Tiêu chuẩn Quốc gia TCVN 9801-2:2015 ISO/IEC 27033-2:2012 Công nghệ thông tin-Các kỹ thuật an toàn-An toàn mạng-Phần 2: Hướng dẫn thiết kế và triển khai an toàn mạng

TIÊU CHUẨN QUỐC GIA

TCVN 9801-2:2015

ISO/IEC 27033-2:2012

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - AN TOÀN MẠNG - PHẦN 2: HƯỚNG DẪN THIẾT KẾ VÀ TRIỂN KHAI AN TOÀN MẠNG

Information technology - Security techniques - NetWork security - Part 2: Guidelines for the design and implementation of network security

Lời nói đầu

TCVN ISO/IEC 9801-2:2015 hoàn toàn tương đương với ISO/IEC 27033-2:2012.

TCVN ISO/IEC 9801-2:2015 do Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - AN TOÀN MẠNG - PHẦN 2: HƯỚNG DẪN THIẾT KẾ VÀ TRIỂN KHAI AN TOÀN MẠNG

lnformation technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security

1. Phạm vi áp dụng

Tiêu chuẩn này đưa ra hướng dẫn cho tổ chức về lập kế hoạch, thiết kế, triển khai và lập tài liệu an toàn mạng.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).

Bộ TCVN ISO/IEC 9696 (ISO/IEC 7498) (tất cả các phần) Công nghệ thông tin - Liên kết các hệ thống mở - Mô hình tham chiếu cơ bản;

TCVN 11238:2015 (ISO/IEC 27000:2014), lnformation technology - Security techniques - lnformation security management systems - Overview and vocabulary (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng);

TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu;

TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin;

TCVN 10295:2014 (ISO/IEC 27005:2011), Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin;

TCVN 9801-1:2014 (ISO/IEC 27033-1), Công nghệ thông tin - Các kỹ thuật an ninh - An ninh mạng - Phần 1: Tổng quan và khái niệm;

TCVN 9801-3:2014 (ISO/IEC 27033-3:2010), Công nghệ thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát.

3. Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng tất cả các thuật ngữ và định nghĩa được đưa ra trong TCVN 9696 (tất cả các phần), TCVN 11238:2015, TCVN ISO/IEC 27001, TCVN ISO/IEC 27002, TCVN 10295 và TCVN 9801-1.

4. Từ viết tắt

Tiêu chuẩn này bao gồm tất cả từ viết tắt được sử dụng trong TCVN 9801-1 và một số từ viết tắt sau:

5. Cấu trúc tiêu chuẩn

Cấu trúc của tiêu chuẩn này gồm các phần như sau:

• Chuẩn bị thiết kế an toàn mạng (điều 6)

- Giới thiệu (theo 6.1);

- Xác định tài sản (theo 6.2);

- Thu thập yêu cầu (theo 6.3);

- Soát xét yêu cầu (theo 6.4);

- Soát xét các thiết kế và triển khai hiện tại (theo 6.5).

• Thiết kế an toàn mạng (điều 7)

- Giới thiệu (theo 7.1);

- Nguyên tắc thiết kế (theo 7.2);

- Ký thiết kế (theo 7.3).

• Triển khai (điều 8)

- Giới thiệu (theo 8.1);

- Tiêu chí lựa chọn thành phần mạng (theo 8.2);

- Tiêu chí lựa chọn sản phẩm hoặc nhà cung cấp (theo 8.3);

- Quản lý mạng (theo 8.4);

- Ghi nhật ký, giám sát và ứng cứu sự cố (theo 8.5);

- Lập tài liệu (theo 8.6);

- Kế hoạch kiểm thử và tiến hành kiểm thử (theo 8.7);

- Ký (theo 8.8)

6. Chuẩn bị thiết kế an toàn mạng

6.1. Giới thiệu

Mục tiêu của an toàn mạng là cho phép các luồng thông tin mà giúp nâng cao các quy trình nghiệp vụ của tổ chức và ngăn chặn các luồng thông tin làm suy giảm quy trình nghiệp vụ của tổ chức. Việc chuẩn bị thiết kế và triển khai an toàn mạng bao gồm các giai đoạn sau:

- Xác định tài sản (theo 6.2);

- Thu thập các yêu cầu (theo 6.3);

- Soát xét các yêu cầu (theo 6.4);

- Đánh giá tùy chọn và ràng buộc kỹ thuật;

- Đánh giá thiết kế và triển khai hiện tại.

- Các giai đoạn này cần phải lập tài liệu sớm gồm tất cả đầu vào cho các bước thiết kế và triển khai tiếp theo.

6.2. Xác định tài sản

Việc nhận biết tài sản là bước đầu tiên quan trọng để xác định rủi ro an toàn thông tin cho bất kỳ mạng nào. Tài sản cần được bảo vệ là những tài sản có thể làm suy giảm các quy trình nghiệp vụ của tổ chức khi chúng bị tiết lộ các điểm không phù hợp, bị sửa đổi hoặc không sẵn sàng. Tài sản bao gồm tài sản vật lý (máy chủ, bộ chuyển mạch, bộ định tuyến...) và tài sản lô-gic (thiết lập cấu hình, mã thực thi, dữ liệu...). Sổ đăng ký tài sản cần phải có sẵn như một phần của việc lập kế hoạch liên tục/ phân tích rủi ro phục hồi thảm họa. Những câu hỏi phải được trả lời gồm:

- Loại thiết bị mạng và nhóm phương tiện riêng biệt nào cần được bảo vệ?

- Loại hoạt động mạng riêng biệt nào cần được bảo vệ?

- Tài sản thông tin và khả năng xử lý thông tin nào cần được bảo vệ?

- Tài sản thông tin đặt ở đâu trong kiến trúc hệ thống thông tin?

Các tài sản có thể nhận biết bao gồm các tài sản được yêu cầu để hỗ trợ quản lý an toàn, kiểm soát và lưu lượng người dùng và các tính năng được yêu cầu cho các chức năng của hạ tầng, dịch vụ và ứng dụng mạng. Tài sản bao gồm thiết bị như máy chủ, bộ định tuyến, tường lửa, thiết bị giao diện (nội bộ và bên ngoài), thông tin được lưu trữ/xử lý và giao thức được sử dụng. Việc bảo vệ những tài sản hạ tầng chỉ là một phần mục tiêu thiết kế an toàn mạng. Mục tiêu cơ bản là bảo vệ các tài sản nghiệp vụ như là quy trình thông tin và nghiệp vụ.

6.3. Thu thập các yêu cầu

6.3.1. Yêu cầu về pháp lý và quy định

Các yêu cầu về pháp lý và quy định về vị trí và chức năng của mạng phải thu thập và soát xét để đảm bảo rằng các yêu cầu này được đáp ứng trong thiết kế mạng. Phải quan tâm đặc biệt đến những nơi mà luồng thông tin vượt quá phạm vi quyền hạn và giới hạn quy định. Trong trường hợp này, yêu cầu về phạm vi quyền hạn và giới hạn quy định phải được ghi lại.

6.3.2. Yêu cầu nghiệp vụ

Quy trình nghiệp vụ và kiểu phân loại dữ liệu của tổ chức xác định yêu cầu truy cập của tổ chức đó. Mạng phải được cấu hình cho phép những người dùng được cấp quyền phù hợp mới được truy cập đi và đến tài sản thông tin và ngăn chặn tất cả các truy cập khác. Việc truy cập thông tin thường sẽ liên quan đến dịch vụ trên cổng mở (ví dụ HTTP trên giao thức TCP cổng 80) của máy chủ cụ thể (ví dụ www.example.org tại địa chỉ IP 10.11.12.13) hoặc nhóm máy chủ riêng biệt (ví dụ mạng con 172.128.97.64/24) hoặc cổng giao tiếp trên các thiết bị mạng riêng biệt (như cổng giao tiếp với địa chỉ MAC 10:00:00:01:02:03). Tổ chức sẽ cần phải xác định dịch vụ mà mình cung cấp cho tổ chức khác, dịch vụ do tổ chức khác cung cấp và các dịch vụ cung cấp trong nội bộ.

