TCVN TIÊU CHU ẨN QUỐC GIA TCVN xxxx-1:2012 Xuất lần CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – AN TOÀN MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM Information technology – Security techniques – Network security – Part 1: Overview and concepts HÀ NỘI – 2012 TCVN xxxx-1:2012 TCVN xxxx-1:2012 Mục lục Phạm vi áp dụng Tài liệu viện dẫn 10 Thuật ngữ định nghĩa 10 Các thuật ngữ viết tắt 16 Cấu trúc 19 Tổng quan 21 6.1 Khái quát 21 6.2 Lập kế hoạch quản lý an toàn mạng 23 Nhận dạng rủi ro chuẩn bị xác định biện pháp an toàn .27 7.1 Giới thiệu 27 7.2 Thông tin mạng thời và/hoặc mạng lập kế hoạch 27 7.2.1 Các u cầu an tồn sách an tồn thơng tin doanh nghiệp .27 7.2.2 Thông tin mạng thời mạng lập kế hoạch 27 7.2.2.1 Giới thiệu 28 7.2.2.2 Kiến trúc, ứng dụng dịch vụ mạng 28 7.2.2.3 Các kiểu kết nối mạng 30 7.2.2.4 Các đặc tính mạng khác 31 7.2.2.5 Những thông tin khác 33 7.3 Các rủi ro an tồn thơng tin khu vực kiểm soát tiềm .33 Các biện pháp hỗ trợ 38 8.1 Giới thiệu 38 8.2 Quản lý an toàn mạng 38 8.2.1 Kiến thức 38 8.2.2 Các hoạt động quản lý an toàn mạng 38 8.2.2.1 Giới thiệu 38 8.2.2.2 Chính sách an tồn mạng 39 8.2.2.3 Các thủ tục vận hành an toàn mạng 39 8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng 40 TCVN xxxx-1:2012 8.2.2.5 Điều kiện an toàn cho kết nối mạng đa tổ chức 40 8.2.2.6 Các điều kiện an toàn ban hành cho người sử dụng mạng từ xa 41 8.2.2.7 Quản lý cố an toàn mạng 41 8.2.3 Vai trò trách nhiệm an toàn mạng 41 8.2.4 Giám sát mạng 43 8.2.5 Đánh giá an toàn mạng 43 8.3 Quản lý điểm yếu kỹ thuật .43 8.4 Nhận dạng xác thực 44 8.5 Ghi nhật ký giám sát việc kiểm toán mạng .45 8.6Phát ngăn chặn xâm nhập 47 8.7 Bảo vệ chống lại mã độc 48 8.8 Dịch vụ dựa mã hóa .49 8.9 Quản lý tính liên tục nghiệp vụ .51 Hướng dẫn thiết kế triển khai an toàn mạng 52 9.1 Kiến thức 52 9.2 Kiến trúc/thiết kế an toàn kỹ thuật mạng 52 10 Các kịch mạng tham chiếu – Rủi ro, thiết kế, kỹ thuật vấn đề biện pháp 55 10.1 Giới thiệu 55 10.2 Các dịch vụ truy cập Internet cho nhân viên 56 10.3 Các dịch vụ hợp tác nâng cao 56 10.4 Các dịch vụ doanh nghiệp tới doanh nghiệp 57 10.5 Các dịch vụ doanh nghiệp tới khách hàng 57 10.6 Các dịch vụ thuê 57 10.7 Phân đoạn mạng 58 10.8 Thông tin di động 58 10.9 Hỗ trợ mạng cho người sử dụng di chuyển 59 10.10 Hỗ trợ mạng cho hộ gia đình văn phòng doanh nghiệp nhỏ 59 11 Các chuyên đề “công nghệ” – Rủi ro, kỹ thuật thiết kế vấn đề biện pháp .59 12 Phát triển kiểm thử giải pháp an toàn 60 TCVN xxxx-1:2012 13 Vận hành giải pháp an toàn 61 14 Giám sát soát xét việc triển khai giải pháp 61 Phụ lục A 62 Các chuyên đề “công nghê” – Rủi ro, kỹ thuât thiết kế vấn đề biện pháp .62 A.1 Mạng cục 62 A.1.1 Kiến thức 62 A.1.2 Các rủi ro an toàn 63 A.1.3 Các biện pháp an toàn 63 A.2 Mạng diện rộng .65 A.2.1 Kiến thức 65 A.2.2 Các rủi ro an toàn 66 A.2.3 Các biện pháp an toàn 67 A.3 Mạng không dây 68 A.3.1 Kiến thức 68 A.3.2 Các rủi ro an toàn 68 A.3.3 Các biện pháp an toàn 68 A.4 Mạng vô tuyến .69 A.4.1 Kiến thức 69 A.4.2 Các rủi ro an toàn 70 A.4.3 Các biện pháp an toàn 71 A.5 Mạng băng rộng 72 A.5.1 Kiến thức 72 A.5.2 Các rủi ro an toàn 72 A.5.3 Các biện pháp an toàn 73 A.6 Cổng thơng tin an tồn 73 A.6.1 Kiến thức 73 A.6.2 Các rủi ro an toàn 73 A.6.3 Các biện pháp an toàn 74 A.7 Mạng riêng ảo .75 A.7.1 Kiến thức 75 A.7.2 Các rủi