Trung tâm dữ liệu Intranet

Một phần của tài liệu Dự thảo an toàn mạng (Trang 92 - 105)

14 Giám sát và soát xét việc triển khai giải pháp

A.13 Trung tâm dữ liệu Intranet

A.13.1 Kiến thức cơ bản

Trung tâm dữ liệu Intranet chứa hầu hết các ứng dụng và dữ liệu quan trọng cho tổ chức. Trung tâm dữ liệu có thể là phần quan trọng của hạ tầng tổ chức và có quan hệ thống nhất với các khía cạnh khác của mạng được bao hàm trong các điều của phụ lục này. Mặc dù lưu trữ (SAN) và các khía cạnh máy chủ cá nhân trong trung tâm dữ liệu ngoài phạm vi của tiêu chuẩn này (như làm chắc chắn máy chủ và cơ sở dữ liệu), một số xem xét về an toàn tổng thể của trung tâm dữ liệu được biên soạn tại đây.

Mối đe dọa các nhà quản trị an toàn IT ngày nay tăng lên từ các thử nghiệm tương đối bình thường nhằm tàn phá trên mạng cho đến các tấn công tinh vi nhằm mục đích lợi nhuận và đánh cắp dữ liệu nhạy cảm của doanh nghiệp. Triển khai các khả năng an toàn trung tâm dữ liệu chắc chắn để bảo vệ các ứng dụng và dữ liệu nhạy cảm quan trọng là hòn đá tảng trong nỗ lực an toàn mạng doanh nghiệp.

Vì rằng trách nhiệm chính của an toàn cho trung tâm dữ liệu là duy trì tính sẵn sàng của dịch vụ, cách mà an toàn ảnh hưởng đến luồng lưu lượng, tính qui mô, và lỗi phải được xem xét cẩn thận.

Các hướng tấn công đã lên mức cao hơn nhằm phá hoại bảo vệ mạng và nhằm trực tiếp đến các ứng dụng. Các tấn công dựa trên HTTP, XML và SQL là các nỗ lực hữu ích cho hầu hết người tấn công vì rằng các giao thức này thường được phép đi qua mạng doanh nghiệp và vào trung tâm dữ liệu Intranet.

Một số hướng đe dọa ảnh hưởng đến trung tâm dữ liệu Intranet như sau:

• Truy cập bất hợp pháp đến dữ liệu,

• Truy cập bất hợp pháp đến ứng dụng,

• Truy cập thiết bị bất hợp pháp,

• Ngắt các dịch vụ quan trọng do tấn công DoS,

• Các tấn công chưa phát hiện được,

• Mất dữ liệu,

• Không có khả năng khôi phục dữ liệu,

• Các tấn công có mục tiêu để thay đổi dữ liệu,

• Leo thang đặc quyền,

• Cài đặt phần mềm độc hại,

• Sử dụng các dịch vụ bất hợp pháp, bao gồm vi phạm chính sách tổ chức.

A.13.3 Các biện pháp an toàn

Các biện pháp an toàn kỹ thuật cho trung tâm dữ liệu có thể bao gồm:

• Các cổng an toàn để biện pháp truy cập vào trung tâm dữ liệu,

• Sử dụng IPS/IDS trong trung tâm dữ liệu,

• Biện pháp chống mã độc (bao gồm chống virus) tại máy chủ,

• Quản lý an toàn các thiết bị hạ tầng,

• Khả năng ghi nhật ký đăng nhập và bản ghi hỗ trợ bởi dịch vụ đồng bộ thời gian qua tất cả

các thành phần trong trung tâm dữ liệu,

• Lên kế hoạch liên tục nghiệp vụ cho các lỗi,

• Thiết kế mềm dẻo,

• Thường xuyên kiểm tra tính toàn vẹn đối với các thay đổi dữ liệu bất hợp pháp,

• Chia VLAN để phân biệt dịch vụ trong trung tâm dữ liệu nhằm bảo vệ các dịch vụ nhạy

cảm tốt hơn,

• Các thiết bị LAN được cấu hình để biện pháp các thay đổi địa chỉ MAC không được quản lý,

• Sử dụng các giao thức quản lý an toàn.