6.3.3. Yêu cầu hiệu năng

Lưu lượng dữ liệu được yêu cầu để cho phép cấu hình đường truyền thông, máy chủ, thiết bị cổng an toàn /tường lửa được lập tài liệu sao cho việc triển khai dịch vụ ở mức độ tốt có thể được cung cấp phù hợp với mong muốn của người dùng đúng với cấu hình và không gây ra chi phí không cần thiết liên quan. Thông tin cần phải được thu thập như tốc độ của mọi liên kết truyền thông hiện tại, cấu hình/khả năng của bộ định tuyến tại vị trí bất kỳ nào đó của bên thứ ba, số lượng người dùng sẽ được cho phép truy cập trên mỗi liên kết (lượng truy cập đồng thời và lượng người dùng được truy cập), thời gian kết nối người dùng nhỏ nhất, trung bình, lớn nhất đã yêu cầu, nhận biết người dùng nào có quyền truy cập sẽ truy cập qua liên kết, số lượng trang web kết nối cần có, số lần truy cập cơ sở dữ liệu cần có, tốc độ tăng trưởng dự kiến trong khoảng thời gian một năm và ba/năm năm tới, cho dù một cửa sổ đăng nhập được yêu cầu. Có thể sử dụng lý thuyết bảng (hàng đợi) trong viễn thông để xác định số lượng các cổng, các kênh được yêu cầu, đặc biệt qua các liên kết quay số. Yêu cầu hiệu năng này cần soát xét, truy vấn được giải quyết và tiêu chí về hiệu năng yêu cầu phải phù hợp với thỏa thuận chính thức về kiến trúc kỹ thuật và kiến trúc an toàn kỹ thuật liên quan.

6.4. Soát xét các yêu cầu

Việc soát xét các khả năng hiện tại và mọi thay đổi về kiến trúc mạng kỹ thuật đã lên kế hoạch cần phải được thực hiện và so sánh với kiến trúc an toàn kỹ thuật đang được phát triển để đưa ra các điểm không hợp lý. Bất kỳ điểm nào không hợp lý phải được soát xét và điều chỉnh theo kiến trúc phù hợp.

Thông tin được thu thập trong khi soát xét phải bao gồm tối thiểu có những thông tin sau:

- Nhận biết loại kết nối mạng được sử dụng;

- Xác định những rủi ro an toàn;

- Phát triển danh sách kiến trúc an toàn kỹ thuật và biện pháp kiểm soát an toàn cần có;

- Các giao thức mạng được sử dụng;

- Các ứng dụng mạng được sử dụng theo những khía cạnh khác nhau của mạng.

Thông tin được thu thập phải về bối cảnh khả năng mạng. Thông tin chi tiết phải là những thông tin về kiến trúc mạng liên quan và phải được soát xét nhằm cung cấp hiểu biết và bối cảnh cần thiết cho từng bước xử lý tiếp theo. Bằng cách làm rõ những khía cạnh này sớm nhất có thể, quy trình nhận biết các tiêu chí xác định yêu cầu an toàn liên quan, nhận biết khu vực kiểm soát và soát xét các tùy chọn về kiến trúc an toàn kỹ thuật và quyết định kiến trúc được chấp nhận sẽ trở nên hiệu quả hơn và thực sự sẽ có được một giải pháp an toàn khả thi hơn. Ví dụ nếu tại một vị trí chỉ có duy nhất một kênh cho tất cả các kết nối mạng được thiết lập qua đó, thì thậm chí nếu có một biện pháp kiểm soát an toàn phải có các kênh khác nhau cho các kết nối vì vậy ngay cả khi một kiểm soát an toàn có thể có kênh khác nhau cho kết nối không cần thiết, không dựa trên vị trí đã chọn. Các biện pháp kiểm soát khác có thể được xác định sau đó để tìm ra cách tốt nhất để bảo vệ các kết nối mạng.

Việc xem xét khía cạnh kiến trúc mạng và ứng dụng ở giai đoạn đầu cần dành thời gian cho những kiến trúc để soát xét và có thể được sửa đổi nếu giải pháp an toàn có thể được chấp nhận lại không thể đạt được trong kiến trúc hiện tại.

6.5. Soát xét những thiết kế và triển khai hiện tại

Việc soát xét những biện pháp kiểm soát an toàn hiện tại phải được tiến hành cân nhắc theo những kết quả từ việc đánh giá rủi ro an toàn và việc soát xét quản lý (chi tiết về quản lý rủi ro có thể được tìm thấy trong TCVN 10295. Kết quả đánh giá rủi ro an toàn có thể chỉ ra biện pháp kiểm soát an toàn cần có tương xứng với những mối đe dọa đã đánh giá. Việc phân tích cần được hoàn thành dựa vào kiến trúc an toàn mạng hiện tại để xác định những điểm nào chưa được giải quyết trong kiến trúc an toàn mạng hiện tại.

Kiến trúc an toàn mạng phải bao gồm các biện pháp kiểm soát an toàn đã có và mọi biện pháp kiểm soát an toàn mới hoặc còn lỗi.

7. Thiết kế an toàn mạng

7.1. Giới thiệu

Kiến trúc an toàn mạng hiện tại dùng để giới hạn lưu lượng đi qua giữa các vùng mạng tin cậy khác nhau. Ranh giới dễ thấy nhất giữa các vùng mạng an toàn là giao diện giữa mạng bên trong của tổ chức và mạng bên ngoài. Tổ chức có quy mô mạng cỡ nào cũng cần có ranh giới giữa các vùng mạng an toàn nội bộ mà chúng được nhận biết và kiểm soát. Kiến trúc an toàn mạng bao gồm mô tả giao diện giữa mạng bên trong tổ chức/cộng đồng và mạng bên ngoài. Tham khảo yêu cầu được đề cập xem 6.4 ở trên và xác định cách bảo vệ tổ chức khỏi mối đe dọa và điểm yếu thông thường đã được mô tả trong TCVN 9801-1.

Hướng dẫn tổng quát về thiết kế thực tiễn tốt nhất được cung cấp theo 7.2 bên dưới và hướng dẫn về các khía cạnh kiến trúc an toàn mạng liên quan tới các kỹ thuật mạng cụ thể để giải quyết các yêu cầu hiện tại và trong tương lai gần sẽ được cung cấp trong tiêu chuẩn ISO/IEC 27033-4 và các phần tiếp theo. Hướng dẫn về các kịch bản cụ thể có thể cho một tổ chức sẽ được đề cập trong tiêu chuẩn TCVN 9801-3.

Giả thuyết kỹ thuật được đưa ra trong khi thu thập yêu cầu đều phải được lập tài liệu, ví dụ:

• chỉ kết nối IP được ủy quyền mới được cho phép (tường lửa thường chỉ hỗ trợ truyền thông IP và nếu bất kì giao thức nào khác được cho phép thì cũng rất khó để quản lý kết nối đó);

• nếu các giao thức được yêu cầu không phải là giao thức Internet (IP) thì chúng phải được giải quyết bằng các kiến trúc an toàn bên ngoài hoặc bởi giao thức đường hầm.

Kiến trúc mạng sẽ bao gồm các dịch vụ thông thường, như các dịch vụ dưới đây nhưng không hạn chế số lượng dịch vụ:

• nhận dạng và xác thực (mật khẩu, thẻ bài, thẻ thông minh, chứng chỉ, RAS/RADIUS/TACACS+);

• biện pháp kiểm soát truy cập lô-gic (đăng nhập một lần, kiểm soát truy cập dựa theo vai trò, cơ sở dữ liệu tin cậy, kiểm soát ứng dụng, tường lửa, thiết bị proxy, v.v...);

• lập tài khoản và đánh giá an toàn (nhật ký đánh giá, phương tiện phân tích nhật ký đánh giá, phương tiện phát hiện xâm nhập, thiết bị ghi một lần đọc nhiều lần (WORM),...);

• bảo đảm rằng thiết bị lưu trữ được xóa sạch/phá hủy an toàn (chứng minh phương tiện “làm sạch”);

• kiểm thử an toàn (quét các điểm yếu, ‘nghe lén’ mạng, kiểm thử xâm nhập, v.v…);

• môi trường phát triển an toàn (tách biệt môi trường phát triển và môi trường kiểm thử, không cần bộ biên dịch, v.v...);

• kiểm soát thay đổi phần mềm (phần mềm quản lý cấu hình, kiểm soát phiên bản, v.v...);

• phân phối phần mềm an toàn (chữ ký số, SSL, an toàn tầng giao vận (TLS) (RFC 5246), v.v...);

• bảo trì an toàn và sẵn sàng (phương tiện sao lưu phục hồi tốt, khả năng phục hồi nhanh, phân cụm, kho dữ liệu, truyền thông đa dạng, v.v…);

• an toàn truyền dẫn (sử dụng mã hóa trong quá trình truyền tải, công nghệ trải phổ, mạng cục bộ không dây (WLAN), VPNs/extranet).

7.2. Nguyên tắc thiết kế

7.2.1. Giới thiệu

Vùng rủi ro thông thường có liên quan tới kiến trúc an toàn mạng là lỗi thiết kế do thiết kế kém và/hoặc thiếu sự cân nhắc thích hợp trong lập kế hoạch duy trì nghiệp vụ liên tục hoặc thiết kế không tương ứng với mức độ đe dọa hiện tại hoặc được mong đợi. Thành phần cơ bản cần thiết để phát triển kiến trúc an toàn mạng bao gồm tất cả các kiểm soát an toàn đã nhận biết cùng yêu cầu nghiệp vụ. Hầu hết các thành phần này đều có thể được giải quyết bởi các thực hành tối ưu nhất của thiết kế an toàn mạng nói chung. Tiêu chuẩn ISO/IEC 27033-4 và các phần tiếp theo đề cập đến thiết kế và triển khai chi tiết một vài khía cạnh của thực hành tối ưu nhất kiến trúc an toàn kỹ thuật mạng. Hướng dẫn chi tiết bổ sung về triển khai thực hành tối ưu nhất có thể có trong các tiêu chuẩn khác.

Các điều sau đây cung cấp hướng dẫn chung khi thực hành thiết kế tối ưu nhất phải tuân theo khi xem xét một kiến trúc an toàn mạng.

7.2.2. Bảo vệ theo chiều sâu

Tổ chức cần nhìn nhận việc an toàn không chỉ theo một cách nhìn mà phải tiếp cận theo phân lớp rộng. An toàn phải toàn diện xuyên suốt qua tất cả các phân lớp mạng. Việc chấp nhận phương pháp tiếp cận theo phân lớp được coi như là sự bảo vệ theo chiều sâu. Các thành phần an toàn là sự kết hợp giữa chính sách, thiết kế, quản lý và công nghệ. Mỗi tổ chức cần xác định nhu cầu và thiết kế bảo vệ theo chiều sâu dựa trên những nhu cầu đó.

Nhiều thiết bị di động có khả năng kết nối USB và mạng, cũng như kết nối không dây. Các thiết bị này có thể được kết nối vào mạng nội bộ hoặc các hệ thống theo một kiểu đặc biệt, việc kết nối này có thể được thực hiện với kết nối không dây mở và không an toàn của thiết bị, các thiết bị này có thể hoạt động như một điểm truy cập không dây trên mạng nội bộ, bỏ qua kiểm soát vành đai. Các chính sách nghiêm ngặt phải được thiết lập để hạn chế kết nối không an toàn từ các thiết bị di động vào mạng và nên quét thường xuyên các kênh truyền không dây để phát hiện ra các điểm truy cập giả mạo.

Mọi điểm truy cập không dây đều phải đặt trong vùng DMZ. Điểm truy cập không dây thuộc mạng nội bộ đều phải hạn chế các thiết lập kết nối: an toàn cao nhất (có thể dùng WPA2) và lọc địa chỉ MAC để hạn chế thiết bị có thể kết nối tới những điểm truy cập được cho phép. TCVN 9801-3 cung cấp chi tiết về mối đe dọa mà công nghệ truyền thông di động hiện đang đối mặt và các biện pháp kiểm soát liên quan.

Nguyên tắc bảo vệ theo chiều sâu đưa ra cách sử dụng nhiều biện pháp kiểm soát an toàn hoặc nhiều kỹ thuật an toàn để giúp giảm nhẹ rủi ro của từng thành phần bảo vệ đang bị xâm phạm hoặc phá vỡ. Ví dụ phần mềm diệt virus nên được cài đặt trên từng trạm làm việc riêng lẻ mặc dù đã có sẵn bảo vệ virus bên trong tường lửa và máy chủ ở trong cùng môi trường. Các sản phẩm bảo mật khác nhau từ nhiều nhà cung cấp có thể được triển khai để phòng thủ theo các hướng khác nhau bên trong mạng, giúp cho sự phòng thủ ngăn ngừa bất kỳ tình trạng thiếu kém nào dẫn đến hư hại lớn hơn; cũng được coi là tiếp cận phân lớp.

Hình 1 cho thấy cách thức an toàn vành đai, đến an toàn cho hạ tầng, an toàn cho máy chủ, sau đó là an toàn cho ứng dụng và cuối cùng là cho dữ liệu. Tất cả các lớp trên là để bảo vệ cho dữ liệu.

Hình 1 - Bảo vệ theo chiều sâu

Các giải pháp an toàn dựa trên phương pháp tiếp cận phân lớp là mềm dẻo và dễ mở rộng. Giải pháp trên đáp ứng được những nhu cầu an toàn của tổ chức.

7.2.3. Vùng mạng

Phân vùng mạng sử dụng khái niệm trong đó tài nguyên hệ thống có mức nhạy cảm khác nhau (ví dụ có sự khác biệt giữa giá trị chịu đựng rủi ro và độ nhạy cảm với mối đe dọa) phải được đặt tại những vùng an toàn khác nhau. Điều này tạo ra cách để các hệ thống chỉ sẵn sàng cho dữ liệu cần thiết để tiến hành các nhiệm vụ (ví dụ chỉ máy chủ cung cấp dịch vụ Internet được đăng ký trong hệ thống tên miền công cộng) cho từng vùng cụ thể.

Phương tiện cơ bản để giữ lưu lượng mạng truyền đến nơi mong muốn và hạn chế truyền đến nơi không mong muốn là thiết bị cổng an toàn: thiết bị tường lửa chuyên dụng, các chức năng tường lửa trong thiết bị IPS và danh sách kiểm soát truy cập trong bộ định tuyến và bộ chuyển mạch mạng.

Với việc bố trí và cấu hình thích hợp, các thiết bị cổng an toàn sẽ giúp tạo ra kiến trúc an toàn, chia hạ tầng mạng thành các vùng an toàn và kiểm soát truyền thông giữa chúng. Thông tin thêm về cách bố trí và cấu hình thiết bị cổng an toàn có thể có trong ISO/IEC 27033-4.

Nguyên tắc phân vùng miêu tả quy tắc thiết kế an toàn mạng dưới đây:

- Mạng có các mức độ nhạy cảm khác nhau phải được đặt trong các vùng an toàn khác nhau:

- Hệ thống thiết bị và máy tính cung cấp dịch vụ cho mạng bên ngoài (ví dụ Internet) phải được đặt ở những vùng (DMZ) khác với hệ thống các thiết bị và máy tính trong vùng mạng nội bộ.

- Tài sản chiến lược phải được đặt trong vùng an toàn chuyên dụng.

- Hệ thống thiết bị và máy tính có mức độ tin cậy thấp như máy chủ truy cập từ xa và các điểm truy cập mạng không dây phải được đặt trong vùng an toàn chuyên dụng.

- Các kiểu mạng khác nhau phải được đặt trong các vùng an toàn tách biệt.