ro an toàn 75 A.7.3 Các biện pháp an toàn 76 A.8 Mạng thoại 77 A.8.1 Kiến thức 77 TCVN xxxx-1:2012 A.8.2 Các rủi ro an toàn 77 A.8.3 Các biện pháp an toàn 78 A.9 Hội tụ IP 79 A.9.1 Kiến thức 79 A.9.2 Các rủi ro an toàn 79 A.9.3 Các biện pháp an toàn 80 A.10 Lưu trữ nội dung Web 81 A.10.1 Kiến thức 81 A.10.2 Các rủi ro an toàn 81 A.10.3 Các biện pháp an toàn 82 A.11 Thư điện tử Internet 84 A.11.1 Kiến thức 84 A.11.2 Rủi ro an toàn 85 A.11.3 Các biện pháp an toàn 86 A.12 Truy cập định tuyến đến tổ chức bên thứ ba 89 A.12.1 Kiến thức 89 A.12.2 Rủi ro an toàn 91 A.12.3 Các biện pháp an toàn 91 A.13 Trung tâm liệu Intranet 92 A.13.1 Kiến thức 92 A.13.2 Rủi ro an toàn 92 A.13.3 Các biện pháp an toàn 93 Tham chiếu chéo TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, điều TCVN xxxx-1:2012 94 Phụ lục C 100 Ví dụ mẫu tài liệu SecOP 100 Thư mục tài liệu tham khảo 105 TCVN xxxx-1:2012 Lời nói đầu TCVN xxxx-1:2012 xây dựng sở ISO/IEC 27033-1 TCVN xxxx-1:2012 Viện Khoa học Ky thuật Bưu điện Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TIÊU CHUẨN QUỐC GIA TCVN xxxx-1:2012 Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan khái niệm Information technology - Security techniques – Network security – Part 1: Overview and concepts Phạm vi áp dụng Tiêu chuẩn TCVN xxxx-1:2012 cung cấp tổng quan an toàn mạng định nghĩa liên quan Nó định nghĩa mơ tả khái niệm liên quan đến an toàn mạng cung cấp hướng dẫn quản lý an toàn mạng (An toàn mạng áp dụng cho an toàn thiết bị, an toàn hoạt động quản lý liên quan đến thiết bị, ứng dụng/dịch vụ, người sử dụng cuối, ngồi ra, cịn áp dụng cho an tồn thơng tin truyền qua đường truyền thông) Tiêu chuẩn liên quan đến tham gia sở hữu, vận hành hay sử dụng mạng, bao gồm nhà quản lý cao cấp nhà quản lý phi ky thuật khác người sử dụng Ngồi ra, cịn có người quản lý nhà quản trị, người mà có trách nhiệm cụ thể an tồn thơng tin và/hoặc an toàn mạng, vận hành mạng, người chịu trách nhiệm chương trình an tồn tổng thể tổ chức phát triển sách an toàn Tiêu chuẩn liên quan đến tham gia vào việc lập kế hoạch, thiết kế triển khai khía cạnh kiến trúc an toàn mạng Tiêu chuẩn TCVN xxxx-1:2012 cũng: - Cung cấp hướng dẫn việc nhận dạng phân tích rủi ro an toàn mạng xác định u cầu an tồn mạng dựa phân tích đó, - Cung cấp tổng quan gồm biện pháp hỗ trợ kiến trúc an toàn ky thuật mạng biện pháp ky thuật liên quan, biện pháp phi ky thuật biện pháp ky tḥt mà có khả áp dụng khơng cho mạng, - Giới thiệu cách làm để đạt kiến trúc an toàn ky thuật mạng có chất lượng tốt, xác định rủi ro, thiết kế biện pháp liên quan tới kịch mạng điển hình lĩnh vực “cơng nghệ” mạng (chúng đưa cách chi tiết phần TCVN xxxx) - Đưa ngắn gọn vấn đề liên quan tới việc triển khai vận hành biện pháp an toàn mạng, giám sát soát xét liên tục việc triển khai chúng TCVN xxxx-1:2012 Nói chung, Tiêu chuẩn cung cấp tổng quan loạt tiêu chuẩn TCVN xxxx “chỉ dẫn” tới tất phần khác Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm công bố áp dụng nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) [1] TCVN ISO/IEC 27001:2009 – Cơng nghệ thơng tin - Ky tḥt an tồn – Các hệ thống quản lý an tồn thơng tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security techniques - Information security management systems – Requirements) [2] TCVN ISO/IEC 27002:2011 – Công nghệ thông