Phụ lục B

(Tham khảo)

Tham chiếu chéo giữa TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, và các điều trong TCVN xxxx-1:2012

Bảng B.1: Tham chiếu chéo giữa TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn mạng, và các điều trong TCVN xxxx

Các mục trong ISO/IEC 27001 và ISO/IEC 27001

Nội dung Các mục trong TCVN xxxx- 1:2012

10.4.1 Các biện pháp chống lại mã độc

Các biện pháp phát hiện, ngăn chặn, khôi phục để bảo vệ chống lại mã độc và các thủ tục nhận biết

người dùng thích hợp phải được triển khai

8.7 Bảo vệ chống lại mã độc

10.4.2 Các biện pháp chống mã di động

Nếu việc sử dụng mã di động được cho phép, cấu hình phải đảm bảo

rằng mã di động được cho phép vận hành theo một chính sách an toàn đã được định nghĩa rõ ràng, và mã di động trái phép phải bị ngăn chặn không được triển khai

7.2.2.2 Kiến trúc, ứng dụng và dịch vụ mạng

10.6.1 – Các biện pháp mạng

Các mạng nên được quản lý và kiểm soát thỏa đáng, để bảo vệ tránh khỏi các mối đe dọa, và để duy trì an toàn cho hệ thống và các ứng dụng sử dụng mạng bao gồm những thông tin đang được truyền tải

Xem ở điều 10.6.1 IG bên dưới từ Mục a) tời Mục e)

trong TCVN ISO/IEC 27001/27002

10.6.1 IG a) Trách nhiệm vận hành các mạng

nên được phân tách từ vận hành máy tính nếu phù hợp

8.2 Quản lý an toàn mạng

10.6.1 IG b) Những trách nhiệm và các thủ tục

đối với việc quản lý thiết bị từ xa bao gồm cả thiết bị trong lĩnh vực

11.7 Truy cập dịch vụ từ xa (Thông tin chi tiết có thể được tìm thấy trong ISO/IEC

người dùng, phải được thiết lập xxxx-5)

10.6.1 IG c) Các biện pháp đặc biệt phải được

thiết lập để bảo vệ tính bí mật và tính toàn vẹn của dữ liệu truyền

qua các mạng công cộng hoặc mạng không dây và để bảo vệ các

hệ thống kết nối và các ứng dụng (xem Mục 11.4 và Mục 12.3); các biện pháp đặc biệt cũng được yêu

cầu để duy trì tính sẵn sàng của các dịch vụ mạng và kết nối các

máy tính

Tất cả các biện pháp trong Điều 11. Các chuyên đề về “công nghệ” - rủi ro, kỹ thuật

thiết kế và các vấn đề về biện pháp

10.6.1 IG d) Việc ghi nhật ký và giám sát thích

hợp phải được áp dụng để cho phép ghi lại các hành động liên

quan đến an toàn

8.5 Ghi nhật ký kiểm toán và giám sát mạng

10.6.1 IG e) Các hoạt động quản lý phải được

phối hợp chặt chẽ để vừa tối ưu dịch vụ đối với tổ chức vừa đảm bảo các biện pháp được áp dụng

thống nhất qua kiến trúc xử lý thông tin 8.2 Quản lý an toàn mạng 10.6.2 Các dịch vụ mạng an toàn Các đặc tính an toàn, các mức độ dịch vụ và các yêu cầu quản lý của tất cả các dịch vụ mạng phải được xác định và được bao gồm trong bất kỳ thỏa thuận về dịch vụ mạng

nào, liệu các dịch vụ này được cung cấp trong nhà hay được thuê

ngoài

8.2 Quản lý an toàn mạng (và liên quan tới Điều 8, Điều

9 và Điều 11)

