BỘ THÔNG TIN VÀ TRUYỀN THÔNG VIỆN KHOA HỌC KỸ THUẬT BƯU ĐIỆN THUYẾT MINH TIÊU CHUẨN CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – AN TOÀN MẠNG - PHẦN 3: Các kịch kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát Information technology – Security techniques – Network security – Part 3: Reference networking scenarios – Threats, design techniques and control issues Hà Nội, 12/2012 Mục lục Mở đầu .2 Tình hình an toàn thông tin 1.1 Tình hình an toàn mạng thông tin Việt Nam 1.2 Tình hình an toàn thông tin giới Khảo sát tiêu chuẩn an toàn mạng thông tin 2.1 Các tiêu chuẩn an toàn mạng thông tin giới 2.2 Các tiêu chuẩn quản lý an toàn mạng thông tin Việt nam Tiêu chuẩn an toàn mạng thông tin ISO/IEC 27033 .7 3.1 Giới thiệu 3.2 Cấu trúc tiêu chuẩn ISO/IEC 27033 11 3.3 Tổng quan 13 3.3.1 Kiến thức sở 13 3.3.2 Lập kế hoạch quản lý an toàn mạng 16 Tiêu chuẩn ISO/IEC 27033-3 kịch tham chiếu mạng – nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát 19 4.1 Phạm vi áp dụng 19 4.2 Tổng quan tiêu chuẩn ISO/IEC 27033-3 19 Xây dựng tiêu chuẩn kịch tham chiếu mạng – nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát 25 Kết luận 29 Tài liệu tham khảo 30 Mở đầu Tên tiêu chuẩn: Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng - Phần 3: Các kịch kết nối mạng tham chiếu – Nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát Information technology - Security techniques – Network security – Part 3: Reference networking scenarios - Threats, design techniques and control issues Mục tiêu: Dự thảo tiêu chuẩn quốc gia an toàn thông tin, liên quan đến nguy cơ, kỹ thuật thiết kế vấn đề quản lý loại kịch kết nối mạng Dự thảo tiêu chuẩn hỗ trợ quản lý, hướng dẫn thực đảm bảo an toàn thông tin cho tổ chức, cá nhân sử dụng mạng thông tin Nội dung: + Các đe dọa liên quan đến kịch mạng tham chiếu + Các kỹ thuật liên quan đến kịch mạng tham chiếu + Các vấn đề quản lý liên quan đến kịch mạng tham chiếu Tình hình an toàn thông tin 1.1 Tình hình an toàn mạng thông tin Việt Nam Tình trạng vi phạm an toàn thông tin Việt Nam ngày nghiêm trọng Việt Nam nước bị tin tặc lộng hành phổ biến lĩnh vực Internet Việt Nam chưa xem phát triển cao khu vực Có nhiều Website quan trọng liên quan đến tài chính, chứng khoán tổ chức an toàn cảnh báo nhiều lần tình trạng an toàn không cải thiện Thực tế phản ánh lơ công tác an toàn thông tin, gián tiếp gây thiệt hại lớn kinh tế: hệ thống máy tính bị đánh cắp, liệu bị đánh cắp, gây thiệt hại cho doanh nghiệp khách hàng Chuyện mua bán mạng thẻ tín dụng đánh cắp, thẻ tín dụng giả không chuyện từ vài năm trở lại Tình hình an toàn mạng thông tin Việt Nam nhiều thách thức, đặc biệt nguồn nhân lực có trình độ thiếu trầm trọng, đầu tư cho lĩnh vực nhỏ giọt, quan tâm chưa tầm Về môi trường pháp lý, chưa hoàn thiện thiếu đồng dẫn tới tình trạng chế tài đủ mạnh để răn đe Hacker có hành vi phát tán Virus diện rộng công vào hệ thống máy tính doanh nghiệp để trục lợi Trong đó, khả công nghệ bị đánh giá thiếu yếu Một hạ tầng mạng không đủ mạnh đương đầu với thách thức đe dọa an toàn có mức độ tinh vi chuyên nghiệp ngày cao