tin - Ky tḥt an tồn – Quy trình ky tḥt cho quản lý an tồn thơng tin (TCVN ISO/IEC 27002:2011 – Information technology – Security techniques – Code of practice for information security management) [3] ISO/IEC 27000:2009 – Information technology – Security techniques - Information security management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thông tin - Kỹ thuật an toàn – Các hệ thống quản lý an toàn thông tin – Tổng quan từ vựng) [4] ISO/IEC 7498 – Information technology – Open Systems Interconnection – Basis Reference Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối hệ thống mở – Mơ hình tham chiếu sở) [5] ISO/IEC 27005:2011– Information technology – Security techniques – Information security risk management (ISO/IEC 27005:2011 – Công nghệ thơng tin - Kỹ thuật an tồn – Quản lý rủi ro an tồn thơng tin) Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa ISO/IEC 7498, ISO/IEC 27000, TCVN 27001, ISO/IEC 27005 thuật ngữ, định nghĩa sau: CHÚ THÍCH: Các thuật ngữ định nghĩa áp dụng cho phần có TCVN xxxx 3.1 Cảnh báo (alert) Chỉ báo “tức thời” cho thấy hệ thống thông tin mạng bị cơng, tình trạng nguy hiểm cố, hỏng hóc lỗi người 3.2 Kiến trúc (architecture) Tổ chức hệ thống thể hiện bởi: thành phần nó; quan hệ thành phần với nhau; quan hệ thành phần với môi trường; nguyên tắc dẫn đến thiết kế tiến triển hệ thống 10 TCVN xxxx-1:2012 • Ứng dụng hỗ trợ đường kết nối định tuyến, • Chi tiết máy chủ chúng đặt đâu, • Chi tiết PC người sử dụng chúng đặt đâu, • Chi tiết định tuyến bên thứ ba tồn (bao gồm địa IP, phương pháp xác thực, chứng thư số, bí mật chia sẻ, RADIUS, TACACS+), • Loại kết nối truyền thông tốc độ, VPN băng rộng, frame relay, đường kết nối riêng, dial-up ISDN Cũng hợp lý truy cập bên thứ ba, tài liệu cấu hình thiết lập, khơng có sẵn, bao gồm tổng quan u cầu, sơ đồ mạng, thơng tin cấu hình, chi tiết địa IP xác thực (Khi xem xét truy cập định tuyến tới tổ chức bên thứ ba tham khảo ISO/IEC TR 14516:1999 – hướng dẫn sử dụng quản lý dịch vụ bên thứ ba tin cậy.) A.12.2 Rủi ro an toàn Các rủi ro an tồn liên quan đến truy cập định tuyến tới tổ chức bên thứ ba nguyên tắc liên quan với yếu tố bên thứ ba miền an tồn riêng rẽ với sách riêng – khơng an tồn tổ chức Do đó, rủi ro an tồn liên quan truy cập định tuyến đến tổ chức bên thứ ba bao gồm liên quan: - Truy cập bất hợp pháp đến mạng tổ chức, ‘hệ thống’ thông tin liên quan, - Xâm nhập mã độc thông qua cổng dường tin cậy, - Tấn công DoS thông qua bên thứ ba, - Tin tưởng mạng bên thứ ba có mức an toàn cao Internet A.12.3 Các biện pháp an toàn Các biện pháp an toàn nhằm cho truy cập định tuyến tới tổ chức bên thứ ba bao gồm: - Tất kết nối bên thứ ba cô lập tường lửa khác sử dụng cho Internet lớp kết nối khác, - Áp dụng phần mềm chống mã độc, bao gồm phần mềm làm việc với tường lửa để kiểm tra cho mã Java ActiveX (như đề cập trên, mã vậy không công nhận phần mềm chống mã độc (bao gồm chống virus) thông thường virus vậy phát hiện, kiểm tra xem có hơp lệ hay khơng), - Xác thực mạnh dựa thẻ card, cách, sử dụng chứng thư số túi khóa hay card thông minh xác thực hai yếu tố với thẻ, 91 TCVN xxxx-1:2012 - Nếu kết nối thông qua truy cập định tuyến ISDN, CLID sử dụng phương pháp xác thực bổ sung, - Các định tuyến, bao gồm đầu xa kết nối, xác thực thông qua máy chủ xác thực, TACACS+ Tuy nhiên, không đạt