- Trạm làm việc phải được đặt trong vùng an toàn khác so với các máy chủ.

- Mạng và hệ thống quản lý an toàn phải được đặt trong các vùng an toàn chuyên dụng.

- Hệ thống đang trong giai đoạn phát triển phải được đặt ở các vùng khác với các hệ thống sản xuất.

7.2.4. Thiết kế khả năng phục hồi

Thiết kế an toàn mạng phải kết hợp nhiều lớp dự phòng để loại bỏ các điểm lỗi đơn và tối đa tính sẵn sàng của hạ tầng mạng. Điều này bao gồm việc sử dụng các giao diện dự phòng, mô đun sao lưu, thiết bị dự phòng và đường dự phòng theo mô hình. Ngoài ra, thiết kế cũng sử dụng một tập lớn các tính năng để làm cho mạng có khả năng phục hồi nhanh hơn sau tấn công và lỗi mạng.

7.2.5. Kịch bản

Môi trường mạng đang được soát xét có thể thường được đặc trưng bởi một hoặc nhiều kịch bản mạng cụ thể và một hoặc nhiều chủ đề “công nghệ” liên quan đến các mối đe dọa đã được xác định, xem xét về thiết kế và các vấn đề về kiểm soát. Các thông tin này rất hữu ích khi soát xét các tùy chọn kiến trúc/thiết kế an toàn kỹ thuật và lựa chọn và lập tài liệu về thiết kế/kiến trúc an toàn kỹ thuật được ưu tiên và kiểm soát an toàn liên quan.

TCVN 9801-3 tham chiếu đến các kịch bản này và với mỗi kịch bản lại cung cấp hướng dẫn chi tiết về các mối đe dọa tới an toàn và các kỹ thuật thiết kế an toàn và kiểm soát cần thiết để đối phó với các mối đe dọa đó.

7.2.6. Khung và mô hình

Lịch sử một thành phần của hệ thống an toàn bao gồm việc lựa chọn, sử dụng hoặc phát triển khung hoặc mô hình an toàn.

Mô hình an toàn được sử dụng để miêu tả các thực thể (các đối tượng bị chi phối bởi chính sách an toàn của tổ chức) và xác định các quy tắc truy cập cần thiết để khởi tạo chính sách. Mô hình an toàn điển hình thường tập trung vào một trong hai đặc tính hoặc là tính bí mật thông qua các kiểm soát truy cập hoặc là tính toàn vẹn thông tin, trong đó một số được xác định chính thức và một số khác thì xác định không chính thức.

Khung an toàn điển hình cung cấp cho tổ chức cách thức hình thành phác thảo chung về việc tạo nên một hệ thống bảo mật. Một ví dụ về khung là ITU-T X8.05. Đây là một khung tổng quát của chuỗi khung ITU-T X.800 về khuyến nghị phù hợp với việc cung cấp an toàn mạng theo kiểu liên kết đầu cuối đến đầu cuối. Với mục đích này, X.805 định nghĩa các khía cạnh an toàn có chứa công cụ, công nghệ, tiêu chuẩn, quy định, thủ tục, v.v.. của vùng hoặc các khía cạnh an toàn. X.805 chỉ ra rằng cơ chế an toàn dự phòng có thể tránh được bằng cách xác định khả năng an toàn trong lớp mà chính lớp đó bảo vệ một lớp khác, (ở đây được sử dụng trong bối cảnh của X.805) do đó làm giảm tổng chi phí của giải pháp an toàn, X.805 là một khung an toàn chung và không cung cấp đặc tả kỹ thuật cho bất kỳ thành phần hoặc hệ thống thông tin cụ thể nào. Thay vào đó định nghĩa nguyên tắc an toàn và khả năng an toàn với mục tiêu tạo thuận lợi cho an toàn mạng theo kiểu liên kết đầu cuối đến đầu cuối. Phụ lục C đưa ra một ví dụ về cách thức mà ITU-T X.805 có thể được áp dụng với sự hỗ trợ của các biện pháp kiểm soát trong tiêu chuẩn TCVN ISO/IEC 27001.

7.3. Ký thiết kế

Bản thiết kế an toàn mạng hoàn chỉnh phải được ký bởi những nhà quản lý ở mức độ phù hợp.

8. Triển khai

8.1. Giới thiệu

Triển khai an toàn mạng nên phải dựa trên cơ sở thiết kế an toàn mạng đã được mô tả trong điều 7

Triển khai an toàn mạng bao gồm: Phân đoạn và phân chia mạng

• Tiêu chí lựa chọn thành phần mạng (theo 8.2);

• Tiêu chí lựa chọn sản phẩm hoặc nhà cung cấp (theo 8.3);

• Quản lý mạng (theo 8.4);

• Ghi nhật ký, giám sát và ứng cứu sự cố (theo 8.5);

• Lập tài liệu (theo 8.6);

• Kế hoạch kiểm thử và tiến hành kiểm thử (theo 8.7);

• Ký (theo 8.8)

8.2. Tiêu chí lựa chọn thành phần mạng

Mọi thiết kế mạng an toàn đều có sự kết hợp của các thành phần phổ biến có thể được sử dụng. Các thành phần được sử dụng theo một kiểu kết hợp để tạo ra thiết kế an toàn mạng kỹ thuật. Phần còn lại của Điều 8 và ISO/IEC 27003-3 và các phần tiếp theo sẽ tập trung vào thông tin chi tiết về kỹ thuật của một vài thành phần được liệt kê dưới đây. Những thành phần này sẽ được sử dụng trong một vài kết hợp để tham khảo yêu cầu an toàn theo 6.4. Một số thành phần này có thể bao gồm:

• Phân đoạn và phân chia mạng;

• Hệ thống quản lý an toàn (ví dụ giám sát và quản lý cấu hình);

• Công nghệ an toàn cơ bản như quản lý định danh, mật mã v.v..;

• Thiết bị kiểm soát gắn vào mạng;

• Kỹ thuật giảm thiểu mối đe dọa;

• Thiết bị ngoại vi;

• Bộ lọc mạng như tường lửa và các thiết bị truy cập từ xa dịch vụ kiểm tra nội dung;

• Hệ thống phát hiện xâm nhập/hệ thống ngăn chặn xâm nhập;

• Bảo vệ điểm cuối;

• Bộ định tuyến và bộ chuyển mạch;

• Kết nối với mạng bên ngoài

8.3. Tiêu chí lựa chọn sản phẩm hoặc nhà cung cấp

Việc lựa chọn sản phẩm không được thực hiện một cách độc lập, mà phải thực hiện như một quy trình lặp liên quan đến thiết kế của kiến trúc an toàn mạng.

Sau đây là một số ví dụ về tiêu chí để lựa chọn sản phẩm:

- phù hợp về kỹ thuật và ưu điểm của sản phẩm;

- Hiệu năng;

- hỗ trợ giao thức;

- khả năng phục hồi;

- tính nhất quán;

- tính mở rộng;

- phương tiện quản lý mạng;

- khả năng đánh giá;

- tính tuân thủ;

- tài liệu kỹ thuật;

- bảo trì;

- phương tiện chuẩn đoán từ xa;

- an toàn logic;

- đảm bảo khả năng an toàn thông qua các lược đồ ví dụ đánh giá theo TCVN 8709 (hoặc tương đương);

- “đặc tính” của nhà cung cấp (năng lực, kinh nghiệm thực tiễn, cam kết về chất lượng, thương hiệu, quy mô, năng lực tổng thể bao gồm các sản phẩm đang được xem xét, sự ổn định về tổ chức/tài chính, tài liệu tham khảo, phương tiện đào tạo);

- thời gian phân phối;

- chi phí;

8.4. Quản lý mạng

Quản lý mạng đề cập tới hoạt động, phương pháp, thủ tục và công cụ gắn liền với hoạt động vận hành, quản trị, duy trì và dự phòng của hệ thống mạng:

• Thỏa thuận vận hành giữ cho mạng (và dịch vụ của nhà cung cấp mạng) bật và thông liên tục. Nó bao gồm giám sát mạng để phát hiện các vấn đề nổi bật sớm nhất có thể, tốt nhất là trước khi người dùng bị ảnh hưởng;

• Thỏa thuận quản trị giữ theo dõi các tài nguyên trong mạng và cách thức phân bổ tài nguyên. Điều này bao gồm tất cả hoạt động quản lý cần thiết để giữ cho mạng trong tầm kiểm soát;

• Sự duy trì liên quan đến việc thực hiện sửa chữa, nâng cấp - ví dụ, khi thiết bị phải được thay thế, khi bộ định tuyến cần bản vá cho hệ điều hành, khi bộ chuyển mạch mới được thêm vào mạng. Sự duy trì cũng bao gồm biện pháp khắc phục và ngăn chặn để mạng được quản lý chạy tốt hơn, như hiệu chỉnh tham số cấu hình thiết bị.

