Từ viết tắt
|
Tiếng Anh
|
Tiếng Việt
|
AAA
|
authentication, authorization and
accounting
|
Sự xác thực, quyền hạn và sự tính toán
|
ACL
|
access control list
|
danh sách kiểm soát an ninh truy cập
|
ADSL
|
asymetric subcriber line
|
đường dây thuê bao số bất đối xứng
|
AES
|
advanced encryption standard
|
tiêu chuẩn mã hóa cao cấp
|
ATM
|
asynchronous transfer mode
|
chế độ truyền dị bộ
|
BPL
|
broadband power line
|
đường công suất băng rộng
|
CA
|
certification authority
|
tổ chức chứng nhận
|
CDPD
|
cellular digital packet data
|
dữ liệu gói số hóa dạng tổ ong
|
CDMA
|
code division multiple access
|
đa truy cập phân chia mã
|
CLID
|
calling line identifer
|
bộ nhận dạng đường dây gọi
|
CLNP
|
connectionless network protocol
|
giao thức mạng phi kết nối
|
CoS
|
class of services
|
lớp dịch vụ
|
CRM
|
customer relationship management
|
quản lý quan hệ khách hàng
|
DEL
|
direct exchange line
|
đường trao đổi trực tiếp
|
DES
|
data encryption standard
|
tiêu chuẩn mã hóa dữ liệu
|
DMZ
|
demilitarized zone
|
vùng phi quân sự
|
DNS
|
domain name service
|
dịch vụ tên miền
|
DPNSS
|
digital private network signaling system
|
hệ thống báo hiệu mạng cá nhân số
|
DoS
|
denial of services
|
từ chối dịch vụ
|
DSL
|
digital subscriber line
|
đường dây thuê bao số
|
EDGE
|
enhanced data-rates for GSM evolution
|
tốc độ dữ liệu tăng cường với sự phát triển
của GSM
|
EDI
|
electronic data interchange
|
trao đổi dữ liệu số
|
EGPRS
|
enhaced general packet radio service
|
dịch vụ vô tuyến gói phổ thông tăng cường
|
EIS
|
enterprise information system
|
hệ thống thông tin doanh nghiệp
|
FiOS
|
fiber optic service
|
dịch vụ cáp quang
|
FTP
|
file transfer protocol
|
giao thức chuyển tệp tin
|
FTTH
|
fiber to the home
|
cáp tới nhà
|
GPRS
|
general packet radio service
|
dịch vụ vô tuyến gói phổ thông
|
GSM
|
global system for mobile communications
|
hệ thống toàn cầu cho các kết nối di động
|
HIDS
|
host based intrusion detection system
|
hệ thống phát hiện xâm nhập dựa trên máy
chủ
|
HTTP
|
hypertext transfer protocol
|
giao thức chuyển siêu văn bản
|
IDS
|
intrusion detection system
|
hệ thống phát hiện xâm nhập
|
IG
|
Implementation Guidance
|
hướng dẫn thiết lập
|
IP
|
Internet Protocol
|
giao thức Internet
|
IPS
|
intrusion prevention system
|
hệ thống phòng ngừa xâm nhập
|
ISP
|
Internet service provider
|
bên cung cấp dịch vụ Internet
|
IT
|
information technology
|
công nghệ thông tin
|
LAN
|
local area network
|
mạng cục bộ
|
MPLS
|
multi-protocol label switching
|
chuyển nhãn đa giao thức
|
MRP
|
manufacturing resource planning
|
lập kế hoạch về các nguồn lực sản xuất
|
NAT
|
network address translation
|
bộ chuyển địa chỉ mạng
|
NIDS
|
network intrusion detection system
|
hệ thống phát hiện xâm nhập mạng
|
NTP
|
network time protocol
|
giao thức thời gian mạng
|
OOB
|
out of band
|
ngoài dải
|
PABX
|
private automated branch (telephone)
exchange
|
tổng đài nhánh tự động riêng
|
PC
|
personal computer
|
máy tính cá nhân
|
PDA
|
personal data assistant
|
thiết bị dữ liệu cá nhân
|
PIN
|
personal identification number
|
số nhận dạng cá nhân
|
PKI
|
public key infrastructure
|
hạ tầng khóa công cộng
|
PSTN
|
public switched telephone network
|
mạng điện thoại chuyển mạch công cộng
|
QoS
|
quality of service
|
chất lượng dịch vụ
|
RAID
|
redundant array of inexpensive disks
|
mảng độc lập của các đĩa dự phòng
|
RAS
|
remote access service
|
dịch vụ truy cập từ xa
|
RTP
|
real time protocol
|
giao thức thời gian thực
|
SDSL
|
symmetric digital subscriber line
|
đường thuê bao số đối xứng
|
SecOPs
|
security operatting procedures
|
các thủ tục vận hành an ninh
|
SIM
|
subscriber identity module
|
giao thức quản lý mạng đơn giản
|
SNMP
|
simple network management protocol
|
giao thức quản lý mạng đơn giản
|
SPIT
|
spam over IP telephony
|
thư rác qua điện thoại IP
|
SSH
|
secure shell
|
vỏ an toàn
|
TCP
|
transmission control protocol
|
giao thức kiểm soát an ninh truyền dẫn
|
TDMA
|
time division multiple access
|
đa truy cập phân chia theo thời gian
|
TETRA
|
terrestrial trunked radio
|
vô tuyến nối đất
|
TKIP
|
temporal key intergrity protocol
|
giao thức toàn vẹn khóa theo thời gian
|
UDP
|
user datagram protocol
|
giao thức gói dữ liệu người dùng
|
UDP
|
user datagram protocol
|
giao thức gói dữ liệu người dùng
|
UDP
|
user datagram protocol
|
giao thức gói dữ liệu người dùng
|
UMTS
|
universal mobile telecommunications system
|
hệ thống viễn thông di động phổ dụng
|
UPS
|
uninterruptible power supply
|
bộ cấp nguồn liên tục
|
USB
|
universal serial bus
|
bus nối tiếp phổ dụng
|
VHF
|
very high frequency
|
tần số rất cao
|
VoIP
|
voice over IP
|
thoại qua IP
|
VLAN
|
virtual local area network
|
mạng cục bộ ảo
|
VPN
|
virtual private network
|
mạng cá nhân ảo
|
WAN
|
wide area network
|
mạng vùng rộng
|
WAP
|
wireless application protocol
|
giao thức ứng dụng không dây
|
WEP
|
wired equivalent privacy
|
bảo mật tương đương mạng có dây
|
WLAN
|
wireless local area network
|
mạng cục bộ không dây
|
WORM
|
write once read many
|
viết một lần - đọc nhiều lần
|
WPA
|
Wi-Fi protected access
|
truy cập mạng WiFi được bảo vệ
|
3G
|
third generation mobile telephone system
|
hệ thống viễn thông di động thế hệ thứ ba
|
5. Cấu trúc
Cấu trúc của bộ TCN 9801 (ISO/IEC 27033) được
thể hiện dưới dạng biểu đồ, hoặc bản đồ được tạo trong Hình 2.
Chú thích trong Hình 2, các đường kẻ liền chỉ
ra phân nhánh tự nhiên các phần của bộ TCVN 9801 (ISO/IEC 27033). Các đường đứt
quãng chỉ ra rằng theo các quy trình được mô tả trong (a) Phần 1 - Phần 3, 4,
5, 6 và 7 thể được tham khảo thông tin dựa trên các rủi ro an ninh, và (b) Phần
2 - Phần 3, 4, 5, 6 và 7 có thể được tham khảo thông tin dựa trên các kỹ thuật
thiết kế và các mục kiểm soát an ninh. Hơn nữa, các tham chiếu trong Phần 3 cho
các khía cạnh riêng biệt bao trùm trong Phần 4, 5, 6 và 7 để tránh trùng lặp
(ví dụ: việc sử dụng Phần 3 có thể cần để tra cứu các Phần 4, 5, 6 và 7)
Như vậy, với bất kỳ tổ chức nào bắt đầu từ
"điểm khởi đầu", hoặc tiến hành một đánh giá cơ bản của (các) mạng
hiện thời, đầu tiên nó phải sử dụng của Phần 1 và Phần 2, nhưng tra cứu thông
tin khi cần và thích hợp dựa theo các rủi ro an ninh, các kỹ thuật thiết kế và
các mục kiểm soát được bao gồm các Phần từ 3 đến 7.
Ví dụ, một tổ chức đang xét đến việc thiết
lập một môi trường mạng mới, mà bao gồm việc sử dụng của sự hội tụ IP, các cổng
an ninh và một vài việc sử dụng của mạng không dây cũng như việc sử dụng máy
chủ web và Internet (cho thư điện tử và truy cập online ra ngoài)
Việc sử dụng các quy trình được mô tả trong
Phần 1 để xác định các rủi ro an ninh cho các môi trường mạng mới, tổ chức đó
phải tra cứu rủi ro liên quan đến thông tin từ các phần liên quan khác của bộ
TCVN 9801 (ISO/IEC 27033), các phần này định nghĩa các rủi ro an ninh đặc trưng
(cũng như các kỹ thuật thiết kế và các mục kiểm soát an ninh) liên quan tới sự
hội tụ IP, các cổng an ninh và một vài việc sử dụng của mạng không dây cũng như
việc sử dụng máy chủ web và Internet (cho thư điện tử và truy cập online).
Việc sử dụng Phần 2 để xác định các kiến trúc
an ninh kỹ thuật mạng được yêu cầu, tổ chức phải tra cứu thông tin theo các kỹ
thuật thiết kế và các mục kiểm soát an ninh từ các phần liên quan khác của bộ TCVN
9801 (ISO/IEC 27033), chúng định nghĩa các kỹ thuật thiết kế và các mục kiểm
soát an ninh đặc trưng (cũng như các rủi ro an ninh) liên quan tới sự hội tụ
IP, các cổng an ninh và một vài việc sử dụng của mạng không dây cũng như việc
sử dụng máy chủ web và Internet (cho thư điện tử và truy cập online).
Trong tương lai, có thể có các phần khác của
bộ TCVN 9801 (ISO/IEC 27033); ví dụ của các chủ đề khả thi được bao trùm bởi
các phần tương lai bao gồm các mạng cục bộ, các mạng vùng rộng, các mạng băng
rộng, máy chủ web, thư điện tử Internet, và truy cập định tuyến tới các tổ chức
bên thứ ba. Các mục của tất cả các phần này phải bao gồm nhưng không bị giới
hạn bởi ba chỉ định: các rủi ro, công nghệ thiết kế và mục kiểm soát an ninh.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Cấu trúc của TCVN 9801-1 (ISO/IEC 27033-1)
bao gồm:
● Tổng quan về phương pháp tiếp cập an ninh
mạng (xem Điều 6),
● Tổng kết của quy trình xác định các rủi ro
liên quan đến mạng và việc chuẩn bị để xác định các kiểm soát an ninh, như việc
thiết lập các yêu cầu an ninh mạng (xem Điều 7),
● Tổng quan của các kiểm soát an ninh mà hỗ
trợ các kiến trúc kỹ thuật an ninh mạng và các kiểm soát an ninh kỹ thuật liên
quan, như các kiểm soát an ninh khác (phi kỹ thuật và kỹ thuật) mà có thể được
áp dụng không chỉ cho các mạng (xem Điều 8). Các tham chiếu được cung cấp cho
nội dung liên quan của các bộ TCVN ISO/IEC 27001, TCVN ISO/IEC 27002 và ISO/IEC
27005 (xem Điều 9),
● Giới thiệu cho thành tựu của các kiến trúc
an ninh kỹ thuật chất lượng mà phải đảm bảo an ninh mạng được phù hợp cho các
môi trường doanh nghiệp của tổ chức, sử dụng một hướng tiếp cận chắc chắn cho
việc lập kế hoạch và thiết kế an ninh mạng, được hỗ trợ bằng việc sử dụng các
mô hình/các nền tảng (như một giới thiệu cho nội dung của ISO/IEC 27033-2 (xem
Điều 9)),
● Giới thiệu các rủi ro, thiết kế, các kỹ
thuật và các mục kiểm soát an ninh cụ thể phù hợp với các kịch bản nghiệp vụ
mạng tham chiếu (ví dụ như một giới thiệu cho nội dung của ISO/IEC 27003-3) xem
Điều 10),
● Giới thiệu các rủi ro, kỹ thuật thiết kế và
các mục kiểm soát cụ thể cho các chủ đề "công nghệ" mạng (như một
giới thiệu cho nội dung của các tiêu chuẩn ISO/IEC 27033-4, 27033-5, 27033-6,
27033-7 và các tiêu chuẩn dự kiến khác) (xem Điều 11 và Phụ lục A),
● Tổng kết của các mục được phù hợp với việc
phát triển, thiết lập và thử nghiệm một giải pháp an ninh mạng (xem Điều 12),
vận hành một giải pháp mạng (xem Điều 13) và việc giám sát và đánh giá liên tục
của việc thiết lập một an ninh mạng (xem Điều 14), và
● Bảng trình bày các tham chiếu dọc giữa các
kiểm soát an ninh liên quan an ninh mạng theo TCVN ISO/IEC 27001/27002 và các
điều của TCVN 9801-1 (ISO/IEC 27033-1) được đưa ra trong phụ lục B.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
6.1. Nền tảng
Ví vụ về môi trường mạng có thể được quan sát
bởi nhiều tổ chức hiện nay được thể hiện trong Hình 3 (Hình 3 chỉ nhằm mục đích
miêu tả theo cách tổng quan và không có bất kỳ mục đich nào khác).
Mạng Intranet là mạng được thiết lập và duy
trì nội bộ của một tổ chức. Thông thường chỉ các cá nhân đang làm việc cho tổ
chức được truy cập trực tiếp vào mạng đó, và kể từ khi mạng đó được đặt trong
khu vực của chính tổ chức, một mức độ của sự bảo vệ vật lý có thể đạt được một
cách dễ dàng. Trong hầu hết các trường hợp, mạng Intranet không đồng nhất về
các phương diện công nghệ sử dụng và các yêu cầu an ninh; do đó cần có những hạ
tầng đòi hỏi mức bảo vệ cao hơn. Những hạ tầng này, ví dụ như các bộ phận thiết
yếu của một môi trường PKI, có thể được vận hành trong một phân vùng riêng của
mạng Intranet. Mặt khác, các công nghệ hiện thời (như các hạ tầng WLAN) có thể
đòi hỏi một vài sự cách ly và xác thực nhất định bởi chúng có thể có các rủi
ro. Với cả hai trường hợp, các cổng an ninh nội bộ có thể sử dụng để thiết lập
việc phân vùng này.
Nhu cầu kinh doanh của phần lớn các tổ chức
ngày nay cần phải có các kết nối và việc trao đổi dữ liệu với các đối tác bên
ngoài và các tổ chức khác. Các đối tác kinh doanh quan trọng nhất thường xuyên
được kết nối theo hướng mở rộng trực tiếp mạng Intranet hướng đến mạng của tổ
chức đối tác. Thuật ngữ Extranet sử dụng phổ biến cho các mở rộng đó. Khi niềm
tin của các tổ chức đối tác được kết nối trong các tổ chức hầu hết các trường
hợp thấp hơn trong tổ chức, các cổng an ninh mạng Extranet được sử dụng để bù
đắp các rủi ro được đưa ra bởi các kết nối đó.
Mạng công cộng, mà mạng Internet là một ví dụ
phổ biến nhất, sử dụng hiện nay để cung cấp các kết nối tối ưu hóa giá trị và
các công cụ trao đổi thông tin với các đối tác, các khách hàng và cộng đồng
chung, và cung cấp nhiều dạng của việc mở rộng mạng Intranet. Dựa trên mức độ
tin cậy thấp nhất các mạng công cộng, đặc biệt là Internet, các cổng an ninh
phức tạp là cần thiết để giúp quản lý các rủi ro tương ứng. Các cổng an ninh
này bao gồm các thành phần đặc trưng để gửi các yêu cầu dưới nhiều dạng của
việc mở rộng mạng Intranet như các kết nối giữa đối tác và khách hàng.
Người dùng từ xa có thể được kết nối thông
qua công nghệ VPN, và họ có thể sử dụng các công cụ kết nối không dây như các
điểm phát WLAN công cộng để truy cập mạng Internet. Cách khác, người dùng từ xa
có thể dùng mạng điện thoại cho việc thiết lập các kết nối quay số/ chuyển mạch
trực tiếp tới một máy chủ truy cập từ xa (RAS), mà thường được đặt trong môi
trường DMZ của tường lửa Internet.
Khi một tổ chức quyết định sử dụng các công
nghệ VoIP để thiết lập mạng điện thoại nội bộ, các cổng an ninh phù hợp tới
mạng điện thoại thường cũng được sử dụng sau đó.
Các cơ hội kinh doanh tạo ra bởi các môi
trường mạng mới phải được cân bằng chống lại các rủi ro được đặt ra bởi các
công nghệ mới hơn. Ví dụ: Mạng Internet có một số lượng các đặc trưng kỹ thuật
mà có thể dẫn đến các liên hệ từ một quan điểm an ninh, như được thiết kế ban
đầu với sự bền lâu hơn là an ninh như một ưu tiên - và nhiều giao thức bên dưới
sử dụng phổ biến không an toàn tự nhiên. Một lượng lớn người trong môi trường
toàn cầu mà có năng lực, kiến thức và khuynh hướng để truy cập các giao thức và
cơ chế cơ bản và tạo ra các sự cố an ninh, từ truy cập trái phép tới từ chối
dịch vụ phá hủy toàn phần.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
6.2. Quản lý và lập
kế hoạch an ninh mạng
Khi xem xét đến các kết nối mạng, tất cả
thành viên trong tổ chức mà chịu trách nhiệm liên kết với các kết nối phải được
làm rõ về các yêu cầu và các lợi ích kinh doanh, các rủi ro an ninh liên quan
và các khía cạnh kiến trúc an ninh kỹ thuật/công nghệ thiết kế và các miền kiểm
soát an ninh liên quan. Các yêu cầu và lợi ích kinh doanh phải ảnh hưởng nhiều
đến quyết định và các hoạt động diễn ra trong quy trình mà xét đến các kết nối
mạng, xác định các khía cạnh kiến trúc an ninh kỹ thuật/công nghệ thiết kế và
các miền kiểm soát an ninh và sau đó tuần tự chọn lọc, thiết kế, thiết lập và
bảo trì các mạng an ninh.
Quy trình tổng quan để thực hiện và duy trì
an ninh mạng được yêu cầu có thể tổng kết như sau:
a) Xác định phạm vi/bối cảnh và sau đó đánh
giá các rủi ro an ninh;
1) Thu thập thông tin trong môi trường mạng
hiện tại và/ hoặc dự kiến:
i) Đánh giá chính sách an ninh thông tin
doanh nghiệp cho các báo cáo về các rủi ro liên quan đến mạng mà luôn ở mức
cao, và trong các kiểm soát an ninh mạng cần để thiết lập bất chấp các rủi ro
được đánh giá,
CHÚ THÍCH Chính sách này cũng bao gồm vị trí
của tổ chức trong (1) các yêu cầu an ninh điều chỉnh và luật pháp liên quan đến
các kết nối mạng như được định nghĩa bởi các nhóm lãnh đạo hoặc luật pháp (bao
gồm các tổ chức Chính phủ quốc gia), và (2) tính nhạy cảm của dữ liệu được lưu
trữ hoặc truyền tải trên mạng.
ii) Thu thập và đánh giá thông tin trên (các)
mạng hiện tại và/hoặc dự kiến - (các) kiến trúc, ứng dụng, dịch vụ, loại kết nối
và các đặc tính khác - mà có một sự liên quan đến việc xác định và đánh giá các
rủi ro, và xác định khả năng theo thuật ngữ của kiến trúc/ thiết kế an ninh kỹ
thuật mạng.
iii) Thu thập thông tin khác để được đánh giá
các tác động doanh nghiệp có thể bất lợi, các mối đe dọa và các lỗ hổng thông
qua các kết nối mạng, (nó bao gồm giá trị để các vận hành kinh doanh của thông
tin được truyền qua các kết nối mạng, bất kỳ thông tin có thể truy cập nào khác
theo cách trái phép thông qua các kết nối đó, và của các dịch vụ được cung
cấp).
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
i) Tiến hành đánh giá quản lý và đánh giá rủi
ro an ninh mạng bao gồm việc sử dụng thông tin rủi ro liên quan đến các kịch
bản mạng và các chủ đề "công nghệ" (xem Điều 10 và 11) - định nghĩa
các yêu cầu an ninh. (Chú ý rằng nó bao gồm (1) sự đánh giá của các rủi ro liên
quan đến các vi phạm tiềm năng của các cơ quan luật pháp và các quy định có
liên quan (gồm các cơ quan Chính phủ quốc gia) và (2) cách sử dụng các tác động
tiêu cực tới kinh doanh tiềm năng được thỏa thuận, xác định độ nhạy/phân loại
của dữ liệu được lưu trữ hoặc vận chuyển trên mạng).
b) Xác định các kiểm soát an ninh hỗ trợ -
phi kỹ thuật và kỹ thuật không chỉ áp dụng cho các mạng (xem Điều 8),
c) Đánh giá các tùy chọn kiến trúc an ninh kỹ
thuật/thiết kế, như các kịch bản mạng và các chủ đề "công nghệ", và
việc chọn lọc và dẫn chứng kiến trúc/thiết kế an ninh kỹ thuật được ưu tiên và
các kiểm soát an ninh liên quan (xem từ Điều 9 đến Điều 11 và Phụ lục A). [Chú
ý rằng nó bao gồm các kiểm soát an ninh được yêu cầu để tuân theo các điều
chỉnh liên quan và luật pháp liên quan đến các kết nối mạng mà được định nghĩa
bởi các bộ phận lãnh đạo và luật pháp (bao gồm cơ quan Chính phủ quốc gia)],
d) Phát triển và thử nghiệm các giải pháp an
ninh (xem Điều 12),
e) Thiết lập và vận hành các kiểm soát an
ninh (xem Điều 13),
f) Giám sát và xem xét việc thiết lập (xem
Điều 14). (Chú thích rằng nó bao gồm việc giám sát và đánh giá các kiểm soát an
ninh được yêu cầu để tuân theo các sự điều chỉnh và luật pháp liên quan đến các
kết nối mạng được định nghĩa theo các bộ phận lãnh đạo và luật pháp (bao gồm
các cơ quan Chính phủ quốc gia):
1) Các đánh giá phải được thực hiện tuần tự,
và trong trường hợp các thay đổi chính (theo nhu cầu doanh nghiệp, công nghệ,
các giải pháp an ninh,…) và sự cần thiết của hệ quả từ các bước đầu tiên đã
vạch ra bên trên phải được xem lại và cập nhật.
Tổng quan của quy trình quản lý và lập kế
hoạch an ninh mạng được thể hiện trong Hình 3.
CHÚ THÍCH Xem TCVN ISO/IEC 27001:2009, TCVN
ISO/IEC 27002:2011, ISO/IEC 27003, ISO/IEC 27004 VÀ ISO/IEC 27005.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Hình 4 - Lập kế hoạch
an ninh mạng và quản lý quy trình
7. Xác định các rủi ro
và việc chuẩn bị xác định kiểm soát an ninh
7.1. Giới thiệu chung
Như đã nói ở Điều 6, giai đoạn đầu tiên trong
xác định và đánh giá các rủi ro liên quan đến mạng và việc chuẩn bị để xác định
các kiểm soát an ninh là thu thập thông tin trong môi trường mạng hiện tại
và/hoặc dự kiến. Điều 7.2 cung cấp hướng dẫn về điều này. Giai đoạn tiếp theo
là xác định và đánh giá các rủi ro an ninh mạng, và các miền kiểm soát phù hợp.
Điều 7.3 cung cấp hướng dẫn về điều này.
7.2. Thông tin trên
mạng hiện tại và/hoặc dự kiến
7.2.1. Yêu cầu an ninh trong chính sách an
ninh thông tin doanh nghiệp
Chính sách an ninh thông tin của một tổ chức
(hoặc cộng đồng) có thể bao gồm các điều theo nhu cầu về sự cẩn mật, sự toàn
vẹn, sự chống chối bỏ và sự sẵn có, như các quan điểm về các loại đe dọa và rủi
ro, và các kiểm soát an ninh mạng mà cần để thiết lập bất chấp các rủi ro được
đánh giá. Vì vậy bước đầu tiên phải được xem xét chính sách an ninh thông tin
doanh nghiệp chi tiết của bất kỳ rủi ro liên quan đến mạng nào mà luôn được cân
nhắc của các kiểm soát an ninh mạng phải được thiết lập.
Ví dụ, như một chính sách có thể nói rõ rằng:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
● Không có các kết nối thông qua các đường
chuyển mạch/ quay số là được phép,
● Mọi kết nối tới mạng Internet phải được đặt
qua một cổng an ninh,
● Loại cổng an ninh đặc biệt phải được sử
dụng,
● Không có hướng dẫn thanh toán giá trị mà
không có chữ ký số.
Các yêu cầu này phải được tính toán dựa trên
việc tiến hành xem xét đánh giá rủi ro và xác định của các khía cạnh thiết
kế/kiến trúc an ninh kỹ thuật và các kiểm soát an ninh tiềm năng. Bất kỳ các
yêu nào ở như vậy phải được ghi trong danh sách dự thảo của các miền kiểm soát
an ninh tiềm năng, và khi cần thiết được phản ánh trong các tùy chọn thiết
kế/kiến trúc an ninh kỹ thuật.
Hướng dẫn về chính sách an ninh thông tin
được cung cấp trong TCVN ISO/IEC 27002:2011 và ISO/IEC 27005.
7.2.2. Thông tin trên mạng hiện tại/dự kiến
7.2.2.1. Giới thiệu
Bước tiếp theo phải được thu thập và đánh giá
thông tin trên (các) mạng hiện tại và/hoặc dự kiến - (các) kiến trúc, các ứng
dụng, các dịch vụ, các loại kết nối và các đặc tính khác - phải có một liên hệ
với việc xác định và đánh giá các rủi ro, và xác định rõ các thuật ngữ khả thi
trong thiết kế/kiến trúc an ninh kỹ thuật mạng. Các khía cạnh này được mô tả
bên dưới.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Chi tiết phải được đạt được của các ứng dụng,
dịch vụ và kiến trúc mạng hiện tại và/hoặc dự kiến liên quan, và được đánh giá
để cung cấp các hiểu biết và bối cảnh cần thiết cho việc kiểm soát an ninh quản
lý rủi ro an ninh và quản lý đánh giá và dẫn đến việc cân nhắc các tùy chọn
kiến trúc an ninh kỹ thuật mạng. Bằng cách lọc các khía cạnh đó ở giai đoạn khả
thi sớm nhất, quy trình của việc xác định và đánh giá các rủi ro an ninh và các
kiểm soát an ninh phù hợp, và các tùy chọn kiến trúc an ninh kỹ thuật mạnh và
quyết định cái nào nên thông qua, cái nào nên hiệu quả hơn và thậm chí dẫn đến
một giải pháp an ninh khả thi hơn.