thỏa thuận cho phương pháp xác thực với bên thứ ba bí mật chia sẻ sử dụng có triển khai, trao đổi mật Với số lượng kết nối lớn, chứng thư số phải sử dụng chúng thay đổi thường xuyên, - Bộ định tuyến bên thứ ba sử dụng phương tiện xác thực, chứng thư số, chia sẻ bí mật, RADIUS, TACACS+, - Các định tuyến hai đầu đường kết nối giữ an toàn mức vật lý, - Tất kết nối bên thứ ba bao hàm điều kiện cho tài liệu kết nối an tồn kí tổ chức bên thứ ba trước kết nối cho phép, - Xem xét sử dụng IDS/IPS, - Triển khai biện pháp ghi nhật ký - Đối với truy cập bên thứ ba, tài liệu cấu hình thiết lập thỏa thuận bao gồm tổng quan yêu cầu, sơ đồ mạng, thơng tin cấu hình chi tiết địa IP, phương pháp xác thực A.13 Trung tâm liệu Intranet A.13.1 Kiến thức Trung tâm liệu Intranet chứa hầu hết ứng dụng liệu quan trọng cho tổ chức Trung tâm liệu phần quan trọng hạ tầng tổ chức có quan hệ thống với khía cạnh khác mạng bao hàm điều phụ lục Mặc dù lưu trữ (SAN) khía cạnh máy chủ cá nhân trung tâm liệu phạm vi tiêu chuẩn (như làm chắn máy chủ sở liệu), số xem xét an toàn tổng thể trung tâm liệu biên soạn Mối đe dọa nhà quản trị an toàn IT ngày tăng lên từ thử nghiệm tương đối bình thường nhằm tàn phá mạng công tinh vi nhằm mục đích lợi nhuận đánh cắp liệu nhạy cảm doanh nghiệp Triển khai khả an toàn trung tâm liệu chắn để bảo vệ ứng dụng liệu nhạy cảm quan trọng đá tảng nỗ lực an tồn mạng doanh nghiệp Vì trách nhiệm an toàn cho trung tâm liệu trì tính sẵn sàng dịch vụ, cách mà an tồn ảnh hưởng đến luồng lưu lượng, tính qui mơ, lỗi phải xem xét cẩn thận A.13.2 Rủi ro an tồn 92 TCVN xxxx-1:2012 Các hướng cơng lên mức cao nhằm phá hoại bảo vệ mạng nhằm trực tiếp đến ứng dụng Các công dựa HTTP, XML SQL nỗ lực hữu ích cho hầu hết người cơng giao thức thường phép qua mạng doanh nghiệp vào trung tâm liệu Intranet Một số hướng đe dọa ảnh hưởng đến trung tâm liệu Intranet sau: • Truy cập bất hợp pháp đến liệu, • Truy cập bất hợp pháp đến ứng dụng, • Truy cập thiết bị bất hợp pháp, • Ngắt dịch vụ quan trọng cơng DoS, • Các cơng chưa phát hiện được, • Mất liệu, • Khơng có khả khơi phục liệu, • Các cơng có mục tiêu để thay đổi liệu, • Leo thang đặc quyền, • Cài đặt phần mềm độc hại, • Sử dụng dịch vụ bất hợp pháp, bao gồm vi phạm sách tổ chức A.13.3 Các biện pháp an toàn Các biện pháp an toàn ky thuật cho trung tâm liệu bao gồm: • Các cổng an toàn để biện pháp truy cập vào trung tâm liệu, • Sử dụng IPS/IDS trung tâm liệu, • Biện pháp chống mã độc (bao gồm chống virus) máy chủ, • Quản lý an tồn thiết bị hạ tầng, • Khả ghi nhật ký đăng nhập ghi hỗ trợ dịch vụ đồng thời gian qua tất thành phần trung tâm liệu, • Lên kế hoạch liên tục nghiệp vụ cho lỗi, • Thiết kế mềm dẻo, • Thường xun kiểm tra tính tồn vẹn thay đổi liệu bất hợp pháp, • Chia VLAN để phân biệt dịch vụ trung tâm liệu nhằm bảo vệ dịch vụ nhạy cảm tốt hơn, 93 • TCVN xxxx-1:2012 Các thiết bị LAN cấu hình để biện pháp thay đổi địa MAC khơng quản lý, • Sử dụng giao thức quản lý an toàn Phụ lục B (Tham khảo) Tham chiếu chéo TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, điều TCVN xxxx-1:2012 Bảng B.1: Tham chiếu chéo TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, điều TCVN xxxx Các mục ISO/IEC Nội dung 27001 ISO/IEC 27001 Các mục TCVN xxxx1:2012 10.4.1 Các biện pháp chống Các biện pháp phát hiện, ngăn lại mã độc chặn, khôi