Cấu hình thiếu của mạng liên quan đến thành phần, cả cố ý hoặc vô ý, đều gây ra các rủi ro đáng kể, không chỉ đối với tính sẵn sàng, mà còn liên quan tới tính bí mật và tính toàn vẹn.

Do đó các biện pháp kiểm soát để giải quyết rủi ro là cần thiết. Các biện pháp kiểm soát có thể được phân loại thành các biện pháp kiểm soát bên trong tổ chức hoặc biện pháp kiểm soát kỹ thuật.

Biện pháp kiểm soát của tổ chức có thể bao gồm quyền quản trị thích hợp của cá nhân, nguyên tắc vận hành ví dụ nguyên tắc bốn mắt, phân tách phù hợp nhiệm vụ như thủ tục và chính sách để tránh mật khẩu yếu hoặc mặc định. Kiểm soát vận hành có thể bao gồm cấu hình và kiểm soát phiên bản để giải quyết lỗi cấu hình tiềm ẩn hoặc thay đổi trong cấu hình của thiết bị.

Các biện pháp kỹ thuật bao gồm việc sử dụng công cụ và giao diện quản trị với các biện pháp ủy quyền và xác thực phù hợp nhằm đảm bảo chất lượng và tính bí mật. Quản lý kỹ thuật được yêu cầu cho một số thành phần của mạng. Thiết bị cổng an toàn có thể được quản lý nội bộ hoặc từ xa, nhưng việc quản lý từ xa phải sử dụng công cụ đảm bảo mạnh hoặc xác thực hai chiều hoặc công nghệ tối thiểu phải tránh dùng mật khẩu yếu hoặc mặc định và có thể cung cấp chức năng toàn vẹn và bí mật bất cứ khi nào có thể. Ví dụ sử dụng đường hầm VPN có mã hóa được cấu hình với mức độ thích hợp hoặc mô phỏng đầu cuối SSH. Máy chủ cũng phải được quản lý nội bộ hoặc từ xa. Khi những máy chủ hỗ trợ thông tin nhạy cảm quản lý từ xa phải sử dụng công cụ mà đảm bảo mạnh hoặc xác thực hai yếu tố hoặc công nghệ tối thiểu phải tránh được mật khẩu yếu hoặc mặc định và cung cấp chức năng toàn vẹn và bí mật thích hợp bất cứ khi nào có thể.

Các thành phần hạ tầng như bộ chuyển mạch và bộ định tuyến phải được quản lý nội bộ từ cổng điều khiển, khoảng cách rất gần từ một trạm quản lý trung tâm, sử dụng chương trình mô phỏng thiết bị đầu cuối để làm việc trực tuyến trên một máy tính từ xa hoặc từ hệ thống quản lý phân tán. Tuy nhiên, điều này cho thấy giao thức này không an toàn trừ khi chúng được cấu hình với một phương pháp có thể mã hóa hoàn toàn kết nối. Một ví dụ kết nối từ xa an toàn với mã hóa hoàn toàn và bao gồm phương pháp truyền tập tin an toàn là SSH. Hơn nữa, truy cập tới thành phần của hạ tầng phải được kiểm soát bởi máy chủ xác thực.

Mạng được thuê ngoài từ nhà cung cấp thường có hệ thống quản lý riêng của nhà mạng. Tuy nhiên, chúng cần phải được quản lý từ trạm quản lý trung tâm sử dụng phương pháp quản lý từ xa an toàn. Phương pháp quản lý từ xa phải bao gồm mã hóa và xác thực sử dụng mật mã khóa công khai. Ví dụ phương pháp bảo mật có thể được sử dụng là, Telnet và TFTP thông qua đường hầm VPN, hoặc SSH, phương pháp được kiểm soát bởi máy chủ xác thực.

Nhiều tổ chức sử dụng bẫy giao thức quản lý mạng đơn giản (SNMP) lý để giám sát trực tiếp các mạng. Có những rủi ro đáng kể đối với SNMP phiên bản 1 và phiên bản 2 có thể yếu hoặc không an toàn. Do đó nếu tổ chức quyết định sử dụng SNMP thì phải sử dụng phiên bản 3 với đầy đủ kiểm soát an toàn.

8.5. Ghi nhật ký, giám sát và phản hồi sự cố

Máy chủ đánh giá phải được cấu hình với tất các hệ thống thiết bị cổng an toàn, được đặt trong vùng DMZ để an toàn từ mạng bên trong lẫn mạng bên ngoài cũng như bất kỳ thiết bị liên quan nào đến an toàn khác được đặt ở bên trong hoặc bên ngoài vùng DMZ. Máy chủ đánh giá không nên là bộ phận của vùng mạng nội bộ và chỉ được truy cập trực tiếp bởi cán bộ kỹ thuật có thẩm quyền trong hệ thống cổng/tường lửa an toàn. Tuy nhiên, quyền ghi sẽ cần thiết để nhật ký đánh giá được phép tải lên bằng giao thức an toàn (ví dụ giao thức sao chép an toàn (SCP)) từ thành phần hạ tầng, máy chủ, tường lửa. Tất cả tường lửa và nhật ký kiểm tra liên quan phải trực tiếp gửi tới máy chủ đánh giá này để cán bộ kỹ thuật kiểm tra sau đó, với phần mềm phân tích đánh giá được cung cấp để cho phép rà soát tệp tin nhật ký đánh giá.

Quản lý an toàn thông tin bao gồm việc tập hợp và chuẩn hóa thông tin tập hợp được để đưa ra quyết định dựa trên những thông tin đó. Thông tin thu thập có thể bao gồm nhật ký của hệ thống, thông tin SNMP, cảnh báo IDS/IPS và thông tin luồng.

Nếu có thể, máy chủ đánh giá và hoặc hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) phải được cấu hình để cảnh báo cho cán bộ kỹ thuật có thẩm quyền thông qua thư điện tử, tin nhắn SMS, hoặc cả hai theo mức độ ưu tiên của bất kỳ hoạt động bất thường nào được phát hiện. Bất kỳ hoạt động bất thường nào được phát hiện là có thể gây ra một cuộc tấn công thử, nhân viên an toàn được giao trách nhiệm phải thực hiện các thủ tục ứng cứu sự cố theo mức độ ưu tiên của cảnh báo. Quản lý sự cố an toàn thông tin được miêu tả chi tiết hơn trong tiêu chuẩn ISO/IEC 27035.

8.6. Lập tài liệu

Tài liệu kiến trúc an toàn mạng là một tài liệu an toàn kỹ thuật quan trọng và, như đã nêu ở trên, nên tương ứng với kết quả đánh giá rủi ro an toàn liên quan và kết quả rà soát của ban quản lý rủi ro, chính sách an toàn thông tin và mạng của tổ chức và chính sách an toàn khác liên quan. Bất kì tài liệu quan trọng nào trong số tài liệu này phải kiểm soát được sự thay đổi. Ví dụ mẫu được đưa ra trong Phụ lục B.1. Cần tham khảo việc lập tài liệu kiến trúc kỹ thuật có liên quan và tài liệu an toàn kỹ thuật khác. Tài liệu liên quan quan trọng bao gồm:

- Tài liệu về các yêu cầu an toàn thông tin cho tất cả thành phần mạng được quản lý (như là cổng, tường lửa, bộ định tuyến ...). Yêu cầu này cũng bao gồm các yêu cầu an toàn chức năng như yêu cầu dựa trên luật của tường lửa - xem ví dụ mẫu tại Phụ lục B.2;

- Tài liệu về các yêu cầu đối với phần mềm phân tích nhật ký đánh giá;

- Báo cáo phân tích sản phẩm.

