CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – AN TOÀN MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM

TCVN TIÊU CHU ẨN QUỐC GIA TCVN xxxx-1:2012 Xuất lần CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – AN TOÀN MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM Information technology – Security techniques – Network security – Part 1: Overview and concepts HÀ NỘI – 2012 TCVN xxxx-1:2012 TCVN xxxx-1:2012 Mục lục Phạm vi áp dụng Tài liệu viện dẫn 10 Thuật ngữ định nghĩa 10 Các thuật ngữ viết tắt 16 Cấu trúc 19 Tổng quan 21 6.1 Khái quát 21 6.2 Lập kế hoạch quản lý an toàn mạng 23 Nhận dạng rủi ro chuẩn bị xác định biện pháp an toàn .27 7.1 Giới thiệu 27 7.2 Thông tin mạng thời và/hoặc mạng lập kế hoạch 27 7.2.1 Các u cầu an tồn sách an tồn thơng tin doanh nghiệp .27 7.2.2 Thông tin mạng thời mạng lập kế hoạch 27 7.2.2.1 Giới thiệu 28 7.2.2.2 Kiến trúc, ứng dụng dịch vụ mạng 28 7.2.2.3 Các kiểu kết nối mạng 30 7.2.2.4 Các đặc tính mạng khác 31 7.2.2.5 Những thông tin khác 33 7.3 Các rủi ro an tồn thơng tin khu vực kiểm soát tiềm .33 Các biện pháp hỗ trợ 38 8.1 Giới thiệu 38 8.2 Quản lý an toàn mạng 38 8.2.1 Kiến thức 38 8.2.2 Các hoạt động quản lý an toàn mạng 38 8.2.2.1 Giới thiệu 38 8.2.2.2 Chính sách an tồn mạng 39 8.2.2.3 Các thủ tục vận hành an toàn mạng 39 8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng 40 TCVN xxxx-1:2012 8.2.2.5 Điều kiện an toàn cho kết nối mạng đa tổ chức 40 8.2.2.6 Các điều kiện an toàn ban hành cho người sử dụng mạng từ xa 41 8.2.2.7 Quản lý cố an toàn mạng 41 8.2.3 Vai trò trách nhiệm an toàn mạng 41 8.2.4 Giám sát mạng 43 8.2.5 Đánh giá an toàn mạng 43 8.3 Quản lý điểm yếu kỹ thuật .43 8.4 Nhận dạng xác thực 44 8.5 Ghi nhật ký giám sát việc kiểm toán mạng .45 8.6Phát ngăn chặn xâm nhập 47 8.7 Bảo vệ chống lại mã độc 48 8.8 Dịch vụ dựa mã hóa .49 8.9 Quản lý tính liên tục nghiệp vụ .51 Hướng dẫn thiết kế triển khai an toàn mạng 52 9.1 Kiến thức 52 9.2 Kiến trúc/thiết kế an toàn kỹ thuật mạng 52 10 Các kịch mạng tham chiếu – Rủi ro, thiết kế, kỹ thuật vấn đề biện pháp 55 10.1 Giới thiệu 55 10.2 Các dịch vụ truy cập Internet cho nhân viên 56 10.3 Các dịch vụ hợp tác nâng cao 56 10.4 Các dịch vụ doanh nghiệp tới doanh nghiệp 57 10.5 Các dịch vụ doanh nghiệp tới khách hàng 57 10.6 Các dịch vụ thuê 57 10.7 Phân đoạn mạng 58 10.8 Thông tin di động 58 10.9 Hỗ trợ mạng cho người sử dụng di chuyển 59 10.10 Hỗ trợ mạng cho hộ gia đình văn phòng doanh nghiệp nhỏ 59 11 Các chuyên đề “công nghệ” – Rủi ro, kỹ thuật thiết kế vấn đề biện pháp .59 12 Phát triển kiểm thử giải pháp an toàn 60 TCVN xxxx-1:2012 13 Vận hành giải pháp an toàn 61 14 Giám sát soát xét việc triển khai giải pháp 61 Phụ lục A 62 Các chuyên đề “công nghê” – Rủi ro, kỹ thuât thiết kế vấn đề biện pháp .62 A.1 Mạng cục 62 A.1.1 Kiến thức 62 A.1.2 Các rủi ro an toàn 63 A.1.3 Các biện pháp an toàn 63 A.2 Mạng diện rộng .65 A.2.1 Kiến thức 65 A.2.2 Các rủi ro an toàn 66 A.2.3 Các biện pháp an toàn 67 A.3 Mạng không dây 68 A.3.1 Kiến thức 68 A.3.2 Các rủi ro an toàn 68 A.3.3 Các biện pháp an toàn 68 A.4 Mạng vô tuyến .69 A.4.1 Kiến thức 69 A.4.2 Các rủi ro an toàn 70 A.4.3 Các biện pháp an toàn 71 A.5 Mạng băng rộng 72 A.5.1 Kiến thức 72 A.5.2 Các rủi ro an toàn 72 A.5.3 Các biện pháp an toàn 73 A.6 Cổng thơng tin an tồn 73 A.6.1 Kiến thức 73 A.6.2 