Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1, cấp độ 2 phải tuân thủ những gì?
Một số yêu cầu cần đáp ứng đối với hệ thống thông tin cấp độ là gì?
Tại Mục 4 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ:
Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ
Các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.
Yêu cầu quản lý đưa ra các yêu cầu về mặt quản lý nhằm quản lý việc xây dựng, quản lý vận hành và gỡ bỏ hệ thống thông tin bảo đảm an toàn. Các yêu cầu quản lý được chia thành các nhóm yêu cầu: thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; quản lý vận hành hệ thống.
Yêu cầu kỹ thuật đưa ra các yêu cầu về mặt kỹ thuật để bảo đảm việc thiết kế, xây dựng và thiết lập hệ thống thông tin bảo đảm an toàn. Các yêu cầu kỹ thuật được chia thành các nhóm yêu cầu: bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.
Theo đó, các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.
Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1, cấp độ 2 phải tuân thủ những gì? (Hình từ Internet)
Bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1 được quy định thế nào?
Về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1 căn cứ theo Mục 5.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định như sau:
Yêu cầu kỹ thuật
...
5.2.2 Bảo đảm an toàn máy chủ
5.2.2.1 Xác thực
a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;
b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);
c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:
- Yêu cầu thay đổi mật khẩu mặc định;
- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.
5.2.2.2 Kiểm soát truy cập
Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa.
5.2.2.3 Nhật ký hệ thống
a) Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:
- Thông tin kết nối mạng tới máy chủ (Firewall log);
- Thông tin đăng nhập vào máy chủ;
b) Đồng bộ thời gian giữa máy chủ với máy chủ thời gian.
5.2.2.4 Phòng chống xâm nhập
a) Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;
b) Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ.
5.2.2.5 Phòng chống phần mềm độc hại
Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm.
Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 phải tuân thủ những gì?
Về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 căn cứ theo Mục 6.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định như sau:
Yêu cầu kỹ thuật
...
6.2.2 Bảo đảm an toàn máy chủ
6.2.2.1 Xác thực
a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;
b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);
c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:
- Yêu cầu thay đổi mật khẩu mặc định;
- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự;
- Thiết lập thời gian yêu cầu thay đổi mật khẩu;
- Thiết lập thời gian mật khẩu hợp lệ.
6.2.2.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng.
6.2.2.3 Nhật ký hệ thống
a) Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau;
- Thông tin kết nối mạng tới máy chủ (Firewall log);
- Thông tin đăng nhập vào máy chủ;
- Lỗi phát sinh trong quá trình hoạt động;
- Thông tin thay đổi cấu hình máy chủ;
- Thông tin truy cập dữ liệu và dịch vụ quan trọng trên máy chủ (nếu có).
b) Đồng bộ thời gian giữa máy chủ với máy chủ thời gian;
c) Lưu nhật ký hệ thống trong khoảng thời gian tốt thiểu là 01 tháng.
6.2.2.4 Phòng chống xâm nhập
a) Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;
b) Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ;
c) Vô hiệu hóa các giao thức mạng không an toàn, các dịch vụ hệ thống không sử dụng;
d) Có phương án cập nhật bản vá, xử lý điểm yếu an toàn thông tin cho hệ điều hành và các dịch vụ hệ thống trên máy chủ.
6.2.2.5 Phòng chống phần mềm độc hại
a) Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm;
b) Có phương án kiểm tra, dò quét, xử lý phần mềm độc hại cho các phần mềm trước khi cài đặt.
6.2.2.6 Xử lý máy chủ khi chuyển giao
Có phương án xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.
Như vậy, về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 phải đảm bảo về việc xác thực, kiểm soát truy cập, nhật ký hệ thống, phòng chống xâm nhập và phòng chống phần mềm độc hại.
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Quy trình xử lý văn bản hồ sơ công việc trên môi trường điện tử của cơ quan nhà nước được thiết kế như thế nào?
- Hệ thống dữ liệu thiết bị giám sát hành trình và thiết bị ghi nhận hình ảnh người lái xe từ 01/01/2025 thế nào?
- Cá nhân đang hưởng trợ cấp xã hội hàng tháng có được hỗ trợ đào tạo, chuyển đổi nghề và tìm kiếm việc làm khi Nhà nước thu hồi đất?
- Cơ quan nhà nước phải cung cấp dịch vụ công trực tuyến toàn trình khi nào? Công tác quản trị nội bộ trên môi trường điện tử gồm những hoạt động nào?
- Ngày 28 11 là ngày sinh của ai? 28/11/2024 là thứ mấy? 28 11 2024 có phải ngày lễ lớn ở Việt Nam hay không?