cầu (ví dụ, hợp đồng) chứng minh rủi ro, tổ chức nên xem xét việc tăng cường quy trình xác thực cá nhân cách thực thi kiểm soát liên quan Các ví dụ đơn giản sử dụng: - CLID (sự hiển thị nhận dạng đường gọi), số điện thoại nhận dạng thiết bị nhận Mặc dù CLID có số giá trị ID bên gọi, để lộ giả mạo khơng sử dụng ID xác minh mà khơng có tính xác thực CLID thường sử dụng thẻ định danh việc thiết lập liên kết dự phịng (đặc biệt qua ISDN) vị trí, - Các liên kết qua modem không kết nối không sử dụng kết nối sau xác minh danh tính người gọi Các ví dụ phức tạp quan trọng đặc biệt ngữ cảnh truy cập từ xa: - Sử dụng phương tiện định danh khác để hỗ trợ việc xác thực người sử dụng, ví dụ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn token thẻ thông minh (ví dụ: qua đọc gắn với máy tính cá nhân), việc nắm giữ tiến hành lần qua thiết bị tạo khóa phương tiện sinh trắc, - Đảm bảo token thẻ thực thi chức chung với tài khoản xác thực người sử dụng (điểm truy cập/vị trí máy tính người sử dụng), ví dụ tình trạng sinh trắc PIN liên quan Nói cách khái quát, việc nâng cao tính xác thực bền vững Nếu token sử dụng, người sử dụng biết PIN với token có khả sinh giá trị xác thực Liên quan đến thẻ thông minh, thẻ quan sát tự động hóa việc sử dụng truy cập token Để có tình trạng “mở” người sử dụng nên cung cấp PIN thẻ sau chèn vào đọc thẻ thơng minh Sau đó, tính xác thực u cầu trung tâm hệ thống từ xa, thẻ thơng minh gọi trực tiếp tới liệu “ký hiệu” (tính xác thực thí nghiệm) sử dụng khóa ghi vào thẻ thơng minh 13.6.4 Định danh hệ thống từ xa Như đề cập Điều 13.6.3 trên, tính xác thực liên quan nâng cao cách xác minh hệ thống (và điểm truy cập/địa điểm nó) từ điểm truy cập thiết lập bên Phải thừa nhận kiến trúc mạng khác đưa khả định danh khác Do đó, tổ chức thực thi việc định danh cách chọn kiến trúc mạng thích hợp Tất khả kiến trúc mạng lựa chọn kiểm soát an ninh nên xem xét 13.6.5 Đăng nhập lần Khi kết nối mạng đề cập đến, người sử dụng có khả đối mặt với kiểm tra tính xác thực định danh Trong trường hợp người sử dụng bị đưa vào bước thực hành khơng an tồn ví dụ ghi mật sử dụng lại liệu xác thực Việc đăng nhập lần giảm rủi ro hành vi cách giảm số mật mà người sử dụng phải nhớ Cũng giảm rủi ro, suất sử dụng cải thiện cơng tác trợ giúp với việc lập lại mật bị giảm thiểu Tuy nhiên, cần ý hậu việc hỏng hóc hệ thống đăng nhập lần nghiêm trọng không mà cịn nhiều hệ thống ứng dụng tình trạng rủi ro cần gây hại (đơi gọi “chìa khóa quyền lực”) Bền vững chế xác thực định danh thơng thường, Việc đăng nhập lần loại trừ tính xác thực định danh chức có đặc quyền cao (mức hệ thống) khỏi chế độ đăng nhập lần 13.7 Giám sát ghi lại đánh giá mạng Điều quan trọng phải đảm bảo tính hiệu an ninh mạng qua việc ghi lại đánh giá giám sát việc xảy ra, với việc báo cáo, điều tra phát nhanh chóng, đáp ứng kiện an ninh cố Khơng có hoạt động khơng thể chắn kiểm sốt an ninh mạng ln ln có hiệu lực cố an ninh khơng xảy với kết bất lợi hoạt động kinh doanh Thông tin đầy đủ ghi đánh giá điều kiện sai số kiện hợp lệ nên ghi lại giúp đánh giá triệt để cố tránh xảy nghi ngờ Tuy nhiên, việc ghi lại số lượng lớn thông tin liên quan gây khó khăn việc quản lý ảnh hưởng