Hơn nữa, việc cân nhắc các khía cạnh ứng
dụng, dịch vụ và kiến trúc trên mạng hiện tại/dự kiến ở giai đoạn đầu phải cho
phép thời gian và các khía cạnh đó được đánh giá và có thể điều chỉnh lại nếu
một giải pháp an ninh có thể chấp nhận không thể đạt được trong thực tế trong
môi trường hiện tại và/hoặc dự kiến.
Dựa trên vùng nó bao trùm, các mạng có thể
phân loại chủ yếu thành:
● Mạng LAN sử dụng cho liên kết nối các hệ
thống cục bộ, và
● Mạng WAN sử dụng để liên kết nối các hệ
thống tới một bao phủ rộng khắp.
(Một vài nguồn cũng định nghĩa thuật ngữ mạng
đô thị (MAN) cho một mạng WAN giới hạn cục bộ, ví dụ: trong một thành phố. Tuy
nhiên, hiện nay các công nghệ tương tự được sử dụng cho các mạng WAN và do vậy
không có các khác biệt đáng kể giữa mạng MAN và WAN nữa. Hơn nữa, theo mục đích
của các mạng khu vực cá nhân tiêu chuẩn (PANs) phải được phân loại như các mạng
LAN. Thuật ngữ khác sử dụng hiện nay là mạng khu vực toàn cầu (GAN), như một
mạng WAN toàn cầu. Chú thích rằng hiện nay các thuật ngữ này sử dụng cho việc
lưu trữ các mạng liên quan, như mạng khu vực lưu trữ (SAN) và lưu trữ gắn liền
mạng (NAS), nhưng chúng không trong phạm vi của bộ TCVN 9801)
Giao thức khác biệt có các thuộc tính an ninh
khác biệt và phải tạo ra sự quan tâm đặc biệt. Ví dụ:
● Giao thức phương tiện được sử dụng chủ yếu
trong các mạng LAN và chúng cung cấp các cơ chế để điều chỉnh việc sử dụng của
phương tiện được chia sẻ trên các hệ thống được kết nối. Như một phương tiện
chia sẻ được sử dụng, tất cả thông tin trên mạng là có thể truy cập vật lý bởi
tất cả các hệ thống được kết nối. Một ví dụ ở đây là trung tâm Ethernet.
● Giao thức kiểm soát an ninh truy cập được
thiết kế để cho vào tới một mạng. Các ví dụ ở đây bao gồm IEEE 802.1x và WPA,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
● Giao thức MPLS, mà nhiều mạng truyền tải
dựa trên, cho phép một mạng lõi truyền tải được chia sẻ bởi các mạng cá nhân mà
không cần bất kỳ thành phần nào của một mạng cá nhân được cảnh báo rằng các
mạng cá nhân khác đang chia sẻ mạng lõi. Ứng dụng chính là việc thiết lập của các
VPN khi các nhãn khác nhau sử dụng để xác định và phân luồng lưu lượng phụ
thuộc vào các VPN khác nhau (một MPLS dựa trên VPN không dựa trên các cơ chế mã
hóa dữ liệu). Nó cho phép các khách hàng doanh nghiệp thuê ngoài mạng nội bộ
của họ tới một bên cung cấp dịch vụ và tránh nhu cầu để triển khai và quản lý
mạng lõi IP của chính họ. Lợi ích chính là khả năng hội tụ các dịch vụ mạng,
như dữ liệu và âm thanh qua một mạng, sử dụng các cơ chế QoS để đảm bảo hiệu
năng thời gian thực.
Nhiều giao thức sử dụng trong các mạng không
được thiết lập bất kỳ bảo mật nào. Ví dụ, các công cụ để thu thập các mật khẩu
từ lưu lượng mạng là được sử dụng phổ biến bởi các kẻ tấn công. Nó biến các
giao thức như Telnet các mật khẩu không mã hóa qua một lỗi nghiêm trọng của
mạng công cộng.
CHÚ THÍCH Telnet là chương trình giả lập đầu
cuối để làm việc online trên một máy tính từ xa.
Nhiều giao thức có thể được sử dụng trong kết
nối với các cấu trúc liên kết mạng và phương tiện khác nhau, và bằng cách sử
dụng mạng có dây như các công nghệ không dây. Trong nhiều trường hợp, nó có tác
động xa hơn nữa dựa trên các đặc tính an ninh.
Loại ứng dụng sử dụng qua một mạng phải được
chú ý trong bối cảnh an ninh. Các loại ứng dụng bao gồm:
● Các ứng dụng khách hàng nhỏ,
● Các ứng dụng cho máy tính để bàn,
● Các ứng dụng dựa trên giả lập đầu cuối,
● Các ứng dụng và nền tảng tin nhắn,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
● Các ứng dụng máy chủ - khách.
Các ví dụ, sau thể hiện cách các thuộc tính
ứng dụng ảnh hưởng các yêu cầu an ninh cho các môi trường mạng mà chúng có thể
sử dụng:
● Ứng dụng tin nhắn (mà cung cấp mã hóa và
các chữ ký số cho các tin nhắn) có thể cung cấp một mức độ an ninh phù hợp mà
không cần thiết lập của các kiểm soát an ninh riêng trong mạng,
● Ứng dụng khách hàng nhỏ có thể cần để tải
xuống mã di động cho tính năng thông thường. Trong khi sự cẩn mật có thể không
phải là vấn đề chính trong bối cảnh này, tính toàn vẹn là quan trọng và mạng
phải cung cấp các cơ chế thích hợp cho nó. Cách khác, nếu các đòi hỏi cao hơn
cần được thỏa mãn, việc ký số của mã di động sẽ cung cấp sự toàn vẹn và sự xác
thực bổ sung. Điều đó thường được hoàn tất trong chính một nền tảng ứng dụng,
bởi thế không cần phải cung cấp các dịch vụ này trên mạng,
● Ứng dụng dựa trên lưu trữ và chuyển tiếp
hoặc bộ cuộn lưu tạm thời dữ liệu quan trọng trên các nút trung gian cho quy
trình sau đó. Nếu các yêu cầu về tính toàn vẹn và tính cẩn mật, các kiểm soát
an ninh phù hợp sẽ cần trong mạng để bảo vệ dữ liệu truyền. Tuy nhiên, dựa trên
việc lưu trữ tạm thời của dữ liệu trên các máy chủ trung gian, các kiểm soát an
ninh này có thể không đủ. Vì vậy, các kiểm soát an ninh bổ sung có thể cần để
áp dụng để bảo vệ dữ liệu đã được lưu trữ trên các nút trung gian.
Loại các dịch vụ (như DNS, thư điện tử, âm
thanh) sử dụng qua một mạng phải được cân nhắc trong bối cảnh an ninh.
Khi đánh giá kiến trúc mạng, các ứng dụng và
dịch vụ, việc xem xét phải được đưa ra cho các kết nối mạng hiện tại nội bộ, từ
hoặc đến tổ chức/cộng đồng, và tới mạng mà một kết nối được dự kiến. Các kết
nối hiện tại của tổ chức/cộng đồng có thể giới hạn hoặc ngăn các kết nối mới,
như bằng các thỏa thuận hoặc hợp đồng. Sự tồn tại của các kết nối khác tới hoặc
từ mạng mà một kết nối được yêu cầu có thể giới thiệu các lỗ hổng an ninh bổ
sung do đó các rủi ro cao hơn, có thể đảm bảo các kiểm sotas bổ sung và/hoặc
mạnh mẽ hơn.
7.2.2.3. Loại kết nối mạng
Có nhiều loại kết nối mạng phổ biến mà một tổ
chức/cộng đồng cần dùng. Một vài loại kết nối có thể được tạo ra thông qua các
mạng cá nhân (mà truy cập bị giới hạn tới một cộng đồng đã biết), và một vài có
thể được tạo ra thông qua các mạng công cộng (mà truy cập là sẵn có cho bất kỳ
tổ chức hoặc cá nhân nào) Hơn nữa, các loại kết nối mạng này có thể sử dụng cho
một sự thay đổi của các dịch vụ, ví dụ: thư điện tử, và có thể bao hàm việc sử
dụng các phương tiện của mạng Internet, Intranet và Extranet, với mỗi sự khác
biệt về các xem xét an ninh. Mỗi loại của các kết nối có nhiều lỗ hổng và các
rủi ro an ninh tương ứng khác nhau và cho nên cuối cùng yêu cầu một tập khác
nhau của các kiểm soát an ninh.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Liên kết nối giữa các phần khác nhau của
cùng tổ chức trong cùng khu vực kiểm soát an ninh, như một vùng hoặc toàn nhà
kiểm soát an ninh đơn lẻ,
- Liên kết nối giữa các phần khác nhau theo
địa lý của cùng tổ chức, ví dụ: các văn phòng khu vực với một khu trụ sở chính,
qua một mạng vùng rộng. Hầu hết nếu không phải tất cả người dùng có thể truy
cập các hệ thống thông tin sẵn có thông qua mạng, nhưng không phải tất cả người
dùng trong tổ chức xác thực truy cập cho tất cả ứng dụng hoặc thông tin.
- Kết nối giữa một vùng của tổ chức và cá
nhân đang làm việc trong các khu vực xa, hoặc việc thiết lập các liên kết từ xa
cho các hệ thống máy tính của tổ chức bởi các nhân viên đang làm việc từ gia
đình hoặc các vùng xa mà không được liên kết thông qua một mạng được duy trì
bởi tổ chức,
- Các kết nối giữa các tổ chức khác nhau
trong một cộng đồng đóng, ví dụ: bởi vì các tình huống ràng buộc pháp lý hoặc
hợp đồng, hoặc của các quyền lợi kinh doanh giống nhau, ví dụ: ngân hàng hoặc
bảo hiểm. Các kết nối này không cung cấp truy cập toàn dải các ứng dụng sử dụng
bởi mỗi sự tham gia các tổ chức,
- Các kết nối với các tổ chức khác, như truy
cập cơ sở dữ liệu từ xa giữ bởi các tổ chức khác. Trong loại kết nối này, tất
cả người dùng, bao gồm tổ chức kết nối, là được xác thực trước riêng lẻ bởi tổ
chức bên ngoài mà thông tin đã được truy cập,
- Các kết nối với tên miền công cộng phổ
biến, với truy cập được khởi tạo bởi các người dùng của tổ chức để truy cập
công khai cơ sở dữ liệu, các website và/hoặc phương tiện thư điện tử (ví dụ:
qua Internet),
- Các kết nối tới mạng điện thoại công cộng
từ một môi trường IP, mà truy cập được khởi tạo cho PSTN từ một máy điện thoại
trong mạng IP. Các kết nối này là phi kiểm soát an ninh như các cuộc gọi có thể
nhận từ bất kỳ khu vực nào trên thế giới.
Theo cách thức phân loại được sử dụng, các
loại kết nối khác nhau trong môi trường mạng hiện tại và/hoặc dự kiến phải được
đánh giá cho hệ quả an ninh của họ và thông tin thu được phải được sử dụng
trong quy trình xác định và đánh giá cập các rủi ro an ninh và các kiểm soát an
ninh tương ứng, và các tùy chọn an ninh kiến trúc an ninh mạng và việc quyết
định cái nào được thông qua.
7.2.2.4. Đặc tính mạng khác
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
● Mạng dữ liệu - một mạng truyền dữ liệu cơ
bản và sử dụng các giao thức dữ liệu,
● Mạng âm thanh - một mạng có dành cho điện
thoại nhưng cũng sử dụng dữ liệu, hoặc
● Mạng "lai" chứa cả dữ liệu và âm
thanh, và có thể cả video.
Thông tin khác, ví dụ:
● Hoặc mạng là một mạng MPLS hoặc mạng gói,
hoặc mạng chuyển,
● Hoặc có hỗ trợ một QoS, như trong một mạng
MPLS (QoS liên quan đến hiệu năng ổn định, sự đáng tin cậy và tính sẵn có. Các
dịch vụ mạng phải được phân phát để cung cấp mức hiệu năng nhỏ nhất để có thể
vận hành. Ví dụ: các dịch vụ âm thanh sẽ lặp lại và phá vỡ băng thông là không
phù hợp. QoS đề cập tới một khả năng của hệ thống mạng để duy trì một dịch vụ
cho sẵn ở hoặc trên mức hiệu năng tối thiểu nó yêu cầu).
cũng liên quan.
Hơn nữa, nó cũng thiết lập một kết nối hoặc
vĩnh viễn hoặc tại thời điểm cần thiết.
Một khi các đặc tính này của mạng hiện tại
và/hoặc dự kiến đã được xác định, và ở số lượng tối thiểu nó được thiết lập nếu
mạng là công cộng hoặc cá nhân, và nếu việc xem xét đánh giá với việc tuân theo
cho việc nhập trong quản lý rủi ro an ninh mạng và quản lý đánh giá. Phân loại
đại khái mạng thành một vài mạng-gần giống với:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
● Cộng đồng người dùng đã biết và trong cộng
đồng kinh doanh đóng (của nhiều hơn một tổ chức),
● Cộng đồng người dùng đã biết chủ yếu trong
tổ chức.
Sau khi xem xét việc phân loại theo bối cảnh
được sử dụng của mạng dùng/sử dụng hoặc là mạng công cộng hoặc cá nhân, và phân
loại như sau:
- Cộng đồng người dùng không biết, và việc sử
dụng của mạng công cộng,
- Cộng đồng người dùng đã biết trong một cộng
đồng kinh doanh đóng và việc sử dụng mạng công cộng,
- Cộng đồng người dùng đã biết chủ yếu trong
tổ chức, và việc sử dụng mạng công cộng,
- Cộng đồng người dùng không biết và việc sử
dụng mạng cá nhân,
- Cộng đồng người dùng đã biết và trong cộng
đồng kinh doanh đóng, và sử dụng mạng cá nhân,
- Cộng đồng người dùng đã biết chủ yếu trong
tổ chức, và sử dụng mạng cá nhân.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7.2.2.5. Thông tin khác
Cuối cùng, thông tin khác phải được thu thập
để được chuẩn bị hợp thức cho TCVN ISO/IEC 27001 và TCVN ISO/IEC 27002 tương
thích với đánh giá rủi ro an ninh mạng và quản lý đánh giá, bao gồm định nghĩa
rõ ràng ranh giới, phạm vi đánh giá. Việc thực hiện ở cơ hội sớm nhất sẽ tránh
được sự mơ hồ, công việc không cần thiết này, và sẽ tăng cường sự nhấn mạnh và
tính hiệu quả của việc đánh giá. Định nghĩa ranh giới/phạm vi phải chỉ ra rõ
ràng cái gì tuân theo mà phải được xem xét khi thực hiện đánh giá rủi ro an
ninh mạng và quản lý đánh giá:
- Loại thông tin,
- Quy trình doanh nghiệp,
- Thành phần phần cứng, phần mềm, các dịch vụ
tiềm năng hay thực tế và các chi tiết (nếu nó được không biết rõ, trong các
điều kiện chung),
- Môi trường tiềm năng hoặc thực tế (ví dụ:
các lĩnh vực, các phương tiện),
- Hoạt động (vận hành).
Thông tin này, với sự phù hợp được tập trung
trong Điều 7.2, phải được sử dụng trong việc đánh giá rủi ro an ninh mạng và
quản lý rủi ro, các hoạt động mà được tổng kết trong Điều 7.3.
7.3. Rủi ro an ninh
thông tin và vùng kiểm soát an ninh tiềm năng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Một số rủi ro đó có thể liên quan tới việc
đảm bảo tuân thủ luật pháp và quy định. (Sự quan tâm cụ thể nên được đưa ra với
luật bảo vệ dữ liệu và quyền riêng tư). Nhiều quốc gia có luật pháp kiểm soát
việc thu thập, xử lý và truyền dữ liệu cá nhân, chẳng hạn ví dụ: dữ liệu có
liên quan tới một hoặc nhiều cá nhân cụ thể. Tùy vào luật pháp từng quốc gia,
việc kiểm soát có thể nhằm vào đánh thuế thu thập, xử lý và phát tán thông tin
cá nhân qua các mạng và thậm chí có thể hạn chế khả năng truyền dữ liệu đó tới
các quốc gia khác, làm phát sinh các vấn đề hệ trọng về an ninh. Các ví dụ dữ
liệu ít rõ ràng hơn có thể là đối tượng của luật pháp, chẳng hạn một số phần
cứng và các địa chỉ IP)
Do vậy, các rủi ro đối mặt này có thể liên
quan tới các liên hệ về truy cập trái phép về thông tin, thông tin gửi đi trái
phép, việc giới thiệu mã độc, từ chối sự nhận tin hoặc nguồn, kết nối từ chối
dịch vụ và sự không sẵn có của thông tin và dịch vụ. Chúng có thể liên quan
việc thất thoát của:
● Sự cẩn mật của thông tin và mã (trong các
mạng và hệ thống được kết nối trong các mạng),
● Tính toàn vẹn của thông tin và mã (trong
các mạng và hệ thống được kết nối trong các mạng),
● Tính sẵn có của các dịch vụ thông tin và
mạng (và các hệ thống kết nối tới các mạng),
● Sự chống chối bỏ của các giao dịch mạng
(các cam kết),
● Sự tính toán của các giao dịch mạng,
● Thẩm quyền của thông tin (của người dùng và
người quản trị mạng),
● Sự tin cậy của thông tin và mã (trong các
mạng và hệ thống được kết nối trong các mạng),
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
● Khả năng kiểm soát an ninh việc lạm dụng
truy cập có thẩm quyền.
Một mô hình khái niệm của an ninh mạng thể
hiện vùng mà các loại rủi ro an ninh có thể xảy ra được thể hiện trong Hình 5.
Hình 5 - Mô hình khái
niệm của các vùng rủi ro an ninh mạng
Như vậy, một đánh giá rủi ro an ninh mạng và
quản lý đánh giá phải được điều chỉnh để xác định và xác nhận các kiểm soát an
ninh kỹ thuật và các khía cạnh thiết kế/kiến trúc an ninh kỹ thuật, và việc hỗ
trợ các kiểm soát an ninh phi kỹ thuật, và song song với thực tiễn an ninh tốt
được nhận ra, đã được đưa ra trong TCVN ISO/IEC 27001, TCVN ISO/IEC 27002 và ISO/IEC
27005. Nó bao gồm năm hoạt động chính:
● Xác nhận các thước đo tầm quan trọng của
thông tin và dịch vụ, nhấn mạnh về các va chạm bất lợi tiềm tàng trong các vận
hành kinh doanh là các sự cố không mong muốn xảy ra (đôi khi được gọi là các
đánh giá tài sản). Nó sẽ bao gồm các giá trị của các vận hành kinh doanh của
thông tin được truyền qua một mạng, bất kỳ thông tin khác có thể truy cập tiềm
năng dưới một cách thức trái phép qua mạng, và của các dịch vụ được cung cấp)
● Xác định và đánh giá sự hợp lệ hoặc các mức
các đe dọa chống lại thông tin và dịch vụ,
● Xác định và đánh giá mức độ của sự nghiêm
trọng hoặc các mức độ nhạy cảm (điểm yếu) mà bị lợi dụng bởi các mối đe dọa
được xác định,
● Đánh giá các giới hạn của các rủi ro, dựa
trên các giới hạn được xác nhận của các va chạm bất lợi tiềm tàng trên các vận
hành kinh doanh và các mức của các đe dọa và các lỗ hổng,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Quy trình chính của việc đánh giá và quản lý
rủi ro an ninh mạng được thể hiện trong Hình 6. (Điều này có hiệu lực mở rộng
hộp trong Hình 6 được với tiêu đề "Xác định phạm vi/bối cảnh và đánh giá
các rủi ro" và hộp liên quan đến nó "Xác định các rủi ro liên kết
mạng và chuẩn bị để xác định các kiểm soát an ninh")
Trong Hình 6, hai hàng đầu của hộp đặt nhãn
"Thiết lập của đánh giá ranh giới/phạm vi" và "việc xác định các
tài sản" được chỉ ra trong các hoạt động sơ bộ. Hai hàng tiếp theo chỉ ra
các hoạt động đánh giá rủi ro, và hai hàng cuối chỉ ra việc chọn lựa kiểm soát
an ninh thông tin và (số dư) các hoạt động chấp thuận rủi ro.
Nó nhấn mạnh rằng việc kiểm soát an ninh các
đánh giá đó sử dụng phải được tạo ra, được áp dụng, của thông tin rủi ro (và
kiểm soát an ninh) liên quan tới các kịch bản mạng và các chủ đề "công
nghệ" - xem Điều 10 và 11, và Phụ lục A bên dưới và các Phần từ 3 đến 7.
Hình 6 - Quản lý rủi
ro an ninh mạng và các quy trình quản lý
CHÚ THÍCH Thông tin chi tiết của kiểm soát an
ninh đánh giá rủi ro an ninh mạng và việc quản lý các đánh giá, xem trong TCVN
ISO/IEC 27001, TCVN ISO/IEC 27002 và ISO/IEC 27005.
8. Kiểm soát hỗ trợ
8.1. Giới thiệu
Điều này cung cấp tổng quan của các kiểm soát
an ninh hỗ trợ các kiến trúc kỹ thuật an ninh mạng và các kiểm soát an ninh kỹ
thuật liên quan của chúng, như các kiểm soát an ninh khác (kỹ thuật và phi kỹ
thuật) mà được áp dụng không chỉ cho các mạng. Thông tin trên các loại kiểm
soát an ninh này có thể được tìm thấy trong TCVN/IEC 27001, TCVN ISO/IEC 27002
và ISO/IEC 27005. Các kiểm soát an ninh này đặc biệt quan trọng với việc sử
dụng của các mạng được mở rộng dựa trên các điều từ 8.2 tới 8.9 bên dưới, mà
chỉ định đến sự quản lý của an ninh mạng (các hoạt động quản lý an ninh mạng,
các vai trò an ninh mạng và trách nhiệm, việc giám sát mạng và đánh giá an ninh
mạng), sự quản lý lỗ hổng kỹ thuật, sự xác định và chứng thực, sự ghi thử mạng
và giám sát, phát hiện xâm nhập, chống lại mã độc, các dịch vụ dựa trên mã hóa,
và sự quản lý kinh doanh liên tục. Các tham chiếu được cung cấp với nội dung
liên quan của TCVN ISO/IEC 27001, TCVN ISO/IEC 27002 và ISO/IEC 27005.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.2.1. Nền tảng
Việc quản lý tổng thể của an ninh mạng phải
được thực hiện theo một cách thức an toàn, và được hoàn thành dựa trên việc xem
xét của các giao thức mạng khác nhau sẵn có và các dịch vụ an ninh liên quan.
Xa hơn nữa, một tổ chức phải xem xét một số lượng kiểm soát an ninh mạng, hầu
như mà có thể được xác định qua việc sử dụng TCVN ISO/IEC 27002 và ISO/IEC
270005. Chúng cần được mở rộng dựa trên bối cảnh an ninh mạng được mô tả từ
Điều 8.2.2 tới 8.2.5.
8.2.2. Hoạt động quản lý an ninh mạng
8.2.2.1. Giới thiệu
Một yêu cầu quan trọng cho bất kỳ mạng nào là
nó được hỗ trợ bởi các hoạt động quản lý an ninh, phải được khởi tạo và kiểm
soát an ninh việc thiết lập và vận hành an ninh. Những hoạt động này nên được
diễn ra để đảm bảo rằng sự an toàn của tất cả các hệ thống thông tin của một tổ
chức/cộng đồng. Các hoạt động quản lý an ninh mạng nên bao gồm:
- Định nghĩa tất cả trách nhiệm liên quan đến
an ninh mạng, và việc chỉ định của một nhà quản lý an ninh với trách nhiệm tổng
quan,
- Chính sách an ninh mạng được dẫn chứng và
sự đi kèm kiến trúc an ninh kỹ thuật được dẫn chứng,
- Các SecOPs mạng được dẫn chứng,
- Các kiểm soát của việc kiểm tra tuân theo
an ninh, bao gồm việc thử nghiệm an ninh để đảm bảo an ninh được duy trì ở mức
độ được yêu cầu,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Các điều kiện an ninh được dẫn chứng cho
những người dùng mạng từ xa,
- Kịch bản của sự phản lý sự cố an ninh mạng,
- Các kế hoạch phục hồi thảm họa/tính kinh
doanh liên tục được thực nghiệm và ghi nhận.
Các thông tin chi tiết trong chủ đề tham khảo
này nên được tạo cho TCVN ISO/IEC 27002, ISO/IEC 27005 và ISO/IEC 27035. Chỉ
những chủ đề nêu trên là đặc biệt quan trọng về vấn đề sử dụng mạng được cung
cấp hướng dẫn nhiều hơn trong các mục bên dưới.
8.2.2.2. Chính sách an ninh mạng
Trách nhiệm của việc quản lý để chấp thuận
hiện hữu và hỗ trợ chính sách an ninh mạng của tổ chức (được đề cập trong TCVN
ISO/IEC 27002). Chính sách an ninh mạng nên tuân theo, và được phù hợp với
chính sách an ninh thông tin của tổ chức. Chính sách phải đáp ứng được sự thiết
lập, sự sẵn có cho các thành viên được phép và bao gồm các mệnh đề rõ ràng:
- Lập trường của tổ chức có liên quan đến
việc thỏa thuận sử dụng,
- Các quy tắc rõ ràng cho việc sử dụng an
toàn các nguồn tài nguyên, các dịch vụ và các ứng dụng mạng đặc trưng,
- Hậu quả của việc không tuân thủ các quy tắc
an ninh,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- (Các) yếu tố căn bản của chính sách, và cho
bất kỳ các quy tắc an ninh đặc trưng nào.
(Trong một vài trường hợp các mệnh đề rõ ràng
này có thể được đưa vào chính sách an ninh thông tin, nếu điều này thuận tiện
hơn cho tổ chức và/hoặc sẽ rõ ràng hơn cho chính cá nhân.)
Thông thường, nội dung của chính sách an ninh
mạng phải bao gồm một tóm tắt của các kết quả từ việc đánh giá rủi ro an ninh
mạng và quản lý đánh giá (cung cấp sự biện minh cho việc dùng các kiểm soát an
ninh) bao gồm chi tiết của tất cả các kiểm soát an ninh được chọn lọc tương ứng
với các rủi ro được đánh giá. (xem Điều 7.3)
8.2.2.3. Thủ tục vận hành an ninh mạng
Để hỗ trợ chính sách an ninh mạng, các văn
bản SecOPs phải được phát triển và duy trì. Chúng bao gồm các chi tiết của các
thủ tục vận hành hàng ngày tương ứng với an ninh mạng, và cá nhân chịu trách
nhiệm sử dụng và quản lý. Một mẫu ví dụ được trình bày trong Phụ lục C.
8.2.2.4 .Kiểm tra tuân theo an ninh mạng
Với tất cả các mạng, việc kiểm tra tuân theo
an ninh phải diễn ra đối với một danh sách kiểm tra được thiết lập từ các kiểm
soát được nêu cụ thể trong:
- Chính sách an ninh mạng,
- Các SecOPs liên quan,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Chính sách (an ninh) truy cập dịch vụ cổng
an ninh,
- (Các) kế hoạch kinh doanh liên tục,
- Các điều kiện an ninh, liên quan đến việc
kết nối.
Điều này phải xảy ra trước khi vận hành trực
tiếp bất kỳ mạng nào, trước một ban hành chính mới (liên quan đến quyền lợi kinh
doanh hoặc thay đổi liên quan đến mạng) và hàng năm khác.