8.7. Kế hoạch kiểm thử và tiến hành kiểm thử

Tài liệu chiến lược kiểm thử an toàn phải được phát triển để mô tả phương pháp kiểm thử nhằm chứng minh kiến trúc an toàn kỹ thuật mạng. Tài liệu này cần tập trung vào cách thức kiểm thử các kiểm soát an toàn kỹ thuật quan trọng để xác minh rằng các yêu cầu đã xác định đều được đáp ứng và các chính sách đều được triển khai theo thiết kế. Để xác minh quan điểm này, kiểm thử hệ thống và tiến hành việc kiểm thử dựa trên danh sách kiểm tra.

Tài liệu chiến lược kiểm thử phải bao gồm các phạm vi, ví dụ:

- cơ chế nhận biết và xác thực;

- khả năng phục hồi của thiết kế;

- cơ chế cấp phép;

- sự triển khai các kiểm soát chính sách;

- xác minh hệ điều hành mạnh;

- xác minh giải pháp nhật ký đánh giá.

Chiến lược kiểm thử phải bao gồm cà đơn vị và việc kiểm thử tính khả dụng để đảm bảo sự phù hợp với thiết kế.

Trước khi tiến hành kiểm thử hệ thống, phải chuẩn bị một kế hoạch kiểm thử. Kế hoạch kiểm thử phải bao gồm dữ liệu kiểm thử cùng với các kịch bản kiểm thử với chứng cứ. Kế hoạch kiểm thử cũng phải bao gồm điều khoản kiểm thử thích hợp. Dữ liệu kiểm thử phải được chuẩn bị cẩn thận để cho phép xem xét năng lực kiểm soát an toàn kỹ thuật.

8.8. Ký

Tài liệu triển khai an toàn mạng hoàn chỉnh phải được ký bởi những người quản lý ở các cấp độ thích hợp.

Phụ lục A

(Tham khảo)

Tham chiếu giữa các biện pháp liên quan đến an toàn mạng trong TCVN ISO/IEC 27001:2009;

TCVN ISO/IEC 27002:2011 và ISO/IEC 27033-2:2012

Phụ lục B

(Tham khảo)

Ví dụ về các mẫu tài liệu

B.1. Ví dụ về mẫu tài liệu cấu trúc an toàn mạng

B.1.1. Giới thiệu

Bao gồm các phần như:

• mục đích/đối tượng/phạm vi;

• giả thuyết, cả kỹ thuật và phương diện khác;

• trạng thái tài liệu;

• cấu trúc tài liệu.

B.1.2. Yêu cầu liên quan đến nghiệp vụ

Bao gồm các phần như:

• giới thiệu;

• bối cảnh;

• mạng lưới và dịch vụ IT khác.

B.1.3. Cấu trúc kỹ thuật

Bao gồm các phần như:

• giới thiệu;

• tổng quan về kỹ thuật;

- khái quát;

- tên miền chính 1;

- tên miền chính 2;

- tên miền chính 3;

- v.v..

- máy chủ;

- máy trạm;

- bản ghi nhật ký;

- quản lý;

- kiểm soát xác thực và truy cập;

- phạm vi dịch vụ và tính phục hồi.

• vị trí hệ thống;

• thành phần hệ thống;

• kết nối;

• thành phần 1;

- tổng quan,

- cấu hình,

- bản ghi nhật ký,

- quản lý,

• thành phần 2;

- tổng quan;

- cấu hình;

- bản ghi nhật ký;

- quản lý.

• thành phần 3;

- tổng quan;

- cấu hình;

- bản ghi nhật ký;

- quản lý.

• thành phần ‘x’;

• quản lý máy chủ;

- giới thiệu;

- giám sát các dịch vụ;

- quản lý hệ thống mở rộng (XSA);

- quản lý an toàn doanh nghiệp (ESM);

- bất kỳ quản lý nào khác.

• tường lửa;

- giới thiệu;

- tổng quan;

- cấu hình tường lửa dự phòng;

- tiêu chí thiết kế và cấu hình;

- luật cơ bản.

• quản lý tường lửa;

- cấu hình;

- cảnh báo tường lửa;

- truy cập từ xa.

• bản ghi nhật ký;

• hệ thống dự phòng,

- giới thiệu;

- tường lửa;

- máy chủ;

- ứng dụng;

• truyền thông mạng;

- mạng nội bộ ví dụ VLAN, WLAN;

- bộ định tuyến;

- bộ chuyển mạch;

- dải IP.

• trách nhiệm quản trị;

- máy chủ;

- tường lửa;

- cơ sở hạ tầng;

- quản lý ứng dụng.

B.1.4. Dịch vụ mạng

Bao gồm các phần như:

• giới thiệu;

• dịch vụ ở vị trí x;

• dịch vụ ở vị trí y;

Phải đưa ra danh sách tất cả dịch vụ mạng theo vị trí, bao gồm:

• dịch vụ KiloStream;

• dịch vụ MegaStream;

• dịch vụ chuyển tiếp khung;

• Công nghệ chuyển mạch ATM

• IP clear/chuyển mạch nhãn đa giao thức (MPLS);

• dịch vụ băng thông rộng;

• wifi/wimax;

• dịch vụ kết nối LAN;

• Mạng thông tin di động toàn cầu (GSM);

• ISDN tốc độ cơ bản (lên đến 30/64 Kbps kênh phân phối trên 1 MegaStream);

• giao diện tốc độ cơ bản (BRI) mạng số tích hợp dịch vụ (ISDN), (các kênh 2 x 64 Kbps);

• đường trao đổi trực tiếp tín hiệu tương tự (DELs);

• dịch vụ mạng Intranet/Extranet;

• Nhà cung cấp dịch vụ mạng Internet (ISP).

với tất cả các đường truyền và dịch vụ được bao gồm.

Nếu danh sách được mở rộng thì danh sách này phải được mô tả trong phụ lục với tham chiếu từ phần chính của tài liệu.

B.1.5. Bố trí vật lý/phần cứng

Bao gồm các phần như:

• giới thiệu;

• vị trí.

Phải có danh sách tất cả các phần cứng, với kế hoạch mặt bằng và vị trí bố trí tủ, bao gồm cả phạm vi, ví dụ, các máy chủ, bộ định tuyến, bộ chuyển mạch, tường lửa và trang thiết bị truyền thông khác. Tất cả phần cứng phải được dán nhãn, phải lên kế hoạch dán nhãn hoặc ít nhất là có tham chiếu.

Bảng B.1 cho ví dụ bảng danh sách phần cứng. Mỗi kiểu phần cứng phải có 1 bảng - ví dụ bảng phạm vi các thành phần máy chủ.

Bảng B.1 - Ví dụ bảng danh sách phần cứng

B.1.6. Phần mềm

Bao gồm các phần như:

• giới thiệu;

• danh sách phần mềm;

- phần mềm ở vị trí x;

- phần mềm ở vị trí y;

- v.v..

Danh sách tất cả các phần mềm, bao gồm cả số phiên bản và:

• phần mềm windows;

• tường lửa;

• RAS/RADIUS;

• phần mềm định tuyến;

• phần mềm chuyển mạch;

• proxy;

• quản lý đánh giá;

• máy chủ thư điện tử;

• chuyển tiếp thư điện tử bằng giao thức truyền thư điện tử đơn giản (SMTP);

• quản lý nội dung;

• kiểm tra Java/ActiveX;

• máy chủ web;

• máy chủ FTP;

• kiểm soát tên miền;

• phần mềm dự phòng;

• phần mềm khác.