đến việc thực thi, cần phải cẩn thận ghi lại thông tin Đối với kết nối mạng, ghi đánh giá nên trì, bao gồm kiểu kiện sau đây: - Nối máy từ xa bị thất bại với ngày tháng thời gian, - Các kiện xác thực bị thất bại, - Các vi phạm lưu lượng cổng nối an ninh, - Thử truy cập ghi đánh giá, - Các cảnh báo quản lý hệ thống an ninh (ví dụ: chép địa IP, phá vỡ mạch thông báo), Trong ngữ cảnh mạng, ghi đánh giá nên lấy từ số nguồn, ví dụ định tuyến tường lửa, IDS gửi tới máy chủ trung tâm để củng cố phân tích Tất ghi đánh giá nên kiểm tra thời gian thực lẫn ngoại tuyến Trong thời gian thực, sổ ghi hiển thị hình sử dụng để cảnh báo cơng Phân tích ngoại tuyến cho phép tranh rộng lớn xác định theo xu hướng phân tích triển khai Các dẫn cơng có “kiểu rơi” thực sổ ghi tường lửa, hoạt động tìm kiếm dựa vào mục tiêu tiềm Hệ thống IDS phát hoạt động LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn thời gian thực dựa vào chữ ký cơng Do đó, cần nhấn mạnh nên cẩn trọng lựa chọn công cụ phân tích ghi đánh giá, để cung cấp kết xuất cách nhanh chóng, trọng tâm dễ hiểu Các vết kiểm tra nên trì trực tuyến giai đoạn theo yêu cầu tổ chức, với toàn vết kiểm tra dự phịng lưu trữ để đảm bảo tính tồn vẹn sẵn có, ví dụ: cách sử dụng phương tiện WORM ví dụ đĩa CD Hơn nữa, ghi đánh giá chứa đựng thông tin nhạy cảm thông tin dùng cho người muốn công hệ thống qua kết nối mạng sở hữu ghi đánh giá cung cấp chứng việc di chuyển qua mạng kiện gây tranh cãi - cần thiết ngữ cảnh bảo đảm tính tồn vẹn khơng từ chối Do tất ghi đánh giá nên bảo vệ phù hợp, bao gồm lưu trữ CD bị hiệu lực sử dụng Các vết kiểm tra nên giữ an toàn giai đoạn theo yêu cầu tổ chức luật pháp quốc gia, điều quan trọng đồng thời gian đề cập xác vết kiểm tra máy chủ liên quan, ví dụ sử dụng NTP, đặc biệt tòa án dùng cho việc truy tố Việc giám sát bao gồm khoản mục sau đây: - Các ghi đánh giá từ tường lửa, định tuyến, máy chủ, v.v, - Các cảnh báo từ ghi đánh giá đặt cấu hình trước để thơng báo kiện đó, ví dụ tường lửa, định tuyến, máy chủ, v.v, - Kết xuất từ IDS, - Các kết từ hoạt động dò quét an ninh mạng, - Thông tin kiện cố báo cáo người sử dụng nhân viên hỗ trợ, (cũng kết từ đánh giá việc tuân thủ an ninh) Các kiện gọi cố an ninh mà khơng ngăn ngừa, ví dụ: đăng nhập “đáng ngờ” gây cố mà khơng bị phát hiện, ví dụ: nhận người thực thi thay đổi sở liệu trái phép Cần nhấn mạnh việc giám sát mạng nên đạo theo cách phù hợp với quy chuẩn luật pháp quốc gia quốc tế liên quan Điều bao gồm luật pháp bảo vệ liệu quy chuẩn quyền điều tra (tất người sử dụng phải thông báo việc giám sát trước đạo) Việc giám sát thuật ngữ chung nên đạo cách hợp lý không dùng cho trường hợp đánh giá cách cư xử nhân viên theo luật giới hạn riêng Rõ ràng, hoạt động nên quán với sách riêng tư an ninh tổ chức, thủ tục thích hợp với trách nhiệm đặt chỗ Việc giám sát ghi lại đánh giá mạng đạo theo cách an toàn ghi đánh giá sử dụng liên quan đến tội phạm truy tố cơng dân Hầu hết kiểm sốt giám sát ghi lại đánh giá yêu cầu liên quan đến kết nối mạng hệ thống thông tin liên quan xác định cách sử dụng TCVN 7562 ISO/IEC 133352 xuất 13.8 Phát xâm nhập Khi kết nối mạng tăng, trở nên dễ dàng kẻ xâm nhập: - Tìm nhiều cách