Điều này bao gồm việc kiểm soát an ninh của
việc thử nghiệm an ninh để nhận biết các tiêu chuẩn, với một chiến lược thử
nghiệm an ninh và các kế hoạch liên quan được cung cấp trước khi thiết lập chính
xác thử nghiệm nào được thực hiện, với cái gì, ở đâu và khi nào. Điều này phải
bao gồm một sự kết hợp của việc quét lỗ hổng và việc thử nghiệm thâm nhập.
Trước khi việc khởi tạo bất kỳ một thử nghiệm nào, kế hoạch thử nghiệm phải
được kiểm tra để đảm bảo rằng thử nghiệm đó được thực hiện theo một cách thức
tương thích hoàn toàn với luật pháp tương ứng. Khi thực hiện kiểm tra này nó
không được quên rằng một mạng có thể không bị hạn chế cho một quốc gia - nó có
thể được phân tán qua các quốc gia khác nhau với luật pháp khác nhau. Theo thử
nghiệm này, các báo cáo phải chỉ ra các đặc trưng của các lỗ hổng bị phát hiện
và các sửa lỗi được yêu cầu và cái ưu tiên.
8.2.2.5. Điều kiện an ninh cho các kết nối
mạng đa tổ chức
Trừ phi các điều kiện an ninh kết nối được
đặt đúng và được đồng ý thỏa thuận, một tổ chức chấp nhận hệ quả các rủi ro mà
kết hợp với các phần cuối khác của một kết nối mạng ra bên ngoài tên miền của
nó. Các rủi ro này có thể bao gồm sự bảo vệ dữ liệu/chính sách liên quan, mà
một kết nối có được sử dụng để trao đổi các chủ đề dữ liệu cá nhân cho luật
pháp quốc gia ở một hoặc cả hai điểm cuối, mà điểm cuối khác của một kết nối
mạng (bên ngoài tên miền của một tổ chức) trong một quốc qua khác, luật pháp có
thể khác biệt.
Ví dụ, tổ chức A có thể yêu cầu rằng là trước
khi tổ chức B có thể kết nối tới hệ thống của họ thông qua một kết nối mạng, B
phải duy trì và mô tả một mức an ninh cụ thể của hệ thống của họ bao gồm cả kết
nối đó. Theo cách này A có thể đảm bảo B đang quản lý các rủi ro của chính họ
theo cách thức mà có thể chấp nhận được. Ở trường hợp này, A phải đưa ra một
văn bản các điều kiện an ninh cho kết nối mà các chi tiết của các kiểm soát an
ninh đó có mặt tại điểm cuối của B. Chúng phải được thiết lập bởi B, tuân theo
bởi việc ký kết một mệnh đề ràng buộc của tổ chức mà hiệu quả và việc an ninh
này phải được duy trì. A sẽ đảo ngược quyền để ủy quyền hoặc hướng dẫn một kiểm
tra thỏa thuận với B.
Nó cũng dẫn đến các trường hợp khi các tổ
chức trong một cộng đồng thỏa thuận chung một văn bản "các điều kiện an
ninh cho kết nối" mà các bản ghi các giao thức và trách nhiệm của tất cả
các bên, bao gồm việc kiểm tra thỏa thuận qua lại.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Người dùng trái phép để làm việc từ xa phải được
đưa ra với một văn bản "các điều kiện an ninh cho các người dùng mạng từ
xa" được dẫn chứng. Nó mô tả các trách nhiệm người dùng với phần cứng,
phần mềm và dữ liệu trong mối quan hệ liên kết với mạng, và sự an toàn của
chính nó.
8.2.2.7. Quản lý sự cố an ninh mạng
Các sự cố an ninh mạng có thể hay xảy ra, và
các tác động kinh doanh bất lợi nghiêm trọng hơn dẫn đến hệ quả, nơi các mạng
được sử dụng (trái ngược với nơi không có). Hơn nữa, với các mạng đang kết nối
với các tổ chức khác đặc biệt có thể là có tác động pháp lý quan trọng được kết
nối với các sự cố an ninh.
Vì vậy, một tổ chức với các kết nối mạng có
một kịch bản quản lý sự cố an ninh thông tin được thiết lập và được dẫn chứng
và hạ tầng liên quan để có thể phản hồi nhanh chóng như các sự cố an ninh đã
được xác định, tối giản tác động của chúng và học các bài học để cố gắng ngăn
chặn sự tái xuất hiện. Đề án này có thể giải quyết cả hai sự kiện an ninh thông
tin (các sự xuất hiện được xác định của một hệ thống, dịch vụ của trạng thái
mạng chỉ ra một sự vi phạm của chính sách an ninh thông tin hoặc lỗi của các bộ
phận an ninh, hoặc tình huống không biết trước đó mà có thể liên quan đến an
toàn), và các sự cố an ninh thông tin (một chuỗi hoặc 1 phần riêng của các sự
kiện an ninh thông tin không mong đợi hay không mong muốn mà có một khả năng
quan trọng của việc thỏa thuận các vận hành kinh doanh và việc đe dọa an ninh
thông tin). Chi tiết hơn việc quản lý sự cố an ninh thông tin được cung cấp
trong tiêu chuẩn ISO/IEC 27035.
8.2.3. Trách nhiệm và vai trò của an ninh
mạng
Vai trò và trách nhiệm phải được đánh giá
tương ứng với việc quản lý an ninh mạng được tuân theo (lưu ý rằng, dựa trên
quy mô tổ chức, các vai trò này có thể được kết hợp).
Quản lý cấp cao:
- Định nghĩa các mục tiêu an ninh của tổ chức,
- Định hướng, xác nhận, xuất bản và tuân theo
các quy tắc, thủ tục và chính sách an ninh của tổ chức,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Đảm bảo các chính sách sử dụng có thể chấp
nhận và an ninh là bắt buộc.
CHÚ THÍCH Quản lý cấp cao gồm các chủ kinh
doanh.
Quản lý mạng:
- Phát triển chính sách an ninh mạng chi
tiết,
- Thiết lập chính sách an ninh mạng,
- Thiết lập chính sách sử dụng mạng có thể
chấp nhận được,
- Quản lý giao diện với các bên liên quan/các
bên cung cấp dịch vụ bên ngoài để đảm bảo sự phù hợp với các chính sách an ninh
mạng nội bộ lẫn bên ngoài,
- Đảm bảo rằng trách nhiệm vận hành cho các
mạng là tách biệt khỏi các vận hành máy tính khi thích hợp.
Nhóm an ninh mạng:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Duy trì các thành phần và công cụ an ninh
mạng để theo dõi chặt chẽ sự phát triển của các mối đe dọa (ví dụ: cập nhật các
tập tin chữ ký mã độc (chứa vi-rút)),
- Cập nhật các cấu hình liên quan an ninh
mạng (ví dụ: các danh sách kiểm soát an ninh truy cập) dựa trên sự thay đổi của
các nhu cầu kinh doanh.
Quản trị mạng:
- Cài đặt, cập nhật, sử dụng và bảo vệ các
thành phần và dịch vụ an ninh mạng,
- Thực hiện các tác vụ thường nhật cần thiết
để áp dụng các đặc tính kỹ thuật an ninh mạng, quy tắc và các thông số yêu cầu
của các chính sách an ninh có hiệu lực,
- Thực hiện các biện pháp thích hợp để đảm
bảo việc bảo vệ của các thành phần an ninh mạng (ví dụ: lưu trữ dự phòng, giám
sát hoạt động mạng, phản hồi các báo lỗi hoặc các tai nạn an ninh,…)
Người dùng mạng:
- Kết nối với yêu cầu an ninh của họ,
- Tuân theo chính sách an ninh doanh nghiệp,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Báo cáo các rắc rối và các sự kiện an ninh
mạng,
- Cung cấp các phản hồi về các hiệu quả an
ninh mạng
Kiểm toán viên (nội bộ và/hoặc bên ngoài):
- Đánh giá và kiểm toán (Ví dụ: kiểm tra định
kỳ tín hiệu quả của an ninh mạng),
- Kiểm tra việc tuân thủ chính sách an ninh
mạng,
- Kiểm tra và thử nghiệm sự tương thích của
việc vận hành các quy tắc an ninh mạng với các yêu cầu kinh doanh và các hạn
chế luật pháp hiện tại (ví dụ: các danh sách được cấp cho các truy cập mạng)
8.2.4. Giám sát mạng
Giám sát mạng là một phần rất quan trọng của
việc quản lý an ninh mạng. Nó được đưa ra trong Điều 8.5.
8.2.5. Đánh giá an ninh mạng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.3. Quản lý lỗ hổng
kỹ thuật
Môi trường mạng như các hệ thống phức tạp
khác không bao giờ là không có lỗi. Các lỗ hổng kỹ thuật hiện tại và đã được
công bố cho các thành phần thường được sử dụng trong các mạng. Việc lợi dụng
các lỗ hổng kỹ thuật có thể có một vài tác động vào sự an ninh của các mạng,
thường được thấy theo các lĩnh vực sẵn có và bảo mật. Việc quản lý lỗ hổng kỹ
thuật bao trùm tất cả các thành phần mạng, và bao gồm:
- Thu được thông tin thời gian về các lỗ hổng
kỹ thuật,
- Đánh giá sự tiếp xúc của các mạng với các
lỗ hổng đó,
- Định nghĩa các kiểm soát an ninh thích hợp
để giải quyết các rủi ro liên quan, và
- Thiết lập và kiểm tra các kiểm soát an ninh
quy định.
Một điều kiện tiên quyết cho việc quản lý lỗ
hổng kỹ thuật là phải sẵn sàng cho một bản kiểm kê hoàn chỉnh và hiện tại của
các thiết bị mạng, cung cấp thông tin kỹ thuật cần thiết, như loại thiết bị, bên
cung cấp, số lượng phiên bản của phần cứng, phần sụn và phần mềm, và thông tin
tổ chức, ví dụ: các nhân viên quản trị chịu trách nhiệm.
Nếu tổ chức đã được thiết lập một chương
trình quản lý lỗ hổng kỹ thuật tổng thể, sự tích hợp của việc quản lý lỗ hổng
mạng kỹ thuật thành nhiệm vụ tổng thể phải là giải pháp ưu tiên. (Thông tin bổ
sung của sự quản lý lỗ hổng kỹ thuật, bao gồm việc thiết lập các hướng dẫn, có
thể tìm thấy trong TCVN ISO/IEC 27002).
8.4. Định danh và xác
nhận
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Ba lĩnh vực kiểm tra an ninh mà có thể liên
quan tới việc sử dụng các mạng, và các hệ thống thông tin là:
- Các đăng nhập từ xa - cho dù từ
người có thẩm quyền làm việc xa tổ chức, từ các kỹ sư bảo trì từ xa, hoặc cá
nhân từ các tổ chức khác, mà thực hiện thông qua cả việc chuyển mạch tới tổ
chức, các kết nối Internet, các nối ghép dành riêng từ các tổ chức khác, hoặc
truy cập chia sẻ qua mạng Internet. Các kết nối này được thiết lập cần một
trong hai hệ thống nội bộ hoặc các đối tác hợp đồng sử dụng các mạng công cộng.
Mỗi loại đăng nhập từ xa phải có các kiểm soát an ninh bổ sung phù hợp với tính
chất của mạng liên quan, ví dụ: không cho phép truy cập trực tiếp tới hệ thống
và phần mềm mạng từ các tài khoản sử dụng cho các truy cập từ xa, ngoại trừ
thẩm quyền bổ sung được cung cấp (xem bên dưới) - và thậm chí việc mã hóa
cuối-đến-cuối, và việc bảo vệ thông tin được liên kết với phần mềm thư điện tử
và dữ liệu thư mục được lưu trữ trên máy tính cá nhân và các máy tính xách tay
sử dụng bên ngoài các văn phòng của một tổ chức bởi nhân viên của chính nó từ
truy cập trái phép,
- Các chứng thực tăng cường - trong
khi việc sử dụng của các cặp mã id người dùng/mật khẩu là một cách đơn giản để
chứng thực người sử dụng, chúng có thể được thỏa hiệp hoặc đoán ra. Vậy phải
cách thức an toàn hơn để chứng thực người dùng phải được tiến hành - đặc biệt
cho người dùng từ xa và/hoặc khi một khả năng cao tồn tại một nhân vật trái
phép có thể gia tăng việc truy cập cho các hệ thống quan trọng được bảo vệ -
bởi vì truy cập có thể được khởi tạo sử dụng các mạng công cộng, hoặc truy cập
hệ thống có thể mất kiểm soát an ninh trực tiếp của tổ chức (ví dụ: thông qua
một máy tính xách tay). Các ví dụ đơn giản là việc sử dụng CLID (nhưng vì đây
là việc mở cửa cho việc giả mạo phải nó không phải sử dụng như một ID chứng
minh mà không cần thêm chứng thực) và các liên kết thông qua các modem bị ngắt
khi không sử dụng - và chỉ được kết nối sau khi xác minh danh tính của người
gọi. Các ví dụ phức tạp hơn, nhưng an toàn hơn - đặc biệt trong bối cảnh của
truy cập từ xa, được sử dụng theo cách thức khác của việc định danh để hỗ trợ
việc xác thực người dùng như các thẻ được kiểm tra và các cạc thông minh từ xa
- để việc đảm bảo rằng chúng có thể chỉ hoạt động kết hợp với tài khoản được
chứng thực của người dùng ủy quyền (và tốt nhất, đó là người dùng máy tính và
điểm truy cập/khu vực), ví dụ: bất kì PIN hoặc hồ sơ sinh trắc học nào. Nói
chung, điều này được gọi là việc chứng minh mạnh mẽ, hai yếu tố xác thực.
- Đăng nhập một lần an toàn - khi các mạng có
liên quan đến người dùng có thể gặp phải các kiểm tra chứng thực và đa nhận
dạng. Trong trường hợp đó, người dùng có thể bị lôi kéo để chấp nhận các hành
động không an toàn như việc viết ra các mật khẩu hoặc việc sử dụng cùng dữ liệu
xác thực. Đăng nhập một lần an toàn có thể giảm các rủi ro liên quan tới hành
vi bằng việc giảm số của các mật khẩu mà người dùng đã phải nhớ. Để giảm các
rủi ro, năng suất người dùng có thể được tăng cường và các tải làm việc liên
kết với các điều chỉnh lại mật khẩu có thể được giảm tải. Tuy nhiên, lưu ý rằng
những hậu quả của một hệ thống đăng nhập một lần an toàn có thể là nghiêm trọng
bởi không chỉ một mà nhiều hệ thống và ứng dụng gặp rủi ro và mở ra để thỏa
hiệp (đôi khi được gọi là rủi ro "chìa khóa vương quốc". Việc sử dụng
các cơ chế xác thực và định danh mạnh hơn thông thường có thể là cần thiết, và
nó có thể được mong muốn loại trừ việc định danh và xác thực cho các tính năng
(mức hệ thống) đặc quyền cao từ một chế độ đăng nhập một lần an toàn.
8.5. Giám sát và ghi
nhật ký mạng
Điều này quan trọng để đảm bảo sự hiệu quả an
ninh mạng thông qua việc giám sát liên tục và ghi nhật ký, với sự dò tìm, điều
tra và báo cáo của các sự kiện an ninh, và phản hồi với các sự cố nhanh chóng.
Không có hoạt động này, không có khả năng chắc chắn rằng các kiểm soát an ninh
mạng vẫn luôn còn hiệu lực và các sự cố an ninh sẽ không xảy ra như một hệ quả
của các hiệu ứng đối nghịch trong các vận hành kinh doanh.
Thông tin ghi nhật ký đầy đủ của các điều
kiện lỗi và các sự kiện hiệu lực phải được ghi để cho phép thông qua đánh giá
về các rủi ro thực tế và nghi ngờ. Tuy nhiên, việc nhận định rằng việc ghi một
lượng lớn thông tin liên quan kiểm nghiệm có gây ra khó khăn cho việc quản lý,
và có thể ảnh hưởng đến hiệu năng, việc quan tâm phải được diễn ra qua thời
gian về cái thực tế được ghi. Các bản ghi kiểm tra cho mạng phải được duy trì
mà bao gồm các loại sự kiện sau:
- Các cố gắng đăng nhập lỗi từ xa với ngày
tháng và thời gian,
- Các sự kiện tái chứng thực (hoặc việc sử
dụng thẻ) lỗi,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Các báo lỗi quản lý/báo động an ninh hệ
thống với các tác động an ninh (ví dụ: việc sao chép địa chỉ IP, việc gián đoạn
mạch vô danh…)
Trong một bối cảnh mạng, các ghi nhật ký phải
được rút ra từ một số nguồn, ví dụ: các bộ định tuyến, các tường lửa, IDS và
được gửi đến một máy chủ nhật ký trung tâm cho việc phân tích và tổng hợp toàn
diện. Tất cả các bản ghi kiểm tra phải được kiểm tra trong cả thời gian thực và
thời gian offline. Tại thời gian thực, các bản ghi có thể hiển thị trên một màn
cuộn và được sử dụng để cảnh báo các cuộc tấn công tiềm năng. Phân tích thời
gian offline là thiết yếu bởi nó cho phép xác định một bức tranh toàn cảnh hơn
cùng với phân tích xu hướng. Những chỉ báo ban đầu của một cuộc tấn công có thể
là những "giọt" trên đáng kể trên các bản ghi của tường lửa, chúng
chỉ ra hoạt động tìm kiếm chống lại mục tiêu. Một hệ thống IDS cũng có thể dò
tìm trong thời gian thực dựa trên một dấu hiệu tấn công.
Nó nhấn mạnh cho việc phân tích và điều tra
các mục đích phù hợp đáp ứng việc quản lý ghi nhật ký và phần mềm phân tích
phải được sử dụng cho lưu trữ bản ghi và tìm kiếm, sự truy xuất nguồn gốc và
báo cáo từ các bản ghi kiểm tra (chống lại các người dùng, các ứng dụng và các
loại thông tin cụ thể, và qua một khoảng thời gian cụ thể khi được yêu cầu cho
các mục đích điều tra) và báo cáo - với các ngõ xuất dễ hiểu, nhanh chóng và
được nhấn mạnh. Các báo cáo phân tích bản ghi kiểm tra phải được giữa trong một
khu vực an ninh, và lưu trữ với một giai đoạn thời gian thỏa thuận. Hơn nữa,
việc xác định và chứng thực, và việc bảo vệ và kiểm soát an ninh truy cập phải
được đặt vào chính các bản ghi nhật ký.
Việc giám sát liên tục phải bao trùm:
- Các bản ghi kiểm tra từ các tường lửa, các
bộ định tuyến, các máy chủ,.v.v.
- Các báo lỗi/báo động từ các bản ghi kiểm
tra đã được cấu hình trước để nhắc nhở các loại sự kiện hiện hữu, từ các tường
lửa, các bộ định tuyến, các máy chủ,
- Ngõ xuất từ IDS,
- Các kết quả từ các hoạt động quét an ninh
mạng,
- Thông tin trên các sự kiện và các rủi ro
được báo cáo bởi người dùng và hỗ trợ nhân viên, và
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Các biên bản nhật ký phải được duy trì online
trong một giai đoạn phụ thuộc nhu cầu của tổ chức, với tất cả các biên bản nhật
ký được sao lưu và lưu trữ theo cách thức đảm bảo tính toàn vẹn và tính sẵn
sàng, bằng việc sử dụng phương tiện WORM như các CD. Hơn nữa, các bản ghi kiểm
tra chứa thông tin nhạy cảm hoặc thông tin sử dụng của những người muốn tấn
công hệ thống thông qua các kết nối mạng, và việc sở hữu các bản ghi kiểm tra
có thể cung cấp bằng chứng của việc chuyển giao qua một mạng trong trường hợp
có tranh chấp - và do đó đặc biệt cần thiết trong bối cảnh của việc đảm bảo
tính toàn vẹn và không thoái thác. Do vậy mọi bản ghi kiểm tra phải được bảo vệ
phù hợp, kể cả khi lưu trữ các CD bị phá hủy ở thời điểm được chỉ định. Các
biên bản nhật ký phải được giữ lại trong một khoảng thời gian phù hợp với các
yêu cầu của tổ chức và luật pháp quốc gia. Nó cũng quan trọng khi mà việc đồng
bộ thời gian được đánh giá thường xuyên cho tất cả các biên bản nhật ký và các
máy chủ liên quan, ví dụ: việc sử dụng NTP, đặc biệt là đối với pháp y và có
thể sử dụng trong việc truy tố.
Nó nhấn mạnh rằng việc giám sát mạng phải
được tiến hành một cách hoàn toàn phù hợp với luật pháp quốc gia, quốc tế và
các quy định liên quan. Nó bao gồm luật pháp cho việc bảo vệ dữ liệu và cho quy
định quyền hạn điều tra (theo quy định của luật pháp, tất cả người dùng phải
được thông báo của bất kỳ giám sát nào trước khi nó được tiến hành). Nói chung
việc giám sát phải được tiến hành có trách nhiệm, và không phải sử dụng tức
thời để xem xét hành vi của nhân viên ở các quốc gia có các luật riêng tư rất
hạn chế. Rõ ràng là các hoạt động diễn ra phải nhất quán với các chính sách an
ninh và nhân viên có tổ chức/cộng đồng, và các thủ tục thích hợp với các trách
nhiệm liên quan đưa ra. Ghi nhật ký và giám sát mạng có thể điều chỉnh theo một
cách an toàn pháp lý nếu bằng chứng nhật ký được sử dụng trong các vấn đề pháp
lý dân sự hoặc truy tố.
Hầu hết các kiểm soát an ninh giám sát và ghi
nhật ký được yêu cầu liên quan đến việc sử dụng các mạng và các hệ thống thông
tin liên quan có thể được xác định bằng việc sử dụng TCVN ISO/IEC 27002 và
ISO/IEC 27005.
8.6. Phát hiện và
phòng ngừa xâm nhập
Với việc sử dụng tăng cường các mạng, điều này
trở phải dễ dàng cho kẻ gây xâm nhập tìm ra nhiều cách thức để thâm nhập vào
các mạng và các hệ thống thông tin của một tổ chức hoặc cộng đồng, để che giấu
điểm truy cập ban đầu đó, và truy cập thông qua các mạng và nhắm mục tiêu các
hệ thống thông tin nội bộ. Hơn nữa, kẻ xâm nhập đang trở phải phức tạp hơn, và
các phương thức tấn công nâng cao và các công cụ dễ dàng có sẵn trên Internet
hoặc trong các tài liệu mở. Thật vậy, đa phần các công cụ là tự động, có thể
rất hiệu quả và dễ sử dụng - bao gồm các nhân viên với các kinh nghiệm hạn chế.
Với hầu hết các tổ chức đó là điều bất khả
thi tài chính để ngăn cản tất cả các xâm nhập tiềm năng. Do đó, một vài xâm
nhập là có thể xảy ra. Những rủi ro tương ứng với hầu hết các xâm nhập đó phải
được đánh giá thông qua việc thiết lập và xác thực, kiểm soát an ninh truy cập
logic, kế toán và các kiểm soát an ninh nhật ký tốt, và nếu hợp lý, cùng với
việc phát hiện xâm nhập và ngăn chặn các khả năng. Các khả năng cung cấp theo
cách thức mà dự đoán các xâm nhập, xác định các xâm nhập trong thời gian thực
và tăng cường các cảnh báo phù hợp, và phòng ngừa các xâm nhập. Nó cũng cho
phép tập hợp khu vực của thông tin về các xâm nhập, và việc phân tích và sự tập
hợp theo sau, như việc phân tích các khung hệ thống thông tin thông thường của
một tổ chức của việc sử dụng/hành vi.
Một IDS lắng nghe tất cả lưu lượng truy cập
vào các mạng nội bộ để xác định rằng một xâm nhập đã được thử, đang hoặc đã xảy
ra và có khả năng phản hồi với các xâm nhập, cũng như cảnh báo nhân viên phù hợp.
có hai loại IDS:
- NIDS, mà giám sát các gói trong một mạng và
được thử để khám phá một kẻ xâm nhập bằng cách đối chiếu khung tấn công với một
cơ sở dữ liệu của các khung tấn công đã biết, và
- HIDS, mà giám sát hoạt động trên các máy
chủ - bằng cách giám sát các bản nghi sự kiện an ninh hoặc kiểm tra các thay
đổi cho hệ thống, như các thay đổi các tệp hệ thống nghiêm trọng, hoặc đăng ký
các hệ thống.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Hướng dẫn chi tiết cho việc dò tìm và phòng
ngừa xâm nhập được cung cấp trong tiêu chuẩn ISO/IEC 18043.
8.7. Bảo vệ chống lại
mã độc
Mã độc (vi-rút, sâu, Troijan, phần mềm gián
điệp.v.v. - mà thường được gọi chung là: "phần mềm độc hại") có thể
được cung cấp qua các kết nối mạng. Mã độc có thể là do một máy tính thực thi
các chức năng trái phép (như tấn công dồn dập một đối tượng cho sẵn với các tin
nhắn tại một thời gian và ngày định trước), hoặc thực sự phá hủy các nguồn tài
nguyên cần thiết (ví dụ xóa các tệp tin) ngay sau khi nó đã tái tạo cho cố gắng
tìm ra các máy chủ dễ tổn thương khác. Mã độc không thể dò tìm trước khi phá
hủy được hoàn tất trừ khi các kiểm soát an ninh phù hợp được thiết lập. Mã độc
có thể dẫn đến việc thỏa hiệp của các kiểm soát an ninh (như việc nắm bắt và
tiết lộ các mật khẩu), thông tin không cố ý công bố, các thay đổi thông tin
không chủ định, sự phá hủy thông tin, và/hoặc việc sử dụng không xác thực của
các tài nguyên hệ thống.
Vài mẫu mã độc phải được dò tìm và gỡ bỏ bởi
phần mềm quét đặc biệt. Các bộ quét là sẵn có cho các tường lửa, các máy chủ
tệp, các máy chủ thư, và các máy trạm/máy tính cá nhân cho một vài loại của mã
độc. Hơn nữa, nhằm phát hiện mã độc mới là rất quan trọng để đảm bảo rằng phần
mềm quét là thường xuyên cập nhật, qua các cập nhật hàng ngày. Tuy nhiên, người
dùng và nhà quản trị phải chú ý các bộ quét không thể phản hồi dựa trên các dò
tìm tất cả mã độc (hoặc thậm chí tất cả mã độc của một loại cụ thể) bởi các mẫu
mới của mã độc vẫn tiếp tục phát sinh. Thông thường, các hình thức kiểm soát an
ninh khác được yêu cầu để tăng cường bảo vệ được cung cấp bởi các bộ quét (khi
chúng tồn tại).
Tổng quan, đây là công việc của phần mềm
chống mã độc để quét dữ liệu và các chương trình để xác định các mẫu nghi ngờ
liên quan đến phần mềm độc hại. Thư viện mẫu được quét được biết đến như các
chữ ký, và phải được cập nhật ở các khoảng thông thường, hoặc bất kỳ khi nào
các chữ ký mới trở phải sẵn có cho các cảnh báo phần mềm độc hại rủi ro cao.
