Chương 4 PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT KẾ AN NINH MẠNG NGN
4.5.2 Module X.805 Nguyên tắc chung
Nguyên tắc chung
Không được bỏ sót bất kỳ yếu nố nào liên quan đến công nghệ
Ưu tiên xử lý các nguy cơ từ bên ngoài trước
Đầu vào
Miền an ninh
Đầu ra
Bảng các giao diện của miền an ninh với các miền an ninh khác và mức độ quan trọng tương ứng.
Bảng các giao thức trên từng giao diện.
Bảng các nguy cơ ứng với các giao thức, kịch bản tấn công kèm theo.
Bảng các giải pháp cho từng nguy cơ.
Các Yêu cầu an ninh đối với từng thiết bị thuộc miền an ninh.
Các thiết bị an bổ trợ cho miền an ninh (nếu cần).
Mô tả Quy trình X.805
Quy trình này được áp dụng để xây dựng giải pháp cho từng miền an ninh.
Bước 1: Sử dụng ma trận lớp-mặt phẳng để phát hiện giao diện Miền an ninh
Giải pháp an ninh cho miền
Bước 2: Xử lý an ninh cho từng giao diện
Bước 3: Xử lý quy trình OA&M liên quan đến miền an ninh
Bước 4: Đưa ra các Yêu cầu an ninh theo các mức (PHẢI, NÊN)
Bước 5: Đưa ra các Khuyến nghị về thiết bị an ninh phụ trợ
Bước 6: Tổng hợp giải pháp an ninh cho miền
Bước này được thực hiện theo trình tự như sau
Bước 1.1: Liệt kê các giao diện, đánh giá mức độ quan trọng và chốt lại danh sách giao diện cần xét.
Miền an ninh
Danh sách các giao diện và các giao thức trên từng giao diện (OSI)
Bước 1.4: Dựng bảng ngăn xếp giao thức (OSI) của từng giao diện cần xét
Công nghệ mạng
Mô hình OSI
Bước 1.2: Phân tích và chốt lại danh sách các giao diện cần xét
Bước 1.3: Phân tích và chốt lại thứ tự ưu tiên của các giao diện cần xét Bảng 4.1 Mẫu bảng ma trận Lớp-Mặt phẳng (Mã số: MT_L_MP) M_L_MP Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh các ứng dụng Lớp an ninh các dịch vụ Lớp an ninh cơ sở hạ tầng
Bước 2. Xử lý vấn đề an ninh cho từng Giao diện
Bước này được thực hiện theo trình tự như sau (xét cho từng giao diện cần xét)
Bước 2.1: Xét loại giao thức đầu tiên trong ngăn xếp Giao diện cần xét
Bảng tổng hợp nguy cơ giải pháp trên giao diện
Bước 2.2: Xét loại nguy cơ đầu tiên trong bảng
Ngăn xếp giao thức Bảng 5 nguy cơ
Bước 2.3: Mô tả kịch bản tấn công Nguy cơ thực tế
Bước 2.4: Đề xuất giải pháp Loại bỏ giao thức đang xét
khỏi ngăn xếp
Còn loại nguy cơ khác
Còn giao thức trên giao diện
Loại bỏ loại nguy cơ đang xét Không Có Sai Đúng Ma trận Nguy cơ-Giải pháp Các công nghệ được sử dụng
Bảng 4.2 Mẫu bảng tổng hợp các giao thức (Mã số: M_I_OSI)
M_I_OSI Giao thức Mô tả
Layer 2 Ethernet, .1Q, QinQ, VTP, STP, ARP, ATM
Layer 3 ARP
Bảng 4.3 Mẫu bảng tổng hợp các nguy cơ (Mã số: M_T_S)
Mã số Loại Lớp (OSI) Giao thức Nguy cơ Giải pháp
DES_001 Destruction
CRP_ Corruption
RMV_ Removal
DIS_ Disclosure
INT_ Interuption
Bước 3. Xử lý vấn đề an ninh cho Quy trình OA&M
Bước này giải quyết các nguy cơ có thể xảy ra đối với quy trình vận hành khai thác và bảo dưỡng (OA&M) các thiết bị trong một miền an ninh. Sở dĩ các nguy cơ này được tách riêng vì nó liên quan đến yếu tố con người và từ nội bộ là chính. Khả năng xảy ra các nguy cơ thuộc loại này không cao nhưng nếu xảy ra có thể sẽ rất nghiêm trọng. Giải pháp đưa ra cũng thường là các nội quy, quy định, chế tài của nội bộ đơn vị quản lý.
Bước 4. Đưa ra các Yêu cầu an ninh theo các mức (PHẢI, NÊN) Bước 5. Đưa ra các Khuyến nghị về thiết bị an ninh phụ trợ Bước 6. Tổng hợp giải pháp cho đối tượng an ninh