thâm nhập vào mạng hệ thống thông tin cộng đồng tổ chức, - Che dấu điểm truy cập ban đầu, - Truy cập qua mạng hệ thống thông tin bên Hơn nữa, kẻ xâm nhập ngày trở nên phức tạp nhiều công cụ phương pháp cơng tiên tiến có sẵn internet tài liệu mở Thực chất, nhiều công cụ tự động hóa, hiệu dễ sử dụng- bao gồm cá nhân có kinh nghiệm Đối với hầu hết tổ chức, việc phát xâm nhập có khả ngăn ngừa thâm nhập có tiềm Do đó, số xâm nhập có khả xảy Các rủi ro gắn với hầu hết thâm nhập nên đề cập tới qua việc thực thi tính xác thực định danh, kiểm soát truy cập logic kiểm soát đánh giá kế toán, chứng minh đúng, với khả phát xâm nhập Khả cung cấp phương tiện dự báo định danh xâm nhập thời gian thực đưa cảnh báo thích hợp Cũng cần cho phép tập hợp thông tin xâm nhập, củng cố phân tích thơng tin tiếp theo, phân tích mẫu sử dụng hệ thống thông tin tổ chức Trong nhiều trường hợp, số kiện không mong muốn trái phép xảy Có thể giảm nhẹ dịch vụ với lý trước số truy cập thời điểm thông LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn thường từ chối dịch vụ cụ thể Trong hầu hết trường hợp, điều quan trọng phải biết nguyên nhân, tính ngặt nghèo phạm vi xâm nhập sớm tốt Cần ý khả phức tạp phương pháp công cụ ghi đánh giá đề cập đến Điều 13.7 điều liên quan TCVN 7562 ISO/IEC 13335-2 xuất Các khả phát xâm nhập hiệu sử dụng xử lý đặc biệt, thiết kế để sử dụng quy tắc phân tích tự động hoạt động vừa xảy ghi vết kiểm tra sổ ghi khác để dự báo xâm nhập phân tích vết kiểm tra mẫu hành vi có hại biết đến hành vi không đặc trưng kiểu sử dụng thơng thường Do đó, IDS hệ thống phát xâm nhập mạng Có hai kiểu IDS: - NIDS, - HIDS NIDS giám sát gói mạng phát kẻ xâm nhập cách làm phù hợp mẫu công với sở liệu mẫu cơng biết trước Điển hình tìm kiếm số lượng lớn yêu cầu kết nối TCP (SYN) đến nhiều cổng khác máy mục tiêu, khám phá thử máy quét cổng TCP (TCP port scan) Hệ thống phát xâm nhập mạng tìm thấy lưu lượng mạng cách quan sát ngẫu nhiêu lưu lượng mạng HIDS giám sát hoạt động máy chủ HIDS làm điều cách giám sát sổ ghi kiện an ninh kiểm tra thay hệ thống, ví dụ thay đổi với tệp tin hệ thống tới hạn sổ đăng ký hệ thống Có hai kiểu HIDS: - Bộ kiểm tra tính tồn vẹn hệ thống, giám sát tệp tin hệ thống sổ đăng ký hệ thống thay đổi tạo kẻ xâm nhập, - Bộ giám sát tệp tin sổ ghi (giám sát tệp tin sổ ghi hệ thống) Các hệ điều hành tạo kiện an ninh vấn đề an ninh tới hạn, ví dụ người sử dụng giành đặc quyền cấp quản trị Trong số trường hợp xâm nhập bị phát tự động hóa IPS > Chi tiết thêm phát xâm nhập đưa ISO/IEC 18043 13.9 Bảo vệ khỏi mã độc Người sử dụng nên có hiểu biết mã độc, bao gồm virút, chúng xuất mơi trường người sử dụng thông qua kết nối mạng Mã độc gây chức khơng hợp lệ máy tính (ví dụ: cơng mục tiêu tin nhắn thời điểm xác định) phá hủy tài nguyên thiết yếu (ví dụ: xóa tệp tin) tái tạo để tìm máy chủ dễ bị công khác Mã độc bị phát trước mối nguy hiểm kết thúc kiểm sốt thích hợp thực thi Mã độc dẫn đến gây hại kiểm soát an ninh (ví dụ: phơi bày lấy mật khẩu), phơi bày thông tin, thay đổi thông tin, phá hủy thông tin, và/hoặc sử dụng trái phép tài nguyên hệ thống Một số dạng mã độc nên bảo vệ dời phần mềm quét đặc biệt Máy qt ln sẵn có tường