phục để bảo vệ chống 8.7 Bảo vệ chống lại mã độc lại mã độc thủ tục nhận biết người dùng thích hợp phải triển khai 10.4.2 Các biện pháp chống Nếu việc sử dụng mã di động 7.2.2.2 Kiến trúc, ứng dụng mã di động cho phép, cấu hình phải đảm bảo dịch vụ mạng mã di động cho phép vận hành theo sách an toàn định nghĩa rõ ràng, mã di động trái phép phải bị ngăn chặn không triển khai 10.6.1 – Các biện pháp Các mạng nên quản lý Xem điều 10.6.1 IG bên mạng kiểm soát thỏa đáng, để bảo vệ từ Mục a) tời Mục e) tránh khỏi mối đe dọa, để TCVN ISO/IEC trì an tồn cho hệ thống 27001/27002 ứng dụng sử dụng mạng bao gồm thông tin truyền tải 10.6.1 IG a) Trách nhiệm vận hành mạng 8.2 Quản lý an toàn mạng nên phân tách từ vận hành máy tính phù hợp 10.6.1 IG b) Những trách nhiệm thủ tục việc quản lý thiết bị từ xa bao gồm thiết bị lĩnh vực 94 11.7 Truy cập dịch vụ từ xa (Thơng tin chi tiết tìm thấy ISO/IEC TCVN xxxx-1:2012 10.6.1 IG c) người dùng, phải thiết lập xxxx-5) Các biện pháp đặc biệt phải Tất biện pháp thiết lập để bảo vệ tính bí mật Điều 11 Các chun đề tính tồn vẹn liệu truyền “công nghệ” - rủi ro, ky thuật qua mạng công cộng thiết kế vấn đề mạng không dây để bảo vệ biện pháp hệ thống kết nối ứng dụng (xem Mục 11.4 Mục 12.3); biện pháp đặc biệt u cầu để trì tính sẵn sàng dịch vụ mạng kết nối máy tính 10.6.1 IG d) Việc ghi nhật ký giám sát thích 8.5 Ghi nhật ký kiểm tốn hợp phải áp dụng giám sát mạng phép ghi lại hành động liên quan đến an toàn 10.6.1 IG e) Các hoạt động quản lý phải 8.2 Quản lý an toàn mạng phối hợp chặt chẽ để vừa tối ưu dịch vụ tổ chức vừa đảm bảo biện pháp áp dụng thống qua kiến trúc xử lý thông tin 10.6.2 Các dịch vụ mạng an Các đặc tính an tồn, mức độ 8.2 Quản lý an toàn mạng toàn dịch vụ yêu cầu quản lý (và liên quan tới Điều 8, Điều tất dịch vụ mạng phải Điều 11) xác định bao gồm thỏa thuận dịch vụ mạng nào, liệu dịch vụ cung cấp nhà hay th ngồi 10.8.1 Các sách thủ Các sách, thủ tục 6.2 Lập kế hoạch quản lý tục trao đổi thơng tin biện pháp trao đổi thơng tin an toàn mạng thức phải thực hiện để bảo vệ việc trao đổi thông tin thông qua sử dụng tất các loại thông tin liên lạc 10.8.4 Tin nhắn điện tử Các thông tin liên quan đến nhắn A.11 Thư điện tử qua mạng 95 TCVN xxxx-1:2012 tin điện tử nên bảo vệ thích Internet hợp 10.9.1 Thương mại điện tử Các thông tin liên quan đến thương 10.4 Các dịch vụ doanh mại điện tử truyền qua mạng nghiệp tới doanh nghiệp công cộng phải bảo vệ chống lại hoạt động gian lận, tranh 10.5 Các dịch vụ doanh nghiệp tới khách hàng chấp hợp đồng không phép tiết lộ sửa đổi thông tin bất hợp pháp 10.9.2 Giao dịch trực tuyến Các thông tin liên quan đến 10.5 Các dịch vụ doanh giao dịch trực tuyến phải bảo nghiệp tới khách hàng vệ để ngăn chặn việc giao dịch chưa hoàn thành, định tuyến sai, thay đổi, tiết lộ, chép hay chuyển tiếp thông tin bất hợp pháp 10.9.3 Thơng tin cơng bố Tính tồn vẹn thơng tin mà cơng khai tạo lập sẵn có hệ A.10 Lưu trữ nội dung Web thống thông tin công bố công khai phải bảo vệ để ngăn chặn việc chỉnh sửa bất hợp pháp 11.4.1 Chính sách việc sử Người sử dụng nên cung 8.2.2.2 Chính sách an tồn dụng dịch vụ mạng cấp với truy cập tới dịch vụ mà mạng họ phép sử dụng cách rõ ràng 11.4.2 Xác thực người dùng Các phương thức xác thực thích cho kết nối bên ngồi hợp nên sử dụng để kiểm 8.4 Nhận dạng xác thực