Tiêu chí về hiệu năng và yêu cầu an toàn cơ bản đối với phần mềm họp trực tuyến được quy định như thế nào?
1. Tiêu chí về hiệu năng đối với phần mềm họp trực tuyến
Căn cứ Tiểu mục 3 Mục II quy định về Tiêu chí về hiệu năng đối với phần mềm họp trực tuyến ban hành kèm theo Quyết định 157/QĐ-BTTTT năm 2022 như sau:
Phần mềm họp trực tuyến đáp ứng những tiêu chí về hiệu năng sau đây:
STT |
Tiêu chí cụ thể |
Mô tả chi tiết |
1 |
Số lượng điểm cầu đồng thời |
Phần mềm HTT cho phép cấu hình chính sách giới hạn số lượng các kết nối đồng thời của phòng họp hoặc phiên họp trực tuyến. Từ chối những kết nối mới nếu vượt quá ngưỡng kết nối đồng thời để Nền tảng hoạt động ổn định. Phần mềm HTT có khả năng tổ chức cuộc họp có số điểm cầu đồng thời tối thiểu là 40 hoặc hơn theo yêu cầu cụ thể của các cơ quan, tổ chức sử dụng (Sau đây gọi tắt là số điểm cầu tối thiểu) |
2 |
Chất lượng hình ảnh |
Hỗ trợ chất lượng hình ảnh phân giải HD (đảm bảo hình ảnh rõ ràng, không vỡ đối) trong phiên họp có số điểm cầu tối thiểu kết nối. Hỗ trợ một trong các chuẩn mã hóa hình ảnh chung phổ biến (VP8, H.264, VP9, H.265, ...); Hỗ trợ điều chỉnh chất lượng hình ảnh theo băng thông kết nối. |
3 |
Chất lượng audio |
Chất lượng âm thanh tốt (âm thanh rõ ràng, không ngắt quãng) trong phiên họp có số điểm cầu tối thiểu kết nối. Hỗ trợ một trong các chuẩn âm thanh chung dùng trong hội nghị truyền hình (ví dụ như: G.711A, G.711U, G.722, G.722.1, Opus, ....) |
4 |
Chất lượng chia sẻ màn hình, cửa sổ ứng dụng (Slides, words, excel, ...) |
Hỗ trợ chất lượng hình ảnh phân giải HD cho chia sẻ màn hình, cửa sổ ứng dụng rõ, không bị vỡ, nhòe trong cuộc họp có số điểm cầu tối thiểu đồng thời |
5 |
Tổ chức các phòng hợp đồng thời |
Hệ thống cho phép tổ chức nhiều phiên hợp đồng thời với chất lượng HD mà vẫn đảm bảo ổn định và an toàn thông tin. Số phòng họp đồng thời tối thiểu là 2 hoặc hơn theo yêu cầu cụ thể của cơ quan, tổ chức. |
6 |
Thời gian hoạt động liên tục |
Thời gian hoạt động không giới hạn cho cuộc họp có số điểm cầu tối thiểu kết nối. |
2. Yêu cầu an toàn cơ bản đối với phần mềm họp trực tuyến
Theo Tiểu mục 4 Mục II quy định về Yêu cầu an toàn cơ bản ban hành kèm theo Quyết định 157/QĐ-BTTTT năm 2022:
TT |
Yêu cầu |
Mô tả chi tiết |
1. |
Xác thực |
|
1.1 |
Xác thực người sử dụng khi truy cập, quản trị, cấu hình hoặc truy cập sử dụng phần mềm HTT. |
1. Có giao diện quản lý tài khoản người sử dụng. |
2. Yêu cầu xác thực người sử dụng khi truy cập khi quản trị, cấu hình phần mềm HTT. |
||
3. Yêu cầu xác thực người sử dụng khi truy truy cập, sử dụng phần mềm HTT. |
||
1.2 |
Có chức năng cho phép lưu trữ có mã hóa thông tin xác thực hệ thống. |
Thông tin xác thực được lưu trữ có mã hóa trên phần mềm HTT. |
1.3 |
Có chức năng cho phép thiết lập chính sách mật khẩu người sử dụng. |
1. Có chức năng yêu cầu người dùng đặt mật khẩu mới khi đăng nhập lần đầu sử dụng mật khẩu mặc định. |
2. Có chức năng cho phép thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự. |
||
3. Có chức năng cho phép thiết lập thời gian yêu cầu thay đổi mật khẩu. |
||
4. Có chức năng cho phép thiết lập thời gian mật khẩu hợp lệ. |
||
5. Khóa tài khoản và yêu cầu nhập mật khẩu mới khi mật khẩu của tài khoản đó hết hạn thời gian hợp lệ. |
||