lửa, máy chủ tệp tin, máy chủ thư điện tử trạm công tác số kiểu mã độc Hơn nữa, cho phép phát mã độc mới, điều quan trọng phải đảm bảo việc quét phần mềm luôn cập nhật, thông qua việc cập nhật hàng ngày Tuy nhiên, người sử dụng nhà quản trị nên biết máy quét không tin cậy để phát toàn mã độc (thậm chí tất mã độc kiểu riêng) dạng mã độc liên tục phát sinh Điển hình, dạng kiểm sốt khác yêu cầu tăng thêm hệ thống bảo vệ cung cấp máy quét (nơi chúng tồn tại) Hơn hết, công việc phần mềm chống mã độc để quét liệu chương trình nhằm định danh mẫu đáng ngờ có gắn virút, worm trojan (đơi gọi ‘phần mềm độc’) Thư viện mẫu quét thành dạng biết đến chữ ký cập nhật đặn chữ ký sẵn có cảnh báo mã độc Trong ngữ cảnh truy cập từ xa, phần mềm chống virút nên chạy hệ thống từ xa máy chủ hệ thống trung tâm - đặc biệt cửa sổ máy chủ thư điện tử Người sử dụng nhà quản trị hệ thống kết nối mạng nên biết có nhiều rủi ro gắn với phần mềm độc xử lý nhóm bên ngồi qua kết nối Các hướng dẫn người sử dụng nhà quản trị nên xây dựng cách phác thảo thủ tục thực hành để giảm thiểu khả đưa mã độc Người sử dụng nhà quản trị nên ý đặt cấu hình hệ thống ứng dụng gắn với kết nối mạng để làm vơ hiệu hóa chức không cần thiết số trường hợp (Ví dụ: Ứng dụng PC đặt cấu hình để macrơ bị vơ hiệu hóa cách mặc định yêu cầu người LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn sử dụng chứng thực trước thực thi macrô) Chi tiết thêm việc bảo vệ khỏi mã độc đưa TCVN 7562 ISO/IEC 13335-2 xuất 13.10 Dịch vụ dựa mật mã hạ tầng chung 13.10.1 Lời nói đầu Yêu cầu an ninh sách tăng dần điện tử thay chúng Kết hợp internet việc mở rộng mạng công ty bao gồm truy cập khách hàng nhà cung cấp từ bên tổ chức làm tăng thêm yêu cầu giải pháp dựa mật mã, để hỗ trợ tính xác thực VPN đảm bảo tính bảo mật 13.10.2 Tính bảo mật liệu qua mạng Trong trường hợp đó, việc trì tính bảo mật quan trọng, kiểm soát nên xem xét để mã hóa thơng tin qua kết nối mạng Quyết định sử dụng kiểm sốt mã hóa nên ý đến quy chuẩn luật pháp phủ liên quan, yêu cầu quản lý khóa phù hợp chế mã hóa dùng cho kiểu kết nối mạng liên quan mức độ bảo vệ yêu cầu Các chế mã hóa tiêu chuẩn hóa ISO/IEC 18033 Một kỹ thuật mã hóa sử dụng phổ biến mật mã khối cách sử dụng mật mã khối để bảo vệ mã hóa, biết đến chế độ thao tác, tiêu chuẩn hóa ISO/IEC 10116 13.10.3 Tính tồn vẹn liệu mạng Trong trường hợp đó, việc trì tính tồn vẹn quan trọng, chữ ký số và/hoặc kiểm sốt tính tồn vẹn thơng điệp nên xem xét để bảo vệ thông tin qua kết nối mạng Các kiểm sốt chữ ký số cung cấp cách bảo vệ tương tự kiểm sốt tính xác thực thơng điệp, có đặc tính cho phép chúng kích hoạt thủ tục chấp nhận (xem Điều 13.10.4 bên dưới) Quyết định sử dụng chữ ký số kiểm sốt tính tồn vẹn thơng điệp nên ý quy chuẩn luật pháp phủ liên quan, hạ tầng khóa cơng cộng liên quan, phù hợp chế dùng cho kiểu kết nối mạng liên quan mức độ bảo vệ yêu cầu việc đăng ký tin cậy người sử dụng thực thể gắn với khóa (chứng nhận nơi liên quan) sử dụng giao thức chữ ký số Các kiểm sốt tính tồn vẹn thơng điệp biết đến mã xác thực thơng điệp (hay MACs), tiêu chuẩn hóa ISO/IEC 9797 Các kỹ thuật chữ ký số tiêu chuẩn hóa ISO/IEC 9796 ISO/IEC 14888 13.10.4 Khơng từ chối