Các rủi ro an toàn 73 A.6.3 Các biện pháp an toàn 74 A.7 Mạng riêng ảo .75 A.7.1 Kiến thức 75 A.7.2 Các rủi ro an toàn 75 A.7.3 Các biện pháp an toàn 76 A.8 Mạng thoại 77 A.8.1 Kiến thức 77 TCVN xxxx-1:2012 A.8.2 Các rủi ro an toàn 77 A.8.3 Các biện pháp an toàn 78 A.9 Hội tụ IP 79 A.9.1 Kiến thức 79 A.9.2 Các rủi ro an toàn 79 A.9.3 Các biện pháp an toàn 80 A.10 Lưu trữ nội dung Web 81 A.10.1 Kiến thức 81 A.10.2 Các rủi ro an toàn 81 A.10.3 Các biện pháp an toàn 82 A.11 Thư điện tử Internet 84 A.11.1 Kiến thức 84 A.11.2 Rủi ro an toàn 85 A.11.3 Các biện pháp an toàn 86 A.12 Truy cập định tuyến đến tổ chức bên thứ ba 89 A.12.1 Kiến thức 89 A.12.2 Rủi ro an toàn 91 A.12.3 Các biện pháp an toàn 91 A.13 Trung tâm liệu Intranet 92 A.13.1 Kiến thức 92 A.13.2 Rủi ro an toàn 92 A.13.3 Các biện pháp an toàn 93 Tham chiếu chéo TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, điều TCVN xxxx-1:2012 94 Phụ lục C 100 Ví dụ mẫu tài liệu SecOP 100 Thư mục tài liệu tham khảo 105 TCVN xxxx-1:2012 Lời nói đầu TCVN xxxx-1:2012 xây dựng sở ISO/IEC 27033-1 TCVN xxxx-1:2012 Viện Khoa học Ky thuật Bưu điện Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TIÊU CHUẨN QUỐC GIA TCVN xxxx-1:2012 Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan khái niệm Information technology - Security techniques – Network security – Part 1: Overview and concepts Phạm vi áp dụng Tiêu chuẩn TCVN xxxx-1:2012 cung cấp tổng quan an toàn mạng định nghĩa liên quan Nó định nghĩa mơ tả khái niệm liên quan đến an toàn mạng cung cấp hướng dẫn quản lý an toàn mạng (An toàn mạng áp dụng cho an toàn thiết bị, an toàn hoạt động quản lý liên quan đến thiết bị, ứng dụng/dịch vụ, người sử dụng cuối, ngồi ra, cịn áp dụng cho an tồn thơng tin truyền qua đường truyền thông) Tiêu chuẩn liên quan đến tham gia sở hữu, vận hành hay sử dụng mạng, bao gồm nhà quản lý cao cấp nhà quản lý phi ky thuật khác người sử dụng Ngồi ra, cịn có người quản lý nhà quản trị, người mà có trách nhiệm cụ thể an tồn thơng tin và/hoặc an toàn mạng, vận hành mạng, người chịu trách nhiệm chương trình an tồn tổng thể tổ chức phát triển sách an toàn Tiêu chuẩn liên quan đến tham gia vào việc lập kế hoạch, thiết kế triển khai khía cạnh kiến trúc an toàn mạng Tiêu chuẩn TCVN xxxx-1:2012 cũng: - Cung cấp hướng dẫn việc nhận dạng phân tích rủi ro an toàn mạng xác định u cầu an tồn mạng dựa phân tích đó, - Cung cấp tổng quan gồm biện pháp hỗ trợ kiến trúc an toàn ky thuật mạng biện pháp ky thuật liên quan, biện pháp phi ky thuật biện pháp ky tḥt mà có khả áp dụng khơng cho mạng, - Giới thiệu cách làm để đạt kiến trúc an toàn ky thuật mạng có chất lượng tốt, xác định rủi ro, thiết kế biện pháp liên quan tới kịch mạng điển hình lĩnh vực “cơng nghệ” mạng (chúng đưa cách chi tiết phần TCVN xxxx) - Đưa ngắn gọn vấn đề liên quan tới việc triển khai vận hành biện pháp an toàn mạng, giám sát soát xét liên tục việc triển khai chúng TCVN xxxx-1:2012 Nói chung, Tiêu chuẩn cung cấp tổng quan loạt tiêu chuẩn TCVN xxxx “chỉ dẫn” tới tất phần khác Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm công bố áp dụng nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) [1] TCVN ISO/IEC 27001:2009 – Cơng nghệ thơng tin - Ky tḥt an tồn – Các hệ thống quản lý an tồn thơng tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security techniques - Information