Cổng thông tin an toàn

Một phần của tài liệu Dự thảo an toàn mạng (Trang 73 - 75)

14 Giám sát và soát xét việc triển khai giải pháp

A.6 Cổng thông tin an toàn

A.6.1 Kiến thức cơ bản

Việc bố trí cổng thông tin an toàn thích hợp sẽ bảo vệ an toàn cho các hệ thống bên trong tổ chức, quản lý và kiểm soát an toàn các lưu lượng truyền qua nó, phù hợp với một chính sách truy cập dịch vụ cổng an toàn đã được ban hành (xem Mục A.6.3 ở bên dưới).

A.6.2 Các rủi ro an toàn

Những kẻ tấn công mạng càng ngày càng trở nên tinh vi hơn trong việc cố gắng xâm phạm các mạng nghiệp vụ và cổng thông tin là trung tâm chú ý. Các cố gắng truy cập bất hợp pháp có thể là cố tình làm hư hại, như việc dẫn đến tấn công từ chối dịch vụ, chúng có thể cũng nhằm sử dụng sai tài nguyên, hoặc lấy các thông tin có giá trị. Cổng cần bảo vệ tổ chức tránh khỏi các xâm phạm như thế từ thế giới bên ngoài, như từ mạng Internet hoặc từ các mạng của bên thứ ba. Các nội dung không giám sát được đặt ra cho tổ chức các vấn đề về pháp luật và khả năng mất quyền sở hữu trí tuệ. Thêm vào đó, khi càng nhiều tổ chức kết nối tới Internet để đáp ứng những yêu cầu của tổ chức đó thì họ phải đối mặt với yêu cầu kiểm soát truy cập đến các Website không thích hợp hoặc có thể bị phản đối. Nếu không có sự kiểm soát đó, các tổ chức sẽ gặp rủi ro mất hiệu suất, lộ trách nhiệm, và phân bổ băng thông sai do lướt các trang Web không phục vụ công việc. Do đó, các rủi ro an toàn chủ yếu được xử lý bao gồm những rủi ro có liên quan đến:

• Các kết nối tới thế giới bên ngoài trở nên không sẵn sàng,

• Dữ liệu bị gián đoạn,

• Tài sản/thông tin có giá trị của công ty dễ bị tiết lộ bất hợp pháp,

• Dữ liệu trên các Website hoặc các dữ liệu được truyền đi mà không có tư cách pháp nhân

đúng đắn có thể cũng phải chịu các hình phạt pháp luật, ví dụ như giao dịch nội gián.

A.6.3 Các biện pháp an toàn

Cổng an toàn phải:

- Tách biệt các mạng logic,

- Cung cấp các chức năng hạn chế và phân tích thông tin được truyền giữa các mạng logic,

- Được sử dụng bởi một tổ chức như là một phương tiện kiểm soát truy cập tới và từ mạng

của tổ chức,

- Cung cấp một điểm vào mạng duy nhất được kiểm soát và có thể quản lý được,

- Tuân theo chính sách an toàn của tổ chức về các kết nối mạng,

- Cung cấp một điểm đơn cho bản ghi.

Đối với mỗi cổng an toàn, một tài liệu chính sách (an toàn) truy cập dịch vụ riêng phải được phát triển và nội dung phải được thực hiện để đảm bảo rằng chỉ có lưu lượng hợp pháp mới được cho phép đi qua. Tài liệu này phải chứa các chi tiết về bộ qui tắc mà cổng là cần thiết để quản trị mạng, và cấu hình của cổng. Nó cũng phải có khả năng xác định được các kết nối được phép một cách riêng biệt theo các giao thức phương tiện thông tin và các chi tiết khác. Vì vậy, để đảm bảo chắc chắn rằng chỉ những người dùng và lưu lượng hợp lệ mới được truy cập từ các kết nối truyền thông thì chính sách phải xác định được và ghi nhật ký một cách chi tiết các ràng buộc và những qui tắc được áp dụng cho lưu lượng truyền vào/ra qua cổng an toàn và các tham số để quản lý và cấu hình nó.

Với tất cả các cổng an toàn, các nhận dạng và xác thực sẵn có, biện pháp truy cập hợp lý và các thiết bị kiểm toán phải được sử dụng tối đa. Thêm vào đó, chúng phải được kiểm tra thường xuyên đối với các phần mềm và/hoặc dữ liệu bất hợp pháp, và nếu những vấn đề này được phát hiện thì các bản báo cáo sự cố phải được làm ra phù hợp với kế hoạch quản lý sự cố an toàn thông tin của tổ chức và/hoặc cộng đồng (xem ISO/IEC 27035).

Cần nhấn mạnh rằng, kết nối vào mạng chỉ nên được tiến hành sau khi đã kiểm tra sự phù hợp của cổng an toàn được chọn với các yêu cầu của tổ chức và/hoặc cộng đồng, và tất cả các rủi ro an toàn từ kết nối như vậy có thể được quản lý an toàn. Điều này đảm bảo rằng những hành động vượt qua cổng an toàn là không thể thực hiện được.

Tường lửa là một ví dụ rõ ràng của cổng an toàn. Các bức tường lửa thường phải đạt được một mức bảo đảm thích hợp tương xứng với các rủi ro đã được đánh giá, với bộ qui tắc tường lửa chuẩn thường bắt đầu bằng việc từ chối tất cả các truy cập giữa mạng trong và mạng ngoài, và bổ sung thêm các qui tắc tường minh chỉ để đáp ứng được các yêu cầu của đường truyền.

Các nội dung chi tiết hơn về cổng an toàn được cung cấp trong TCVN xxxx-4 (cũng như trong TCVN ISO/IEC 27002:2011 và ISO/IEC 27005).

Phải lưu ý rằng, khi các khía cạnh an toàn mạng của tường lửa cá nhân, một loại tường lửa đặc biệt, không được đề cập đến trong TCVN xxxx-4 thì chúng cũng nên được xem xét. Không giống như phần lớn các mạng trung tâm mà được bảo vệ bởi các tường lửa dành riêng, các hệ thống từ xa không thể đảm bảo chi phí và các kỹ năng chuyên môn để hỗ trợ các thiết bị này. Thay vào đó, tường lửa cá nhân có thể được sử dụng để kiểm soát luồng thông tin đến máy tính từ xa (và thỉnh thoảng kiểm soát luồng thông tin đi ra từ máy tính từ xa). Việc quản trị các qui tắc (chính sách) của tường lửa có thể được tiến hành từ xa bởi những nhân viên ở mạng trung tâm, giảm nhẹ yêu cầu thông hiểu kỹ thuật cho người sử dụng hệ thống từ xa. Tuy nhiên, nếu điều này là không thể thì cần phải xem xét để đảm bảo một cấu hình hiệu quả, đặc biệt nếu người sử dụng ở vị trí xa không phải là người hiểu biết về IT. Một số tường lửa cá nhân cũng có thể hạn chế khả năng truyền tải trên mạng đối với các chương trình hợp pháp (hoặc thậm chí cả thư viện), nhằm hạn chế khả năng lan truyền phần mềm độc hại.

Một phần của tài liệu Dự thảo an toàn mạng (Trang 73 - 75)

(105 trang)