Khi có yêu cầu đảm bảo chứng thực cung cấp thơng tin thực thi mạng, kiểm soát sau nên xem xét: - Các giao thức truyền thông cung cấp tin báo nhận đệ trình, - Các giao thức Ứng dụng yêu cầu địa thẻ định danh người sáng tạo cung cấp kiểm tra có mặt thơng tin này, - Các cổng nối kiểm tra định dạng địa người nhận người gửi tính hợp lệ cú pháp tính qn với thơng tin thư mục liên quan, - Các giao thức chuyển tin báo nhận từ mạng cho phép trình tự thông tin xác định Điều quan trọng việc nhận truyền thơng tin chứng minh, tính bảo đảm nên cung cấp qua việc sử dụng phương pháp chữ ký số chuẩn Người gửi thông tin, nơi chứng nguồn yêu cầu, nên chứng thực thông tin cách sử dụng chữ ký số theo tiêu chuẩn chung Khi chứng việc chuyển phát yêu cầu, người gửi cần yêu cầu hồi âm chứng thực chữ ký số Thông tin thêm không từ chối đưa ISO/IEC 14516 ISO/IEC 13888 13.10.5 Quản lý khóa 13.10.5.1 Tổng quan Quản lý khóa đảm bảo dịch vụ tất dịch vụ mật mã khác, tất khóa mã hóa cần thiết quản lý suốt vịng đời chúng sử dụng theo cách an toàn Nhưng ngược lại, môi trường nhỏ với vài kết nối, việc quản lý khóa đạt với thủ tục thủ cơng (ví dụ: trao đổi khóa mã hóa đối xứng cách thủ cơng), mơi trường lớn thủ tục tự động hóa xác định trước cần thiết việc sử dụng công LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Kh www.luatminhkhue.vn nghệ mã hóa khóa riêng/cơng cộng có hầu hết trường hợp cung cấp lợi ích Các cơng nghệ mã hóa khóa cơng cộng/riêng giải vấn đề lớn công nghệ mã hóa đối xứng Các cơng nghệ đối xứng u cầu khóa có mặt hai khía cạnh việc truyền thông (chúng đề cập tới cơng nghệ bí mật chia sẻ), bao hàm di chuyển khóa mã hóa đối xứng Bản thân khóa mã hóa đối xứng phải giữ bảo mật thiết lập kênh liệu an tồn việc trao đổi khóa cần thiết Các cơng nghệ mã hóa khóa cơng cộng/riêng khắc phục vấn đề cách cung cấp hai khóa yêu cầu số hai khóa dời đến thực thể truyền thơng khác Khi khóa khơng đáng tin cẩn (khóa cơng cộng) truyền qua kênh giao tiếp cơng cộng, cịn khóa không truyền, phải giải cách bảo mật (khóa riêng) Tuy nhiên, có số vấn đề tồn đọng: - Sự di chuyển xác thực khóa cơng cộng cách đạt khóa cơng cộng thực thể truyền thơng khác, - Bảo vệ khóa riêng Sự di chuyển khóa cơng cộng phải đảm bảo thực thể nhận lấy khóa cơng cộng từ thực thể gửi gửi Nói cách khác việc di chuyển cần xác thực, người cơng quan sát di chuyển khóa cơng cơng trao đổi khóa khơng chấp nhận với khóa khác (đôi gọi ‘tấn công kiểu MIMT’) Một số kỹ thuật ln sẵn có để kiểm tra tính xác thực khóa cơng cộng di chuyển Cách rõ ràng kiểm tra cân khóa cơng cộng nhận gửi Điều thực thi cách so sánh giá trị băm (trong ngữ cảnh ‘dấu vân tay’) khóa gửi nhận theo cách tương tác Thực thể gửi nhận khóa sử dụng kênh phân tách (ví dụ: đường điện thoại), kênh cho phép xác thực xác thực thể gửi nhận (ví dụ: thực thể nhận xác thực thực thể gửi cách chấp nhận thoại đối tác) Trao đổi song phương khóa cơng cộng thi hành có số lượng nhỏ thực thể truyền thơng liên quan Điều giải cách đưa hạ tầng cung cấp khóa cơng cộng thực thể chứng nhận tính xác thực khóa cơng cộng cung cấp Các hạ tầng, điển PKI, bao gồm nhiều thành phần khác Sự tham gia thực thể đăng ký Tổ chức có thẩm quyền đăng ký, tổ chức có nhiệm vụ xác minh định danh thực thể Dựa việc Đăng ký này, Tổ chức có thẩm quyền Chứng nhận có khả chứng nhận khóa cơng cộng thực thể dịch vụ Thư mục tạo khóa cơng cộng chứng nhận (các chứng chỉ) ln sẵn có tất thực thể thiết kế để sử dụng hệ thống Một chứng bao gồm tập thuộc tính thực thể (các ví dụ tên địa thư điện tử thực thể người sử dụng) thực thể khóa cơng cộng, tính xác thực thông tin bảo đảm cách ký số thơng tin Tổ chức có thẩm quyền Chứng nhận Khi an ninh tất dịch vụ mật mã sử dụng khóa cơng cộng cung cấp quản lý PKI tin cậy vào tính xác thực khóa này, PKI có yêu cầu cao an ninh Một ví dụ minh họa, người công dành quyền truy cập hạ tầng Tổ chức có thẩm quyền Chứng nhận ta phát hành chứng cho phép đóng giả thực thể Hầu hết PKI cần đính kèm với mạng nhằm đáp ứng lý chức năng, cần phải đưa kiểm sốt an ninh xác để thực thi yêu cầu an ninh mức độ cao PKI Trong nhiều trường hợp kiểm soát an ninh bao gồm việc thành lập mạng dành riêng thành phần PKI lõi bảo vệ mạng cổng nối an ninh thích hợp tường lửa Liên quan đến việc bảo vệ khóa riêng, việc bảo vệ vấn đề then chốt an ninh, kẻ cơng truy cập tới khóa riêng thực thể ta có khả đóng giả thực thể Thường thì, phụ thuộc vào yêu cầu an ninh tổ chức cụ thể, môi trường ứng dụng, số giải pháp sẵn có Giải pháp đơn giản bảo vệ khóa riêng cách lưu trữ dạng mã hóa đối xứng hệ thống thực thể phương tiện tháo lắp Thực thể phải khóa lại mật (xây dựng khóa mã hóa đối xứng) để giải phóng khóa riêng tạo tính sẵn có dịch vụ ứng dụng để sử dụng tiếp Giải pháp có lợi ích đáng kể phần mềm tồn tại, thực thi hầu hết môi trường cách dễ dàng Tuy nhiên, xét từ góc độ an ninh, có số trở ngại sau đây: - Phụ thuộc vào chất lượng mật lựa chọn - Tin tưởng vào tính tồn vẹn hệ thống sử dụng thực thể Nếu người cơng dành quyền kiểm sốt hệ thống ta chép khóa riêng lưu trữ nhớ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Kh www.luatminhkhue.vn theo dạng khơng mã hóa suốt trình xử lý chức mật mã ta đạt kết cách lấy mật thực thể khóa cơng cộng theo dạng mã hóa Các giải pháp dựa thẻ thơng minh ln sẵn có để khắc phục trở ngại Chúng cung cấp hai nhân tố xác thực việc truy cập khóa riêng (việc sở hữu thẻ thông minh hiểu biết mật PIN để giải phóng nó) kiến trúc chúng đảm bảo khóa riêng khơng rời thẻ thơng minh, bao hàm tồn ước tính mật mã lõi u cầu khóa riêng xử lý thẻ thông minh Lợi đáng kể giải pháp bảo vệ khóa riêng trường hợp tính tồn vẹn hệ thống sử dụng thực thể gây hại cho Trở ngại lớn giải pháp dựa thẻ thông minh yêu cầu để phân phối hợp phần cứng liên quan đến thẻ thông minh cụ thể với thực thể hệ thống chúng Mặc dù có số tiêu chuẩn cụ thể lĩnh vực này, vấn đề tương đối phức tạp địi hỏi chi phí cao Cần nhấn mạnh điều cung cấp nhìn khái qt chủ đề quản lý khóa Thông tin thêm chủ đề chủ đề liên quan ví dụ PKI chủ đề hồn thiện quản lý định danh, tham chiếu nên tạo tài liệu tiêu chuẩn khác, ví dụ như: - ISO/IEC 11770 - Quản lý khóa, - ISO/IEC 9594-8 - Thư mục: khung khái qt chứng thuộc tính khóa cơng cộng, - ISO 11166-2 - Ngành ngân hàng, quản lý khóa thuật toán khống đối xứng, - ISO IS 11568 - Ngành ngân hàng - quản lý khóa việc bán lẻ, - ISO IS 11649 - Ngành ngân hàng - quản lý khóa