Trong bối cảnh của việc truy cập từ xa, phần mềm chống mã độc phải được chạy
trong các hệ thống từ xa và các máy chủ của hệ thống trung tâm - đặc biệt trên
các máy chủ thư điện tử và Windows.
Người dùng và các nhà quản trị mạng phải chú
ý rằng lượng lớn hơn thông thường rủi ro tương ứng với phần mềm mã độc khi
quyết định với các bên ngoài thông qua các liên kết bên ngoài. Các hướng dẫn
cho người dùng và các nhà quản trị phải được phát triển vạch ra các thủ tục và
các thực hành để tối giản các khả năng cung cấp mã độc.
Người dùng và nhà quản trị phải lưu tâm đặc
biệt tới việc cấu hình các hệ thống và các ứng dụng tương ứng với các kết nối
mạng để tắt đi các tính năng mà không cần thiết trong các hoàn cảnh, ví dụ: các
ứng dụng máy tính cá nhân có thể được cấu hình mà các macro được tắt mặc định,
hoặc yêu cầu xác nhận người dùng trước khi thực hiện các macro.
Việc bảo vệ mã độc được cung cấp chi tiết hơn
trong TCVN ISO/IEC 27002 và 27005.
CHÚ THÍCH Tiêu chuẩn ISO/IEC 11889 mô tả công
nghệ được thiết lập rộng rãi cho các hệ thống máy chủ khách hàng mà có thể sử
dụng để dò tìm và cách ly các mã độc hoặc không rõ nguồn gốc.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Khi việc đảm bảo của độ tin cậy là quan
trọng, các kiểm soát an ninh mã hóa phải được xem xét để thông tin mã hóa
truyền qua các mạng. Khi việc đảm bảo của tính toàn vẹn là quan trọng, chữ ký
số và/hoặc các kiểm soát an ninh toàn vẹn tin nhắn phải được xem xét để bảo vệ
thông tin truyền qua các mạng. Các kiểm soát an ninh chữ ký số có thể cung cấp
các bảo vệ tương tự cho các kiểm soát an ninh chứng thực tin nhắn, nhưng cũng
có các đặc tính mà cho phép bật các giao thức không thoái thác.
Khi một yêu cầu để đảm bảo rằng chứng minh
quan trọng có thể được cung cấp thông tin được mang bởi một mạng (không thoái
thác), các kiểm soát an ninh như sau phải đề cập đến:
- Giao thức kết nối mà cung cấp sự thừa nhận
của việc đệ trình,
- Giao thức ứng dụng mà yêu cầu địa chỉ của
người khởi tạo hoặc người xác định được cung cấp và kiểm tra sự hiện diện của
thông tin đó,
- Cổng kiểm tra các định dạng địa chỉ của
người gửi và người nhận hiệu lực của cú pháp và tính thống nhất của thông tin
trong các thư mục liên quan,
- Giao thức mà sự phân phối thừa nhận từ các
mạng, cho phép các chuỗi thông tin được xác định.
Điều này quan trọng khi mà việc truyền tải
hoặc nhận thông tin có thể được chứng minh nếu nó bị tranh chấp (dạng thức khác
của sự không thoái thác, hơn nữa việc đảm bảo phải được cấp qua việc sử dụng một
phương thức chữ ký số tiêu chuẩn. Người gửi đi thông tin, khi mà giấy tờ chứng
minh là cần thiết, phải đóng dấu thông tin bằng cách sử dụng một chữ ký số cho
một tiêu chuẩn phổ biến. Khi việc chứng minh giao nhận là cần thiết, người gửi
phải yêu cầu một phản hồi được đóng dấu với một chữ ký số.
Việc quyết định sử dụng mã hóa, chữ ký số, sự
toàn vẹn tin nhắn hoặc các kiểm soát an ninh dựa trên mã hóa khác phải phân
chia theo các luật và các điều chỉnh của Chính phủ liên quan và các hạ tầng
khóa phổ thông tương ứng, các yêu cầu cho quản lý khóa, sự sẵn có của các cơ
chế bên dưới sử dụng theo loại mạng bao hàm và mức độ của việc bảo vệ yêu cầu,
và việc đăng ký tin cậy của người dùng hoặc các thực thể tương ứng với các khóa
(được chứng thực khi liên quan) sử dụng trong các giao thức chữ ký số.
Các cơ chế mã hóa được tiêu chuẩn hóa trong
ISO/IEC 18033. Một công nghệ mã hóa sử dụng phổ biến được biết đến như là một
tổ hợp khóa chặn, và cách thức sử dụng các tổ hợp khóa chặn cho việc bảo vệ mã
hóa, được biết đến như các cơ chế vận hành, được tiêu chuẩn hóa trong ISO/IEC
10116. Các kiểm soát an ninh toàn vẹn tin nhắn, được biết đến như các mã thẩm
quyền tin nhắn (hoặc MAC) được tiêu chuẩn hóa trong ISO/IEC 9797. Các công nghệ
chữ ký số được tiêu chuẩn hóa trong ISO/IEC 9796 và ISO/IEC 14888. Thông tin
không thoái thác được cung cấp trong các tiêu chuẩn ISO/IEC 14516 và ISO/IEC
13888.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- TCVN 7817 (ISO/IEC 11770) (Quản lý khóa),
- ISO/IEC 9594-8 (Thư mục: khóa phổ thông và
nền chứng nhận thuộc tính),
- ISO 11166-2 (Ngân hàng, quản lý khóa bởi
các thuật toán không đồng bộ),
- ISO 11568 (Ngân hàng - quản lý khóa bán buôn),
- ISO 11649 (Các dịch vụ tài chính - tham
chiếu khởi tạo có cấu trúc cho các việc chuyển thông tin),
- ISO 13492 (Các phần tử dữ liệu quản lý khóa
bán buôn),
- ISO 21118 (Nền tảng khóa phổ thông ngân
hàng)
Chú thích rằng việc mã hóa cũng phải được sử dụng
cho việc quản lý các thiết bị mạng. Hơn nữa, việc truy cập và đăng nhập quản lý
mạng phải được truyền thành các khối mã hóa an toàn để bảo vệ các dữ liệu nhạy
cảm.
8.9. Quản lý kinh
doanh liên tục
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Các mức ưu tiên kinh doanh được yêu cầu và
khoản thời gian phù hợp nhu cầu kinh doanh,
- Các lựa chọn chiến lược kinh doanh ưu thích
được xác định là tương xứng với những mức ưu tiên và khoảng thời gian, và do đó
- Các cơ sở và kế hoạch cần thiết, chính xác
được đưa ra, thử nghiệm, bao gồm thông tin, các quy trình kinh doanh, các hệ
thống thông tin và dịch vụ, các truyền thông dữ liệu và thoại, con người và các
cơ sở vật chất.
Hướng dẫn trong việc quản lý tổng thể kinh
doanh, bao gồm sự phát triển của chiến lược kinh doanh liên tục tương ứng với
các kế hoạch liên quan, và việc thử nghiệm tiếp sau của chúng, có thể được thu
thập trong tiêu chuẩn ISO/PAS 22399:2007.
Theo quan điểm mạng, việc duy trì của các kết
nối mạng, việc thiết lập của các kết nối luân phiên đủ năng lực và việc phục
hồi của các kết nối tiếp theo cho các sự kiện không mong đợi, mà có thể được
giải quyết. Các khía cạnh và yêu cầu đó phải dựa trên sự quan trọng của các kết
nối của hoạt động kinh doanh qua thời gian, và các tác động kinh doanh bất lợi
dự kiến trong trường hợp gián đoạn. Trong kết nối có thể đáp ứng đủ các lợi thế
của một tổ chức trong trường hợp gián đoạn về tính linh hoạt và khả năng của
các phương thức tiếp cận sáng tạo, mà chúng có thể thể hiện các điểm yếu và
"các điểm lỗi đơn" mà có các tác động phá hoại nghiêm trọng trong tổ
chức.
9. Hướng dẫn cho việc
thiết kế và thiết lập an ninh mạng
9.1. Nền tảng
Điều 9 nêu ra các khía cạnh thiết kế/kiến
trúc an ninh mạng và các vùng kiểm soát an ninh xu hướng liên quan. Điều 10
giới thiệu về rủi ro, thiết kế, các kỹ thuật thiết kế và các vùng kiểm soát an
ninh cho các kịch bản nghiệp vụ mạng tham chiếu. Điều 11 giới thiệu về rủi ro,
thiết kế, các kỹ thuật thiết kế cho các chủ đề "công nghệ" cụ thể của
liên quan đến các tổ chức hiện nay. Một giải pháp an ninh mạng cụ thể có thể
bao gồm trong thực tế một số lượng của các chủ đề và các vùng kiểm soát an ninh
mà được giới thiệu trong Điều 10 và 11. Một bảng hiển thị các tham chiếu dọc
giữa các kiểm soát an ninh liên quan đến an ninh mạng của TCVN ISO/IEC 27001 /
27002 và các điều của TCVN 9801-1 (ISO/IEC 27033-1) được thể hiện trong Phụ lục
B.
Các Điều từ 8 đến 11 (và Phụ lục A), thiết
kế/kiến trúc an ninh kỹ thuật được cung cấp và danh sách các kiểm soát an ninh
được xác định phải được đánh giá thông qua trong bối cảnh của các kiến trúc
mạng và các ứng dụng đề cập đến. Kiến trúc và danh sách của các kiểm soát an
ninh sau đó phải được điều chỉnh nếu cần thiết và liên tục sử dụng như cơ sở cho
việc phát triển, thiết lập và thử nghiệm pháp an ninh kỹ thuật (xem Điều 12).
Sau đó, một khi kiến trúc an ninh kỹ thuật và do đó việc thiết lập kiểm soát an
ninh đã được đăng xuất, các vận hành trực tiếp phải được bắt đầu (xem trong
Điều 13), với việc giám sát liên tục và đánh giá việc thiết lập (xem Điều 14).
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Các tài liệu hướng dẫn của kiến trúc/thiết kế
an ninh kỹ thuật mạng khả thi và các tùy chọn thiết lập cung cấp một cách thức
cho việc kiểm tra các giải pháp khác nhau, và một cơ sở cho phân tích sự cân
bằng. Nó cũng tạo cơ hội cho bước tiến hóa các mục tương ứng với các hạn chế kỹ
thuật, và sự cạnh tranh giữa các yêu cầu kinh doanh và cho bảo mật, mà phải
thường xuyên tăng tiến.
Trong tài liệu hướng dẫn các tùy chọn, phải
tính đến bất kỳ các yêu cầu chính sách an ninh thông tin (xem Điều 7.2.1), kiến
trúc mạng, các ứng dụng, các dịch vụ, các loại kết nối và các đặc tính khác
liên quan (xem Điều 7.2.2), và danh sách các kiểm soát an ninh tiềm năng nào
được xác định bởi các phần rủi ro an ninh và đánh giá quản lý (xem Điều 7.3).
Để thực hiện điều này phải tính đến bất kỳ các thiết kế/kiến trúc an ninh kỹ
thuật hiện tại. Một khi các tùy chọn này đã được ghi nhận và xem xét, như một
phần của quy trình thiết kế kiến trúc kỹ thuật, kiến trúc an ninh được ưu thích
hơn phải được thỏa thuận và ghi nhận trong một văn bản đặc trưng kiểm soát an
ninh kiến trúc/thiết kế an ninh kỹ thuật (mà tương thích với các thiết kế/kiến
trúc kỹ thuật, và ngược lại). Sau đó các thay đổi phải đưa kết quả cho kiến
trúc, các ứng dụng và dịch vụ mạng (để đảm bảo sự tương thích với sự đồng ý
thiết kế/kiến trúc an ninh kỹ thuật đề cập), và/hoặc danh sách các kiểm soát an
ninh tiềm năng (ví dụ: bởi nó được đồng tình rằng thiết kế/kiến trúc an ninh có
thể cho thiết lập kỹ thuật theo một cách cụ thể, cần một thay thế cho một kiểm
soát an ninh xác định)
Chú thích rằng ISO/IEC 27033-2 định nghĩa cách
thức các tổ chức phải lưu trữ các kiến trúc an ninh kỹ thuật chất lượng/các
thiết kế mà phải đảm bảo an ninh mạng tương ứng với các môi trường doanh
nghiệp, sử dụng một cách tiếp cận phù hợp cho việc lập kế hoạch, thiết kế và
thiết lập an ninh mạng.
Đầu vào của quy trình phát triển kiến trúc an
ninh kỹ thuật mạng/thiết kế, như được mô tả trong ISO/IEC 27033-2, bao gồm:
- Các yêu cầu dịch vụ văn bản của tổ
chức/cộng đồng,
- Văn bản cho bất kỳ kiến trúc, thiết kế
và/hoặc thiết lập đang tồn tại hoặc dự kiến,
- Chính sách an ninh mạng hiện tại (hoặc các
phần liên quan của chính sách an ninh thông tin tương ứng) - hơn là dựa trên
kết quả từ 1 tổng quan quản lý và giám sát rủi ro an ninh,
- Định nghĩa các khía cạnh mà phải được bảo
vệ,
- Các yêu cầu hiệu năng hiện tại và dự kiến,
bao gồm các luồng liên quan,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Đầu vào từ quy trình thiết kế gồm:
- Văn bản kiến trúc an ninh kỹ thuật
mạng/thiết kế,
- Văn bản yêu cầu (an ninh) truy cập dịch vụ
cho mỗi cổng an ninh/hệ thống tường lửa (gồm các quy tắc tường lửa cơ bản),
- Thủ tục vận hành an ninh (SecOPs),
- Điều kiện cho việc kết nối mạng an ninh với
bên thứ ba,
- Hướng dẫn người dùng cho người dùng bên thứ
ba.
Văn bản thiết kế/ kiến trúc an ninh kỹ thuật
mạng được mô tả chi tiết trong tiêu chuẩn ISO/IEC 27033-2 mà cũng bao gồm một
mẫu ví dụ cho các văn bản yêu cầu (an ninh) truy cập dịch vụ ở Phụ lục D của
ISO/IEC 27033-2). Các thông tin của các văn bản khác được đề cập có thể được
tìm thấy trong Điều 8.2.2 bên trên hoặc trong ISO/IEC 27033-2.
(Hơn nữa, một khi thiết kế/kiến trúc an ninh
kỹ thuật mạng được yêu cầu đã được ghi nhận và thiết lập, các kế hoạch kiểm tra
an ninh phải được cung cấp và tiến hành thử nghiệm an ninh). Một khi các kết
quả thử nghiệm có thể chấp nhận được đã được lưu trữ, với bất kỳ sự điều chỉnh
nào được thực hiện theo các điểm sáng của các vấn đề tìm thấy trong quá trình
thử nghiệm, việc quản lý chính thức ký tắt phải được thu được cho thiết kế/kiến
trúc an ninh kỹ thuật mạng và việc thiết lập hoàn thiện (xem Điều 12)
Thông tin cho mỗi hoạt động được cung cấp
trong ISO/IEC 27033-2 (và sau đó không được nhắc lại ở đây):
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Định hướng dự án an ninh mạng,
- Xác định các yêu cầu mạng chính cho tổ
chức/cộng đồng,
- Xem xét việc kiến trúc kỹ thuật đang tồn
tại và dự kiến và việc thiết lập,
- Đánh giá xác định/xác nhận,
- Xác nhận việc đánh giá rủi ro an ninh và
các kết quả quản lý, và xem xét các kiểm soát an ninh mạng hiện tại và/hoặc dự
kiến trong bối cảnh của những kết quả đó, và việc chọn lọc các kiểm soát an
ninh tiềm năng,
- Xem xét các yêu cầu hiệu năng mạng và xác
nhận lĩnh vực (các yêu cầu hiệu năng cần được xem xét, tập trung giải quyết và
lĩnh vực hiệu năng được giải quyết được yêu cầu phải được đáp ứng bởi kiến trúc
kỹ thuật và thiết kế/kiến trúc an ninh kỹ thuật liên quan được thỏa thuận hợp
pháp. Hơn nữa dữ liệu được yêu cầu để cho phép việc cấu hình các dòng kết nối,
các máy chủ, các cổng an ninh,.v.v. được xác định mà phải đảm bảo tính sẵn có
của dịch vụ được yêu cầu.
- Thiết kế an ninh kỹ thuật mạng, bao gồm
việc bao trùm của các chủ đề kỹ thuật có thể áp dụng được (được xử lý phù hợp
theo tiêu đề trong ISO/IEC 27001:2009) và:
- Sử dụng hướng dẫn "kịch bản" và
"công nghệ" (được cung cấp từ ISO/IEC 27033-3 tới ISO/IEC 27033-6)
(cũng có thể xem trong Điều 10 và 11),
- Sử dụng các mô hình/nền tảng (bao gồm ITU-T
X.805) và các thứ khác,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Biện minh ý tưởng,
- Sự hoàn thiện kiến trúc an ninh kỹ thuật
mạng/thiết kế, và các văn bản liên quan,
- Chuẩn bị để thử nghiệm (một văn bản chiến
lược thử nghiệm an ninh phải được cung cấp mô tả việc tiếp cận để được tạo ra
với việc thử nghiệm để chứng minh kiến trúc an ninh kỹ thuật mạng, chủ yếu tập
trung cách thức các kiểm soát an ninh kỹ thuật chính phải được kiểm tra. Do vậy
một kiểm tra phải được phát triển cho kiến trúc an ninh kỹ thuật mạng, bao gồm
việc chi tiết hơn bao gồm các thử nghiệm được bởi người nào và từ đâu),
- Việc ký tắt kiến trúc an ninh kỹ thuật mạng
chính thức.
Các nguyên tắc thiết kế (các điều mà áp dụng
trong hầu hết các trường hợp) được mô tả trong tiêu chuẩn ISO/IEC 27033-2. Việc
tham chiếu phải được tạo ra cho các phụ lục của tiêu chuẩn ISO/IEC 27033-2 -
nền tảng/mô hình ví dụ (kiến trúc "tham chiếu") cho an ninh mạng,
nghiên cứu trường hợp nên tảng/mô hình, và các mẫu văn bản ví dụ.
Nó được nhấn mạnh rằng thiết kế/kiến trúc an
ninh kỹ thuật cho bất kỳ dự án nào phải được tán thành và ghi nhận toàn bộ,
trước khi việc hoàn thiện doanh sách các kiểm soát an ninh cho việc thiết lập.
10. Kịch bản nghiệp
vụ mạng tham chiếu - Các rủi ro, thiết kế, kỹ thuật và các vấn đề kiểm soát
10.1. Giới thiệu
ISO/IEC 27003-3 mô tả các rủi ro, các kỹ
thuật thiết kế và các vấn đề kiểm soát tương ứng với các kịch bản nghiệp vụ
mạng tham chiếu. Một vài ví dụ của kịch bản này được giới thiệu từ Điều 10.2
đến 10.10. Phần 3 cung cấp hướng dẫn chi tiết về các rủi ro an ninh và các kỹ
thuật thiết kế an ninh và các kiểm soát an ninh mà được yêu cầu để giảm nhẹ các
rủi ro đó trong toàn bộ các kịch bản đặc trưng. Phần 3 bao gồm các tham chiếu
từ Phần 4 đến Phần 7 để tránh lặp nội dung của các văn bản đó.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Ngày nay hầu như các tổ chức cung cấp các
dịch vụ truy cập mạng Internet cho nhân viên của họ, và việc cung cấp các dịch
vụ phải được truy cập với các mục đích có thẩm quyền và xác định rõ ràng, không
phải truy cập mở phổ thông. Nó phải được định nghĩa theo một chính sách riêng
mà các dịch vụ được cung cấp, và mục đích. Truy cập mạng Internet là việc cho
phép thông thường cho các lý do kinh doanh nghiệp, và mục tiêu cho truy cập
mạng Internet chính sách doanh nghiệp cũng cho phép (thường ở mức giới hạn) cho
các mục đích nhân viên. Các đề cập cần để đưa ra các dịch vụ được phép để sử
dụng - đó là các dịch vụ cơ bản như www (http & https), cũng thu thập thông
tin thu thập được cho phép và/hoặc các nhân viên được phép tham gia trong các
kênh tán gẫu, các diễn đàn, .v.v. và tăng cường sự phối hợp các dịch vụ cho
phép - nếu có cũng giới thiệu tập các rủi ro của chính nó được chỉ định nội bộ
một kịch bản đặc trưng.
Cơ sở cơ bản phải chỉ có các dịch vụ mà phục
vụ các nhu cầu doanh nghiệp được cho phép, nhưng thường thì các vận hành doanh
nghiệp yêu cầu việc sử dụng của các dịch vụ có nhiều hơn các rủi ro an ninh
tương ứng. Thậm chí khi một chính sách nghiêm khắc được đưa ra, các dịch vụ
truy cập mạng Internet cho nhân viên cung cấp các rủi ro an ninh đáng kể.
10.3. Dịch vụ cộng tác tăng cường
Dịch vụ cộng tác tăng cường (như tin nhắn tức
thời - tán gẫu, hội nghị video và các môi trường chia sẻ văn bản), mà tương tác
nhiều kết nối và các khả năng chia sẻ văn bản, được tăng cường nhiều hơn nữa sự
quan trọng trong môi trường doanh nghiệp ngày nay. Các dịch vụ phối hợp phổ
biến: điện thoại video, kết nối thoại với nhiều kênh tán gẫu, các dịch vụ thư
điện tử tương tác, cũng như chia sẻ văn bản và các môi trường cùng làm việc
online. Có hai cách thức cơ bản cho việc sử dụng các dịch vụ trong một tổ chức:
- Sử dụng chúng chỉ như các dịch vụ nội bộ,
nhưng với các hạn chế rằng cách vụ không thể sử dụng với các đối tác bên ngoài.
- Sử dụng chúng như các dịch vụ nội bộ và các
dịch vụ bên ngoài cho một tổ chức. Điều này cung cấp nhiều lợi ích hơn việc sử
dụng các dịch vụ như vậy, nhưng đồng thời cũng có nhiều hơn các rủi ro an ninh
tương ứng so với việc chỉ sử dụng nội bộ.
Về việc thực hiện, các dịch vụ có thể được
thiết lập tại gia nhằm hoặc chỉ mang đến như một dịch vụ từ bên thứ ba. Trong
nhiều trường hợp, các dịch vụ tại gia chỉ được sử dụng, và việc thiết lập tại
gia phải sử dụng. Nếu các dịch vụ sử dụng nội bộ và bên ngoài, sau đó việc mua
dịch vụ phối hợp từ một bên thứ ba có thể tạo ra một giải pháp phù hợp. Các rủi
ro và tư vấn dựa về các kiểm soát an ninh và kỹ thuật thiết kế an ninh để giảm
thiểu các rủi ro đó được mô tả cho cả việc sử dụng nội bộ và bên ngoài.
10.4. Dịch vụ Doanh nghiệp tới Doanh nghiệp
Dịch vụ doanh nghiệp tới doanh nghiệp truyền
thống đã được thiết lập bằng cách sử dụng các đường dây thuê chuyên dụng hoặc
các phân đoạn mạng. Mạng Internet và các công nghệ liên quan cung cấp nhiều lựa
chọn, những cũng giới thiệu một rủi ro an ninh mới tương ứng với việc thiết lập
các dịch vụ đó, các dịch vụ Doanh nghiệp tới Doanh nghiệp phổ biến có những đòi
hỏi riêng của chúng. Ví dụ, tính khả dụng và đáng tin cậy là yêu cầu quan trọng
bởi các tổ chức thường xuyên phụ thuộc trực tiếp vào các dịch vụ Doanh nghiệp
tới Doanh nghiệp
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
10.5. Dịch vụ Doanh nghiệp tới Khách hàng
Dịch vụ Doanh nghiệp tới Khách hàng bao gồm
thương mại điện tử và ngân hàng điện tử. Các yêu cầu bao gồm sự tin tưởng (đặc
biệt liên quan đến ngân hàng điện tử), thẩm quyền (phương cách khả thi hiện nay
ví dụ: hai nhân tố, dựa trên chứng nhận,… mối quan hệ giữa giá của việc thiết
lập - phổ biến bởi số lượng lớn khách hàng, và những giảm thiểu rủi ro như thất
thoát tài chính, mất mát danh tiếng hay mức tín dụng của doanh nghiệp), sự toàn
vẹn, và sức chống cự lại những tấn công phức tạp như những tấn công "người
trung gian" hay "người trong trình duyệt".
Các đặc tính bao gồm:
- Bảo mật không "đảm bảo" trong các
nền tảng cuối, phổ biến dưới dự kiểm soát an ninh của một tổ chức, cung cấp một
môi trường tốt cho việc thiết lập các kiểm soát an ninh và duy trì một an ninh
mức độ nền tảng tốt,
- Bảo mật trên nền tảng khách hàng, thường là
trên một máy tính cá nhân, có thể là không bền vững. Nó khó khăn hơn để kiểm
soát an ninh thiết lập trong môi trường như vậy, do đó các nền tảng khách hàng
phải thể hiện các rủi ro đáng kể trong tình huống này (không có các bộ yêu cầu
"điều kiện để kết nối an toàn" trong một ký kết mà có thể khó khăn để
áp đặt trong một môi trường như thế).
10.6. Dịch vụ thuê ngoài
Dựa trên sự phức tạp của các môi trường IT
hiện nay sử dụng các dịch vụ hỗ trợ IT hoặc có một phần hoặc toàn phần thuê ngoài
hỗ trợ cho nền tảng IT của họ, và/hoặc sử dụng các dịch vụ thuê ngoài bên
ngoài. Nhà bán lẻ cũng có các yêu cầu cho các truy cập online cho các sản phẩm
thay vì các tổ chức khách hàng, để có thể tương ứng quản lý hỗ trợ và/hoặc các
mục quản lý.
Trong khi nhiều dịch vụ thuê ngoài yêu cầu
các quyền truy cập vĩnh viễn như để hỗ trợ nền tảng, các đối tượng khác có thể
chỉ cần truy cập tạm thời. Một vài trường hợp các dịch vụ thuê ngoài cần các
quyền truy cập có đặc quyền cao để hoàn thiện những nhiệm vụ yêu cầu, đặc biệt
trong những tình huống quản lý sự cố.
10.7. Phân đoạn mạng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Để bao trùm những yêu cầu bảo mật thông tin
khác nhau với nhiều quốc gia mà một tổ chức quốc tế đang hoạt động, phân đoạn
mạng có hiệu lực phù hợp với các ranh giới quốc gia có thể là một giải pháp
rộng có hiệu quả. Trong nhiều trường hợp, giải pháp rộng đó có thể được sử dụng
để xây dựng một rào chắn phòng hộ riêng như thêm vào mức độ ứng dụng kiểm soát
an ninh truy cập.
10.8. Kết nối di động
Phần kịch bản nghiệp vụ mạng tham chiếu này
đề cập các thiết bị kết nối di động nhân viên, như các máy điện thoại thông
minh hoặc các máy PDA, mà đang rất phổ biến. (Hướng dẫn của các khía cạnh an
ninh của các kết nối qua mạng tới và từ các thiết bị được nêu trong tiêu chuẩn
ISO/IEC 27033-7 trong các kết nối an ninh qua mạng không dây và các mạng vô
tuyến).