security management systems – Requirements) [2] TCVN ISO/IEC 27002:2011 – Công nghệ thông tin - Ky tḥt an tồn – Quy trình ky tḥt cho quản lý an tồn thơng tin (TCVN ISO/IEC 27002:2011 – Information technology – Security techniques – Code of practice for information security management) [3] ISO/IEC 27000:2009 – Information technology – Security techniques - Information security management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thông tin - Kỹ thuật an toàn – Các hệ thống quản lý an toàn thông tin – Tổng quan từ vựng) [4] ISO/IEC 7498 – Information technology – Open Systems Interconnection – Basis Reference Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối hệ thống mở – Mơ hình tham chiếu sở) [5] ISO/IEC 27005:2011– Information technology – Security techniques – Information security risk management (ISO/IEC 27005:2011 – Công nghệ thơng tin - Kỹ thuật an tồn – Quản lý rủi ro an tồn thơng tin) Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa ISO/IEC 7498, ISO/IEC 27000, TCVN 27001, ISO/IEC 27005 thuật ngữ, định nghĩa sau: CHÚ THÍCH: Các thuật ngữ định nghĩa áp dụng cho phần có TCVN xxxx 3.1 Cảnh báo (alert) Chỉ báo “tức thời” cho thấy hệ thống thông tin mạng bị cơng, tình trạng nguy hiểm cố, hỏng hóc lỗi người 3.2 Kiến trúc (architecture) Tổ chức hệ thống thể hiện bởi: thành phần nó; quan hệ thành phần với nhau; quan hệ thành phần với môi trường; nguyên tắc dẫn đến thiết kế tiến triển hệ thống 10 TCVN xxxx-1:2012 • Ứng dụng hỗ trợ đường kết nối định tuyến, • Chi tiết máy chủ chúng đặt đâu, • Chi tiết PC người sử dụng chúng đặt đâu, • Chi tiết định tuyến bên thứ ba tồn (bao gồm địa IP, phương pháp xác thực, chứng thư số, bí mật chia sẻ, RADIUS, TACACS+), • Loại kết nối truyền thông tốc độ, VPN băng rộng, frame relay, đường kết nối riêng, dial-up ISDN Cũng hợp lý truy cập bên thứ ba, tài liệu cấu hình thiết lập, khơng có sẵn, bao gồm tổng quan u cầu, sơ đồ mạng, thơng tin cấu hình, chi tiết địa IP xác thực (Khi xem xét truy cập định tuyến tới tổ chức bên thứ ba tham khảo ISO/IEC TR 14516:1999 – hướng dẫn sử dụng quản lý dịch vụ bên thứ ba tin cậy.) A.12.2 Rủi ro an toàn Các rủi ro an tồn liên quan đến truy cập định tuyến tới tổ chức bên thứ ba nguyên tắc liên quan với yếu tố bên thứ ba miền an tồn riêng rẽ với sách riêng – khơng an tồn tổ chức Do đó, rủi ro an tồn liên quan truy cập định tuyến đến tổ chức bên thứ ba bao gồm liên quan: - Truy cập bất hợp pháp đến mạng tổ chức, ‘hệ thống’ thông tin liên quan, - Xâm nhập mã độc thông qua cổng dường tin cậy, - Tấn công DoS thông qua bên thứ ba, - Tin tưởng mạng bên thứ ba có mức an toàn cao Internet A.12.3 Các biện pháp an toàn Các biện pháp an toàn nhằm cho truy cập định tuyến tới tổ chức bên thứ ba bao gồm: - Tất kết nối bên thứ ba cô lập tường lửa khác sử dụng cho Internet lớp kết nối khác, - Áp dụng phần mềm chống mã độc, bao gồm phần mềm làm việc với tường lửa để kiểm tra cho mã Java ActiveX (như đề cập trên, mã vậy không công nhận phần mềm chống mã độc (bao gồm chống virus) thông thường virus vậy phát hiện, kiểm tra xem có hơp lệ hay khơng), - Xác thực mạnh dựa thẻ card, cách, sử dụng chứng thư số túi khóa hay card thông minh xác thực hai yếu tố với thẻ, 91 TCVN xxxx-1:2012 - Nếu kết nối thông qua truy cập định tuyến ISDN, CLID sử dụng phương pháp xác thực bổ sung, - Các định tuyến, bao gồm đầu xa