- KHÔNG ĐƯỢC (MUST NOT)
4.5.1 Module tiền xử lý
Như đã phân tích ở trên, phân tích mạng là một khâu rất quan trọng, vấn đề đặt ra là phân tích thế nào? Tiêu chí nào được sử dụng? Mức độ quan trọng ra sao?
Nguyên tắc chung
Phải xây dựng được bộ tiêu chí và thứ tự ưu tiên để khuyến nghị ban đặt hàng đồng thời phải thống nhất với ban đặt hàng trước khi đi vào xử lý.
Phân chia càng nhỏ thì càng tránh bỏ sót nguy cơ an ninh, tuy nhiên cũng nên tránh phân chia quá nhỏ gây phức tạp hoá giải pháp.
Các miền phải có tính độc lập tương đối theo nguyên tắc các giao diện nội bộ phải nhiều hơn các giao diện với miền khác
Đầu vào
Thông tin về Mô hình quản lý Thông tin về Dịch vụ
Thông tin về Cấu trúc mạng Thông tin về Công nghệ Thông tin về Thiết bị cụ thể
Thông tin về Nhà cung cấp thiết bị Thông tin về Lộ trình phát triển mạng
Đầu ra
Sơ đồ phân rã mạng theo các tiêu chí phân chia (quản lý, công nghệ, dịch vụ,…), thành các đối tượng, gọi là các miền an ninh
4.5.2 Module X.805
Nguyên tắc chung
Không được bỏ sót bất kỳ yếu nố nào liên quan đến công nghệ Ưu tiên xử lý các nguy cơ từ bên ngoài trước
Đầu vào
Miền an ninh
Đầu ra
Bảng các giao diện của miền an ninh với các miền an ninh khác và mức độ quan trọng tương ứng.
Bảng các giao thức trên từng giao diện.
Bảng các nguy cơ ứng với các giao thức, kịch bản tấn công kèm theo. 73
Bảng các giải pháp cho từng nguy cơ.
Các Yêu cầu an ninh đối với từng thiết bị thuộc miền an ninh. Các thiết bị an bổ trợ cho miền an ninh (nếu cần).
Mô tả Quy trình X.805
Quy trình này được áp dụng để xây dựng giải pháp cho từng miền an ninh.
Bước 1. Sử dụng ma trận lớp-mặt phẳng để phát hiện các giao diện
Bước này được thực hiện theo trình tự như sau
Bảng 4.1 Mẫu bảng ma trận Lớp-Mặt phẳng (Mã số: MT_L_MP) M_L_MP Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh các ứng dụng Lớp an ninh các dịch vụ Lớp an ninh cơ sở hạ tầng
Bước 2. Xử lý vấn đề an ninh cho từng Giao diện
Bước này được thực hiện theo trình tự như sau (xét cho từng giao diện cần xét) 75
Bảng 4.2 Mẫu bảng tổng hợp các giao thức (Mã số: M_I_OSI)
M_I_OSI Giao thức Mô tả
Layer 2 Ethernet, .1Q, QinQ, VTP, STP, ARP, ATM
Layer 3 ARP
Bảng 4.3 Mẫu bảng tổng hợp các nguy cơ (Mã số: M_T_S)
Mã số Loại Lớp (OSI) Giao thức Nguy cơ Giải pháp
DES_001 Destruction
CRP_ Corruption
RMV_ Removal
DIS_ Disclosure
INT_ Interuption
Bước 3. Xử lý vấn đề an ninh cho Quy trình OA&M
Bước này giải quyết các nguy cơ có thể xảy ra đối với quy trình vận hành khai thác và bảo dưỡng (OA&M) các thiết bị trong một miền an ninh. Sở dĩ các nguy cơ này được tách riêng vì nó liên quan đến yếu tố con người và từ nội bộ là chính. Khả năng xảy ra các nguy cơ thuộc loại này không cao nhưng nếu xảy ra có thể sẽ rất nghiêm trọng. Giải pháp đưa ra cũng thường là các nội quy, quy định, chế tài của nội bộ đơn vị quản lý.
Bước 4. Đưa ra các Yêu cầu an ninh theo các mức (PHẢI, NÊN) Bước 5. Đưa ra các Khuyến nghị về thiết bị an ninh phụ trợ Bước 6. Tổng hợp giải pháp cho đối tượng an ninh