6. Mở khóa tài khoản khi thay đổi mật khẩu thành công đối với trường hợp mật khẩu hết hạn thời gian hợp lệ. |
||
1.4 |
Phần mềm HTT có chức năng cho phép hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với tài khoản nhất định. |
1. Có giao diện cho phép thiết lập thiết lập chính sách về số lần đăng nhập sai trong khoảng thời gian nhất định và hành động tự động thiết lập cơ chế để ngăn cản việc đăng nhập tự động tại Mục 1.6. |
2. Có chức năng cảnh báo tới người sử dụng khi vi phạm chính sách. |
||
1.5 |
Phần mềm HTT có chức năng cho phép mã hóa thông tin xác thực trước khi gửi qua môi trường mạng. |
Chức năng bảo đảm mật khẩu được mã hóa trước khi gửi qua môi trường mạng. |
1.6 |
Có chức năng cho phép thiết lập cấu hình để ngăn cản việc đăng nhập tự động. |
Có chức năng tự động thiết lập cơ chế tự động ngăn cản việc đăng nhập tự động khi vi phạm chính sách tại Mục 1.4. |
2. |
Kiểm soát truy cập |
|
2.1 |
Có chức năng quản lý các kết nối mạng an toàn khi truy cập, quản trị phần mềm HTT từ xa. |
1. Có chức năng cho phép truy cập, quản trị phần mềm từ xa sử dụng các giao thức mạng an toàn như TLS hoặc các giao thức tương đương khác. |
2. Có giao diện cho phép thay đổi cổng kết nối để truy cập, quản trị phần mềm. |
||
2.2 |
Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout). |
1. Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi phần mềm HTT không nhận được yêu cầu từ người dùng. |
2. Hiển thị thông báo, đóng phiên kết nối đã hết hạn thời gian timeout và yêu cầu đăng nhập lại. |
||
2.3 |
Có chức năng cho phép giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị phần mềm HTT từ xa. |
1. Có giao diện cho phép quản trị viên quản lý chính sách về giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị phần mềm từ xa. |
2. Có chức năng thực thi chính sách về giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị phần mềm từ xa ở trên. |
||
2.4 |
Có chức năng cho phép phân quyền và cấp quyền tối thiểu truy cập, quản trị, sử dụng tài nguyên khác nhau của phần mềm HTT với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau. |
1. Có giao diện cho phép quản trị viên quản lý chính sách về phân quyền tài khoản theo từng nhóm tài khoản. |
2. Phân loại nhóm tài khoản theo ít nhất 03 nhóm: a) Tài khoản người sử dụng thông thường; b) Tài khoản quản trị mức sử dụng; c) Tài khoản quản trị mức phát triển, vận hành. |
||
3. Có chức năng thực thi chính sách phân quyền và cấp quyền tối thiểu truy cập, quản trị, sử dụng tài nguyên khác nhau ở trên. |
||
2.5 |
Phần mềm HTT có chức năng cho phép thiết lập quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị theo quyền hạn. |
1. Có giao diện cho phép quản trị viên thiết lập quyền cho các tài khoản. |
2. Có chức năng thực thi chính sách phân quyền cho các tài khoản ở trên. |
||
3. |
Nhật ký hệ thống |
|
3.1 |
Có chức năng cho phép ghi nhật ký hệ thống gồm những thông tin. |
1. Cung cấp chức năng ghi nhật ký hệ thống. |
2. Nhật ký hệ thống được phân loại theo ít nhất 05 nhóm: a) Nhật ký truy cập phần mềm HTT; b) Nhật ký đăng nhập khi quản trị phần mềm HTT; c) Nhật ký các lỗi phát sinh trong quá trình hoạt động; d) Nhật ký quản lý tài khoản; đ) Nhật ký thay đổi cấu hình phần mềm HTT |
||
3.2 |