kết nối, xác thực thông qua máy chủ xác thực, TACACS+ Tuy nhiên, không đạt thỏa thuận cho phương pháp xác thực với bên thứ ba bí mật chia sẻ sử dụng có triển khai, trao đổi mật Với số lượng kết nối lớn, chứng thư số phải sử dụng chúng thay đổi thường xuyên, - Bộ định tuyến bên thứ ba sử dụng phương tiện xác thực, chứng thư số, chia sẻ bí mật, RADIUS, TACACS+, - Các định tuyến hai đầu đường kết nối giữ an toàn mức vật lý, - Tất kết nối bên thứ ba bao hàm điều kiện cho tài liệu kết nối an tồn kí tổ chức bên thứ ba trước kết nối cho phép, - Xem xét sử dụng IDS/IPS, - Triển khai biện pháp ghi nhật ký - Đối với truy cập bên thứ ba, tài liệu cấu hình thiết lập thỏa thuận bao gồm tổng quan yêu cầu, sơ đồ mạng, thơng tin cấu hình chi tiết địa IP, phương pháp xác thực A.13 Trung tâm liệu Intranet A.13.1 Kiến thức Trung tâm liệu Intranet chứa hầu hết ứng dụng liệu quan trọng cho tổ chức Trung tâm liệu phần quan trọng hạ tầng tổ chức có quan hệ thống với khía cạnh khác mạng bao hàm điều phụ lục Mặc dù lưu trữ (SAN) khía cạnh máy chủ cá nhân trung tâm liệu phạm vi tiêu chuẩn (như làm chắn máy chủ sở liệu), số xem xét an toàn tổng thể trung tâm liệu biên soạn Mối đe dọa nhà quản trị an toàn IT ngày tăng lên từ thử nghiệm tương đối bình thường nhằm tàn phá mạng công tinh vi nhằm mục đích lợi nhuận đánh cắp liệu nhạy cảm doanh nghiệp Triển khai khả an toàn trung tâm liệu chắn để bảo vệ ứng dụng liệu nhạy cảm quan trọng đá tảng nỗ lực an tồn mạng doanh nghiệp Vì trách nhiệm an toàn cho trung tâm liệu trì tính sẵn sàng dịch vụ, cách mà an tồn ảnh hưởng đến luồng lưu lượng, tính qui mơ, lỗi phải xem xét cẩn thận A.13.2 Rủi ro an tồn 92 TCVN xxxx-1:2012 Các hướng cơng lên mức cao nhằm phá hoại bảo vệ mạng nhằm trực tiếp đến ứng dụng Các công dựa HTTP, XML SQL nỗ lực hữu ích cho hầu hết người cơng giao thức thường phép qua mạng doanh nghiệp vào trung tâm liệu Intranet Một số hướng đe dọa ảnh hưởng đến trung tâm liệu Intranet sau: • Truy cập bất hợp pháp đến liệu, • Truy cập bất hợp pháp đến ứng dụng, • Truy cập thiết bị bất hợp pháp, • Ngắt dịch vụ quan trọng cơng DoS, • Các cơng chưa phát hiện được, • Mất liệu, • Khơng có khả khơi phục liệu, • Các cơng có mục tiêu để thay đổi liệu, • Leo thang đặc quyền, • Cài đặt phần mềm độc hại, • Sử dụng dịch vụ bất hợp pháp, bao gồm vi phạm sách tổ chức A.13.3 Các biện pháp an toàn Các biện pháp an toàn ky thuật cho trung tâm liệu bao gồm: • Các cổng an toàn để biện pháp truy cập vào trung tâm liệu, • Sử dụng IPS/IDS trung tâm liệu, • Biện pháp chống mã độc (bao gồm chống virus) máy chủ, • Quản lý an tồn thiết bị hạ tầng, • Khả ghi nhật ký đăng nhập ghi hỗ trợ dịch vụ đồng thời gian qua tất thành phần trung tâm liệu, • Lên kế hoạch liên tục nghiệp vụ cho lỗi, • Thiết kế mềm dẻo, • Thường xun kiểm tra tính tồn vẹn thay đổi liệu bất hợp pháp, • Chia VLAN để phân biệt dịch vụ trung tâm liệu nhằm bảo vệ dịch vụ nhạy cảm tốt hơn, 93 • TCVN xxxx-1:2012 Các thiết bị LAN cấu hình để biện pháp thay đổi địa MAC khơng quản lý, • Sử dụng giao thức quản lý an toàn Phụ lục B (Tham khảo) Tham chiếu chéo TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, điều TCVN xxxx-1:2012 Bảng B.1: Tham chiếu chéo TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, điều TCVN xxxx Các mục ISO/IEC Nội dung 27001 ISO/IEC 27001 Các mục TCVN xxxx1:2012 10.4.1 Các biện