10. Quản lý truy cập.
10.4.5. Phân tách trên mạng
Biện pháp quản lý
Các nhóm người dùng, dịch vụ và hệ thống thông tin cần được phân tách trên các mạng. Hướng dẫn triển khai
Một phương pháp kiểm soát an toàn cho các mạng lớn là phân tách chúng thành các vùng mạng logic, ví dụ các vùng mạng bên trong và các vùng mạng bên ngoài của tổ chức, mỗi vùng được bảo vệ bởi một vành đai an toàn xác định. Một bộ các biện pháp quản lý tăng tiến có thể được áp dụng trong các vùng mạng logic khác nhau để tiếp tục phân tách tiếp các môi trường an ninh mạng, ví dụ các hệ thống truy cập công cộng, các mạng nội bộ và các tài sản quan trọng. Các vùng cần được xác định dựa trên quá trình đánh giá rủi ro và các yêu cầu an toàn thông tin khác nhau trong từng lĩnh vực.
Một vành đai mạng như vậy có thể được triển khai khi cài đặt một cổng an toàn giữa hai mạng kết nối với nhau để quản lý truy cập và luồng thông tin giữa hai miền, cổng an toàn này cần được cấu hình để lọc lưu lượng giữa các miền này (xem 10.4.6 và 10.4.7) và chặn truy cập trái phép theo quy định của chính sách quản lý truy cập của tổ chức (xem 10.1). Tường lửa là một ví dụ của cổng an toàn. Một phương pháp phân tách các miền logic khác là hạn chế truy cập mạng bằng cách sử dụng mạng riêng ảo cho các nhóm người dùng trong tổ chức.
Các mạng cũng có thể được phân tách nhờ tính năng của thiết bị mạng, ví dụ chuyển mạch IP. Khi đó các miền phân tách có thể được triển khai khi quản lý các luồng dữ liệu mạng bằng các năng lực định tuyến/chuyển mạch, ví dụ tính năng danh sách quản lý truy cập.
Tiêu chí phân tách mạng cần dựa trên chính sách quản lý truy cập và các yêu cầu truy cập (xem 9.1), và cũng cần xem xét chi phí tương đối và ảnh hưởng của định tuyến mạng hợp lý hoặc công nghệ cổng lên chất lượng mạng (xem 10.4.6 và 10.4.7).
Hơn nữa, việc phân tách mạng cũng cần dựa trên giá trị và sự phân loại thông tin được lưu trữ hoặc được xử lý trong mạng, các mức độ tin cậy hoặc các giới hạn nghiệp vụ để làm giảm ảnh hưởng tổng thể của việc phân tách dịch vụ.
Cần quan tâm đến việc phân tách các mạng không dây khỏi các mạng nội bộ và mạng cá nhân. Nếu không xác định được các vành đai mạng của mạng không dây thì cần thực hiện đánh giá rủi ro để xác định các biện pháp quản lý (ví dụ xác thực mạnh, các phương pháp mã hóa, và lựa chọn tần số) để duy trì sự phân tách mạng.
Thông tin khác
Mạng càng ngày càng có xu hướng mở rộng ra ngoài ranh giới của tổ chức, vì các quan hệ đối tác kinh doanh được hình thành có thể yêu cầu kết nối hoặc chia sẻ các phương tiện mạng và phương tiện xử lý thông tin. Các mạng mở rộng có thể làm tăng nguy cơ truy cập trái phép vào các hệ thống thông tin hiện đang sử dụng mạng, một số mạng mở rộng có thể đòi hỏi phải được bảo vệ trước những người dùng mạng khác vì tính chất quan trọng hay độ nhạy cảm của các mạng này.