soát truy cập người dùng từ xa 11.4.3 Nhận biết thiết bị Tự động nhận biết thiết bị nên mạng coi phương tiện xác thực kết nối từ địa điểm thiết bị cụ thể 11.4.4 Chuẩn đoán từ xa Truy cập vật lý logic tới cấu hình bảo vệ cổng cổng cấu hình chuẩn đốn nên kiểm sốt 11.4.5 Phân tách Các nhóm dịch vụ thông tin, người mạng sử dụng hệ thống thông tin nên phân tách mạng 11.4.6 Kiểm soát kết nối Đối với mạng chia sẻ, 96 11 Các chuyê đề “công TCVN xxxx-1:2012 mạng đặc biệt mạng mở rộng vượt nghệ”-rủi ro, ky thuật thiết kế ranh giới tổ chức, khả vấn đề biện pháp người sử dụng kết tới mạng nên bị hạn chế, phù hợp với sách kiểm sốt truy cập yêu cầu ứng dụng nghiệp vụ 11.4.7 Kiểm soát định tuyến mạng Các kiểm soát định tuyến nên A.6 Cổng thơng tin an tồn triển khai cho mạng để đảm bảo kết nối máy tính luồng thơng tin khơng vi phạm sách kiểm sốt truy cập ứng dụng nghiệp vụ Bảng B.2 – Tham chiếu chéo điều khoản TCVN xxxx TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Các Mục TCVN Nội dung ISO/IEC xxxx-1 Các Mục TCVN ISO/IEC 27001 TCVN ISO/IEC 27001 6.2 Tổng quan Lập kế hoạch quản lý an tồn 10.8.1 Các sách thủ mạng tục trao đổi thông tin Nhận biết rủi ro chuẩn bị nhận biết biện pháp an tồn 7.2 Thơng tin mạng hiện có và/hoặc mạng lập kế hoạch 7.2.1 Các yêu cầu an tồn sách an tồn thơng tin doanh nghiệp 7.2.2 Thơng tin mạng hiện có và/hoặc mạng lập kế hoạch 7.2.2.2 7.2.2.3 Kiến trúc, ứng dụng dịch vụ 10.4.2 Các biện pháp chống mạng mã di động Các loại kết nối mạng 97 TCVN xxxx-1:2012 7.2.2.4 Các đặc tính mạng khác 7.2.2.5 Các thơng tin khác 7.3 Các rủi ro an tồn thơng tin biện pháp tiềm 8.2 Quản lý an tồn mạng 10.6.1 Các biện pháp kiểm sốt mạng 8.2.2 Các hoạt động quản lý an tồn mạng 8.2.2.2 Chính sách an tồn mạng 5.1 Chính sách an tồn thơng tin 11.4.1 Chính sách sử dụng dịch vụ mạng 8.2.2.3 Các thủ tục vận hành an toàn mạng 8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng 8.2.2.5 Điều kiện an toàn cho kết nối mạng đa tổ chức 8.2.2.6 Các điều kiện an toàn ban hành cho người sử dụng mạng từ xa 8.2.2.7 Quản lý cố an toàn mạng 13 Quản lý cố an toàn thơng tin 8.2.3 Vai trị trách nhiệm an tồn 8.1.1 Vai trị trách nhiệm mạng 8.3 Quản lý điểm yếu ky thuật 12.6 Ky thuật quản lý lỗ hổng 8.4 Nhận dạng xác thực 11.4.2 Xác thực người dùng cho kết nối bên 11.5.2 Nhận dạng xác thực người dùng 8.5 Ghi nhật ký giám sát kiểm toán mạng 10.6.1 Các biện pháp kiểm soát mạng 10.10.1 Ghi nhật ký kiểm toán 8.6 Phát hiện ngăn chặn xâm nhập 8.7 Bảo vệ chống lại mã độc 10.4 Bảo vệ chống lại mã độc mã di động 8.8 Dịch vụ dựa mã hóa 12.3 Các biện pháp mã hóa 8.9 Quản lý tính liên tục nghiệp 14 Quản lý tính liên tục 98 TCVN xxxx-1:2012 vụ nghiệp vụ Hướng dẫn thiết kế triển khai an toàn mạng 9.2 Kiến trúc/thiết kế an toàn ky thuật mạng 10 Kịch mạng tham chiếu – Rủi ro, thiết kế, ky thuật vấn đề biện pháp 10.2 Dịch vụ truy cập Internet cho nhân viên 10.3 Các dịch vụ hợp tác nâng cao 10.4 Các dịch vụ doanh nghiệp tới 10.9.1 Thương mại điện tử doanh nghiệp 10.5 Các dịch vụ doanh nghiệp tới 10.9.1 Thương mại điện tử khách hàng 10.9.2 Giao dịch trực tuyến 10.6 Các dịch vụ thuê 10.7 Phân đoạn mạng 10.8 Thông tin di động 10.9 Hỗ trợ mạng cho người sử dụng di chuyển 10.10 Hỗ trợ mạng cho gia đình văn phịng doanhdoanh nghiệp nhỏ 11 Các chuyên đề “công nghệ” - 10.6.1 Các biện pháp mạng Rủi ro, thiết