pháp chống Các biện pháp phát hiện, ngăn lại mã độc chặn, khôi phục để bảo vệ chống 8.7 Bảo vệ chống lại mã độc lại mã độc thủ tục nhận biết người dùng thích hợp phải triển khai 10.4.2 Các biện pháp chống Nếu việc sử dụng mã di động 7.2.2.2 Kiến trúc, ứng dụng mã di động cho phép, cấu hình phải đảm bảo dịch vụ mạng mã di động cho phép vận hành theo sách an toàn định nghĩa rõ ràng, mã di động trái phép phải bị ngăn chặn không triển khai 10.6.1 – Các biện pháp Các mạng nên quản lý Xem điều 10.6.1 IG bên mạng kiểm soát thỏa đáng, để bảo vệ từ Mục a) tời Mục e) tránh khỏi mối đe dọa, để TCVN ISO/IEC trì an tồn cho hệ thống 27001/27002 ứng dụng sử dụng mạng bao gồm thông tin truyền tải 10.6.1 IG a) Trách nhiệm vận hành mạng 8.2 Quản lý an toàn mạng nên phân tách từ vận hành máy tính phù hợp 10.6.1 IG b) Những trách nhiệm thủ tục việc quản lý thiết bị từ xa bao gồm thiết bị lĩnh vực 94 11.7 Truy cập dịch vụ từ xa (Thơng tin chi tiết tìm thấy ISO/IEC TCVN xxxx-1:2012 10.6.1 IG c) người dùng, phải thiết lập xxxx-5) Các biện pháp đặc biệt phải Tất biện pháp thiết lập để bảo vệ tính bí mật Điều 11 Các chun đề tính tồn vẹn liệu truyền “công nghệ” - rủi ro, ky thuật qua mạng công cộng thiết kế vấn đề mạng không dây để bảo vệ biện pháp hệ thống kết nối ứng dụng (xem Mục 11.4 Mục 12.3); biện pháp đặc biệt u cầu để trì tính sẵn sàng dịch vụ mạng kết nối máy tính 10.6.1 IG d) Việc ghi nhật ký giám sát thích 8.5 Ghi nhật ký kiểm tốn hợp phải áp dụng giám sát mạng phép ghi lại hành động liên quan đến an toàn 10.6.1 IG e) Các hoạt động quản lý phải 8.2 Quản lý an toàn mạng phối hợp chặt chẽ để vừa tối ưu dịch vụ tổ chức vừa đảm bảo biện pháp áp dụng thống qua kiến trúc xử lý thông tin 10.6.2 Các dịch vụ mạng an Các đặc tính an tồn, mức độ 8.2 Quản lý an toàn mạng toàn dịch vụ yêu cầu quản lý (và liên quan tới Điều 8, Điều tất dịch vụ mạng phải Điều 11) xác định bao gồm thỏa thuận dịch vụ mạng nào, liệu dịch vụ cung cấp nhà hay th ngồi 10.8.1 Các sách thủ Các sách, thủ tục 6.2 Lập kế hoạch quản lý tục trao đổi thơng tin biện pháp trao đổi thơng tin an toàn mạng thức phải thực hiện để bảo vệ việc trao đổi thông tin thông qua sử dụng tất các loại thông tin liên lạc 10.8.4 Tin nhắn điện tử Các thông tin liên quan đến nhắn A.11 Thư điện tử qua mạng 95 TCVN xxxx-1:2012 tin điện tử nên bảo vệ thích Internet hợp 10.9.1 Thương mại điện tử Các thông tin liên quan đến thương 10.4 Các dịch vụ doanh mại điện tử truyền qua mạng nghiệp tới doanh nghiệp công cộng phải bảo vệ chống lại hoạt động gian lận, tranh 10.5 Các dịch vụ doanh nghiệp tới khách hàng chấp hợp đồng không phép tiết lộ sửa đổi thông tin bất hợp pháp 10.9.2 Giao dịch trực tuyến Các thông tin liên quan đến 10.5 Các dịch vụ doanh giao dịch trực tuyến phải bảo nghiệp tới khách hàng vệ để ngăn chặn việc giao dịch chưa hoàn thành, định tuyến sai, thay đổi, tiết lộ, chép hay chuyển tiếp thông tin bất hợp pháp 10.9.3 Thơng tin cơng bố Tính tồn vẹn thơng tin mà cơng khai tạo lập sẵn có hệ A.10 Lưu trữ nội dung Web thống thông tin công bố công khai phải bảo vệ để ngăn chặn việc chỉnh sửa bất hợp pháp 11.4.1 Chính sách việc sử Người sử dụng nên cung 8.2.2.2 Chính sách an tồn dụng dịch vụ mạng cấp với truy cập tới dịch vụ mà mạng họ phép sử dụng cách rõ ràng 11.4.2 Xác thực người dùng Các phương thức xác thực thích cho kết nối bên ngồi hợp