10.8.1 Các chính sách và thủ tục trao đổi thông tin

Các chính sách, các thủ tục và các biện pháp trao đổi thông tin chính

thức phải được thực hiện để bảo vệ việc trao đổi thông tin thông qua

sử dụng tất các các loại thông tin liên lạc

6.2 Lập kế hoạch và quản lý an toàn mạng

10.8.4 Tin nhắn điện tử Các thông tin liên quan đến nhắn A.11 Thư điện tử qua mạng

tin điện tử nên được bảo vệ thích hợp

Internet

10.9.1 Thương mại điện tử Các thông tin liên quan đến thương

mại điện tử truyền qua các mạng công cộng phải được bảo vệ chống

lại các hoạt động gian lận, tranh chấp hợp đồng và không được phép tiết lộ và sửa đổi thông tin bất

hợp pháp

10.4 Các dịch vụ doanh nghiệp tới doanh nghiệp

10.5 Các dịch vụ doanh nghiệp tới khách hàng

10.9.2 Giao dịch trực tuyến Các thông tin liên quan đến các

giao dịch trực tuyến phải được bảo vệ để ngăn chặn việc giao dịch chưa hoàn thành, định tuyến sai,

thay đổi, tiết lộ, sao chép hay chuyển tiếp thông tin bất hợp pháp

10.5 Các dịch vụ doanh nghiệp tới khách hàng

10.9.3 Thông tin công bố công khai

Tính toàn vẹn của thông tin mà được tạo lập sẵn có trên một hệ thống thông tin công bố công khai

phải được bảo vệ để ngăn chặn việc chỉnh sửa bất hợp pháp

A.10 Lưu trữ nội dung Web

11.4.1 Chính sách về việc sử dụng các dịch vụ mạng

Người sử dụng chỉ nên được cung cấp với truy cập tới các dịch vụ mà họ được phép sử dụng một cách rõ

ràng

8.2.2.2 Chính sách an toàn mạng

11.4.2 Xác thực người dùng cho các kết nối bên ngoài

Các phương thức xác thực thích hợp nên được sử dụng để kiểm soát truy cập bởi người dùng từ xa

8.4 Nhận dạng và xác thực

11.4.3 Nhận biết thiết bị trong mạng

Tự động nhận biết thiết bị nên được coi là một phương tiện xác

thực kết nối từ các địa điểm và thiết bị cụ thể

11.4.4 Chuẩn đoán từ xa và cấu hình bảo vệ cổng

Truy cập vật lý và logic tới các cổng cấu hình và chuẩn đoán nên

được kiểm soát 11.4.5 Phân tách trong các

mạng

Các nhóm dịch vụ thông tin, người sử dụng và các hệ thống thông tin nên được phân tách trên các mạng

mạng đặc biệt là các mạng mở rộng vượt ranh giới của tổ chức, khả năng của những người sử dụng khi kết tới mạng nên bị hạn chế, phù hợp với chính sách kiểm soát truy cập và các yêu cầu về các ứng dụng nghiệp vụ

nghệ”-rủi ro, kỹ thuật thiết kế và các vấn đề biện pháp

11.4.7 Kiểm soát định tuyến mạng

Các kiểm soát định tuyến nên được triển khai cho các mạng để đảm bảo rằng các kết nối máy tính

và các luồng thông tin không vi phạm chính sách kiểm soát truy cập của các ứng dụng nghiệp vụ

A.6 Cổng thông tin an toàn

Bảng B.2 – Tham chiếu chéo giữa các điều khoản trong TCVN xxxx và TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011

Các Mục trong TCVN ISO/IEC xxxx-1

Nội dung Các Mục trong TCVN

ISO/IEC 27001 và TCVN ISO/IEC 27001

6 Tổng quan

6.2 Lập kế hoạch và quản lý an toàn

mạng

10.8.1 Các chính sách và thủ tục trao đổi thông tin

7 Nhận biết các rủi ro và chuẩn bị

nhận biết các biện pháp an toàn

7.2 Thông tin về mạng hiện có và/hoặc

mạng đang được lập kế hoạch

7.2.1 Các yêu cầu an toàn trong chính

sách an toàn thông tin doanh nghiệp

7.2.2 Thông tin về mạng hiện có và/hoặc

mạng đã được lập kế hoạch 7.2.2.2 Kiến trúc, ứng dụng và dịch vụ mạng 10.4.2 Các biện pháp chống mã di động 7.2.2.3 Các loại kết nối mạng 97