kế ky thuật vấn đề biện pháp 12 Phát triển kiểm tra giải pháp an toàn 13 Vận hành giải pháp an tồn 14 Giám sát sốt xét việc triển khai giải pháp Phục lục A Các chuyên đề “công nghệ ” – rủi ro, thiết kế ky thuật vấn đề biện pháp A.1 Mạng cục A.2 Mạng diện rộng A.3 Mạng không dây 99 TCVN xxxx-1:2012 A.4 Mạng vô tuyến A.5 Mạng băng rộng A.6 Cổng thơng tin an tồn 11.4.7 Kiểm sốt định tuyến mạng A.7 Mạng riêng ảo A.8 Mạng thoại A.9 Hội tụ IP A.10 Lưu trữ nội dung Web 10.9.3 Thông tin sẵn sàng công cộng A.11 Thư điện tử Internet A.12 Truy cập định hướng đến tổ 10.8.4 Nhắn tin điện tử chức bên thứ ba Phụ lục C (Tham khảo) Ví dụ mẫu đới với tài liệu SecOP Giới thiệu 1.1 Kiến thức 1.2 Cấu trúc tài liệu Phạm vi 2.1 Địa điểm 2.2 Hạ tầng ky thuật 2.2.1 Môi trường CNTT 2.2.2 Kiến trúc mạng 2.2.3 Vị trí 2.2.4 Vị trí 2.2.5 Vị trí 2.2.6 Các kết nối bên ngồi Chính sách an tồn An tồn thơng tin tổ chức 4.1 Giới thiệu 4.2 Cơ cấu quản lý an toàn trách nhiệm 4.2.1 Cán an toàn tổ chức 100 TCVN xxxx-1:2012 4.2.2 Cán an toàn tổ chức cấp phó 4.2.3 Thơng tin cán an tồn tổ chức 4.2.4 Nhóm hỗ trợ CNTT (như có liên quan) 4.2.5 Khu vực quản lý nghiệp vụ 4.2.6 Nhân viên 4.2.7 Ban quản lý tổ chức 4.3 Sự cố an tồn thơng tin báo cáo điểm yếu 4.4 Phân cấp SecOPs 4.5 Đánh giá rủi ro có liên quan đến bên bên ngồi tổ chức 4.6 Các thỏa thuận việc truy cập từ bên bên ngồi (bên thứ ba) 4.7 Gia cơng phần mềm Quản lý tài sản 5.1 Kiểm kê tài sản 5.2 Điều kiện sử dụng chấp nhận thông tin tài sản khác 5.3 Phân loại thơng tin An tồn nguồn nhân lực 6.1 Tính an tồn tối thiểu nhân viên, bao gồm cho phép sử dụng thơng tin bí mật, yêu cầu 6.2 Điều khoản điều kiện 6.3 Đào tạo nâng cao nhận thức an toàn thơng tin 6.4 Quy trình xử lý kỷ ḷt 6.5 Giám sát nhân 6.6 Chấm dứt làm việc 6.7 Thẻ truy cập an tồn/thẻ vào tịa nhà 6.8 Truy cập vật lý tới mạng hệ thống CNTT An tồn vật lý mơi trường 7.1 Thực hiện biện pháp an tồn vật lý mơi trường 7.2 Vành đai an toàn vật lý 7.3 Các biện pháp đầu vào vật lý 7.4 Làm việc phòng/khu vực 7.5 Xác định vị trí thiết bị 7.6 Khóa kết hợp 7.7 Hệ thống báo động phát hiện xâm nhập 7.8 Sự bảo vệ thiết bị chống trộm 7.9 Di chuyển thiết bị 7.10 Biện pháp truy cập phần cứng 7.11 Phát hiện giả mạo 101 TCVN xxxx-1:2012 7.12 Bảo trì sửa chữa 7.13 An toàn nguồn điện 7.14 An toàn hỏa hoạn 7.15 An toàn nguồn nước/chất lỏng 7.16 Cảnh báo an tồn 7.17 An tồn máy tính cá nhân Truyền thông hoạt động quản lý 8.1 Thủ tục trách nhiệm vận hành 8.1.1 Thay đổi thủ tục kiểm soát 8.1.2 Sự phân biệt nhiệm vụ lĩnh vực trách nhiệm 8.2 Lập kế hoạch chấp nhận hệ thống 8.2.1 Khả lập kế hoạch 8.2.2 Chấp nhận hệ thống 8.3 Bảo vệ chống lại mã độc hại mã di động 8.3.1 Phòng ngừa 8.3.2 Phát hiện 8.3.3 Phục hồi 8.3.4 Mã di động 8.4 Sao lưu phục hồi 8.5 Công nghệ thông tin (bao gồm mạng) thành phần khởi tạo tắt 8.6 Phương tiện truyền thơng an tồn (bao gồm tài liệu) 8.6.1 Quản lý phương tiện truyền thông di động 8.6.2 Đầu in 8.6.3 Tái sử dụng an toàn loại bỏ phương tiện truyền thông 8.7 Trao đổi thông tin 8.8 Giám sát 8.9 8.8.1 Kế toán kiểm toán 8.8.2 Các ghi kế tốn thủ cơng 8.8.3 Đồng hóa thời gian Các ghi điều hành 8.10 Sự ghi chép lỗi 8.11 Kế hoạch công nghệ thông tin truyền thông Biện pháp truy cập 9.1 Quản lý tài khoản người dùng 9.1.1 Yêu cầu tài khoản người dùng 9.1.2 Tạo tài khoản người dùng 9.1.3 Sốt