nên sử dụng để kiểm 8.4 Nhận dạng xác thực soát truy cập người dùng từ xa 11.4.3 Nhận biết thiết bị Tự động nhận biết thiết bị nên mạng coi phương tiện xác thực kết nối từ địa điểm thiết bị cụ thể 11.4.4 Chuẩn đoán từ xa Truy cập vật lý logic tới cấu hình bảo vệ cổng cổng cấu hình chuẩn đốn nên kiểm sốt 11.4.5 Phân tách Các nhóm dịch vụ thông tin, người mạng sử dụng hệ thống thông tin nên phân tách mạng 11.4.6 Kiểm soát kết nối Đối với mạng chia sẻ, 96 11 Các chuyê đề “công TCVN xxxx-1:2012 mạng đặc biệt mạng mở rộng vượt nghệ”-rủi ro, ky thuật thiết kế ranh giới tổ chức, khả vấn đề biện pháp người sử dụng kết tới mạng nên bị hạn chế, phù hợp với sách kiểm sốt truy cập yêu cầu ứng dụng nghiệp vụ 11.4.7 Kiểm soát định tuyến mạng Các kiểm soát định tuyến nên A.6 Cổng thơng tin an tồn triển khai cho mạng để đảm bảo kết nối máy tính luồng thơng tin khơng vi phạm sách kiểm sốt truy cập ứng dụng nghiệp vụ Bảng B.2 – Tham chiếu chéo điều khoản TCVN xxxx TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 Các Mục TCVN Nội dung ISO/IEC xxxx-1 Các Mục TCVN ISO/IEC 27001 TCVN ISO/IEC 27001 6.2 Tổng quan Lập kế hoạch quản lý an tồn 10.8.1 Các sách thủ mạng tục trao đổi thông tin Nhận biết rủi ro chuẩn bị nhận biết biện pháp an tồn 7.2 Thơng tin mạng hiện có và/hoặc mạng lập kế hoạch 7.2.1 Các yêu cầu an tồn sách an tồn thơng tin doanh nghiệp 7.2.2 Thơng tin mạng hiện có và/hoặc mạng lập kế hoạch 7.2.2.2 7.2.2.3 Kiến trúc, ứng dụng dịch vụ 10.4.2 Các biện pháp chống mạng mã di động Các loại kết nối mạng 97 TCVN xxxx-1:2012 7.2.2.4 Các đặc tính mạng khác 7.2.2.5 Các thơng tin khác 7.3 Các rủi ro an tồn thơng tin biện pháp tiềm 8.2 Quản lý an tồn mạng 10.6.1 Các biện pháp kiểm sốt mạng 8.2.2 Các hoạt động quản lý an tồn mạng 8.2.2.2 Chính sách an tồn mạng 5.1 Chính sách an tồn thơng tin 11.4.1 Chính sách sử dụng dịch vụ mạng 8.2.2.3 Các thủ tục vận hành an toàn mạng 8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng 8.2.2.5 Điều kiện an toàn cho kết nối mạng đa tổ chức 8.2.2.6 Các điều kiện an toàn ban hành cho người sử dụng mạng từ xa 8.2.2.7 Quản lý cố an toàn mạng 13 Quản lý cố an toàn thơng tin 8.2.3 Vai trị trách nhiệm an tồn 8.1.1 Vai trị trách nhiệm mạng 8.3 Quản lý điểm yếu ky thuật 12.6 Ky thuật quản lý lỗ hổng 8.4 Nhận dạng xác thực 11.4.2 Xác thực người dùng cho kết nối bên 11.5.2 Nhận dạng xác thực người dùng 8.5 Ghi nhật ký giám sát kiểm toán mạng 10.6.1 Các biện pháp kiểm soát mạng 10.10.1 Ghi nhật ký kiểm toán 8.6 Phát hiện ngăn chặn xâm nhập 8.7 Bảo vệ chống lại mã độc 10.4 Bảo vệ chống lại mã độc mã di động 8.8 Dịch vụ dựa mã hóa 12.3 Các biện pháp mã hóa 8.9 Quản lý tính liên tục nghiệp 14 Quản lý tính liên tục 98 TCVN xxxx-1:2012 vụ nghiệp vụ Hướng dẫn thiết kế triển khai an toàn mạng 9.2 Kiến trúc/thiết kế an toàn ky thuật mạng 10 Kịch mạng tham chiếu – Rủi ro, thiết kế, ky thuật vấn đề biện pháp 10.2 Dịch vụ truy cập Internet cho nhân viên 10.3 Các dịch vụ hợp tác nâng cao 10.4 Các dịch vụ doanh nghiệp tới 10.9.1 Thương mại điện tử doanh nghiệp 10.5 Các dịch vụ doanh nghiệp tới 10.9.1 Thương mại điện tử khách hàng 10.9.2 Giao dịch trực tuyến 10.6 Các dịch vụ thuê 10.7 Phân đoạn mạng 10.8 Thông tin di động 10.9 Hỗ trợ mạng cho người sử dụng di chuyển 10.10 Hỗ trợ mạng cho gia đình văn phịng doanhdoanh nghiệp nhỏ 11 Các chuyên đề “công nghệ” - 10.6.1 