Danh sách phải được mô tả trong phụ lục và có tham chiếu từ phần chính của tài liệu.

B.1.7. Hiệu năng

Chi tiết hiệu năng mong đợi phải được mô tả, gồm cả ‘các hệ thống con’ như:

• máy tính bàn;

• các máy chủ;

• Mạng LAN;

• Mạng WAN;

• cổng kết nối,

• dịch vụ mở rộng.

B.1.8. Vấn đề đã biết

Chi tiết về vấn đề đã biết, bao gồm lĩnh vực liên quan đến vấn đề không tuân thủ, nên được mô tả dưới dạng tiêu đề như phần kỹ thuật:

• giới thiệu;

• vùng không phù hợp.

B.1.9. Tham khảo

Các tham chiếu phải được mô tả trong tất cả tài liệu liên quan, bao gồm:

• kết quả rà soát quản lý và đánh giá rủi ro an toàn;

• chính sách an toàn mạng;

• chính sách an toàn thông tin;

• chính sách an toàn khác có liên quan;

• tài liệu cấu trúc kỹ thuật;

• các tài liệu yêu cầu truy cập dịch vụ (an toàn) đối với mỗi hệ thống tường lửa (bao gồm các luật cơ bản của tường lửa);

• tài liệu yêu cầu phần mềm phân tích bản ghi nhật ký;

• báo cáo phân tích sản phẩm;

• kế hoạch và chiến lược kiểm thử tổng quát;

• chương trình quản lý sự cố an toàn thông tin;

• Thủ tục vận hành an toàn;

• điều kiện để kết nối an toàn cho bên thứ ba;

• hướng dẫn sử dụng cho người dùng bên thứ ba.

B.1.10. Bổ sung

Bao gồm các chi tiết như:

• cấu hình phần cứng;

• cấu hình máy chủ/giao diện điều khiển;

• cấu hình tường lửa;

• cấu hình bộ định tuyến;

• cấu hình phần mềm;

• cấu hình cơ sở dữ liệu;

• kế hoạch đánh địa chỉ IP;

• cấu hình SNMP;

• các bẫy hệ thống;

• các tiêu chuẩn.

B.1.11. Thuật ngữ

B.2. Ví dụ mẫu về tài liệu yêu cầu an toàn chức năng

CHÚ THÍCH: Tài liệu phải được tạo ra cho từng hệ thống tường lửa

B.2.1. Giới thiệu

Bao gồm các phần như sau:

• kiến thức cơ bản/phạm vi/đối tượng;

• tên hệ thống tường lửa;

• vị trí đặt tường lửa;

• vai trò tường lửa;

• tên cá nhân/nhóm chịu trách nhiệm vận hành tường lửa;

• bản ghi sửa đổi nội dung tài liệu;

• tài liệu tham chiếu.

B.2.2. Cấu hình tường lửa

Bao gồm các phần như sau

• giới thiệu;

• Nhận biết liên kết thông qua hệ thống tường lửa;

• tổng quan cấu trúc tường lửa;

• chi tiết hệ thống tường lửa

- phần cứng;

- phần mềm;

- cấu trúc tường lửa;

- dịch vụ tường lửa;

- quản trị tường lửa;

- định tuyến nội bộ;

- định tuyến bên ngoài;

- trung tâm vùng DMZ;

- Chống mã độc hại trên máy chủ

- thư điện tử SMTP;

- trang web;

- máy chủ thư điện tử SMTP;

- máy chủ bản ghi nhật ký;

- UPS;

- thành phần khác;

- kiểm soát khác được yêu cầu.

• miêu tả các liên kết đến và của, các hệ thống khác

• các kiểu thông tin có liên quan và sự nhạy cảm của chúng

• số lượng và các loại người sử dụng v.v..

B.2.3. Rủi ro an toàn

Bao gồm các phần như sau:

• giới thiệu;

• tác động nghiệp vụ tiêu cực tiềm ẩn (đôi khi được biết đến như giá trị tài sản);

• đánh giá mối đe dọa;

• đánh giá lỗ hổng;

• đánh giá rủi ro.

trong bối cảnh của việc sử dụng tường lửa

B.2.4. Quản lý an toàn

Bao gồm các phần trách nhiệm như sau:

• nhân viên/nhóm an toàn;

• nhân viên mạng;

• nhân viên hỗ trợ tường lửa;

• quản lý mạng;

• quản lý Công nghệ thông tin khác;

• người dùng.

B.2.5. Quản trị an toàn

Bao gồm các phần như sau:

• SecOP (thủ tục vận hành an toàn);

• Soát xét việc tuân thủ an toàn;

• tính sẵn sàng;

• duy trì;

• kiểm soát cấu hình;

• quản lý khả năng;

• quản lý vấn đề;

• quản lý mức dịch vụ;

• thời hạn của tài liệu.

B.2.6. Kiểm soát và xác thực truy cập

Bao gồm các phần như:

• giới thiệu;

• kiểm soát truy cập logic như quản trị tường lửa, người dùng nội bộ và người dùng từ xa;

• biện pháp kiểm soát truy cập bên ngoài như các luật cơ bản từ mạng tới tường lửa, nền tảng an toàn và máy chủ chủ proxy ứng dụng;

• bảo vệ mức mạng.

B.2.7. (Nhật ký) bản ghi

Bao gồm các phần như bản ghi:

• các thông tin được ghi lại;

• phân tích được thực hiện bằng những công cụ nào;

• an toàn.

B.2.8. Quản lý sự cố an toàn thông tin

Bao gồm các phần như hồ sơ có liên quan đến:

• giới thiệu;

• báo cáo sự cố;

• xử lý sự cố;

• v.v..

B.2.9. An toàn vật lý

Bao gồm phần trách nhiệm như kiểm soát truy cập:

• hệ thống tường lửa;

• dây cáp.

B.2.10. An toàn cá nhân

Bao gồm phần ứng dụng tường lửa liên quan đến cá nhân như:

• hệ thống tường lửa;

• dây cáp.

B.2.11. Bổ sung

Bao gồm dịch vụ và giao thức chi tiết như:

• truy cập ra bên ngoài và vào bên trong;

• quản lý từ xa;

• quản lý tường lửa;

• quản lý máy chủ DMZ;

• bất cứ dịch vụ khác có liên quan và các chi tiết giao thức.

B.2.12. Chú giải thuật ngữ

Phụ lục C

(Tham khảo)

ITU-T X.805 khung làm việc và TCVN ISO/IEC 27001:2009 mô hình kiểm soát

ITU-T X.805 có thể được sử dụng để tăng thêm tính kỹ thuật của kiểm soát trong tiêu chuẩn TCVN ISO/IEC 27001:2009. Trong trường hợp đặc biệt, được mô tả trong Hình C.1, ITU-T X.805 có thể tăng thêm 4 biện pháp kiểm soát trong TCVN ISO/IEC 27001:2009 chính sách an toàn, quản lý tài sản, kiểm soát truy cập và quản lý sự cố an toàn thông tin. Lớp ITU-T X.805 cụ thể, kế hoạch, khía cạnh ứng dụng được cho mỗi loại kiểm soát này được mô tả trong hình. Ví dụ, quản lý tài sản, cơ sở hạ tầng và lớp dịch vụ và kiểm soát và kế hoạch quản lý mang tính ứng dụng nhất, với sự kiểm soát truy cập và các khía cạnh sẵn có là những mối quan tâm nổi bật nhất.