xét, vơ hiệu hóa xóa tài khoản người dùng 9.2 Cấu hình biện pháp truy cập 102 TCVN xxxx-1:2012 9.3 Quản lý mật 9.3.1 Biện pháp thực hiện 9.3.2 Hệ mật 9.3.3 Lưu trữ truyền tải mật 9.3.4 Thay đổi mật 9.3.5 Đánh giá mật 9.3.6 Duy trì mật 9.3.7 Người dùng đặc quyền/Hệ thống quản lý giám sát mật 9.4 Thẻ truy cập an toàn 9.5 Biện pháp truy cập mạng 9.5.1 Tổng quan 9.5.2 Các kết nối bên 9.6 Điều kiện an toàn cho kết nối 9.7 Truy cập từ xa 9.8 Hệ điều hành, ứng dụng thông tin, biện pháp truy cập 9.9 Máy tính di động làm việc từ xa 9.9.1 Tổng quan 9.9.2 An tồn máy tính xách tay 9.9.3 An tồn PDA 10 Hệ thống thu nhận thông tin, phát triển trì 10.1 An tồn tệp tin hệ thống 10.1.1 Kiểm soát phần mềm vận hành 10.1.2 Bảo vệ liệu kiểm thử hệ thống 10.1.3 Bảo vệ mã nguồn 10.2 An tồn q trình phát triển hỗ trợ 10.2.1 Tính tồn vẹn hệ thống phần mềm ứng dụng 10.2.2 Phát triển hợp đồng phụ/Gia công phần mềm 10.3 Bảo trì phần mềm 10.4 Bản ghi lỗi phần mềm 10.5 Quản lý điểm yếu ky thuật 11 Quản lý cố an tồn thơng tin 11.1 Sự cố điểm yếu an tồn thơng tin 11.2 Sự cố công nghệ thông tin cố mạng 12 Quản lý liên tục nghiệp vụ 12.1 Lập kế hoạch liên tục nghiệp vụ 12.2 Thủ tục lưu 12.3 Trường hợp khẩn cấp cố 103 TCVN xxxx-1:2012 12.3.1 Lỗi phần cứng 12.3.2 Lỗi phần mềm 12.3.3 Hỏa hoạn/di tản tòa nhà 13 Sự tuân thủ 13.1 Tuân thủ yêu cầu pháp lý 13.2 Tuân thủ sách tiêu chuẩn an tồn thơng tin, tn thủ theo ky tḥt 13.3 Bảo vệ cơng cụ kiểm tốn hệ thống 14 Tài liệu cấu hình 14.1 Phản hồi 14.2 Những thay đổi SecOPs Phụ lục A: Tham khảo 104 TCVN xxxx-1:2012 Thư mục tài liệu tham khảo [1] ISO/IEC 27033-1:2009 - Information technology – Security techniques – Network security – Part 1: Overview and concepts (ISO/IEC 27033-1:2009 - Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan khái niệm) [2] ISO/IEC 18028-1:2006 - Công nghệ thơng tin – Ky tḥt an tồn – An tồn mạng IT – Phần 1: Quản lý an toàn mạng (Information technology – Security techniques – IT network security – Part 1: Network security management) [3] ISO/IEC 18028-2:2006 - Công nghệ thơng tin – Ky tḥt an tồn – An toàn mạng IT – Phần 2: Kiến trúc an toàn mạng (Information technology – Security techniques – IT network security – Part 1: Network security architecture) [4] TCVN 27001:2009 – Cơng nghệ thơng tin - Ky tḥt an tồn – Các hệ thống quản lý an tồn thơng tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security techniques Information security management systems – Requirements) [5] TCVN 27002:2009 – Cơng nghệ thơng tin - Ky tḥt an tồn – Quy trình ky tḥt cho quản lý an tồn thông tin (TCVN 27002:2009 – Information technology – Security techniques – Code of practice for information security management) [6] ISO/IEC 27000:2009 – Information technology – Security techniques - Information security management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thơng tin - Kỹ thuật an tồn – Các hệ thống quản lý an tồn thơng tin – Tổng quan từ vựng) [7] ISO/IEC 7498 – Information technology – Open Systems Interconnection – Basis Reference Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối hệ thống mở – Mơ hình tham chiếu sở) [8] ISO/IEC 27005:2011 – Information technology – Security techniques – Information security risk management (ISO/IEC 27005:2011 – Công nghệ thông tin - Kỹ thuật an toàn – Quản lý rủi ro an tồn thơng tin) 105