nhiều tâm, - ISO IS 13492 - Các phần tử quản lý khóa việc bán lẻ, - ISO IS 21118 - Cơ sở hạ tầng khóa cơng cộng ngành ngân hàng 13.10.5.2 Xem xét an ninh Có số xem xét an ninh tạo ngữ cảnh quản lý khóa, cụ thể sử dụng thực thi dịch vụ PKI Các xem xét bao gồm chủ đề như: - Phạm vi cách sử dụng - cách sử dụng PKI có ảnh hưởng đáng kể đến vấn đề an ninh Ví dụ, cách sử dụng chứng ban hành gây ảnh hưởng đến yêu cầu PKI, - Các sách - dịch vụ PKI mục đích nó, mức bảo vệ thực thi PKI quy trình tương tác cần lập tài liệu cách thích hợp sách Chứng nhận (CP) Tuyên bố Thực hành Chứng nhận (CPS), - Các vấn đề thực thi - tổ chức thực thi PKI (‘PKI nguồn’) định mua dịch vụ PKI (‘PKI nguồn ngoài’) thực thi hai (ví dụ: mua dịch vụ lõi, lại thực thi dịch vụ khác, ví dụ thư mục chuyển vùng), - Các yêu cầu chức cụ thể, ví dụ: việc chuyển vùng người sử dụng - nhiều u cầu chức địi hỏi kiểm sốt an ninh cụ thể Ví dụ cách cung cấp việc bảo vệ khóa riêng truy cập tới chứng việc chuyển vùng người sử dụng; giải pháp sử dụng thẻ thông minh (xem bên dưới), - Sử dụng thẻ thơng minh - thẻ thơng minh sử dụng để hoàn thành yêu cầu an ninh cao (ví dụ: đề cập Điều 13.10.5.1 trên) giải vấn đề ngữ cảnh chuyển vùng người sử dụng Tuy nhiên, việc sử dụng thẻ thông minh yêu cầu nhiều xem xét hơn, ví dụ vịng đời thẻ thơng minh, phân phối vật lý điều khiển thẻ thông minh, quy trình fail back (ví dụ: người sử dụng quên thẻ thông minh), vấn đề an ninh với phần cứng đọc sử dụng phần mềm tích hợp hệ thống máy khách, - Các vấn đề điều hành, ví dụ: hoạt động trực tuyến/ngoại tuyến Tổ chức có thẩm quyền Chứng nhận gốc dịch vụ khơng sử dụng, kết hợp với việc bảo vệ phù hợp, sử dụng để cung cấp mức bảo vệ cao hầu hết phần nhạy cảm hệ thống 13.11 Quản lý tính liên tục cơng việc Điều quan trọng kiểm sốt đặt chỗ để đảm bảo chức cơng việc trường hợp có thảm họa cách cung cấp khả khôi phục phần công việc ngắt khung thời gian thích hợp Do tổ chức nên có chương trình quản lý tính liên tục cơng việc, với quy trình bao hàm tất giai đoạn liên tục công việc - thiết lập quyền ưu tiên, thang thời gian yêu cầu khôi phục cơng việc (được hỗ trợ đánh giá phân tích LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn tác động công việc), phát biểu có hệ thống chiến lược tính liên tục công việc, chế tạo kế hoạch tính liên tục cơng việc, đảm bảo tất nhân viên hiểu biết tính liên tục cơng việc, trì kế hoạch tính liên tục cơng việc giảm thiểu rủi ro Nó đảm bảo giai đoạn sau đây: - Các thang thời gian quyền ưu tiên công việc với yêu cầu trực tiếp, - Các lựa chọn chiến lược tính liên tục cơng việc xứng với thang thời gian quyền ưu tiên - Các kế hoạch, sở vật chất cần thiết đắn đặt chỗ đánh giá, bao gồm thơng tin, quy trình công việc, dịch vụ hệ thống thông tin, thoại truyền thông liệu, người sở vật lý Hướng dẫn việc quản lý tính liên tục cơng việc, bao gồm phát triển chiến lược kế hoạch liên quan tính liên tục cơng việc đánh giá sử dụng TCVN 7562 ISO/IEC 13335-2 xuất Từ kịch kết nối mạng, trì kết nối mạng, việc thực thi kết nối luân phiên khả việc khôi phục kết nối tiếp sau kiện không mong muốn phải đề cập tới Các khía cạnh yêu cầu dựa tầm quan trọng kết nối đến chức công việc qua