Hình C.1 - ITU-T X.805 Sự mở rộng cho kiểm soát TCVN ISO/IEC 27001

Như trong ví dụ, sự mở rộng có thể được sử dụng cho việc đánh giá mang tính hệ thống và thiết kế an toàn trung tâm dữ liệu của doanh nghiệp là nơi lưu trữ thông tin nhân viên, thông tin cá nhân cụ thể phải hạn chế chỉ cho người dùng có thẩm quyền. Thông tin nhân viên được truy cập bởi một số nhân viên thuộc bộ phận hỗ trợ được tổ chức chỉ định ví dụ bộ phận hỗ trợ dịch vụ; ngoài ra trung tâm dữ liệu và hệ thống đó được duy trì bởi công nghệ thông tin của tổ chức. Như trong Hình C.2 bộ phận hỗ trợ dịch vụ truy cập thông tin nhân viên để xử lý khiếu nại, hỗ trợ đơn đặt hàng cho các dịch vụ công nghệ thông tin mới, giải quyết các vấn đề nhân viên gặp phải với các dịch vụ công nghệ thông tin (ví dụ: truy cập từ xa), v.v... Ngoài ra bộ phận công nghệ thông tin của tổ chức truy cập vào thông tin nhân viên cũng là một phần của sự duy trì các hoạt động nhằm duy trì hệ thống tệp tin, cập nhật hệ thống, quản lý bản vá lỗi v.v...

Hình C.2 - Kịch bản truy cập cho tài sản doanh nghiệp

ITU-T X.805 phân tích phát hiện mối đe dọa/điểm yếu mà thành viên bộ phận công nghệ thông tin của tổ chức có thể xem và chỉnh sửa thông tin nhân viên qua đó tạo ra các điểm yếu khiến lỗ hổng dễ bị lộ và sai lệch bên trong cơ sở hạ tầng (xem Hình C.3). Ngoài ra như là một phần của giải quyết vấn đề, thông tin nhân viên được truyền trong suốt giữa trung tâm dữ liệu và bộ phận hỗ trợ dịch vụ; do đó dễ bị lộ, sai lệch và gián đoạn trong lớp dịch vụ. Do đó, biện pháp kiểm soát phải được xác định và lựa chọn để bảo vệ thông tin nhân viên chống lại mối đe dọa và điểm yếu trong quản lý cơ sở hạ tầng và lớp các dịch vụ. Cần lưu ý rằng ITU-T X.805 phân tích theo từng bước và không được trình bày trong tiêu chuẩn này. Chỉ kết quả như là kết quả phân tích được giả định để ngắn gọn.

Hình C.3 - ITU-T X.805 Kết quả phân tích mối đe dọa và lỗ hổng cho tài sản doanh nghiệp

TCVN ISO/IEC 27001:2009, biện pháp kiểm soát A.10.9.2 được xác định và lựa chọn như được yêu cầu để bảo vệ sự quản lý thông tin nhân viên trong dịch vụ và lớp cơ sở hạ tầng do các điểm yếu và các mối đe dọa đã được xác định theo có trong phân tích của ITU-T X.805 (Hình C.4). TCVN ISO/IEC 27001, biện pháp kiểm soát A.10.9.2 cho biết thông tin liên quan đến việc giao dịch trực tuyến phải được bảo vệ để ngăn ngừa việc truyền tải không đầy đủ, lỗi định tuyến, thay đổi thông điệp trái phép, tiết lộ trái phép, sao chép hoặc gửi lại tin nhắn trái phép.

Hình C.4 - Kiểm soát TCVN ISO/IEC 27001

ITU-T X.805 cung cấp việc triển khai và chi tiết hóa sự vận hành cho kiểm soát A.10.9.2 trong dịch vụ và lớp cơ sở hạ tầng của tài sản thông tin cá nhân. Trong lớp các dịch vụ, khía cạnh An toàn Truyền thông quy định việc sử dụng mạng riêng ảo VPN để ngăn ngừa lỗi định tuyến. Khía cạnh an toàn dữ liệu quy định việc sử dụng IPSec AH để ngăn ngừa việc truyền tải không đầy đủ, thay đổi và nhân bản tin nhắn trái phép cũng như việc ngăn ngừa gửi lại thông điệp. Khía cạnh An toàn Dữ liệu quy định việc sử dụng IPSec ESP để ngăn ngừa tiết lộ trái phép. Trong lớp cơ sở hạ tầng, khía cạnh Toàn vẹn Dữ liệu quy định việc sử dụng file checksums để ngăn ngừa sự thay đổi trái phép, khía cạnh Bảo mật Dữ liệu quy định việc sử dụng các danh sách kiểm soát truy cập hệ thống file (ACLs) để ngăn ngừa nhân bản trái phép. Hình C.5 mô tả cách mà khía cạnh ITU-T X.805 quy định sự triển khai và sự vận hành của kiểm soát A.10.9.2 để bảo vệ tài sản thông tin nhân viên.

Hình C.5 - ITU-T X.805 cho triển khai TCVN ISO/IEC 27001:2009

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] ITU-T X.805, Security architecture for systems providing end-to-end communication (Kiến trúc an toàn cho các hệ thống truyền thông đầu cuối)

[2] RFC 5246, The Transport Layer Security (TLS) Protocol Version 1.2, IETF, August 2008. (Giao thức An toàn tầng giao vận (TLS))

MỤC LỤC

Lời nói đầu

1. Phạm vi áp dụng

2. Tài liệu viện dẫn

3. Thuật ngữ và định nghĩa

4. Từ viết tắt

5. Cấu trúc tài liệu

6. Chuẩn bị thiết kế an toàn mạng

6.1. Giới thiệu

6.2. Xác định tài sản

6.3. Thu thập các yêu cầu

6.3.1. Yêu cầu về pháp lý và quy định

6.3.2. Yêu cầu nghiệp vụ

6.3.3. Yêu cầu hiệu năng 

6.4. Soát xét các yêu cầu

6.5. Soát xét những thiết kế và triển khai hiện tại

7. Thiết kế an toàn mạng

7.1. Giới thiệu

7.2. Nguyên tắc thiết kế

7.2.1. Giới thiệu

7.2.2. Bảo vệ theo chiều sâu

7.2.3. Vùng mạng

7.2.4. Thiết kế khả năng phục hồi

7.2.5. Kịch bản

7.2.6. Khung và mô hình

7.3. Ký thiết kế

8. Triển khai

8.1. Giới thiệu

8.2. Tiêu chí lựa chọn thành phần mạng

8.3. Tiêu chí lựa chọn sản phẩm hoặc nhà cung cấp

8.4. Quản lý mạng

8.5. Ghi nhật ký, giám sát và phản hồi sự cố

8.6. Lập tài liệu

8.7. Kế hoạch kiểm thử và tiến hành kiểm thử

8.8. Ký

Phụ Lục A (tham khảo) Tham chiếu giữa các biện pháp liên quan đến an toàn mạng trong TCVN ISO/IEC 27001:2009; TCVN ISO/IEC 27002:2011 và ISO/IEC 27033-2:2012

Phụ Lục B (tham khảo) Ví dụ về các mẫu tài liệu

B.1. Ví dụ về mẫu tài liệu cấu trúc an toàn mạng

B.1.1. Giới thiệu

B.1.2. Yêu cầu liên quan đến nghiệp vụ

B.1.3. Cấu trúc kỹ thuật

B.1.4. Dịch vụ mạng

B.1.5. Bố trí vật lý/phần cứng

B.1.6. Phần mềm

B.1.7. Hiệu năng

B.1.8. Vấn đề đã biết 

B.1.9. Tham khảo

B.1.10. Bổ sung

B.1.11. Thuật ngữ

B.2. Ví dụ mẫu về tài liệu yêu cầu an toàn chức năng

B.2.1. Giới thiệu

B.2.2. Cấu hình tường lửa

B.2.3. Rủi ro an toàn

B.2.4. Quản lý an toàn

B.2.5. Quản trị an toàn

B.2.6. Kiểm soát và xác thực truy cập

B.2.7. (Nhật ký) bản ghi

B.2.8. Quản lý sự cố an toàn thông tin

B.2.9. An toàn vật lý

B.2.10. An toàn cá nhân

B.2.11. Bổ sung

Phụ Lục C (tham khảo) ITU-T X.805 khung làm việc và TCVN ISO/IEC 27001:2009 mô hình kiểm soát

Thư mục tài liệu tham khảo