Có chức năng cho phép quản lý và lưu trữ nhật ký hệ thống trên hệ thống quản lý tập trung. |
1. Có giao diện cho phép quản trị viên quản lý chính sách về nhật ký hệ thống. |
2. Cho phép quản trị viên cấu hình khoảng thời gian lưu trữ nhật ký qua giao diện trên. |
||
4. |
An toàn phần mềm và mã nguồn họp trực tuyến |
|
4.1 |
Có chức năng cho phép kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý. |
1. Có áp dụng cơ chế kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý. |
2. Có chức năng thực thi việc kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý. |
||
4.2 |
Có chức năng cho phép bảo vệ phần mềm HTT chống lại những dạng tấn công phổ biến: SQL Injection, OS command injection, RFI, LFI, Xpath injection, XSS, CSRF |
Phần mềm được kiểm tra, đánh giá, kiểm thử xâm nhập theo tiêu chuẩn OWASP và không tồn tại điểm yếu cho phép kẻ tấn công khai thác thông qua các dạng tấn công: SQL Injection, OS command injection, RFI, LFI, Xpath Injection, XSS, CSRF. |
4.3 |
Phần mềm HTT có chức năng cho phép kiểm soát lỗi, thông báo lỗi từ phần mềm. |
1. Có chức năng kiểm soát lỗi, chỉ hiển thị các thông báo lỗi được kiểm soát đến người dùng và không hiển thị các lỗi bên trong hệ thống. |
2. Có chức năng hiển thị thông báo lỗi đến người sử dụng. |
||
4.4 |
Phần mềm HTT có chức năng cho phép bảo đảm không lưu trữ thông tin xác thực, thông tin bí mật trên mã nguồn Phần mềm. |
1. Thông tin xác thực không được đưa trực tiếp vào mã nguồn phần mềm mà phải được thiết lập thông qua giao diện cấu hình hệ thống. |
2. Các thông tin xác thực được mã hóa có mã. |
||
5. |
Bảo mật thông tin liên lạc |
|
5.1 |
Phần mềm HTT có chức năng cho phép mã hóa thông tin, dữ liệu trước khi truyền đưa, trao đổi qua môi trường mạng (đối với các phần mềm yêu cầu sử dụng chữ ký số). |
Có chức năng cho phép mã hóa dữ liệu trước khi truyền đưa, trao đổi qua môi trường mạng sử dụng chữ ký số đáp ứng yêu cầu tại Mục 5.2. |
5.2 |
Phần mềm HTT có chức năng cho phép sử dụng chữ ký số được cung cấp bởi cơ quan có thẩm quyền để bảo vệ dữ liệu và chống chối bỏ (đối với các phần mềm yêu cầu sử dụng chữ ký số). |
1. Có giao diện cho phép quản lý và thiết lập chính sách sử dụng chữ ký số đối với từng loại dữ liệu. |
2. Có chức năng mã hóa dữ liệu sử dụng chữ ký số được thiết lập. |
||
6. |
Sao lưu dự phòng |
|
6.1 |
Có chức năng cho phép tự động sao lưu dự phòng. |
1. Có giao diện cho phép quản trị viên thiết lập chính sách về sao lưu dự phòng cơ sở dữ liệu và cấu hình hệ thống. |
2. Có chức năng cho phép thực hiện việc sao lưu dự phòng theo chính sách ở trên. |
||
6.2 |
Có chức năng cho phép phép gán nhãn loại dữ liệu được lưu trữ theo quy tắc được thiết lập. |
1. Có giao diện cho phép quản trị viên quản lý chính sách về phân loại dữ liệu được lưu trữ theo từng nhóm dữ liệu. |
2. Có chức năng cho phép lưu trữ dữ liệu theo tên định dạng đối với từng loại dữ liệu tại mục trên. |
||
6.3 |
Phần mềm có chức năng cho phép thiết lập cấu hình để gửi dữ liệu dự phòng về hệ thống lưu trữ tập trung. |
1. Có giao diện cho phép quản trị viên thiết lập cấu hình để gửi dữ liệu dự phòng về hệ thống lưu trữ tập trung. |
2. Có chức năng cho phép thực hiện sao lưu dự phòng thủ công cơ sở dữ liệu và cấu hình hệ thống lên hệ thống lưu trữ tập trung. |
Trân trọng!
Võ Ngọc Nhi