thời gian công việc bất lợi dự đoán trước trường hợp ngắt kết nối Trong kết nối tạo nhiều thuận lợi tổ chức trường hợp ngắt kết nối, thuật ngữ linh hoạt khả đảm bảo phương pháp tiếp cận sáng tạo, chúng biểu diễn điểm bị cơng “các điểm đơn hỏng hóc”, có tác động lớn đến tổ chức 14 Thực thi điều hành kiểm soát an ninh Kiến trúc an ninh kỹ thuật kiểm soát an ninh định danh, chứng minh tài liệu thỏa thuận kiểm soát an ninh mạng nên thực thi Trước kết nối mạng cho phép bắt đầu việc thực thi nên đánh giá, đánh giá thiếu sót an ninh đề cập tới (cũng xem Điều 15 bên dưới) Sau đó, an ninh ‘báo tắt’, hoạt động trực tiếp bắt đầu Qua thời gian, xảy thay đổi đáng kể, đánh giá thực thi bổ sung nên đạo (cũng xem Điều 15 bên dưới) 15 Giám sát soát xét thực thi Như đề cập Điều 14 trên, việc thực thi nên đánh giá phù hợp với kiến trúc an ninh kỹ thuật tài liệu hóa kiểm soát an ninh quy định tài liệu sau đây: - Kiến trúc an ninh kỹ thuật, - Chính sách an ninh mạng, - SecOPs liên quan, - Chính sách truy cập dịch vụ cổng nối an ninh, - (Các) kế hoạch tính liên tục công việc, - Các điều kiện an ninh kết nối Đánh giá phù hợp nên hoàn thành trước hoạt động trực tiếp Đánh giá hoàn thiện tất thiếu sót định danh, đóng báo tắt người quản lý, hoạt động trực tiếp, giám sát việc xảy hoạt động đánh giá nên đạo, đặc biệt trước ấn liên quan đến thay đổi đáng kể yêu cầu công việc, công nghệ, giải pháp an ninh, v.v Cần nhấn mạnh điều bao gồm cách đạo việc đánh giá an ninh tiêu chuẩn công nhận, với chiến lược đánh giá an ninh kế hoạch liên quan sinh trước thiết lập xác kiểm tra đạo, xảy đâu Thông thường điều nên bao gồm kết hợp việc xóa bỏ điểm yếu thử nghiệm thâm nhập Trước bắt đầu việc đánh giá này, kế hoạch đánh giá nên kiểm tra để đảm bảo việc đánh giá đạo theo cách phù hợp hoàn toàn với quy chuẩn pháp luật liên quan Khi thực thi việc kiểm tra không quên mạng không xác định với quốc gia - phân phối qua nhiều quốc gia khác với luật pháp khác Theo việc đánh giá, báo cáo điều cụ thể điểm yếu bắt gặp vị trí phát yêu cầu quyền ưu tiên, với việc chứng thực tất vị trí phát áp dụng Các báo cáo nên báo tắt người quản lý LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn 3.1 Thuật ngữ tiêu chuẩn khác 3.2 Thuật ngữ tiêu chuẩn Thuật ngữ viết tắt Cấu trúc Mục đích Khái quát 7.1 Bối cảnh 7.2 Quy trình định danh Xem xét u cầu sách an ninh thơng tin chung Soát xét ứng dụng kiến trúc mạng 9.1 Bối cảnh 9.2 Kiểu mạng 9.3 Giao thức mạng 9.4 Ứng dụng mạng 9.5 Công nghệ sử dụng để thực thi mạng 9.6 Các xem xét khác 10 Định danh kiểu kết nối mạng 11 Soát xét đặc điểm mạng mối quan hệ tin cậy liên quan 11.1 Đặc điểm mạng 11.2 Mối quan hệ tin cậy 12 Định danh rủi ro an ninh thông tin 13 Định danh phạm vi kiểm soát tiềm phù hợp 13.1 Bối cảnh 13.2 Kiến trúc an ninh mạng 13.3 Khung quản lý dịch vụ an toàn 13.4 Quản lý an ninh mạng 13.5 Quản lý điểm yếu kỹ thuật 13.6 Định danh xác thực 13.7 Giám sát ghi lại đánh giá mạng 13.8 Phát xâm nhập 13.9 Bảo vệ khỏi mã độc 13.10 Dịch vụ dựa mật mã hạ tầng chung 13.11 Quản lý tính liên tục cơng việc 14 Thực thi điều hành kiểm soát an ninh 15 Giám sát soát xét thực thi LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162