Mặc dù trình kiểm soát an ninh chính cho sự
phát triển nhanh chóng các đặc tính mới của các thiết bị kết nối di động cá
nhân đến từ nhiều thị trường khách hàng, các đặc tính này cũng được sử dụng
trong các môi trường doanh nghiệp. Như cụm từ "nhân viên" chứa đựng,
những thiết bị đó thường được sở hữu cả nhân viên và sử dụng cho cả mục đích doanh
nghiệp và nhân viên. Ngay cả những thiết bị được chỉ đạo ở thị trường doanh
nghiệp cũng cần những đặc trưng được đưa ra cho thị trường người dùng bởi người
bán lẻ muốn mở rộng doanh nghiệp có tính khả thi vào thị trường cạnh tranh.
Nhiều đặc trưng mới khả dụng với những thiết
bị, sự phát triển khả năng ghi nhớ của thiết bị và kết nối dây vĩnh cửu qua
mạng Internet được mở cho cộng đồng, hay chính là những rủi ro an ninh thông
tin đáng kể bởi những trường hợp mà một người sử dụng cùng một thiết bị cho cả
mục đích nhân viên cũng như doanh nghiệp.
Hơn nữa với sự tăng trưởng thành mạnh mẽ của
các thiết bị kết nối di động nhân viên và các trạng thái của chúng như một
"đồ nhân viên", trong nhiều trường hợp các chính sách nghiêm ngặt chỉ
sử dụng một tập đặc trưng giới hạn hoặc để chỉ cho phép một giới hạn số lượng
các thiết bị lỗi hay bị phá vỡ và do đó có nghĩa là hiệu quả an ninh thông tin
hạn chế.
10.9. Hỗ trợ mạng cho người dùng di chuyển
Ngày nay người dùng di chuyển mong chờ các
mức độ kết nối đáp ứng với cái mà họ có trong các khu vực cố định, như văn
phòng chính của họ. Các giải pháp và đề nghị trong lĩnh vực này thường nhấn
mạnh về phần tính năng. Theo quan điểm an ninh thông tin, các mức chức năng đề
cập giới thiệu các rủi ro mới, ví dụ: bằng các tiêu thụ ảnh hưởng hoặc sự vô
giá trị đề cập đến an ninh thông tin. Ví dụ: Giả sử duy trì một mạng Intranet
được quản lý (từ bên ngoài) và bảo vệ tốt có thể bị đặt câu hỏi đáng kể nếu
truy cập đi qua của người dùng vào Intranet không được thực hiện với sự kiểm soát
an ninh phù hợp.
10.10. Hỗ trợ mạng cho văn phòng tại gia đình
và doanh nghiệp nhỏ
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Trong nhiều kịch bản tại gia hoặc doanh
nghiệp nhỏ, hạ tầng cơ sở có thể được sử dụng vì mục đích cá nhân cũng như
doanh nghiệp, mà có thể dẫn tới những rủi ro an ninh thông tin bổ sung. Những
rủi ro an ninh được định nghĩa và lời khuyên về công nghệ thiết kế và quản lý
an ninh để giảm thiểu những rủi ro đã được mô tả.
11. Các chủ đề
"công nghệ" - Các rủi ro, công nghệ thiết kế và các vấn đề kiểm soát
Chi tiết của các rủi ro an ninh, công nghệ
thiết kế và vấn đề kiểm soát tương ứng với các chủ đề "công nghệ"
được thực hiện trong Phụ lục A. Chủ đề này bao trùm:
- Mạng cục bộ (xem A.1),
- Mạng vùng rộng (xem A.2),
- Mạng không dây (xem A.3),
- Mạng vô tuyến (xem A.4),
- Mạng băng thông (xem A.5),
- Cổng an ninh (xem A.6),
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Mạng thoại (xem A.8),
- Hộ tụ IP (xem A.9),
- Máy chủ web (xem A.10),
- Thư điện tử mạng Internet (xem A.11),
- Truy cập điều hướng tới các tổ chức bên thứ
3 (xem A.12),
- Trung tâm dữ liệu (xem A.13)
12. Phát triển và
kiểm tra giải pháp an ninh
Một khi kết cấu an ninh kỹ thuật được ghi
nhận hoàn chỉnh và được chấp nhận, bao gồm các quản lý chính và giải pháp được
phát triển, thiết lập ở "trạng thái chạy thử" và thông qua thử nghiệm
và kiểm tra phù hợp một cách chuyên sâu.
Thử nghiệm giải pháp "hợp với mục
đích" thông thường phải được tiến hành đầu tiên với một văn bản kế hoạch
thử nghiệm cung cấp mô tả tiếp cận được tiến hành với việc thử nghiệm để chứng
minh giải pháp và sau đó là kế hoạch thử nghiệm. Có thể cần những thay đổi được
tạo ra như một hệ quả của sự thiếu hụt được xác định qua kiểu thử nghiệm này và
bất kỳ thử nghiệm lại quan trọng nào được tiến hành.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Kết cấu an ninh kỹ thuật,
- Chính sách an ninh mạng,
- Các SecOP liên quan,
- Chính sách (bảo mật) dịch vụ truy cập cổng
an ninh,
- Kế hoạch liên tục của doanh nghiệp,
- Các điều kiện an ninh kết nối khi phù hợp.
Đánh giá tuân thủ phải được hoàn thiện trước
hoạt động trực tiếp. Bản đánh giá phải là hoàn chỉnh khi tất cả những thiếu hụt
đã được xác định, sửa chữa và kết thúc bởi quản lý cấp cao.
Có thể nhấn mạnh rằng nó phải bao gồm tiến
hành thử nghiệm an ninh cho những tiêu chuẩn phù hợp được thừa nhận của quốc
gia, Chính phủ, cộng đồng (khi không có tiêu chuẩn quốc tế), với chiến lược thử
nghiệm an ninh và các kế hoạch thử nghiệm liên quan được cung cấp trước khi
thiết lập chính xác thử nghiệm được tiến hành (Một ví dụ mẫu cho kế hoạch thử
nghiệm an ninh được đưa ra trong ISO/IEC 27033-2. Nó phải bao gồm một tổ hợp
quét hạn chế và thử nghiệm thâm nhập. Trước khi thực hiện bất kỳ thử nghiệm nào
ở trên, kế hoạch thử nghiệm phải được kiểm tra để đảm bảo thử nghiệm sẽ được
thực hiện theo một cách thức tuân thủ hoàn chỉnh các quy định và pháp lý liên
quan. Khi tiến hành thử nghiệm, không phải quên rằng mạng có thể không chỉ bị
giới hạn bởi một quốc gia, nó có thể được phân chia qua nhiều quốc gia khác
nhau với pháp lý khác nhau. Sau những thử nghiệm, báo cáo phải thể hiện cụ thể
những nhược điểm nhận thấy và những sửa chữa cần có và theo thứ tự ưu tiên nào,
và với phụ lục xác nhận rằng tất cả những sửa chữa cần có đã được áp dụng.
Những bản báo cáo đó phải được giải quyết bởi quản lý cấp cao.
Cuối cùng, khi tất cả đã thỏa mãn, việc thực
hiện phải được kết thúc và chấp nhận bởi quản lý cấp cao.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
"Vận hành" tức là điều hành trực
tiếp (hàng ngày) mạng lưới hoạt động với giải pháp an ninh tại chỗ đã được chấp
nhận, với kiểm tra bảo mật được thực hiện và những hoạt động được yêu cầu hoàn
thành trước đó. Nói cách khác, khi mà kết cấu an ninh kỹ thuật và do đó việc
thực hiện kiểm soát an ninh bảo mật bị tắt, theo đó hoạt động trực tiếp phải
được bắt đầu. Và qua thời gian, nếu thay đổi đáng kể diễn ra, việc thực hiện
kiểm tra và rà soát hơn nữa phải được tiến hành (xem Điều 14)
14. Giám sát và đánh
giá thiết lập giải pháp
Theo ghi chú về vận hành trực tiếp, giám sát
liên tục và những hoạt động đánh giá tuân thủ phải được thực hiện cùng với
những tiêu chuẩn thừa nhận phù hợp của quốc gia, nhà nước, cộng đồng (khi không
có tiêu chuẩn quốc tế). Những hoạt động này phải được thực hiện trước một bản
phát hành chính liên quan tới những thay đổi đáng kể trong nhu cầu doanh
nghiệp, công nghệ, giải pháp an ninh và những phát hành thường niên khác. Những
hoạt động ở đây tuân theo khuôn khổ được mô tả ở Điều 12.
PHỤ
LỤC A
(Tham khảo)
CHỦ
ĐỀ "CÔNG NGHỆ" - CÁC RỦI RO, CÔNG NGHỆ THIẾT KẾ VÀ CÁC VẤN ĐỀ KIỂM
SOÁT
A.1. Mạng cục bộ
A.1.1. Nền tảng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Mạng LAN có dây thường bao gồm các nút kết
nối trong một mạng thông qua một bộ chuyển mạng sử dụng các cáp nối mạng và có
thể cung cấp dung lượng mạng dữ liệu tốc độ cao. Công nghệ mạng LAN có dây phổ
biến nhất là Ethernet (IEEE 802.3)
Mạng LAN không dây sử dụng các sóng tần số
cao để gửi các gói mạng qua không khí. Trong thực tế, sự phức tạp của mạng LAN
không dây là do nó có thể thiết lập nhanh chóng mà không cần thiết nối dây
mạng. Các công nghệ mạng LAN không dây nổi tiếng bao gồm việc triển khai IEEE
802.11 và công nghệ Bluetooth.
Khi các mạng LAN được sử dụng trong các khu
vực được bảo vệ về mặt vật lý, ví dụ: chỉ trong cơ sở của một tổ chức thì các
rủi ro có khả năng xảy ra thường chỉ yêu cầu các kiểm soát an ninh kỹ thuật cơ
bản. Tuy nhiên, để sử dụng trong các môi trường lớn hơn và cả khi công nghệ
không dây được sử dụng, việc bảo vệ vật lý đơn độc là không chắc chắn để đảm
bảo bất kỳ mức độ an ninh nào.
Màn hình nền là một khu vực dễ tổn thương
giống như là giao diện người dùng. Nếu màn hình không bị khóa thì nó có thể bị
người dùng cài đặt các phần mềm trái phép, không được ủy quyền vào mạng LAN.
Các hệ thống máy chủ được sử dụng trong một mạng lưới doanh nghiệp, cả những hệ
thống kết nối với mạng Internet và máy chủ nội bộ không có kết nối trực tiếp
với mạng Internet thì đều có thể chứa các rủi ro an ninh chính tương ứng mà
phải được giải quyết một cách cẩn trọng. Ví dụ: khi phần lớn các cơ quan về
công nghệ thông tin cho rằng họ đã nỗ lực áp dụng các ráp nối ngay khi có sẵn,
thì ngay cả các tổ chức lớn cũng đã từng thất bại để ráp nối tất cả các máy chủ
một cách kịp thời, dẫn đến sự gián đoạn lưu lượng mạng nội bộ bởi sâu và vi
rút.
A.1.2. Rủi ro an ninh
Trong một mạng LAN có dây, rủi ro an ninh sẽ
gia tăng từ các nút được kết nối với mạng về mặt vật lý. Về tổng thể, rủi ro an
ninh chính liên quan tới mạng LAN bao gồm những rủi ro tương ứng với:
- Truy cập và thay đổi bất hợp pháp trên máy
tính cá nhân, máy chủ và các thiết bị kết nối mạng LAN khác,
- Các thiết bị không được sửa chữa,
- Các mật khẩu chất lượng thấp,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Lỗi nguồn cung cấp,
- Nhập các mã độc qua truy cập web và thư
điện tử,
- Lỗi lưu trữ đĩa cứng,
- Lỗi phần cứng ví dụ: đĩa cứng,
- Các kết nối bất hợp pháp tới hạ tầng mạng
LAN, ví dụ: chuyển đổi và ráp nối hộp chứa,
- Các kết nối bất hợp pháp tới các thiết bị
cuối ví dụ: máy tính xách tay,
- Các mật khẩu mặc định trên cổng quản lý của
thiết bị mạng,
- Sự xâm nhập, khi thông tin bị rò rỉ hay
tính toàn vẹn và/hoặc tính sẵn có của thông tin theo đó không còn được bảo đảm,
- Các tấn công DoS khi mà nguồn tài nguyên
không sẵn có cho người dùng hợp pháp,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Lỗi thiết bị,
- Lỗi cáp,
- Bảo mật vật lý chất lượng kém.
Các rủi ro an ninh tương ứng với mạng LAN không
dây được mô tả trong Điều A.3.2.
A.1.3. Kiểm soát an ninh
Việc giữ cho không gian mạng LAN an toàn yêu
cầu các thành phần mạng và cả các thiết bị kết nối phải được bảo mật. Hơn nữa,
các kiểm soát an ninh để đảm bảo môi trường LAN có thể bao gồm;
- Vật lý và môi trường:
- Sử dụng các hệ thống cáp thép để bảo vệ các
CPU, màn hình và bàn phím khỏi việc trộm cắp,
- Sử dụng các khóa trên thiết bị để phòng
ngừa các phần, ví dụ: bộ nhớ, khỏi việc bị đánh cắp,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Đảm bảo các thiết bị mạng LAN, như các bộ
chuyển đổi và các bộ điều hướng, được giữ trong các hộp an toàn vật lý trong
các phòng kết nối an toàn,
- Cung cấp UPS với hệ thống tắt tự động cho
các thiết bị quan trọng và cho các máy tính cá nhân của người dùng nếu họ không
muốn bị mất tiến trình công việc.
- Phần cứng và phần mềm:
- Cấu hình các thiết bị với địa chỉ cá nhân
(ví dụ: IP),
- Chính sách mật khẩu mạnh,
- Yêu cầu đăng nhập vào mỗi máy tính cá
nhân/máy trạm, ít nhất với mỗi một cặp mã người dùng/mật khẩu,
- Hiển thị thời gian lần đăng nhập thành công
gần nhất,
- Không hiển thị lại tên người dùng lần đăng
nhập thành công gần nhất, và bất cứ danh sách người dùng đã sử dụng trước đó.
- Cài đặt phần mềm chống mã độc (gồm cả chống
vi-rút) và các cập nhật thông thường tự động,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Tắt ổ đĩa mềm, ổ đĩa CD-ROM và các cổng
USB,
- Các ổ đĩa máy chủ ảo (hoặc RAID được triển
khai) để dự phòng,
- Gỡ bỏ phần mềm không cần thiết,
- Đảm bảo việc quản lý màn hình chính tại chỗ
tốt.
- Tùy chọn:
- Phần mềm tài liệu và các cài đặt an ninh sử
dụng cho tương lai trong việc cấu thành các máy tính cá nhân/máy trạm,
- Tải xuống và cài đặt định kỳ theo lịch
trình các bảng sửa lỗi hệ điều hành,
- Tạo và duy trì chương trình Sửa chữa khẩn
cấp đĩa và lưu trữ trongmột khu vực kiểm soát,
- Triển khai ghi nhật ký để ghi lại các vấn
đề bảo trì và chưa sử dụng của máy tính cá nhân/máy trạm,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Đảm bảo chế độ sao lưu,
- Đảm bảo rằng tất cả các thiết bị mạng có
các thay đổi mật khẩu mặc định,
- Thiết lập các mật khẩu/chuỗi cộng đồng theo
giao thức quản lý mạng tương ứng,
- Mã hóa lưu lượng mạng,
- Cấu hình bản ghi kiểm tra hợp thức nếu khả
dụng, và triển khai các thủ tục giám sát các bản ghi kiểm tra,
- Lên lịch trình cài đặt định kỳ cho các cập
nhật phần mềm,
- Dẫn chứng các cài đặt thiết bị cho mục đích
sau này trong thiết bị cấu hình lại; tạo bản sao lưu trữ của tệp cấu hình của
bộ điều hướng và lưu trữ trong khu vực an toàn,
- Kiểm tra lỗ hổng bảo mật cho tất cả các
thiết bị kết nối mạng LAN.
Các kiểm soát an ninh tương ứng với mạng LAN
không dây được mô tả trong Điều A.3.3.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.2.1. Nền tảng
Mạng WAN được sử dụng để kết nối các khu vực
xa, và các mạng LAN của chúng với nhau. Một mạng WAN có thể được xây dựng thông
qua việc sử dụng các cáp, mạch từ một bên cung cấp dịch vụ, hoặc qua thuê một
dịch vụ từ một bên cung cấp viễn thông. Công nghệ mạng WAN cho phép việc truyền
dẫn và điều hướng lưu lượng mạng qua khoảng cách xa, và thường cung cấp các
tính năng điều hướng mở rộng tới các gói mạng điều hướng đến mạng LAN chuẩn
đích. Hạ tầng mạng vật lý công cộng để điển hình được sử dụng cho việc liên kết
nối các mạng LAN, ví dụ: các dây chính, các kết nối vệ tinh hay cáp quang. Một
mạng WAN có thể kết nối dây hay không dây.
Mạng WAN có dây thường bao gồm các thiết bị
điều hướng (ví dụ: các bộ điều hướng) được kết nối tới một mạng công cộng hoặc
mạng cá nhân thông qua các đường dây viễn thông. Mạng WAN không dây tiêu chuẩn
sử dụng các sóng vô tuyến để gửi các gói mạng qua không khí từ một khoảng cách
xa, mà có thể lên tới 10 ki-lo-mét hoặc xa hơn.
Khi mạng WAN truyền thống ban đầu được tạo
phải thông qua việc sử dụng các liên kết cố định giữa các khu vực được thuê bởi
các bên cung cấp dịch vụ và với việc các bên cung cấp nắm trong tay kiểm soát
an ninh tối thiểu tương ứng với những liên kết đó, thay vì đảm bảo rằng điều đó
là tùy thuộc, thành tựu trong công nghệ mạng WAN đã dẫn tới kết quả về một sự
chuyển đổi trách nhiệm quản lý vào bên cung cấp dịch vụ, cùng với lợi ích của
một tổ chức khi không phải triển khai và quản lý mạng lưới của chính mình. Điều
đó có nghĩa là trách nhiệm thuộc về bên cung cấp dịch vụ để bảo đảm thiết bị
quản lý mạng lưới là bảo đảm. Hơn nữa, bởi mạng WAN được sử dụng chủ yếu cho
mục đích điều hướng lưu lượng mạng qua khoảng cách xa, chức năng điều hướng cần
phải bền chắc, đảm bảo lưu lượng mạng không bị điều hướng đến mạng LAN sai
đích. Do đó, lưu lượng đi qua mạng WAN có khuynh hướng ngăn cản những người
truy cập vào mặt bằng mạng WAN. Bởi vì mặt bằng mạng WAN có xu hướng dễ truy
cập hơn là mạng LAN, việc bảo dưỡng phải được thực hiện để đảm bảo những thông
tin nhạy cảm truyền tiếp qua môi trường mạng WAN được mã hóa. Bên cung cấp dịch
vụ phải ký kết hợp đồng để chứng minh cho mức độ bảo mật được yêu cầu bởi tổ
chức.
A.2.2. Rủi ro an ninh
Trong khi mạng WAN dây cùng chia sẻ những rủi
ro an ninh chính với mạng LAN dây (xem Điều A.1), nó cũng có nhiều rủi ro an
ninh hơn bởi có rủi ro lớn hơn về lưu lượng mạng trong mạng WAN, tức là việc
kiểm soát an ninh, cả cho truy cập, phải được thực hiện tại chỗ, đúng vị trí để
đảm bảo mạng WAN dây không thể dễ dàng bị tổn hại, dẫn đến gián đoạn lan rộng.
Tương tự khi mạng WAN không dây cũng có cùng một số rủi ro an ninh chính với
mạng LAN không dây (xem Điều A.3), nó có xu hướng bị gián đoạn bởi khả năng bị
nhiễu loạn hệ thống sử dụng cho truyền tiếp các gói mạng. Nói chung, những rủi
ro an ninh chính liên quan đến mạng WAN bao gồm những rủi ro tương ứng với:
- Sự xâm nhập, khi mà thông tin bị rò rỉ hay
tính toàn vẹn và/hay độ khả dụng của thông tin theo đó không còn được bảo đảm,
- Các tấn công DoS khi mà nguồn tài nguyên
trở phải không khả dụng với người dùng hợp pháp,
- Độ trễ bên ngoài mà sẽ gây ảnh hưởng tới
các dịch vụ như dịch vụ VoIP,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Lỗi thiết bị,
- Lỗi cáp,
- Các thiết bị có lỗ hổng,
- Mất nguồn tại một nơi trung chuyển, gây ảnh
hưởng tới các điểm khác,
- Thiết bị quản lý mạng của bên cung cấp dịch
vụ.
A.2.3. Kiểm soát an ninh
Kiểm soát an ninh yêu cầu để bảo mật mạng WAN
bao gồm:
- Việc sử dụng các giao thức quản lý an ninh
ví dụ: SSH, SCP hay SNMPv3,
- Việc mã hóa quản lý các liên kết,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Việc thiết lập các thẩm quyền an ninh để
truy cập các thiết bị mạng WAN, với các cảnh báo tương ứng của các thiết bị.
- Sự bảo mật thiết bị mạng WAN vật lý ở mỗi
trang, như việc sử dụng các khoảng chứa đã khóa cùng với cảnh báo truy cập,
- Việc sử dụng UPS để bảo đảm chống lại gián
đoạn nguồn điện,
- Các trang kết nối 2 chiều, sử dụng hệ thống
điều hướng đa dạng,
- Kiểm soát vòng chủ động của các thiết bị
mạng WAN,
- Lập bản đồ thiết bị mạng để xác định các
thiết bị trái phép,
- Quản lý ráp nối,
- Phủ lớp mã hóa cho các thông tin nhạy cảm,
- Tiếp nhận các bảo đảm dịch vụ từ bên cung
cấp dịch vụ, như về độ khả dụng, độ trễ hay độ nhiễu,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Sử dụng tường lửa để loại bỏ bất kỳ giao
dịch không mong muốn trong mạng lưới,
- Đảm bảo hạ tầng cơ sở và địa chỉ được giấu
kín,
- Thiết lập địa chỉ IP không thể bị điều
hướng qua mạng Internet,
- Sử dụng phần mềm để tránh các mã độc như
Trojan, vi-rút, phần mềm gián điệp và sâu từ việc mở các lỗ hổng an ninh từ nội
bộ một mạng lưới,
- Sử dụng IDS để xác định giao dịch đáng
nghi,
- Đảm bảo hệ thống quản lý mạng lưới là chắc
chắn một cách hợp lý,
- Quản lý mạng lưới ngoài luồng,
- Đảm bảo địa điểm quản lý mạng lưới là chắc
chắn về mặt vật lý,
- Đảm bảo các thiết bị đã được sao lưu,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.3. Mạng không dây
A.3.1. Nền tảng
Mạng không dây được nhận định là mạng lưới
bao phủ những khu vực địa lý nhỏ và sử dụng các công cụ giao tiếp không dây như
sóng vô tuyến hay hồng ngoại. Thông thường, các mạng không dây được sử dụng để
thực hiện kết nối tương đương như được cung cấp bởi mạng LAN phải được gọi là
mạng WLAN. Các công nghệ tiêu chuẩn chính được sử dụng là IEEE 802.11 và
Bluetooth. Có thể nhấn mạnh rằng mạng không dây cấu thành một loại mạng khác so
với mạng vô tuyến như GSM, 3G và VHF bởi chúng sử dụng cột ăng-ten để truyền
tải (xem Điều A.4 ở dưới). Hơn nữa, kết nối hồng ngoại và các loại kết nối
không dây phải được nhắc đến như một phần nhỏ trong các nhận xét đánh giá kết
nối mạng không dây.
Các mạng WLAN cũng bị tất cả những lỗ hổng
bảo mật như mạng LAN có dây, thêm vào một số những lỗ hổng liên quan tới đặc
tính kết nối không dây. Một số công nghệ cụ thể (chủ yếu dựa vào mã hóa) đã
được phát triển để giải quyết những nhược điểm này, mặc cho những phiên bản đầu
tiên của chúng (như WEP) có những điểm yếu kết cấu, và vì thế đã không đạt được
kỳ vọng về yêu cầu bảo mật.
A.3.2. Rủi ro an ninh
Rủi ro an ninh liên quan tới việc sử dụng
mạng WLAN bao gồm những rủi ro tương ứng với:
- Nghe lén,
- Truy cập bất hợp pháp,
- Can thiệp và gây nhiễu loạn,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Chế độ truy cập an toàn bị tắt mặc định,
- Các giao thức mã hóa không an toàn,
- Các giao thức quản lý không an toàn được sử
dụng để quản lý các mạng WLAN,
- Điều này không thường xuyên khả thi để xác
định người dùng mạng,
- Các thiết bị giả mạo (như tại điểm truy
cập).
A.3.3. Kiểm soát an ninh
Kiểm soát cần có cho các mạng WLAN bao gồm:
- Cấu hình hạ tầng với các đơn vị đo an toàn
kỹ thuật tương thích (bao gồm như tường lửa cho mạng WLAN từ hạ tầng doanh
nghiệp),
- Mã hóa các kết nối và trao đổi dữ liệu, như
bằng cách thiết lập một IPsec dựa trên mạng VPN qua mạng WLAN giữa người dùng
và một vành đai tường lửa,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Sử dụng thẩm quyền,
- Kiểm soát các cấp độ truyền tải để đánh giá
một rủi ro bên ngoài tới một tên miền vật lý của một tổ chức,
- SNMP được cấu hình cho truy cập chỉ đọc,
- Tập hợp bản ghi kiểm tra và phân tích để
nhận diện bất kỳ sai sót hay sử dụng trái phép,
- Quản lý mã hóa ngoài luồng như sử dụng SSH,
- Duy trì bảo mật vật lý tại các điểm truy
cập mạng không dây,
- Củng cố bất kỳ thành phần mạng nào,
- Kiểm tra hệ thống,
- Xem xét việc khai thác một IDS giữa mạng
doanh nghiệp và mạng không dây.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.4.1. Nền tảng
Mạng vô tuyến được nhận định là những mạng lưới
sử dụng sóng vô tuyến như một kênh kết nối để bao phủ một khu vực địa lý rộng
lớn. Ví dụ thường thấy của mạng vô tuyến là mạng di động sử dụng công nghệ như
GSM hay UMTS và cung cấp các dịch vụ dữ liệu và âm thanh công cộng có sẵn.
Có thể nhấn mạnh rằng các mạng sử dụng sóng
vô tuyến để bao phủ các khu vực nhỏ được xem như một thể loại khác và được nhắc
đến ở Điều A.3.
Ví dụ của mạng vô tuyến bao gồm:
- TETRA,
- GSM,
- 3G (bao gồm UMTS),
- GPRS,
- CDPD,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.4.2. Rủi ro an ninh
Rủi ro an ninh chính liên quan tới việc sử
dụng mạng vô tuyến nói chung bao gồm những rủi ro tương ứng với:
- Nghe lén,
- Cướp quyền,
- Mạo danh,
- Các ứng dụng cấp nguy hiểm (như lừa đảo,
gian lận),
- Từ chối dịch vụ.
Rủi ro liên quan tới GSM bao gồm những rủi ro
tương ứng với những thực tế rằng:
- Các thuật toán A5/x và Comp 128-1 yếu,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Mã hóa GSM nói chung bị tắt,
- Nhân bản SIM là có thật.