Các biện pháp mạng Rủi ro, thiết kế ky thuật vấn đề biện pháp 12 Phát triển kiểm tra giải pháp an toàn 13 Vận hành giải pháp an tồn 14 Giám sát sốt xét việc triển khai giải pháp Phục lục A Các chuyên đề “công nghệ ” – rủi ro, thiết kế ky thuật vấn đề biện pháp A.1 Mạng cục A.2 Mạng diện rộng A.3 Mạng không dây 99 TCVN xxxx-1:2012 A.4 Mạng vô tuyến A.5 Mạng băng rộng A.6 Cổng thơng tin an tồn 11.4.7 Kiểm sốt định tuyến mạng A.7 Mạng riêng ảo A.8 Mạng thoại A.9 Hội tụ IP A.10 Lưu trữ nội dung Web 10.9.3 Thông tin sẵn sàng công cộng A.11 Thư điện tử Internet A.12 Truy cập định hướng đến tổ 10.8.4 Nhắn tin điện tử chức bên thứ ba Phụ lục C (Tham khảo) Ví dụ mẫu đới với tài liệu SecOP Giới thiệu 1.1 Kiến thức 1.2 Cấu trúc tài liệu Phạm vi 2.1 Địa điểm 2.2 Hạ tầng ky thuật 2.2.1 Môi trường CNTT 2.2.2 Kiến trúc mạng 2.2.3 Vị trí 2.2.4 Vị trí 2.2.5 Vị trí 2.2.6 Các kết nối bên ngồi Chính sách an tồn An tồn thơng tin tổ chức 4.1 Giới thiệu 4.2 Cơ cấu quản lý an toàn trách nhiệm 4.2.1 Cán an toàn tổ chức 100 TCVN xxxx-1:2012 4.2.2 Cán an toàn tổ chức cấp phó 4.2.3 Thơng tin cán an tồn tổ chức 4.2.4 Nhóm hỗ trợ CNTT (như có liên quan) 4.2.5 Khu vực quản lý nghiệp vụ 4.2.6 Nhân viên 4.2.7 Ban quản lý tổ chức 4.3 Sự cố an tồn thơng tin báo cáo điểm yếu 4.4 Phân cấp SecOPs 4.5 Đánh giá rủi ro có liên quan đến bên bên ngồi tổ chức 4.6 Các thỏa thuận việc truy cập từ bên bên ngồi (bên thứ ba) 4.7 Gia cơng phần mềm Quản lý tài sản 5.1 Kiểm kê tài sản 5.2 Điều kiện sử dụng chấp nhận thông tin tài sản khác 5.3 Phân loại thơng tin An tồn nguồn nhân lực 6.1 Tính an tồn tối thiểu nhân viên, bao gồm cho phép sử dụng thơng tin bí mật, yêu cầu 6.2 Điều khoản điều kiện 6.3 Đào tạo nâng cao nhận thức an toàn thơng tin 6.4 Quy trình xử lý kỷ ḷt 6.5 Giám sát nhân 6.6 Chấm dứt làm việc 6.7 Thẻ truy cập an tồn/thẻ vào tịa nhà 6.8 Truy cập vật lý tới mạng hệ thống CNTT An tồn vật lý mơi trường 7.1 Thực hiện biện pháp an tồn vật lý mơi trường 7.2 Vành đai an toàn vật lý 7.3 Các biện pháp đầu vào vật lý 7.4 Làm việc phòng/khu vực 7.5 Xác định vị trí thiết bị 7.6 Khóa kết hợp 7.7 Hệ thống báo động phát hiện xâm nhập 7.8 Sự bảo vệ thiết bị chống trộm 7.9 Di chuyển thiết bị 7.10 Biện pháp truy cập phần cứng 7.11 Phát hiện giả mạo 101 TCVN xxxx-1:2012 7.12 Bảo trì sửa chữa 7.13 An toàn nguồn điện 7.14 An toàn hỏa hoạn 7.15 An toàn nguồn nước/chất lỏng 7.16 Cảnh báo an tồn 7.17 An tồn máy tính cá nhân Truyền thông hoạt động quản lý 8.1 Thủ tục trách nhiệm vận hành 8.1.1 Thay đổi thủ tục kiểm soát 8.1.2 Sự phân biệt nhiệm vụ lĩnh vực trách nhiệm 8.2 Lập kế hoạch chấp nhận hệ thống 8.2.1 Khả lập kế hoạch 8.2.2 Chấp nhận hệ thống 8.3 Bảo vệ chống lại mã độc hại mã di động 8.3.1 Phòng ngừa 8.3.2 Phát hiện 8.3.3 Phục hồi 8.3.4 Mã di động 8.4 Sao lưu phục hồi 8.5 Công nghệ thông tin (bao gồm mạng) thành phần khởi tạo tắt 8.6 Phương tiện truyền thơng an tồn (bao gồm tài liệu) 8.6.1 Quản lý phương tiện truyền thông di động 8.6.2 Đầu in 8.6.3 Tái sử dụng an toàn loại bỏ phương tiện truyền thông 8.7 Trao đổi thông tin 8.8 Giám sát 8.9 8.8.1 Kế toán kiểm toán 8.8.2 Các ghi kế tốn thủ cơng 8.8.3 Đồng hóa thời gian Các ghi điều hành 8.10 Sự ghi chép lỗi 8.11 Kế hoạch công nghệ thông tin truyền thông Biện pháp truy cập 9.1 Quản lý tài khoản người dùng 9.1.1 Yêu cầu tài khoản người dùng 9.1.2 Tạo tài khoản người