7.2.2.4 Các đặc tính mạng khác

7.2.2.5 Các thông tin khác

7.3 Các rủi ro an toàn thông tin và các

biện pháp tiềm năng

8.2 Quản lý an toàn mạng 10.6.1 Các biện pháp kiểm

soát mạng

8.2.2 Các hoạt động quản lý an toàn

mạng 8.2.2.2 Chính sách an toàn mạng 5.1 Chính sách an toàn thông tin 11.4.1 Chính sách sử dụng các dịch vụ mạng 8.2.2.3 Các thủ tục vận hành an toàn mạng

8.2.2.4 Kiểm tra việc tuân thủ an toàn

mạng

8.2.2.5 Điều kiện an toàn cho kết nối mạng

đa tổ chức

8.2.2.6 Các điều kiện an toàn ban hành

cho người sử dụng mạng từ xa

8.2.2.7 Quản lý sự cố an toàn mạng 13 Quản lý sự cố an toàn

thông tin

8.2.3 Vai trò và trách nhiệm của an toàn

mạng

8.1.1 Vai trò và trách nhiệm

8.3 Quản lý điểm yếu kỹ thuật 12.6 Kỹ thuật quản lý lỗ hổng

8.4 Nhận dạng và xác thực 11.4.2 Xác thực người dùng

cho các kết nối bên ngoài 11.5.2 Nhận dạng và xác thực người dùng

8.5 Ghi nhật ký và giám sát kiểm toán

mạng

10.6.1 Các biện pháp kiểm soát mạng

10.10.1 Ghi nhật ký kiểm toán

8.6 Phát hiện và ngăn chặn xâm nhập

8.7 Bảo vệ chống lại mã độc 10.4 Bảo vệ chống lại mã

độc và mã di động

8.8 Dịch vụ dựa trên mã hóa 12.3 Các biện pháp mã hóa

vụ nghiệp vụ

9 Hướng dẫn thiết kế và triển khai an

toàn mạng

9.2 Kiến trúc/thiết kế an toàn kỹ thuật

mạng

10 Kịch bản mạng tham chiếu – Rủi

ro, thiết kế, kỹ thuật và các vấn đề về biện pháp

10.2 Dịch vụ truy cập Internet cho nhân

viên

10.3 Các dịch vụ hợp tác nâng cao

10.4 Các dịch vụ doanh nghiệp tới

doanh nghiệp

10.9.1 Thương mại điện tử

10.5 Các dịch vụ doanh nghiệp tới

khách hàng

10.9.1 Thương mại điện tử 10.9.2 Giao dịch trực tuyến 10.6 Các dịch vụ thuê ngoài 10.7 Phân đoạn mạng 10.8 Thông tin di động 10.9 Hỗ trợ mạng cho người sử dụng di chuyển

10.10 Hỗ trợ mạng cho gia đình và văn

phòng doanhdoanh nghiệp nhỏ

11 Các chuyên đề về “công nghệ” -

Rủi ro, thiết kế kỹ thuật và các vấn đề biện pháp

10.6.1 Các biện pháp mạng

12 Phát triển và kiểm tra các giải pháp

an toàn

13 Vận hành giải pháp an toàn

14 Giám sát và soát xét việc triển khai

giải pháp

Phục lục A Các chuyên đề về “công nghệ ” – rủi ro, thiết kế kỹ thuật và các vấn

đề biện pháp

A.1 Mạng cục bộ

A.2 Mạng diện rộng

A.3 Mạng không dây

A.4 Mạng vô tuyến

A.5 Mạng băng rộng

A.6 Cổng thông tin an toàn 11.4.7 Kiểm soát định tuyến

mạng

A.7 Mạng riêng ảo

A.8 Mạng thoại

A.9 Hội tụ IP

A.10 Lưu trữ nội dung Web 10.9.3 Thông tin sẵn sàng

công cộng

A.11 Thư điện tử Internet 10.8.4 Nhắn tin điện tử

A.12 Truy cập định hướng đến các tổ

chức bên thứ ba

Phụ lục C

(Tham khảo)