- Rủi ro liên quan tới 3G bao gồm
những rủi ro tương ứng với những thực tế rằng:
- Điện thoại dễ bị tấn công điện tử,
gồm việc chèn mã độc như vi-rút,
- Cơ hội cho tấn công là rất cao bởi
điện thoại thường luôn hoạt động,
- Dịch vụ có thể là mục tiêu để nghe
lén,
- Mạng vô tuyến có thể bị nhiễu,
- Việc chèn những trạm cơ sở sai là có
thể xảy ra,
- Các cổng có thể là mục tiêu của các
truy cập trái phép,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Sự xuất hiện thư rác là có thể xảy
ra,
- Các hệ thống quản lý có thể là mục
tiêu của truy cập trái phép qua RAS,
- Dịch vụ có thể bị tấn công qua thiết
bị hỗ trợ kỹ thuật bị mất hay bị đánh cắp như máy tính xách tay.
UTMS là một thành phần chính của gia
đình toàn cầu các công nghệ di động 3G và cung cấp dung lượng đáng kể cùng các
khả năng băng thông rộng để hỗ trợ số lượng lớn khách hàng về âm thanh và dữ
liệu. Nó sử dụng một kênh của bên cung cấp có tần số dao động 5 MHz để chuyển
tải tỷ lệ dữ liệu cao hơn đáng kể và dung lượng tăng lên, cung cấp việc sử dụng
tối ưu nguồn tài nguyên vô tuyến, đặc biệt là cho tổng đài điều hành, người đã
được cấp những khối quang phổ lớn, tiếp giáp nhau - thường dao động từ 2x10 MHz
lên tới 2x20 MHz - để giảm thiểu chi phí khai thác mạng 3G. GPRS là một bước
tiến đầu tiên không thể thiếu tới thế hệ mạng di động thứ ba bằng cách tăng
cường các tính năng của mạng GSM.GPRS là một đặc trưng cho việc truyền dữ liệu
trên các kênh GSM mà cho phép cả giao dịch chuyển gói và chuyển mạch tồn tại ở
72.4 Kb hay 107.2 Kb. GPRS hỗ trợ tất cả kết nối TCP/IP và X.25. EDGE cho phép
các mạng GSM được phép thực hiện EGPRS, một phiên bản nâng cao của GPRS, tăng
dung lượng mỗi khe thời gian lên tới 60 Kb. GPRS cho phép kết nối Internet
"luôn hoạt động" mà thực tế là một vấn đề bảo mật tiềm ẩn. Một bên
cung cấp mạng GPRS sẽ thường xuyên cố gắng đánh giá an ninh của liên kết bằng
cách cung cấp một tường lửa giữa mạng GPRS và Internet, nhưng phải được cấu
hình để cho phép các dịch vụ hiệu quả làm việc, và do đó có thể bị khai thác
bởi những bên thứ ba.
CDPD là một đặc trưng để hỗ trợ truy
cập không dây cho Internet và các mạng chuyển gói công cộng khác thông qua các
mạng điện thoại. CDPD hỗ trợ TCP/IP và CLNP. CDPD khai thác mã hóa dòng RC4 với
các chìa khóa mã hóa 40 bit. CDPD được định nghĩa trong tiêu chuẩn IS-732.
Thuật toán này không bền vững và có thể bị giải mã bởi một cuộc tấn công vét
cạn.
CDMA, một dạng trải phổ, là một gia
đình của các kỹ thuật kết nối số mà đã được sử dụng trong nhiều năm. Nguyên tắc
căn bản của trải phổ là việc sử dụng các sóng mang như âm thanh mà có băng
thông rộng hơn nhiều so với kết nối điểm-tới-điểm cho cùng tỷ lệ dữ liệu như
nhau. Công nghệ mã hóa số cho phép CDMA ngăn cản nghe lén, cả cố ý hay vô ý.
Công nghệ CDMA phân tách âm thanh thành nhiều bit nhỏ mà truyền trên một trải
phổ của tần số. Mỗi bit nhỏ của cuộc đàm thoại (hay dữ liệu) được định dạng bởi
một mã kỹ thuật số chỉ được biết đến ở máy CDMA và trạm cơ sở. Điều đó có nghĩa
là thật sự không thiết bị nào khác có thể nhận được cuộc gọi. Bởi vì có hàng
nghìn tổ hợp mã khả dụng cho bất kỳ cuộc gọi nào, nó bảo vệ chống lại việc nghe
lén.
A.4.3. Kiểm soát an ninh
Một số kiểm soát an ninh kỹ thuật quản
lý rủi ro từ những nguy hại xác định từ mạng vô tuyến mà có thể bao gồm:
- Bảo mật xác thực,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Các trạm dữ liệu cơ sở được bảo vệ,
- Tường lửa,
- Bảo vệ khỏi mã độc (vi-rút,
Trojan,…),
- Chống thư rác.
A.5. Mạng băng thông rộng
A.5.1. Nền tảng
Mạng băng thông rộng có thể từ một nhóm các
kỹ thuật cho phép các thuê bao nhân viên truy cập tốc độ cao vào một mạng Internet
ngay
tại thời điểm hiện tại, Ví dụ của những công nghệ băng thông gồm:
- 3G,
- Cáp (quang, ở gần),
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- xDSL,
- FiOS,
- BPL,
- FTTH.
Với xDSL, có hai loại chính. Đó là dị
bộ (ADSL) mà tốc độ tải lên từ người dùng là thấp hơn (từ tới tốc độ tải
xuống) và đồng bộ (SDSL) với tốc độ tải lên vài tải xuống là như nhau. Trong cả
hai trường hợp, tốc độ tải xuống phổ biến là từ 128 Kbps tới 2-8 Mbps, tùy
thuộc và sản phẩm. Công nghệ cáp và vệ tinh cũng có các loại sản phẩm tương tự.
Những nguyên nhân chính cho việc sử
dụng công nghệ băng thông rộng là do chúng có tốc độ cao, công nghệ khả dụng
luôn luôn có rẻ hơn so với các kết nối chuyển đổi, và có thể hỗ trợ các ứng
dụng băng thông chuyên sâu (ví dụ: HDTV yêu cầu mức nén hiện tại là 15-20 Meg).
Tất cả các công nghệ này cho phép truy cập tới một sóng mạng Internet, và vì
thế chỉ nối từ mạng Internet tới cơ sở của người dùng. Việc sử dụng mạng
Internet như một bên cung cấp dịch vụ toàn cầu cho phép các liên kết tới các
trang khác được thực hiện nhanh và rẻ, có thể đi cùng với việc khai thác VPN
cho các liên kết an toàn.
A.5.2. Rủi ro an ninh
Băng thông rộng là một liên kết tốc độ
cao "luôn bật" giữa một thuê bao người dùng và mạng Internet. Các
tính năng này khiến cho việc phá hoại hệ thống kết nối băng thông rộng trở
thành một việc làm đáng kể đối với các tin tặc. Những rủi ro an ninh chính liên
quan tới việc sử dụng băng thông rộng bao gồm những rủi ro tương ứng với:
- Công bố, sửa đổi hay xóa bỏ thông
tin như một hệ quả của truy cập không xác thực từ xa,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Tải lên/tải xuống và thực hiện các
mã không xác thực,
- Đánh cắp nhận dạng,
- Cấu hình sai của hệ thống khách
hàng,
- Sự xuất hiện những yếu điểm phần
mềm,
- Nghẽn mạng,
- Tấn công DoS.
A.5.3. Kiểm soát an ninh
Một số kiểm soát an ninh kỹ thuật quản
lý rủi ro từ những nguy hại xác định từ kết nối băng thông rộng bao gồm:
- Các tường lửa cho văn phòng nhỏ/văn
phòng gia đình (SOHO),
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Phần mềm chống mã độc (gồm cả chống
vi-rút),
- IDS, bao gồm IPS,
- Các mạng VPN,
- Các cập nhật phần mềm/ bản sửa lỗi.
A.6. Cổng an ninh
A.6.1. Nền tảng
Việc sắp xếp cổng an ninh phù hợp phải bảo vệ
được hệ thống nội bộ của tổ chức và quản lý an ninh cũng như kiểm soát giao
dịch qua nó, phù hợp với một chính sách dịch vụ truy cập cổng an ninh đã được
ghi nhận.
A.6.2. Rủi ro an ninh
Mỗi ngày, các tin tặc càng trở nên phức tạp
hơn nhằm phá vỡ mạng doanh nghiệp và cổng mạng chính là một trung tâm hướng tới
của chúng. Nỗ lực truy cập trái phép có thể là nguy hại, như dẫn tới một tấn
công DoS, có thể sử dụng sai tài nguyên mạng hay có thể lấy đi những thông tin
đáng giá.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Những kết nối với bên ngoài phải trở nên
không khả dụng,
- Dữ liệu bị gián đoạn,
- Tài sản giá trị của công ty trở thành mục
tiêu cho sự công bố trái phép,
- Dữ liệu trên webstie hay được truyền tải
không có thẩm quyền thích hợp dẫn tới phạt pháp lý như giao dịch nội gián.
A.6.3. Kiểm soát an ninh
Cổng an ninh phải:
- Phân chia mạng một cách hợp lý,
- Cung cấp chức năng hạn chế và phân tích
thông tin qua lại giữa các mạng logic,
- Được sử dụng bởi một tổ chức như một cách
thức quản lý truy cập vào và từ mạng tổ chức,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Thi hành chính sách an ninh của tổ chức,
phù hợp với kết nối mạng,
- Cung cấp một điểm riêng lẻ cho đăng nhập.
Với mỗi cổng an ninh, một văn bản chính sách
(an ninh) truy cập riêng biệt phải được phát triển và nội dung được thiết lập
sao cho bảo đảm chỉ giao dịch xác thực mới được cho phép qua. Văn bản này phải
bao gồm các chi tiết của những nguyên tắc về cổng mạng mà nhà quản trị yêu cầu
và cấu hình cổng mạng. Cũng có thể xác định kết nối được phép một cách riêng rẽ
dựa theo giao thức kết nối và những chi tiết khác. Do đó, để đảm bảo chỉ những
người dùng và giao dịch hợp pháp có thể truy cập từ các kết nối truyền thông,
chính sách cần phải được xác định và lưu lại chi tiết những luật lệ và hạn chế
áp dụng với giao dịch vào và ra cổng an ninh cũng như những tham số về quản lý
và cấu hình.
Với tất cả các cổng an ninh, việc sử dụng
toàn bộ phải được tạo phải từ xác thực khả dụng thẩm quyền, quản lý truy cập
hợp lý và công cụ nhật ký sẵn có. Hơn nữa, chúng phải được kiểm tra thường
xuyên về những phần mềm và/hay dữ liệu trái phép, nếu có; báo cáo sự việc phải
được cung cấp dựa trên mô hình quản lý sự cố an ninh thông tin của tổ chức và/hay
cộng đồng.
Có thể nhấn mạnh rằng kết nối với một mạng
chỉ diễn ra sau khi nó đã kiểm tra rằng cổng an ninh được lựa chọn phù hợp với
các yêu cầu của tổ chức và/hay cộng đồng, và rằng tất cả các rủi ro dẫn đến một
kết nối có thể được quản lý một cách an toàn. Cũng phải đảm bảo rằng việc thông
qua cổng an ninh là không khả thi.
Tường lửa là một ví dụ tốt của cổng an ninh.
Các tường lửa phải thường là những thứ có thể đạt được mức độ tương xứng đảm
bảo phù hợp với những rủi ro đã đánh giá, với những nguyên tắc tiêu chuẩn về
tường lửa thường bắt đầu với việc từ chối toàn bộ truy cập giữa mạng trong và
ngoài cũng như những quy tắc bổ sung để thỏa mãn chỉ những ráp nối truyền thông
được yêu cầu.
Chi tiết hơn về cổng an ninh mạng được cung
cấp ở tiêu chuẩn ISO/IEC 27033-4 (cũng như TCVN ISO/IEC 27002 và ISO/IEC
27005).
Chú thích rằng trong khi các khía cạnh an
ninh mạng của tường lửa cá nhân, một loại đặc biệt của tường lửa, không được
bàn đến trong ISO/IEC 27033-4, chúng vẫn phải được xem xét đến. Không như phần
lớn các trang trung tâm mà được bảo vệ bởi tường lửa xác định, các hệ thống từ
xa có thể không bảo đảm chi phí và những kỹ năng đặc biệt để hỗ trợ những thiết
bị này. Thay vào đó, một tường lửa cá nhân có thể được sử dụng, quản lý dòng
kết nối vào (và đôi khi là ra) một máy tính từ xa. Việc điều hành các quy tắc
(chính sách) về tường lửa có thể được thực hiện từ xa thông qua cá nhân ở trung
tâm, làm giảm bớt yêu cầu hiểu biết kỹ thuật đối với người dùng hệ thống từ xa.
Tuy nhiên, nếu điều đó là không khả thi, sự cẩn trọng cần được bảo đảm hiệu quả
cấu hình, đặc biệt nếu cá nhân ở những trang từ xa không có hiểu biết về công
nghệ thông tin. Một số tường lửa cá nhân có thể bị hạn chế khả năng truyền tải
qua mạng tới những chương trình xác thực (hay cả với các thư viện), giúp hạn
chế khả năng phần mềm độc hại lan tràn.
A.7. Mạng cá nhân ảo
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Mạng VPN là một mạng cá nhân được thiết lập
thông qua việc sử dụng hạ tầng các mạng sẵn có. Theo quan điểm của người dùng
thì mạng VPN hoạt động và cung cấp những tính năng, dịch vụ tương tự như một
trang cá nhân. Một mạng VPN có thể được sử dụng trong nhiều trường hợp khác
nhau ví dụ:
- Thiết lập truy cập từ xa tới một tổ chức từ
điện thoại di động hay các nhân viên bên ngoài,
- Liên kết các khu vực khác nhau của một tổ
chức, bao gồm các liên kết dư thừa để thiết lập một hạ tầng chống sụp đổ,
- Thiết lập các kết nối tới một mạng của một
tổ chức cho các đối tác tổ chức/doanh nghiệp khác.
Nói cách khác, các mạng VPN cho phép hai máy
tính hoặc mạng tương tác thông qua một kênh dẫn như internet. Kết nối đó được
thực hiện một cách truyền thống với chi phí cao thông qua việc sử dụng các kênh
thuê riêng với các bộ mã hóa liên kết. Tuy nhiên, với sự ra đời của liên kết
Internet tốc độ cao và thiết bị kết thúc phù hợp ở mỗi điểm cuối, kết nối đáng
tin cậy giữa các trang có thể được thiết lập sử dụng mạng VPN.
A.7.2. Rủi ro an ninh
Rủi ro an ninh chính liên quan tới kết nối
thông qua một mạng không an toàn là tương ứng với những thông tin nhạy cảm có
xu hướng bị truy cập bởi các đối tác bất hợp pháp, dẫn tới các thay đổi và/hoặc
công bố thông tin bất hợp pháp. Hơn nữa, rủi ro an ninh thường liên quan tới
mạng vùng rộng và mạng cục bộ (xem lần lượt các Điều A.1 và A.2), những rủi ro
thông thường liên quan tới mạng VPN bao gồm những rủi ro tương ứng với:
- Thiết lập không an toàn thông qua:
- Một gói mã hóa chưa được thử nghiệm hay
khiếm khuyết bộ mật mã,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Một cấu trúc liên kết mạng yếu.
- Không chắc chắn về bảo mật của người dùng
từ xa,
- Không chắc chắn về thẩm quyền người dùng,
- Không chắc chắn về bảo mật của bên cung cấp
các dịch vụ kèm theo,
- Hoạt động hay tính khả dụng của dịch vụ
kém,
- Không tuân theo những quy định và yêu cầu
về luật pháp trong việc sử dụng mã hóa ở những quốc gia cụ thể.
A.7.3. Kiểm soát an ninh
Trong các mạng VPN, các công nghệ mã hóa sử
dụng các giao thức ứng dụng phổ biến và/hoặc để thiết lập tính năng và các dịch
vụ an ninh, đặc biệt nếu mạng VPN được xây dựng là một mạng công cộng (như mạng
Internet). Thiết lập chủ yếu các liên kết truyền thông giữa các thành phần được
mã hóa để đảm bảo chắc chắn và các giao thức thẩm định được sử dụng để xác định
của các hệ thống kết nối tới mạng VPN. Thông thường, thông tin được mã hóa di chuyển
qua một "đường hầm" an ninh có kết nối với cổng mạng của tổ chức, với
sự bảo mật và hoàn chỉnh của thông tin được duy trì. Cổng mạng, theo đó xác
định người dùng từ xa và cho phép người dùng truy cập chỉ những thông tin họ có
đủ thẩm quyền để xác nhận.
Do đó, một mạng VPN là một cơ chế dựa trên
đường hầm các giao thức - xử lý của một giao thức hoàn chỉnh (giao thức người
dùng) như một dòng đơn các bít và gói chúng lại với nhau (giao thức bên cung
cấp). Thông thường, giao thức bên cung cấp mạng VPN cung cấp bảo mật (bảo đảm
và hoàn chỉnh) tới các giao thức người dùng. Khi xem xét việc sử dụng mạng VPN,
các khía cạnh kiến trúc phải được đưa ra bao gồm:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Bảo mật kết thúc,
- Bảo vệ khỏi các phần mềm mã độc,
- Chứng thực bền vững,
- Phát hiện xâm nhập,
Cổng mạng an ninh (bao gồm cả tường lửa),
- Mã hóa dữ liệu,
- Thiết kế mạng,
- Các kết nối khác,
- Đường hầm phân chia,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Quản lý nhược điểm kỹ thuật,
Chi tiết hơn về mạng VPN, bao gồm sử dụng
những khía cạnh kết cấu, được cung cấp ở ISO/IEC 27033-5.
A.8. Mạng âm thanh
A.8.1. Nền tảng
Hiện nay có các mạng PABX sẵn có giúp hỗ trợ
kênh truyền thông kết nối điện thoại với PSTN. Thông tin thiết lập các cuộc gọi
được truyền giữa chúng thông qua DPNSS (một giao diện công nghiệp tiêu chuẩn
được xác định giữa một PABX và một mạng truy cập. DPNSS mở rộng các thiết bị
thường chỉ khả dụng giữa các hạn mức trong một PABX đơn lẻ thành tất cả các hạn
mức trên các PABX được kết nối với nhau trong một mạng cá nhân. Tuy nhiên, vài
năm trước đây, một giao thức mới đã được phát triển cùng với DPNSS để cùng kết
nối giữa các PABX và giữa PABX với PSTN. Nó liên quan tới cấu trúc dành cho
ISDN cá nhân và một giao thức trao đổi tín hiệu dựa trên mô hình ISDN được nói
rõ trong Đề nghị ITU-T. Giao thức trao đổi dựa trên Đề nghị Q.931 được biết tới
là QSIG. Giao thức tín hiệu vững chắc và chưa gây ra bất kỳ một vấn đề an ninh
nào, nhưng vẫn có một số những rủi ro an ninh liên quan tới hệ thống điện thoại
PABX truyền thống.
A.8.2. Rủi ro an ninh
Rủi ro an ninh liên quan tới điện thoại
truyền thống bao gồm những rủi ro tương ứng với:
- Thiếu quản lý lưu trữ dự phòng các thông
tin cụ thể của trang mà có thể gây ảnh hưởng tới tính khả dụng trong một số
trường hợp nhất định,
- Nghe lén nếu truy cập vật lý có thể thông
qua cáp,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Gian lận quay số bởi bảng chặn mạch liên
đài thường được duy trì rất kém, do đó, cho phép các cuộc gọi bị điều hướng thủ
công thông qua mạng, theo đó gửi ra PSTN (trong nhiều trường hợp, tình trạng
này đã dẫn đến gian lận quay số chính tới các số cao cấp với thất thoát tài
chính đáng kể),
- Gian lận thông qua mạch liên đài thiếu hiệu
quả, cho phép thiết lập cuộc gọi và xoay hướng cuộc gọi bất hợp pháp (với gian
lận sử dụng hệ thống thông tin nhắn thoại tương ứng để quay số lại tới PSTN),
- Thiếu khả năng phục hồi và/hoặc công suất
mà có thể ảnh hưởng tới tính khả dụng.
A.8.3. Kiểm soát an ninh
Kiểm soát an ninh cho mạng âm thanh cần bảo
đảm:
- Nó không thể tăng cường truy cập tới cáp,
các hộp chuyển và các khung,
- Các bảng chặn mạch liên đài được sử dụng
bình thường để tránh các điều hướng cuộc gọi bất hợp pháp,
- Truy cập người dùng với các mã điều hướng
là không khả thi,
- Hệ thống tần số lưu trữ bị lấy đi với các
bản sao được lấy và lưu trữ bên ngoài các trang,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Pin hay nguồn cấp UPS được cung cấp,
- Điều hướng đa chiều tới PSTN được cung cấp,
tương đương với đường dây điện thoại tương tự được lựa chọn cho trường hợp khẩn
cấp,
- Sự chứng thực mạnh mẽ được sử dụng trên các
kênh quản lý (mà có thể là sử dụng thiết bị thứ ba thêm vào),
- Gian lận quay số không thể thực hiện dù
thông qua điều hướng trái phép hay qua hệ thống tin nhắn thoại tương ứng,
- Các thiết bị chống thư rác,
- Một hệ thống phân tích cuộc gọi được cài đặt
và chi phí cuộc gọi được kiểm tra thường xuyên,
- Các đánh giá và kiểm tra phù hợp với dịch
vụ được thực hiện thường xuyên và đưa ra kết quả dựa theo đó.
Cũng cần phải chú thích rằng hệ thống điện
thoại PABX truyền thống đang dần trở phải mai một, và một phần chuyển sang hay
bị thay thế bởi hệ thống VoIP (xem Điều 11.10).
A.9. Hội tụ IP
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Vì hội tụ IP (dữ liệu âm thanh và video) đang
ngày càng nổi tiếng, những vấn đề an ninh vẫn cần được nhìn nhận và đưa ra. Mặc
dù thiết lập điện thoại hiện tại yêu cầu kiểm soát an ninh để ngăn chặn gian
lận điện thoại và những sự cố an ninh khác, hệ thống này vẫn chưa tích hợp mang
dữ liệu doanh nghiệp và không là mục tiêu của những rủi ro như với mạng dữ liệu
IP. Với tập hợp các dữ liệu và âm thanh, kiểm soát an ninh cần phải được thiết
lập để giảm thiểu rủi ro liên quan tới những cuộc tấn công.
Một ứng dụng VoIP thường bao gồm phần mềm độc
quyền được lưu trữ trên phần cứng và hệ thống hoạt động mở hay thương mại. Số
lượng các máy chủ phụ thuộc vào thiết lập của bên cung cấp cũng như khai thác
thực tiễn. Những thành phần này kết nối qua IP qua Ethernet và được kết nối với
nhau qua bộ chuyển đổi và/hay điều hướng.
A.9.2. Rủi ro an ninh
Lĩnh vực chính của các rủi ro an ninh có thể
tương ứng với các tấn công dựa trên IP trên cơ sở phần mềm cụ thể của bên cung
cấp và nền tảng hệ điều hành kiểm soát ứng dụng VoIP. Các rủi ro an ninh liên
quan tới các bộ phận VoIP bao gồm các tương tác với các tấn công trên thiết bị
và các ứng dụng vào mạng, và có thể cho phép hay tạo điều kiện bởi những yếu
điểm trong thiết kế hay thiết lập giải pháp VoIP. Những rủi ro an ninh chính
liên quan tới tập hợp IP bao gồm những rủi ro tương ứng với:
-QoS - không có QoS tổng thể, có thể thất
thoát về chất lượng hay gián đoạn cuộc gọi do mất gói dịch vụ và các trì hoãn
không mong muốn qua mạng,
- Sự không khả dụng của dịch vụ do tấn công
DoS hay thay đổi bảng điều hướng,
- Sự hoàn chỉnh và khả dụng có thể bị ảnh
hưởng bởi mã độc (gồm cả vi-rút) mà có thể quản lý để xâm nhập vào mạng thông qua
hệ thống VoIP không an toàn, có thể làm giảm cấp độ hay gây mất mát dịch vụ và
có thể lan tràn tới máy chủ trong mạng, dẫn đến hỏng dữ liệu lưu trữ,
- Thư rác qua điện thoại IP (SPIT)
- Phần mềm điện thoại trong máy nhân viên là
một rủi ro đáng kể bởi có thể có điểm vào cho mã độc (gồm cả vi-rút) và xâm
nhập,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- An ninh mạng dữ liệu có thể bị giảm cấp do
nhiều cổng bị mở trên tường lửa để hỗ trợ VoIP. Một kỳ VoIP có hàng loạt các
giao thức và cổng tương ứng. H.323 sử dụng một loạt các giao thức cho tín hiệu
và cả H.323 và SIP sử dụng RTP. Kết quả là một kỳ H.323 có thể sử dụng lên tới
11 cổng khác nhau,
- Gian lận là một vấn đề chính đối với điện
thoại rủi ro có thể tạo ra nếu an ninh không được đề ra khi VoIP được sử dụng.
Tin tặc có thể truy cập trái phép vào dịch vụ VoIP thông qua việc giả mạo, tấn
công lặp lại hay cướp kết nối. Gian lận cuộc gọi hay các cuộc gọi trái phép tới
những số cao cấp có thể gây ra mất mát đáng kể,
- Vi phạm bảo mật có thể xảy ra thông qua sự
ngăn cản kết nối, như người điều đình, là khả thi trong mạng bởi những cán bộ,
nhân vien khác có thể truy cập vào mạng,
- Nghe lén các cuộc gọi thoại,
- Bởi điện thoại IP yêu cầu nguồn điện để
hoạt động, mạng điện thoại không thể hoạt động được trong trường hợp lỗi nguồn,
- Có nhiều khả năng lỗi xảy ra ở cả dịch vụ
dữ liệu và âm thanh do sử dụng những thành phần thông dụng (như mạng LAN).