dùng 9.1.3 Sốt xét, vơ hiệu hóa xóa tài khoản người dùng 9.2 Cấu hình biện pháp truy cập 102 TCVN xxxx-1:2012 9.3 Quản lý mật 9.3.1 Biện pháp thực hiện 9.3.2 Hệ mật 9.3.3 Lưu trữ truyền tải mật 9.3.4 Thay đổi mật 9.3.5 Đánh giá mật 9.3.6 Duy trì mật 9.3.7 Người dùng đặc quyền/Hệ thống quản lý giám sát mật 9.4 Thẻ truy cập an toàn 9.5 Biện pháp truy cập mạng 9.5.1 Tổng quan 9.5.2 Các kết nối bên 9.6 Điều kiện an toàn cho kết nối 9.7 Truy cập từ xa 9.8 Hệ điều hành, ứng dụng thông tin, biện pháp truy cập 9.9 Máy tính di động làm việc từ xa 9.9.1 Tổng quan 9.9.2 An tồn máy tính xách tay 9.9.3 An tồn PDA 10 Hệ thống thu nhận thông tin, phát triển trì 10.1 An tồn tệp tin hệ thống 10.1.1 Kiểm soát phần mềm vận hành 10.1.2 Bảo vệ liệu kiểm thử hệ thống 10.1.3 Bảo vệ mã nguồn 10.2 An tồn q trình phát triển hỗ trợ 10.2.1 Tính tồn vẹn hệ thống phần mềm ứng dụng 10.2.2 Phát triển hợp đồng phụ/Gia công phần mềm 10.3 Bảo trì phần mềm 10.4 Bản ghi lỗi phần mềm 10.5 Quản lý điểm yếu ky thuật 11 Quản lý cố an tồn thơng tin 11.1 Sự cố điểm yếu an tồn thơng tin 11.2 Sự cố công nghệ thông tin cố mạng 12 Quản lý liên tục nghiệp vụ 12.1 Lập kế hoạch liên tục nghiệp vụ 12.2 Thủ tục lưu 12.3 Trường hợp khẩn cấp cố 103 TCVN xxxx-1:2012 12.3.1 Lỗi phần cứng 12.3.2 Lỗi phần mềm 12.3.3 Hỏa hoạn/di tản tòa nhà 13 Sự tuân thủ 13.1 Tuân thủ yêu cầu pháp lý 13.2 Tuân thủ sách tiêu chuẩn an tồn thơng tin, tn thủ theo ky tḥt 13.3 Bảo vệ cơng cụ kiểm tốn hệ thống 14 Tài liệu cấu hình 14.1 Phản hồi 14.2 Những thay đổi SecOPs Phụ lục A: Tham khảo 104 TCVN xxxx-1:2012 Thư mục tài liệu tham khảo [1] ISO/IEC 27033-1:2009 - Information technology – Security techniques – Network security – Part 1: Overview and concepts (ISO/IEC 27033-1:2009 - Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan khái niệm) [2] ISO/IEC 18028-1:2006 - Công nghệ thơng tin – Ky tḥt an tồn – An tồn mạng IT – Phần 1: Quản lý an toàn mạng (Information technology – Security techniques – IT network security – Part 1: Network security management) [3] ISO/IEC 18028-2:2006 - Công nghệ thơng tin – Ky tḥt an tồn – An toàn mạng IT – Phần 2: Kiến trúc an toàn mạng (Information technology – Security techniques – IT network security – Part 1: Network security architecture) [4] TCVN 27001:2009 – Cơng nghệ thơng tin - Ky tḥt an tồn – Các hệ thống quản lý an tồn thơng tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security techniques Information security management systems – Requirements) [5] TCVN 27002:2009 – Cơng nghệ thơng tin - Ky tḥt an tồn – Quy trình ky tḥt cho quản lý an tồn thông tin (TCVN 27002:2009 – Information technology – Security techniques – Code of practice for information security management) [6] ISO/IEC 27000:2009 – Information technology – Security techniques - Information security management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thơng tin - Kỹ thuật an tồn – Các hệ thống quản lý an tồn thơng tin – Tổng quan từ vựng) [7] ISO/IEC 7498 – Information technology – Open Systems Interconnection – Basis Reference Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối hệ thống mở – Mơ hình tham chiếu sở) [8] ISO/IEC 27005:2011 – Information technology – Security techniques – Information security risk management (ISO/IEC 27005:2011 – Công nghệ thông tin - Kỹ thuật an toàn – Quản lý rủi ro an tồn thơng tin) 105