Ví dụ mẫu đối với tài liệu về SecOP

1 Giới thiệu

1.1 Kiến thức cơ bản 1.2 Cấu trúc tài liệu 2 Phạm vi 2.1 Địa điểm 2.2 Hạ tầng kỹ thuật 2.2.1 Môi trường CNTT 2.2.2 Kiến trúc mạng 2.2.3 Vị trí 1 2.2.4 Vị trí 2 2.2.5 Vị trí 3

2.2.6 Các kết nối bên ngoài 3 Chính sách an toàn

4 An toàn thông tin tổ chức 4.1 Giới thiệu

4.2 Cơ cấu quản lý an toàn và trách nhiệm 4.2.1 Cán bộ an toàn tổ chức

4.2.2 Cán bộ an toàn tổ chức cấp phó 4.2.3 Thông tin cán bộ an toàn tổ chức 4.2.4 Nhóm hỗ trợ CNTT (như có liên quan) 4.2.5 Khu vực quản lý nghiệp vụ

4.2.6 Nhân viên

4.2.7 Ban quản lý tổ chức

4.3 Sự cố an toàn thông tin và báo cáo điểm yếu 4.4 Phân cấp SecOPs

4.5 Đánh giá các rủi ro có liên quan đến các bên bên ngoài tổ chức 4.6 Các thỏa thuận về việc truy cập từ các bên bên ngoài (bên thứ ba) 4.7 Gia công phần mềm

5 Quản lý tài sản 5.1 Kiểm kê tài sản

5.2 Điều kiện sử dụng có thể chấp nhận được của thông tin và các tài sản khác 5.3 Phân loại thông tin

6 An toàn nguồn nhân lực

6.1 Tính an toàn tối thiểu đối với nhân viên, bao gồm sự cho phép sử dụng thông tin bí mật, các yêu cầu

6.2 Điều khoản và điều kiện

6.3 Đào tạo và nâng cao nhận thức an toàn thông tin 6.4 Quy trình xử lý kỷ luật

6.5 Giám sát nhân sự 6.6 Chấm dứt làm việc

6.7 Thẻ truy cập an toàn/thẻ ra vào tòa nhà 6.8 Truy cập vật lý tới mạng và hệ thống CNTT 7 An toàn vật lý và môi trường

7.1 Thực hiện biện pháp an toàn vật lý và môi trường 7.2 Vành đai an toàn vật lý

7.3 Các biện pháp đầu vào vật lý

7.4 Làm việc trong phòng/khu vực chính 7.5 Xác định vị trí của các thiết bị

7.6 Khóa và sự kết hợp

7.7 Hệ thống báo động phát hiện xâm nhập 7.8 Sự bảo vệ của thiết bị chống trộm 7.9 Di chuyển thiết bị

7.10 Biện pháp truy cập phần cứng 7.11 Phát hiện giả mạo

7.12 Bảo trì và sửa chữa 7.13 An toàn nguồn điện 7.14 An toàn hỏa hoạn

7.15 An toàn nguồn nước/chất lỏng 7.16 Cảnh báo an toàn

7.17 An toàn máy tính cá nhân 8 Truyền thông và các hoạt động quản lý

8.1 Thủ tục và trách nhiệm vận hành 8.1.1 Thay đổi thủ tục kiểm soát

8.1.2 Sự phân biệt giữa nhiệm vụ và lĩnh vực trách nhiệm 8.2 Lập kế hoạch và chấp nhận hệ thống

8.2.1 Khả năng lập kế hoạch 8.2.2 Chấp nhận hệ thống

8.3 Bảo vệ chống lại các mã độc hại và mã di động 8.3.1 Phòng ngừa

Một phần của tài liệu Dự thảo an toàn mạng (Trang 92 - 105)

(105 trang)