A.9.3. Kiểm soát an ninh
Số lượng kiểm soát an ninh kỹ thuật quản lý
các rủi ro từ các mối nguy hại xác định tới tập hợp IP mà bao gồm:
- Cơ sở QoS phải được thiết lập trong một
mạng tập hợp, nếu không chất lượng âm thanh có thể chịu ảnh hưởng. Truyền tải
dịch vụ mạng, và nơi có thể các liên kết IP phải được truyền tải tới một trang
qua cáp quang để đảm bảo nhiễu loạn (ảnh hưởng tới chất lượng âm thanh) được
giảm thiểu,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Máy tính cá nhân hỗ trợ điện thoại phải
khít với tường lửa nhân viên và phần mềm kiểm tra chống mã độc (gồm cả chống
vi-rút) phải được cập nhật thường xuyên,
- Máy chủ VoIP hệ thống quản lý VoIP phải
được bảo vệ sau tường lửa để bảo vệ chúng khỏi tấn công,
- Sử dụng mạng VLAN cho mỗi dịch vụ và mã hóa
cho các dòng dữ liệu khác nhau,
- Nhà thiết kế phải đảm bảo chỉ một phần nhỏ
các cổng mở trên tường lửa để hỗ trợ dịch vụ VoIP,
- Chống lại gian lận cuộc gọi, chống giả mạo,
chống lặp lại tấn công cần phải thiết lập để tránh nhiễu loạn kết nối,
- Tất cả truy cập vào máy chủ quản lý cần
phải được xác thực,
- IDS phải được xem xét với các máy chủ hỗ
trợ VoIP,
- Mã hóa dữ liệu ráp nối phải được cân nhắc ở
nơi các thông tin nhạy cảm được thảo luận qua mạng VoIP,
- Điện thoại IP phải được nối nguồn bởi
chuyển đổi hỗ trợ bằng các UPS,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.10. Máy chủ web
A.10.1. Nền tảng
Dịch vụ máy chủ web được cung cấp bởi rất
nhiều các bên cung cấp dịch vụ mạng dưới dạng một dịch vụ tiêu chuẩn hóa,
thường bao gồm các cơ sở dữ liệu để xử lý dữ liệu kéo dài cũng như một môi
trường chạy ứng dụng cơ bản. Mặc dù hầu hết các thành phần cần để thiết lập và
cung cấp máy chủ web ngoài phạm vi tiêu chuẩn này (như máy chủ web hoặc phần
mềm cơ sở dữ liệu), một vài nhận xét về toàn bộ dịch vụ được ghi nhận ở đây bởi
nhiều người nhìn nhận máy chủ web như một phần không thể thiếu của mạng lưới
cung cấp.
Các site máy chủ web gặp rủi ro từ rất nhiều
mối đe dọa, cụ thể là ở nơi chúng được kết nối với Internet, như khi các tổ chức
nổi bật có bị tấn công từ một nhóm ngoài lề. Do đó, việc xác định những mối
nguy tiềm ẩn là rất quan trọng, và tất cả các yếu điểm có thể bị khai thác bởi
các mối nguy hại đó cần thiết được giải quyết. Điều đó được thực hiện tốt nhất
thông qua thiết kế loại bỏ nhược điểm. Bằng cách nhận định những vấn đề theo
những hướng dẫn đã cung cấp, điều đó là khả thi khi thiết kế một website an
toàn, tin cậy và có ít khả năng bị xóa sổ.
A.10.2. Rủi ro an ninh
Rủi ro an ninh liên quan đến máy chủ web bao
gồm những rủi ro tương ứng với:
- Truy cập bởi một kẻ tấn công vào ứng dụng
và dữ liệu với vi phạm riêng lẻ bảo mật thông số,
- Tiếp xúc với những lỗ hổng trong các thành
phần hạ tầng cơ sở,
- Đa dạng các điểm lỗi riêng lẻ,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Mất khả năng thực hiện dịch vụ bảo trì hệ
thống,
- Truy cập không dự định từ người dùng công
cộng vào những vùng lưu trữ dữ liệu,
- Các tấn công chống lại tính toàn vẹn (như
xóa sổ website hay lưu trữ nội dung trái phép),
- Phần mềm độc hại bị tải lên hệ thống,
- Thỏa hiệp của webstie sử dụng các tính năng
chuyển đổi,
- Mất khả năng sao lưu dữ liệu mà không gây
ảnh hưởng tới hoạt động website,
- Công bố thông tin trái phép về kế hoạch
nhận IP làm thúc đẩy tấn công trên website,
- Khai thác các kết nối giữa trạm quản lý và
website,
- Tấn công chưa được khám phá,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Mất khả năng đạt được những yêu cầu về mức
độ thỏa thuận dịch vụ,
- Mất khả năng duy trì sự liên tục của dịch
vụ,
- Sử dụng trái phép các dịch vụ web, bao gồm
vi phạm chính sách của tổ chức (như sử dụng máy chủ cho lợi ích riêng) và không
tuân theo quy định và luật pháp (như lưu trữ các chất liệu vi phạm bản quyền
hay lưu trữ nội dung khiêu dâm trẻ em).
A.10.3. Kiểm soát an ninh
Kiểm soát an ninh quản lý các rủi ro liên
quan tới những mối nguy hại xác định đối với website bao gồm:
- Cung cấp phân vùng và bảo mật chiều sâu để
giảm thiểu ảnh hưởng của một tấn công thành công,
- Đặc trưng của các loại tường lửa khác nhau
để chống lại những yêu điểm khả dĩ của tường lửa (thông tin thêm về tường lửa
được cung cấp ở Điều A.6 và ISO/IEC 27033-4),
- Khả năng phục hồi; thiết kế phải được kiểm
tra những điểm lỗi riêng tiềm ẩn và những lỗi này phải bị xóa bỏ,
- Chia sẻ dự phòng lỗi/tải để bảo vệ khỏi lỗi
thiết bị,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Dịch vụ ủy quyền để giảm thiểu truy cập vào
webstie và cho phép đăng nhập cấp độ cao,
- Kiểm tra tính toàn vẹn thường xuyên với
những thay đổi dữ liệu trái phép,
- Quản lý chống mã độc (gồm cả chống vi-rút)
trong tải lên để tránh nhập vào mã độc,
- Chuyển đổi hai lớp thường được sử dụng
trong thiết kế website. Chuyển đổi ba lớp không phải sử dụng trừ khi đó là yêu
cầu của doanh nghiệp liên quan, như về chia sẻ tải lên. Hơn nữa, chuyển đổi vật
lý tương tự nhau cũng không phải sử dụng trên mặt của tường lửa. Các điểm kiểm
tra phải được tích hợp trong thiết kế trang,
- Các mạng VLAN được tách riêng bởi tính năng
để cho phép IDS có thể chỉnh lượng dễ dàng hơn khi một tập giao thức giảm trên
bất kỳ mạng VLAN nào. Hơn nữa, việc thiết lập một mạng VLAN dự phòng sẽ cho
phép các dự phòng được vận hành ở bất kỳ thời điểm nào trong ngày mà không cần
phục hồi hoạt động của cả trang,
- Cũng tương tự như hoạt động doanh nghiệp,
kế hoạch xác định IP để giảm thiểu số lượng các địa chỉ công cộng tới một mức
nhỏ nhất, với kế hoạch xác định IP mang hiểu biết ở mức tin tưởng nghiêm ngặt
nhất về việc có thể bị sử dụng để mở một cuộc tấn công trên website,
- Khi các liên kết quản lý được kết nối qua mạng
công cộng, chúng phải được mã hóa (xem ISO/IEC 27033-4 để biết thông tin thêm
về truy cập từ xa). Chúng bao gồm ít nhất những cảnh báo/các bẫy SNMP trên các
kết nối cổng kiểm soát,
- Tất cả các bản ghi giao dịch và sự kiện từ
mỗi thiết bị được sao chép tới một máy chủ nhật ký, và sau đó được sao chép tới
một phương tiện lưu trữ như một CD,
- Dịch vụ đồng bộ thời gian được thiết lập
như trọng tâm để phân tích truy cập không xác thực và theo sau các dấu vết
thông qua tài liệu đăng nhập. Nó yêu cầu thời gian của tất cả các tài liệu đăng
nhập, và do đó máy chủ được đồng bộ để thêm/bớt 1 giây hay ít hơn (ở đây, NTP
là phù hợp; thông tin thêm xem TCVN ISO/IEC 27002, Điều 10.6).
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Dịch vụ sao lưu tập trung, được ưa thích
bởi nó dễ thực hiện theo yêu cầu hơn,
- Với các website cần thiết, trong hầu hết
các trường hợp để vận hành được 24 giờ mỗi ngày, nó yêu cầu phần cứng có thể
chịu đựng được môi trường. Hạ tầng máy chủ trên một website phải được xác định
để hỗ trợ hoạt động "24x7". Hệ thống hỗ trợ hoạt động phải được củng
cố và tất cả các máy chủ và các thiết bị khác theo đó phải trải qua các đợt
kiểm tra để đảm bảo mọi thiết bị đều được củng cố toàn diện,
- Phần mềm ứng dụng bền vững được thực hiện
khi mã về cấu trúc đã được kiểm tra là hợp lý và sử dụng phần mềm xác thực đã
được thông qua.
Cũng phải chú thích rằng các vấn đề quản lý
sự liên tục của doanh nghiệp thường không được xem xét một cách toàn diện trong
khi thiết kế một website. Các hoạt động quản lý sự liên tục của doanh nghiệp
phải được triển khai phù hợp với các website.
A.11. Thư điện tử Internet
A.11.1 Nền tảng
Sự mở rộng các dịch vụ mạng Internet cho cộng
đồng/tổ chức dựa trên những yêu cầu hợp pháp của doanh nghiệp dẫn đến hàng loạt
hiểm họa được sử dụng để khai thác các hệ thống lỗi. Do đó, thư điện tử
Internet có thể chịu rủi ro từ rất nhiều hiểm họa, và mục tiêu để thiết kế và
thực hiện một giải pháp là an toàn và đáng tin cậy. Hình A.1 trình bày một ví
dụ giải pháp tiềm năng cho thư điện tử Internet.
Hình A.1 - Ví dụ giải
pháp thư điện tử Internet
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Số lượng tin nhắn mong đợi mỗi ngày theo
mỗi chiều,
- Loại tin nhắn và nội dung từng tin nhắn
được phép,
- Số lượng và kích cỡ các tin nhắn trong ngày
theo mỗi chiều,
- Kích cỡ trung bình và lớn các tin nhắn được
phép,
- Các chi tiết của hệ thống thư nội bộ,
- Các chi tiết của việc phản hồi thư nội bộ
mà sẽ kết nối với thư phản hồi được xác định trong cấu trúc an ninh kỹ thuật,
- Các chi tiết của các hệ thống thư bên ngoài
(bất kỳ thư phản hồi nào trên Internet hay có thể là một máy chủ thư đặc trưng
được bên cung cấp dịch vụ quản lý),
- Chi tiết các yêu cầu thẩm quyền máy chủ thư
cho các kết nối nội bộ và tới các kết nối thư trên Internet,
- Chi tiết của cơ sở WINS/DNS nội bộ,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Những truy cập, nếu phù hợp, tới nhóm thông
tin được yêu cầu và nếu có bất kỳ hạn chế nào ở nhóm thông tin có thể được truy
cập,
- Sự đồng bộ thời gian thư/máy chủ sẽ được
yêu cầu hay không từ mạng Internet,
- Có hay không nhiều hơn một tuyến trên
Internet,
- Những yêu cầu về quét mã độc (gồm cả
vi-rút).
A.11.2. Rủi ro an ninh
Rủi ro an ninh liên quan đến thư điện tử
Internet bao gồm những rủi ro tương ứng với:
- Xâm nhập bất hợp pháp vào trong mạng của
một tổ chức/cộng đồng. Nỗ lực truy cập trái phép, bao gồm cả việc xác định
không nhân viên hóa, có thể chiếm 24 giờ mỗi ngày, đang trở phải phức tạp và
năng động hơn, và có thể độc hại như việc chủ trì tấn công DoS, bỏ qua nguồn
tài nguyên hay lấy những thông tin có giá trị,
- Tải lên mã độc mà có thể bao gồm sự xuất
hiện của một Trojan thu thập thông tin như mật khẩu và gửi chúng tới một khu vực
ở xa hoặc cơ sở làm việc quá tầm kiểm soát của thiết bị từ xa. Vì vậy, phải chú
ý tới những mối nguy hại pha trộn gần đây mà mã độc chứa một lượng nhất định,
- Tải lên thư rác (thư rác là một mối nguy
đáng kể với dịch vụ điện tử-nó có thể ảnh hưởng lớn tới hoạt động thư thông qua
tiêu tốn tài nguyên mạng để điều hướng thư rác và cả tài nguyên hệ thống cho
các cổng thư có thể bị sử dụng để lan truyền phần mềm độc hại),
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Giả mạo thư điện tử (điều này dễ dàng mạo
danh nhận dạng của bất kỳ người dùng nào để giả làm ai đó gửi thư điện tử),
- Giả mạo nội dung,
- Nội dung không được kiểm soát khiến cho các
tổ chức không có kiến thức về bảo mật thông tin, đưa tới những hạn chế pháp lý
và mất mát tiềm ẩn trong quyền sở hữu trí tuệ
- Tấn công DoS trực diện vào hệ thống thư
điện tử,
- Tấn công DoS phân tán với hàng ngàn thư
điện thử được gửi từ nhiều khu vực nhằm gây quá tải cho máy chủ thư.
A.11.3. Kiểm soát an ninh
Kiểm soát an ninh thư điện tử Internet bao
gồm:
- Các tường lửa được sử dụng với mức độ đảm
bảo và các quy định tương ứng với các rủi ro truy cập. Với hầu hết các mục đích
an ninh, quy định tường lửa ban đầu phải có để từ chối các giao dịch đi qua
tường lửa. Với thư điện thử, một máy chủ thư gửi dữ liệu ra ngoài mạng Internet
và nhận dữ liệu liên tục từ mạng Internet là điều thường thấy. Ở đó, quy định
tường lửa được thiết lập để cho phép gửi hai chiều của dữ liệu thư điện tử. Như
đã đề cập trước đó, việc có hai tường lửa trong chuỗi được xây dựng từ các khía
cạnh khác nhau hay có hệ thống hoạt động khác nhau là khuyến khích,
- Lọc và hỗ trợ khả năng ghi nhật ký thông
qua dịch vụ đồng bộ thời gian toàn diện qua các thiết bị hạ tầng, tường lửa và
máy chủ. Việc đồng bộ hóa thời gian phải được xác định trong thiết kế với mô tả
về đồng hồ chuyên biệt và một kế hoạch phân cấp cho các máy chủ và (các) mạng.
Đồng hồ chủ thường xuyên được đồng bộ thông qua dịch vụ dẫn hướng vệ tinh toàn
cầu (GPS) hay một dịch vụ thời gian tần số vô tuyến,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Với bất kỳ thư đến nào, như một kết quả của
việc tìm kiếm trên máy chủ DNS của mạng Internet, các tin nhắn trực tiếp tới
địa chỉ tường lửa của tổ chức và khi nhận được từ mạng Internet được kiểm tra
bởi bộ định tuyến bên ngoài với một vùng địa chỉ nguồn bên ngoài không gian địa
chỉ nội bộ trước khi truyền tới tường lửa. Tại tường lửa, tin nhắn phải được
kiểm tra cho một vùng địa chỉ bên ngoài không gian địa chỉ nội bộ và địa chỉ
đích của máy chủ thư (tất nhiên rằng đó là một thư điện tử) và sau đó truyền
tới máy chủ thư SMTP. Tại máy chủ thư SMTP, tin nhắn phải được kiểm tra xem nó
có từ mạng Internet truyền tới hay không và rằng địa chỉ đích cho một địa chỉ
nội bộ, và sau đó được truyền tới máy chủ mã chống độc để kiểm tra vi-rút và
bất kỳ nội dung độc hại nào. Cuối cùng, nó phải được gửi đến máy chủ thư nội bộ
để phân tán thông qua hệ thống thư nội bộ. Bất kỳ tin nhắn nào nhận được với
địa chỉ không đúng phải bị từ chối và một mục được thêm vào nhật ký đăng nhập.
Bất kỳ tin nhắn bị vi-rút hay có nội dung độc hại phải bị cách ly và thông báo
tới người hay nhóm phù hợp,
- Với bất kỳ thư gửi đi nào, các tin nhắn qua
Internet phải được gửi từ máy chủ thư nội bộ trước tiên tới máy chủ mã chống
độc bên ngoài để kiểm tra vi-rút và bất kỳ nội dung độc hại nào khác trước khi
được gửi tới máy chủ thư SMTP bên ngoài cho việc truyền tới Internet. Máy chủ
thư SMTP bên ngoài phải kiểm tra địa chỉ bên ngoài không gian địa chỉ nội bộ và
không phải là đích đến cho bất kỳ định tuyến thư nào khác, và sau đó chuyển
tiếp tin nhắn tới mạng Internet,
- Chưa lựa một hay hai tùy chọn của máy chủ
thư SMTP bên ngoài để gửi tin nhắn tới một máy chủ thư IP đơn lẻ để định tuyến
trở lên hay bất kỳ địa chỉ thư có hiệu lực trên máy chủ thư. Tùy chọn đầu tiên
phải phần lớn an toàn bởi nó có nghĩa là ISP (có lẽ là chuyên gia thư điện tử)
chịu trách nhiệm trong việc tổ chức và hỗ trợ chuyển tiếp thư, nhưng có thể đưa
ra những chậm trễ trong truyền tải thư. Tùy chọn thứ hai phức tạp hơn và không
nảy sinh những chậm trễ do chuyển tiếp ISP nhưng có thể ít an toàn hơn nếu
không được quản lý một cách bài bản và tổ chức/cộng đồng phải hỗ trợ thư tới
nhiều máy chủ thư và chạy những rủi ro bị từ chối nếu chậm trễ thư không được
nhận biết bởi máy chủ từ xa, mặc dù điều đó có thể được giải quyết bằng các thủ
tục xác thực giữa các máy chủ tương ứng. Tùy chọn nào được chọn phụ thuộc vào
các ưu điểm kỹ thuật của giải pháp và mức độ chuyên môn của những giải pháp sẽ
hỗ trợ hệ thống thư điện tử,
- Các thông số điều kiện truy cập được thiết
lập dựa trên cơ sở quy định đặc quyền tối thiểu nhất,
- Máy chủ thư điện tử cấu hình để khóa hay gỡ
bỏ các thư điện tử chứa các phần đính kèm tệp tin mà được sử dụng chủ yếu chỉ
lan truyền mã độc như tệp tin .vbs, .bat, .exe, .pif và .scr,
- Các máy tính bị ảnh hưởng sẽ được gỡ bỏ
nhanh khỏi mạng để chống sự thỏa hiệp, phân tích pháp lý được thực hiện và phục
hồi sử dụng những phương tiện truyền thông đáng tin cậy,
- Nhân viên được đào tạo để không mở các phần
mềm đính kèm, trừ khi họ muốn chúng, và không chạy phần mềm tải về thông qua
Internet trừ khi nó đã được quét mã độc,
- ACL được sử dụng ở các bộ điều hướng. Bộ
điều hướng ACL nêu cách xử lý một gói IP tới với những hành động cụ thể gồm
chuyển tiếp, đăng nhập và bỏ (hay từ chối). Kết hợp với chính sách điều hướng
mặc định phù hợp (như từ chối tất cả), nó có thể xác định một bộ quy định với
điều hướng mà hỗ trợ phần lớn trong duy trì bảo mật mạng nằm dưới,
- Chính sách chống giả mạo được cho phép. Giả
mạo thường đề cập đến trường hợp khi địa chỉ nguồn của thư xuất phát từ ai đó
hay nơi nào đó mà không phải từ người tạo ra. Những phương pháp chống giả mạo
hoạt động ở dạng không tiếp nhận thư từ Internet nếu nó được xác nhận là đến từ
nội bộ tổ chức và ngược lại (Để biết thêm thông tin xem mục RFC2827, Bộ lọc xâm
nhập mạng: Từ chối tiêu diệt của dịch vụ),
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Quét dữ liệu của mẫu đã biết (như kiểm tra
các từ nhạy cảm để tuân thủ bảo đảm),
- Dịch giữa địa chỉ nội bộ và bên ngoài,
- Tạo một bản ghi của các yêu cầu và người
yêu cầu,
- Các cơ sở chống mã độc dựa trên các proxy.
Các máy chủ proxy cũng có thể kiểm tra nội
dung độc hại một cách đơn giản qua xử lý đề nghị. Nếu yêu cầu là độc hại, dễ có
khả năng chính máy chủ proxy sẽ bị hỏng. Khi các proxy được thiết lập chủ yếu
trong DMZ - một khu bán tin cậy, động thái này vận hành như một
"xung" để bảo vệ người yêu cầu hay máy chủ thật.
- Các kiểm soát chống mã độc được thiết lập
trong các proxy thư điện tử. Một khi các hệ thống thông tin được trình bày miễn
nhiễm với những mã độc (gồm cả vi-rút), định tuyến duy nhất cho mã độc được
cung cấp thông qua sự cung cấp dữ liệu (hay chương trình). Do đó, các cơ sở thư
điện tử là những ứng viên chính cho việc truyền mã độc và thể hiện các điểm cơ
bản cho việc thiết lập kiểm soát mã chống độc. Các kiểm soát chính gồm những
thiết bị để kiểm soát những tệp tin đáng nghi (như bởi kiểu nội dung) và giám
sát các địa chỉ thư điện tử được yêu cầu khỏi một danh sách đen. Hơn thế nữa,
để giải quyết những hiểm họa gần đây khi mã độc chứa trọng tải, khóa những đính
kèm nhất định chứa mã thực thi cần được xem xét.
Công nghệ chống thư rác được khai thác và
người dùng được đào tạo về việc bảo vệ địa chỉ thư điện tử của họ khi truy cập
các trang.
- Việc chống chậm trễ được thiết lập trên các
máy chủ thư điện tử và bộ dò DNO ngược. Một trong nhiều cách thức khả thi mà
máy chủ thư có thể khai thác từ mạng Internet để gửi một tin nhắn mà đích đến
thực tế là một bên thứ ba. Nếu máy chủ thư chấp nhận tin nhắn, nó sẽ chuyển
tiếp tới bên thứ ba một cách rõ ràng từ tổ chức/cộng đồng thay vì người khởi
tạo. Thuật toán này có thể được sử dụng bởi những người gửi thư rác hay để lấn
át mạng của bên thứ ba qua tấn công DoS. Các kiểm soát chống chậm trễ dò tìm
nếu một thư điện tử đến là cho một tổ chức/cộng đồng. Nếu không phải, thư bị
ghi lại (hay kiểm dịch) và máy chủ thư sẽ bị ngưng hoạt động,
- Các cảnh báo và các bẫy SNMP phiên bản 3
được cho phép. SNMP có thể được sử dụng để kiểm soát từ xa một thiết bị mạng,
và để thiết bị gửi các tin nhắn (hay các "bẫy") để nhắc nhở một trạm
giám sát các điều kiện ở thiết bị đó. Giao thức này tương đối không an toàn và
có xu hướng không được sử dụng với mục đích kiểm soát thiết bị. Tuy nhiên, các
bẫy SNM sử dụng rộng rãi để truyền dẫn thông qua mạng để nhắc nhở một vùng
trung tâm xác suất hay các điều kiện lỗi,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Quản lý tường lửa "ngoài luồng"
(OOB) được lập. Nó chỉ hoạt động qua sử dụng những mạng khác nhau cho dữ liệu
và quản lý để đảm bảo nó không khả thi để người tấn công kết nối với thiết bị
mục tiêu của họ (ví dụ như tường lửa). Rất nhiều cơ chế tồn tại để thực hiện
quản lý OOB,
- Quản lý chỉ qua truy cập vật lý,
- Mạng quản lý riêng biệt,
- Việc sử dụng các mạng VLAN để tạo ra các
kênh riêng biệt qua mạng dữ liệu, cho phép dữ liệu và giao dịch được tách
riêng.
Những quản lý khác được thực hiện qua truy
cập vật lý.
A.12. Truy cập định tuyến tới các tổ chức bên
thứ ba
A.12.1. Nền tảng
Các kết nối bên thứ ba đang trên đà tăng
trưởng do các tổ chức tiến tới hoạt động mang tính hợp tác hơn, yêu cầu một kết
nối trực tiếp và các thiết bị cổng vào giữa các tổ chức. Hình A.2 trình diễn
một ví dụ giải pháp an ninh kỹ thuật cho truy cập định tuyến cho các tổ chức
bên thứ ba.
Truy cập định tuyến tới các tổ chức có thể
được tạo ra thông qua một kênh chính thức hoặc các công nghệ của mạng WAN và
được đòi hỏi với nhiều lý do như truy cập có thể yêu cầu các ứng dụng cơ sở dữ
liệu theo hướng đồng thời mà trong trường hợp hướng nào, mã không xác thực cũng
có thể được đưa ra hay truy cập trái phép có thể được mưu tính bởi người dùng
trong mạng này hay mạng khác. Thông tin được thu thập phải bao gồm:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Các chi tiết của máy chủ kết nối với nơi
chúng được đặt,
- Các chi tiết của máy tính cá nhân người sử
dụng và nơi chúng được đặt,
- Các chi tiết của bộ định tuyến bên thứ ba,
nếu có (gồm địa chỉ IP, phương pháp xác thực như các chứng thực số, bí mật được
chia sẻ, RADIUS, TACACS+),
- Loại kết nối các truyền dẫn và tốc độ như
VPN qua mạng mạch chính, độ trễ khung, liên kết đường dây cá nhân, quay số và
ISDN.
Cũng là hợp lý vì với mỗi truy cập bên thứ
ba, một văn bản cấu hình được đưa ra, nếu nó chưa tồn tại, bao gồm tổng quan
yêu cầu, một mô hình mạng, thông tin cấu hình và chi tiết địa chỉ IP và xác
thực.
Hình A.2 - Ví dụ truy
cập định tuyến cho giải pháp các tổ chức bên thứ ba
(Khi đề cập đến truy cập định tuyến cho tổ
chức bên thứ ba thì đó là hợp lý để nhắc đến ISO/IEC TR14516:1999 - Các hướng
dẫn sử dụng và quản lý các dịch vụ bên thứ ba đáng tin cậy)
A.12.2. Rủi ro an ninh
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Truy cập trái phép vào mạng và các hệ thống
và thông tin liên quan,
- Sự nhập vào các mã độc thông qua cổng tưởng
như đáng tin cậy,
- Tấn công DoS qua bên thứ ba,
- Niềm tin rằng mạng bên thứ ba cung cấp một
mức độ an ninh cao hơn so với mạng Internet.
A.12.3. Kiểm soát an ninh
Kiểm soát an ninh truy cập định tuyến đối với
các tổ chức bên thứ ba có thể bao gồm:
- Tất cả các kết nối bên thứ ba bị cô lập bởi
một tường lửa riêng biệt được sử dụng cho mạng Internet và các lớp khác của kết
nối bên ngoài,
- Phần mềm chống mã độc gồm cách thức làm
việc với tường lửa để kiểm tra mã ActiveX và Java (như đề cập trước đó, mã này
không được nhận dạng bởi phần mềm mã chống độc thông thường (gồm cả chống
vi-rút) như một vi-rút và tương tự không thể bị phát hiện và kiểm tra để xem nó
có hiệu lực hay không),
- Thẻ hay cạc dựa trên xác thực bền vững theo
cách thức mà các chứng thực số trên thiết bị bỏ túi chính hay thẻ thông minh
hay bởi hai thẻ với phần xác thực,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Các bộ định tuyến, gồm các điểm cuối ở xa
của kết nối được xác thực thông qua một máy chủ xác thực bổ sung,
- Các bộ định tuyến, gồm các điểm cuối ở xa
của kết nối được xác thực thông qua một máy chủ xác thực như TACACS+. Tuy
nhiên, nếu không có sự thỏa thuận đạt được với phương pháp xác thực của bên thứ
ba này thì các bí mật được chia sẻ có thể được sử dụng khi một thiết lập nhỏ mà
chính là sự chuyển đổi mật khẩu. Với một lượng lớn các kết nối, các chứng thực
số phải được sử dụng như các thay đổi thông thường,
- Bộ định tuyến bên thứ ba sử dụng cùng cách
thức xác thực như các chứng thực số, bí mật được chia sẻ, RADIUS, TACACS+,
- Các bộ định tuyến cho hai điểm cuối của
liên kết giữ an ninh vật lý,
- Tất cả các kết nối bên thứ ba bao phủ bởi
một điều kiện cho văn bản kết nối an ninh mà được ký bởi mỗi tổ chức bên thứ ba
trước khi bất kỳ kết nối nào được cho phép,
- cân nhắc về việc sử dụng IDS/IPS,
- Nhật ký và kế toán được triển khai,
- Với mỗi truy cập bên thứ ba, một tài liệu
cấu hình cung cấp và thỏa thuận gồm một tổng quan yêu cầu, một mô hình mạng,
thông tin cấu hình và các chi tiết địa chỉ IP và phương thức xác thực.
A.13. Trung tâm dữ liệu mạng Intranet
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Trung tâm dữ liệu mạng Intranet chứa hầu hết
các ứng dụng và thông tin quan trọng của tổ chức. Trung tâm dữ liệu phải là một
phần quan trọng của một hạ tầng của tổ chức và có các quan hệ đơn nhất dựa trên
các khía cạnh khác nhau của mạng bao phủ các phần khác của phần phụ lục này.
Mặc dù bộ lưu trữ (các SAN) và máy chủ riêng lẻ trong trung tâm dữ liệu nằm
ngoài phạm vi tiêu chuẩn này (như củng cố trình duyệt hay cơ sở dữ liệu), một
số những xem xét về an ninh tổng thể của trung tâm dữ liệu vẫn được nêu ra ở
đây.
Các mối đe dọa mà các nhà quản trị an ninh
công nghệ thông tin phải đối mặt ngày nay đã phát triển từ những nỗ lực tương
đối bình thường để phá hoại mạng tới những tấn công phức tạp nhằm mục tiêu lợi
nhuận và đánh cắp dữ liệu doanh nghiệp nhạy cảm. Việc thiết lập cơ sở an ninh
trung tâm dữ liệu vững chắc để bảo vệ các ứng dụng nghiệp vụ và dữ liệu nhạy
cảm là nền tảng bảo toàn mạng doanh nghiệp.
Bởi vì trách nhiệm chính của an ninh trung
tâm dữ liệu là duy trì tính khả dụng của dịch vụ, cách thức mà an ninh mạng ảnh
hưởng tới dòng giao dịch, khả năng mở rộng và các lỗi cần phải được xem xét một
cách kỹ càng.
A.13.2. Rủi ro an ninh
Các khía cạnh tấn công đã chuyển dịch cao hơn
trong các khối để phá hủy sự bảo vệ mạng và nhắm thẳng vào những ứng dụng. Các
cuộc tấn công dựa trên HTTP, XML và SQL là những nỗ lực lớn với hầu hết những
kẻ tấn công bởi các giao thức này thường được phép luân chuyển qua mạng doanh
nghiệp và thâm nhập vào trung tâm dữ liệu trên mạng Intranet.
Theo đó có một vài khía cạnh nguy hiểm ảnh
hưởng tới trung tâm dữ liệu mạng Intranet ví dụ:
- Truy cập trái phép dữ liệu,
- Truy cập trái phép các ứng dụng,
- Truy cập trái phép thiết bị,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Các tấn công chưa được khám phá ra,
- Mất mát dữ liệu,
- Không có khả năng phục hồi dữ liệu,
- Các tấn công có trọng điểm nhằm thay đổi dữ
liệu,
- Đặc quyền leo thang,
- Cài đặt phần mềm mã độc,
- Sử dụng trái phép các dịch vụ vi phạm chính
sách tổ chức.
A.13.3. Kiểm soát an ninh
Kiểm soát an ninh kỹ thuật cho các trung tâm
dữ liệu bao gồm:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Sử dụng IPS/IDS trong trung tâm dữ liệu,
- Các kiểm soát chống mã độc trên các lưu
trữ,
- Quản lý an ninh các thiết bị hạ tầng cơ sở,
- Các khả năng truy xuất và thu thập được hỗ
trợ bởi dịch vụ thời gian đồng bộ toàn phần qua tất cả các thành phần trong
trung tâm dữ liệu,
- Một kế hoạch liên tục cho doanh nghiệp với
các lỗi,
- Thiết kế linh hoạt,
- Các kiểm soát thường xuyên sự toàn vẹn của
các thay đổi dữ liệu bất hợp pháp,
- Mạng VLAN cho các dịch vụ tách rời trong
trung tâm dữ liệu để bảo vệ những dịch vụ nhạy cảm hơn,
- Các thiết bị mạng LAN được cấu hình để kiểm
soát các thay đổi không thể quản lý với các địa chỉ MAC,
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
PHỤ
LỤC B
(Tham khảo)
THAM
CHIẾU NGANG GIỮA TCVN ISO/IEC 27001 VÀ TCVN ISO/IEC 27002 - CÁC KIỂM SOÁT LIÊN
QUAN ĐẾN AN NINH MẠNG, VÀ CÁC ĐIỀU TRONG TCVN 9801-1 (ISO/IEC 27033-1)
Bảng B.1 - Các tham
chiếu ngang giữa TCVN ISO/IEC 27001 và TCVN ISO/IEC 27002 Các kiểm soát liên
quan đến An ninh mạng, và các điều trong TCVN 9801-1 (ISO/IEC 27033-1)
Các điều của
TCVN ISO/IEC 27001 và TCVN ISO/IEC 27002
Các điều khoản
Các điều của TCVN
9801-1
10.4.1 Các kiểm soát chống lại mã độc
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.7 Sự bảo vệ chống mã độc
10.4.2 Các kiểm soát chống lại mã di động
Khi việc sử dụng mã di động được chứng
thực, việc cấu hình phải đảm bảo rằng mã di động đã chứng thực vận hành dựa
trên một chính sách an ninh được định nghĩa rõ ràng, và mã di động chưa được
chứng thực phải được ngăn chặn khỏi việc vận hành
7.2.2.2 Các kiến trúc, ứng dụng và dịch vụ
mạng
10.6.1 Các kiểm soát mạng
Các mạng phải được quản lý và kiểm soát
tương đồng, thay vì được bảo vệ khỏi các mối đe dọa, và để duy trì an ninh
cho các hệ thống và các ứng dụng sử dụng trong mạng, bao gồm thông tin đã
truyền đổi
Xem bên dưới khác TCVN ISO/IEC 27001/27002
điều 10.6.1 IG a tới e
10.6.1 IG a)
Trách nhiệm vận hành cho các mạng phải được
phân chia từ các vận hành máy tính mà tương ứng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
10.6.1 IG b)
Các kiểm soát đặc biệt phải được thiết lập
để bảo vệ sự bảo đảm và tin cậy của truyền dữ liệu qua các mạng công cộng
hoặc qua các mạng không dây, và để bảo vệ các hệ thống kết nối và các ứng
dụng (xem Điều 11.4 và 12.3); các kiểm soát đặc biệt cũng được yêu cầu để duy
trì tính sẵn có của các dịch vụ mạng và các máy tính được kết nối
11.7 Các dịch vụ truy cập từ xa (Thông tin chi
tiết hơn có thể tìm trong ISO/IEC 27033-5)
10.6.1 IG c)
Các kiểm soát đặc biệt phải được thiết lập
để bảo toàn tính chắc chắn và tính toàn vẹn của dữ liệu truyền qua các mạng
công cộng hoặc qua các mạng không dây, và để bảo vệ các hệ thống kết nối và ứng
dụng (xem Điều 11.4 và 12.3; các kiểm soát đặc biệt cũng có thể được yêu cầu
để duy trì tính sẵn có của cả dịch vụ mạng và các máy tính kết nối tới.
Tất cả các kiểm soát trong điều 11. Các chủ
đề công nghệ - Các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát
10.6.1 IG d)
Ghi và giám sát tương ứng phải được áp dụng
để cho phép ghi các hành động an ninh liên quan
8.5 Bản ghi kiểm tra và giám sát mạng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Quản lý các hoạt động phải được đồng thời
giữa việc tối ưu dịch vụ cho tổ chức và để đảm bảo rằng các kiểm soát là được
áp dụng chắc chắn qua nền tảng xử lý thông tin
8.2 Quản lý an ninh mạng
10.6.2 - Bảo mật dịch vụ mạng
Các tính năng an ninh, các mức độ dịch vụ
và các yêu cầu quản lý của tất cả các dịch vụ mạng phải được xác định và bao
gồm bất kỳ dịch vụ mạng nào, khi các dịch vụ đó được cung cấp trong nhà hoặc
thuê ngoài
8.2 Quản lý của an ninh mạng (và liên quan
tới các điều nhỏ của điều 8, và các điều từ 9 đến 11)
10.8.1 Chính sách và thủ tục trao đổi thông
tin
Các kiểm soát, thủ tục và chính sách trao
đổi nghi thức phải được đúng chỗ để bảo vệ việc trao đổi thông tin qua việc
sử dụng tất cả các loại cơ sở kết nối
6.2. Quản lý và lập kế hoạch an ninh mạng
10.8.4 Gửi tin nhắn điện tử
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.11 Thư điện tử Internet
10.9.1 Thương mại điện tử
Thông tin bao gồm trong thương mại điện tử
truyền qua mạng công cộng phải được bảo vệ khỏi các hoạt động lừa đảo, tranh
chấp hợp đồng, và sao chép tiết lộ bất hợp pháp hoặc tái tạo
10.4 Các dịch vụ Doanh nghiệp tới Doanh
nghiệp
10.5 Các dịch vụ Doanh nghiệp tới Khách
hàng
10.9.2 Trao đổi liên tuyến
Thông tin bao gồm trong các giao dịch trên
tuyến phải được bảo vệ để chống lại truyền dẫn không hoàn thiện, điều hướng
sai, thay đổi tin nhắn khó xác thực, tiết lộ không xác thực, sao chép bất hợp
hóa hoặc tái tạo
10.5 Các dịch vụ Doanh nghiệp tới khách
hàng
10.9.3 Công khai thông tin sẵn có
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.10 Máy chủ web
11.4.1 Chính sách xác thực về việc sử dụng
các dịch vụ mạng
Người dùng phải cung cấp với truy cập cho
các dịch vụ mà họ đã xác thực để dùng
Chính sách an ninh mạng
11.4.2 Xác thực người dùng cho các kết nối
bên ngoài
Các phương pháp xác thực tương ứng phải
được sử dụng để kiểm soát truy cập bởi người dùng ở xa
8.4 Xác định và Xác thực
11.4.3 Xác định thiết bị trong mạng
Xác định thiết bị tự động phải bao gồm cách
thức để các kết nối xác thực từ các khu vực đặc trưng và thiết bị
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
11.4.5 Phân tán trong các mạng
Các nhóm của các dịch vụ thông tin, người
dùng và các hệ thống thông tin cần phải được phân tán trong các mạng
11.4.6 Kiểm soát kết nối mạng
Đối với các mạng chia sẻ, đặc biệt chúng mở
rộng qua ranh giới các tổ chức, khả năng của người dùng kết nối tới mạng phải
được nghiêm ngặt, với chính sách kiểm soát truy cập và các yêu cầu của ứng
dụng doanh nghiệp
11. Chủ đề "công nghệ" - Các rủi
ro, kỹ thuật thiết kế và các vấn đề kiểm soát
11.4.7 Kiểm soát điều hướng mạng
Các kiểm soát điều hướng phải được thiết
lập cho các mạng để đảm bảo rằng các kết nối máy tính và các dòng thông tin không
sai với chính sách kiểm soát truy cập của các ứng dụng doanh nghiệp
A. 6 Các cổng an ninh
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Các điều của TCVN
9801-1
Các điều khoản
Các điều của
TCVN ISO/IEC 27001 và TCVN ISO/IEC 27002
6
Tổng quan
6.2
Quản lý và lập kế hoạch an ninh mạng
10.8.1 Các thủ tục và chính sách trao đổi
thông tin
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Xác định các rủi ro và việc chuẩn bị để xác
định các kiểm soát an ninh
7.2
Thông tin trên mạng hiện tại và/hoặc mạng
dự kiến
7.2.1
Các yêu cầu an ninh về chính sách an ninh
thông tin doanh nghiệp
7.2.2
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7.2.2.2
Kiến trúc, ứng dụng và dịch vụ mạng
10.4.2 Kiểm soát chống lại mã di động
7.2.2.3
Loại kết nối mạng
7.2.2.4
Đặc tính mạng khác
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7.2.2.5
Thông tin khác
7.3
Các rủi ro an ninh thông tin và các vùng
kiểm soát tiềm năng
8.2
Quản lý an ninh mạng
10.6.1 Kiểm soát mạng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Các hoạt động quản lý an ninh mạng
8.2.2.2
Chính sách an ninh mạng
5.1 Chính sách an ninh mạng
11.4.1 Chính sách sử dụng dịch vụ mạng
8.2.2.3
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.2.2.4
Kiểm tra tuân thủ an ninh mạng
8.2.2.5
Điều kiện an ninh cho việc kết nối mạng
8.2.2.6
Điều kiện an ninh cho người dùng mạng từ xa
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.2.2.7
Quảnl ý sự cố an ninh mạng
13 Quản lý sự cố an ninh mạng
8.2.3
Vai trò an ninh mạng và trách nhiệm
8.1.1 Vai trò và trách nhiệm
8.2.4
Giám sát mạng
10.10 Giám sát
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Đánh giá an ninh mạng
8.3
Quản lý lỗ hổng kỹ thuật
12.6 Quản lý lỗ hổng kỹ thuật
8.4
Xác định và Xác thực
11.4.2 Xác thực người dùng cho các kết nối
bên ngoài
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
11.5.2 Xác định và xác thực người dùng
8.5
Bản ghi kiểm tra và giám sát mạng
10.6.1 Kiểm soát mạng
10.10.1 Bản ghi kiểm tra
8.6
Phát hiện sự cố và phòng ngừa
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.7
Bảo vệ chống lại mã độc
10.4 Bảo vệ chống lại mã độc và di động
8.8
Dịch vụ dựa trên mã hóa
12.3 Kiểm soát mã hóa
8.9
Quản lý kinh doanh liên tục
14 Quản lý kinh doanh liên tục
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Hướng dẫn thiết kế và triển khai an ninh
mạng
9.2
Kiến trúc/thiết kế an ninh kỹ thuật mạng
10
Kịch bản mạng tham chiếu - Các rủi ro,
thiết kế, kỹ thuật và các vấn đề kiểm soát
10.2
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
10.3
Dịch vụ phối hợp tăng cường
10.4
Dịch vụ doanh nghiệp tới doanh nghiệp
10.9.1 Thương mại điện tử
10.5
Dịch vụ doanh nghiệp tới khách hàng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
10.9.2 Trao đổi trên tuyến
10.6
Dịch vụ thuê ngoài
10.7
Phân đoạn mạng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Kết nối di động
10.9
Hỗ trợ mạng cho người dùng di chuyển
10.10
Hỗ trợ mạng cho gia đình và các văn phòng
nhỏ
11
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
10.6.1 Kiểm soát mạng
11.4.6 Kiểm soát kết nối mạng
12
Phát triển và thử nghiệm giải pháp an ninh
13
Vận hành giải pháp an ninh
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
14
Giám sát và đánh giá thiết lập giải pháp
Phụ lục A
Chủ đề "công nghệ" - Các rủi ro,
kỹ thuật thiết kế và các vấn đề kiểm soát
A.1
Mạng cục bộ
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Mạng vùng rộng
A.3
Mạng không dây
A.4
Mạng vô tuyến
A.5
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.6
Cổng an ninh
11.4.7 Kiểm soát điều hướng mạng
A.7
Mạng nhân viên ảo
A.8
Mạng thoại
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
A.9
Hội tụ IP
A.10
Máy chủ web
10.9.3 Công bố thông tin sẵn có
A.11
Thư điện tử Internet
10.8.4 Gửi tin nhắn điện tử
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Truy cập điều hướng cho các tổ chức bên thứ
ba
PHỤ
LỤC C
(Tham khảo)
VÍ
DỤ MẪU TÀI LIỆU SecOPs
1 Giới thiệu
1.1 nền tảng
1.2 Cấu trúc tài liệu
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
2.1 Lĩnh vực
2.2 Nền tảng kỹ thuật
2.2.1 Môi trường công nghệ thông tin
2.2.2 Kiến trúc mạng
2.2.3 Khu vực 1
2.2.4 Khu vực 2
2.2.5 Khu vực 3
2.2.6 Kết nối bên ngoài
3 Chính sách bảo mật
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
4.1 Giới thiệu
4.2 Cấu trúc quản lý an ninh và các trách
nhiệm
4.2.1 Chỉ huy an ninh tổ chức
4.2.2 Phó chỉ huy an ninh tổ chức
4.2.3 Chỉ huy an ninh thông tin tổ chức
4.2.4 Nhóm hỗ trợ công nghệ thông tin (liên
quan)
4.2.5 Các quản lý lĩnh vực kinh doanh
4.2.6 Nhân viên
4.2.7 Ban quản lý tổ chức
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
4.4 Phân bổ SecOPs
4.5 Đánh giá rủi ro tương ứng với các bên
ngoài
4.6 Thỏa thuận truy cập (bên thứ 3) bên ngoài
4.7 Thuê ngoài
5 Quản lý tài sản
5.1 Kiểm kê tài sản
5.2 Chấp nhận sử dụng của thông tin và các
tài sản khác
5.3 Phân loại thông tin
6 An ninh tài nguyên con người
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
6.2 Thuật ngữ và định nghĩa
6.3 Sự cảnh báo và đào tạo an ninh thông tin
6.4 Xử lý kỷ luật
6.5 Giám sát nhân lực
6.6 Chấm dứt hợp đồng
6.7 Thẻ truy cập an ninh/xuất cảnh
6.8 Truy cập vật lý mạng và hệ thống công
nghệ thông tin
7 An ninh môi trường và vật lý
7.1 Thiết lập kiểm soát an ninh môi trường và
vật lý
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7.3 Kiểm soát đầu vào vật lý
7.4 Làm việc trong các phòng/vùng trọng điểm
7.5 Đặt thiết bị
7.6 Khóa và sự kết hợp
7.7 Cảnh báo phát hiện xâm nhập
7.8 Bảo vệ thiết bị chống trộm
7.9 Gỡ bỏ thiết bị
1.10 Kiểm soát truy cập phần cứng
7.11 Phát hiện giả mạo
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7.13 An ninh năng lượng
7.14 An ninh hỏa hoạn
7.15 An ninh nước/chất lỏng
7.16 Cảnh báo an toàn
7.17 An ninh máy tính cá nhân
8 Quản lý vận hành và kết nối
8.1 Thủ tục vận hành và trách nhiệm
8.1.1 Thay đổi các thủ tục kiểm soát
8.1.2 Phân chia chức vụ và vùng trách nhiệm
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.2.1 Lập kế hoạch tiềm năng
8.2.2 Chấp thuận hệ thống
8.3 Bảo vệ chống lại mã độc và mã di động
8.3.1 Ngăn chặn
8.3.2 Phát hiện
8.3.3 Phục hồi
8.3.4 Mã di động
8.4 Lư trữ dự phòng và phục hồi
8.5 Thành phần công nghệ thông tin khởi tạo
và đóng (bao gồm mạng)
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.6.1 Quản lý phương tiện có thể gỡ bỏ
8.6.2 Đầu ra in ấn
8.6.3 Bảo mật tái sử dụng hoặc gỡ bỏ phương
tiện
8.7 Trao đổi thông tin
8.8 Giám sát
8.8.1 Tính toán và kiểm tra
8.3.2 Các bản ghi tính toán thủ công
8.8.3 Đồng bộ đồng hồ
8.9 Nhật ký người vận hành
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.11 Kế hoạch công nghệ thông tin và Truyền
thông
9 Kiểm soát truy cập
9.1 Quản lý tài khoản người dùng
9.1.1 Đòi hỏi tài khoản người sử dụng
9.1.2 Tạo lập tài khoản người sử dụng
9.1.3 Đánh giá, tắt và xóa các tài khoản
người sử dụng
9.2 Cấu hình kiểm soát truy cập
9.3 Quản lý mật khẩu
9.3.1 Kiểm soát và triển khai
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
9.3.3 Lưu trữ mật khẩu và truyền
9.3.4 Thay đổi các mật khẩu
9.3.5 Đánh giá các mật khẩu
9.3.6 Bảo vệ các mật khẩu
9.3.7 Đặc quyền người sử dụng/quản lý hệ
thống giám sát mật khẩu
9.4 Thẻ an ninh truy cập
9.5 Kiểm soát truy cập mạng
9.5.1 Tổng quát
9.5.2 Kết nối bên ngoài
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
9.7 Truy cập từ xa
9.8 Hệ điều hành, ứng dụng và thông tin, kiểm
soát truy cập
9.9 Điện toán di động và làm việc từ xa
9.9.1 Tổng quát
9.9.2 An ninh máy tính xách tay
9.9.3 An ninh máy PDA
10 Thu thập, phát triển và bảo trì các hệ
thống thông tin
10.1 Bảo mật các tệp tin hệ thống
10.1.1 Kiểm soát phần mềm vận hành
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
10.1.3 Bảo vệ mã nguồn
10.2 Bảo mật trong quy trình phát triển và hỗ
trợ
10.2.1 Tính toàn vẹn phần mềm ứng dụng và hệ
thống
10.2.2 Phát triển phầm mềm thuê ngoài/thầu
lại
10.3 Bảo trì phần mềm
10.4 Phần mềm ghi lỗi
10.5 Quản lý lỗ hổng kỹ thuật
11 Quản lý sự cố an toàn thông tin
11.1 Sự cố và điểm yếu của an ninh thông tin
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
12 Quản lý tính kinh doanh liên tục
12.1 Hoạch định tính kinh doanh liên tục
12.2 Thủ tục lưu trữ dự phòng
12.3 Tình huống khẩn cấp và hỏng hóc
12.3.1 Lỗi phần cứng
12.3.2 Lỗi phần mềm
12.3.3 Sơ tán tòa nhà/hỏa hoạn
13 Kiến nghị
13.1 Kiến nghị với các yêu cầu hợp pháp
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
13.3 Bảo vệ các công cụ kiểm tra hệ thống
14 Cấu hình tài liệu
14.1 Phản hồi
14.2 Những thay đổi của SecOPs
Phụ lục A - Các tham chiếu
THƯ
MỤC TÀI LIỆU THAM KHẢO
[1] TCVN 9696-1:2013 Công nghệ thông tin -
Liên kết hệ thống mở = Mô hình tham chiếu cơ sở - Phần 1: Mô hình cơ sở (ISO/IEC
7498-1:1994 Information technology - Open System Interconnection - Basic Reference
Model: The Basic Model)
[2] TCVN 9696-2:2013 Công nghệ thông tin -
Liên kết hệ thống mở - Mô hình tham chiếu cơ sở - Phần 2: Kiến trúc an ninh (ISO/IEC
7498-2:1994 Information technology - Open System Interconnection - Basic
Reference Model: Security Architecture)
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
[4] TCVN 9696-4:2013 Công nghệ thông tin -
Liên kết hệ thống mở - Mô hình tham chiếu cơ sở - Phần 4: Khung tổng quát về
quản lý (ISO/IEC 7498-4:1994 Information technology - Open System
Interconnection - Basic Reference Model:Management Framework Overview)
[5] ISO/IEC 9595-8 Information technology
- Open System Interconnection - The Directory: Public - key and attribute
certificate frameworks
[6] ISO/IEC 10181-1:1996 Information
technology - Open System Interconnection - Security frameworks for open
systems: Overview
[7] ISO 11166-2 Banking - Key management
by means of asymmetric algorithms - Part 2: Approved algorithms using the RSA
cryptosystem
[8] ISO 11568 (tất cả các phần) Banking -
Key management (retail)
[9] ISO 11649 Financial services - Code
banking - Structured creditor reference to remittance information
[10] ISO/IEC 11770 (tất cả các phần) Information
technology - Security techniques - Key management
[11] ISO/IEC 11889-1 Information
technology - Trusted Platform Module - Part 1: Overview
[12] ISO/IEC 11889-2 Information
technology - Trusted Platform Module - Part 2: Design principles
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
[14] ISO/IEC 11889-4 Information
technology - Trusted Platform Module - Part 4: Commands
[15] ISO 13492 Financial services - Key
management related data element - Application and usage of ISO 8583 data
elements 53 and 96
[16] ISO/IEC 13888:2004 (tất cả các phần) Information
technology - Security techniques - Non - Repudiation
[17] ISO/IEC 14516:1999 Information
technology - Security techniques - Guidelines for the use and management of
Trusted Third Party sevices
[18] ISO/IEC 15288 System and software
engineering - System life cycle processes
[19] ISO/IEC 18048:2006, Information
technology - Security techniques - Selection, deployment and operations of
intrusion detections systems (IDS)
[20] ISO/IEC TR 18044:20042 Information
technology - Security techniques - Information security incident management
[21] ISO/IEC 21118 Information to be
included in specifiction sheets - Data projectors
[22] ISO/PAS 22399:2007 Society security -
Guidelines for incident preparedness and oprational continuity management
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
[24] ISO/IEC 27004 Information technology
- Security techniques - Information security management - Measurement
[25] IETF Site Security Handbook (RFC 2196),
Tháng 9 1997
[26] IETF Site Document Roadmap (RFC 2411),
Tháng 11 1998
[27] IETF Security Architecture for
Internet Protocol (RFC 2401), Tháng 11 1998
[28] IETF Address Allocation for Private
Internet (RFC 1918), Tháng 2 1996
[29] IETF SNMP Security Protocol (RFC
1352), Tháng 2 1992
[30] IETF Internet Security Glossary (RFC
2828), Tháng 5 2000
[31] IETF Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source Address Spoofing (RFC
2827), Tháng 5 2000
[32] NIST Special Publications (800 series)
on Computer Security
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
MỤC LỤC
Lời nói đầu
Lời giới thiệu
1. Phạm vi áp dụng
2. Tài liệu viện dẫn
3. Thuật ngữ và định nghĩa
4. Thuật ngữ viết tắt
5. Cấu trúc
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7. Xác định rủi ro và việc chuẩn bị xác định
kiểm soát an ninh
8. Kiểm soát hỗ trợ
9. Hướng dẫn thiết kế và thiết lập an ninh
mạng
10. Kịch bản nghiệp vụ mạng tham chiếu - Các
rủi ro, thiết kế, kỹ thuật và các vấn đề kiểm soát
11. Chủ đề "công nghệ" - Các rủi
ro, kỹ thuật thiết kế và các vấn đề kiểm soát
12. Phát triển và kiểm tra giải pháp an ninh
13. Vận hành giải pháp an ninh
14. Giám sát và đánh giá việc thiết lập giải
pháp
Phụ lục A (tham khảo) Chủ đề "công
nghệ" - Các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Phụ lục C (tham khảo) Mẫu ví dụ văn bản
SecOPs
Tài liệu tham khảo
1
Site: khu vực khác nhau cùng sử dụng chung một máy chủ/tài nguyên
2
ISO/IEC TR 18044 sẽ bị hủy bỏ và được thay thế theo công bố của ISO/IEC 27035.