Bên cạnh đó, mức đầu tư cho công nghệ thông tin Việt Nam mức thấp Trung bình nước giới có mức đầu tư cho công nghệ 8-10% Còn Việt Nam, số thấp nhiều Do mức đầu tư hạn hẹp nên doanh nghiệp, tổ chức có phận IT riêng, chủ yếu công việc số người kiêm nhiệm Từ dẫn tới tình trạng an ninh, an toàn thông tin lỏng lẻo, có nhiều kẽ hở để kẻ xấu lợi dụng Các vụ công tổ chức hơn, quy mô hơn, kín đáo mức độ thiệt hại lớn Hiện Việt nam có số tổ chức chịu trách nhiệm xử lí cố an toàn thông tin như: Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNCERT (Vietnam Computer Emergency Response Team – VNCERT), Hiệp hội an toàn thông tin Việt Nam VNISA (Vietnam Information Security Association), quan E15- Bộ công an… Nhiệm vụ tổ chức hướng dẫn cho tổ chức cá nhân triển khai biện pháp an toàn thông tin, đồng thời đưa cảnh báo mối đe dọa an toàn thông tin nước giới Ngoài có số công ty Misoft chuyên cung cấp dịch vụ tư vấn, đào tạo an toàn thông tin, phân phối sản phẩm (phần cứng phần mềm) an ninh mạng, triển khai bảo trợ, hỗ trợ kỹ thuật hệ thống an toàn an ninh mạng Nhiệm vụ của Công ty kinh doanh sản phẩm an toàn mạng mang đến cho khách hàng dịch vụ giải pháp an toàn an ninh hệ thống thông tin tốt nhằm đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng hệ thống thông tin, phục vụ hiệu công việc sản xuất, kinh doanh khách hàng 1.2 Tình hình an toàn thông tin giới Cùng với phát triển nhanh chóng mạng thông tin phương thức công mạng ngày trở nên tinh vi nguy hiểm Hiện số điểm mối đe dọa trở nên khó tưởng tượng: kiện công có mưu kế, thay đổi đáng kể bối cảnh đe dọa, vụ bắt giữ phạm tội có tổ chức, phương pháp thông minh phù hợp với thiết bị thông minh Một số thay đổi đáng kể có liên quan đến mạng máy tính ma (botnets) mối đe dọa tin thiết bị di động Xét phạm vi chung gần spam mạng máy tính ma giảm đáng kể chúng hoạt động offline, nhiên khảo sát cho thấy phần nhiều chúng chuẩn bị tiếp tục phát triển theo cách khác Android trở thành tảng mục tiêu thứ ba di động xét khía cạnh lịch sử Các mối đe dọa phần mềm độc hại tảng di động tiếp tục phát triển tri thức lẫn tính với tốc độ che lấp phần mềm độc hại giới PC Cuộc chiến chống mạng tội phạm tiếp tục, khia công chu kì thay đổi Các hoạt động tội phạm tiếp tục tập trung vào bối cảnh công nghệ an toàn thông tin Đầu năm 2011, phần mềm độc hại xuất nhiều lịch sử Các phần mềm chống vius giả tăng lên Trojan đánh cắp mật thể mức độ hoạt động ổn định Đồng thời, phần mềm độc hại Autorun Koobface, phổ biến toàn cầu, nằm Top xu hướng đe dọa Các số thống kê hàng ngày cho thấy 49% công website phần mềm độc hại Các số liệu cho thấy xu hướng đối tượng viết phần mềm độc hại, lừa đảo, mạng tội phạm, tiếp tục sử dụng kiện hàng ngày, tin, thể thao, kiện lễ hội mồi nhử cho kế hoạch chúng Xu hướng công triển khai từ phía khách hàng tiếp tục giảm trang đầu cho công dùng SQL thay đổi liên tục Các xu hướng gần tăng nhanh website lừa đảo website phần mềm mã độc nói chung Khảo sát tiêu chuẩn an toàn mạng thông tin 2.1 Các tiêu chuẩn an toàn mạng thông tin giới Trong bối cảnh có phát triển vũ bão công nghệ thông tin, ngày nhiều tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần hoàn toàn vào hệ thống mạng máy tính, máy tính, sở liệu Nói cách khác, hệ thống công nghệ thông tin sở liệu gặp cố hoạt động đơn vị bị ảnh hưởng nghiêm trọng chí bị tê liệt hoàn toàn Một biện pháp phòng ngừa nhắc đến thời gian qua triển khai áp dụng Hệ thống Quản lý An toàn Thông tin (ISMS: Information Security Management System) theo nguyên tắc tiêu chuẩn quốc tế ISO Bộ Tiêu chuẩn an toàn thông tin ISO 27xxx – Bộ tiêu chuẩn hệ thống quản lý an toàn thông tin (ISO27000 - Information Security Management System) Có thể nói rằng, ISO 27xxx phần hệ thống quản lý chung tổ chức, thực dựa nguyên tắc tiếp cận rủi ro hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, trì cải tiến đảm bảo an toàn thông tin tổ chức Cho tới nay, việc áp dụng hệ thống quản lý an toàn thông tin phù hợp với ISO 27xxx triển khai rộng khắp hầu hết quốc gia giới đặc biệt lĩnh vực tài ngân hàng Tại Việt Nam, số ngân hàng triển khai áp dụng hệ thống bước đầu có kết định Xét lịch hình thành tiêu chuẩn, ISO 27xxx có nguồn gốc từ Anh quốc Bắt đầu vào năm 1992, Phòng Thương mại Công nghiệp Anh (UK Department Trade and Industrial) ban hành qui phạm thực hành hệ thống an toàn thông tin dựa hệ thống đảm bảo an toàn thông tin nội công ty dầu khí Tài liệu sau Viện tiêu chuẩn hoá Anh thức ban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995 Năm 2000, tiêu chuẩn Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) thức chấp nhận ban hành với mã hiệu ISO/IEC 17799:2000 - tiền thân tiêu chuẩn ISO 27xxx ngày Mục đích nhằm thiết lập trì hệ thống quản lý thông tin, sử dụng phương pháp tiếp cận theo trình Thực theo nguyên tắc Tổ chức Phát triển Hợp tác Kinh tế (OECD).Tiêu chuẩn ISO/IEC 27xxx phần hệ thống quản lý chung tổ chức, doanh nghiệp xây dựng độc lập kết hợp với hệ thống quản lý khác ISO 9000, ISO 14000 Lợi ích việc áp dụng: o Chứng tỏ cam kết đảm bảo an toàn thông tin mức độ o Đảm bảo tính sẵn sàng tin cậy phần cứng sở liệu o Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng o Giảm giá thành chi phí bảo hiểm o Nâng cao nhận thức trách nhiệm nhân viên an ninh thông tin Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn: a)Xác định yêu cầu cho ISMS cho yêu cầu chứng nhận hệ thống vậy; b) Cung cấp hỗ trợ trực tiếp, hướng dẫn chi tiết và/hoặc chuyển đổi cho toàn trình yêu cầu Kế hoạch – Thực – Kiểm tra – Hành động (PDCA); c) Chỉ hướng dẫn cụ thể phận cho ISMS; d) Đưa tính phù hợp đánh giá cho ISMS Tổng quan tiêu chuẩn trọng họ 27xxx đưa Hình Hình – Tổng quan tiêu chuẩn họ 27xxx Theo số thống kê chưa đầy đủ đến năm 2010 số lượng tổ chức áp dụng ISMS chứng nhận toàn giới 2063 đứng đầu Nhật Bản với số chứng cấp 1190 sau Anh 219, Đài loan 69 Các lĩnh vực áp dụng ISMS chiếm tỉ lệ khác Ví dụ lĩnh vực viễn thông áp dụng nhiều với 27% tổng số lượng chứng cấp ra, lĩnh vực tài ngân hàng chiếm 20%, lĩnh vực công nghệ thông tin chiếm 15%, Hy vọng thời gian tới Việt Nam có thêm nhiều tổ chức áp dụng ISMS để giảm thiểu rủi ro liên quan tới an toàn thông tin, đảm bảo cho phát triển bền vững 2.2 Các tiêu chuẩn quản lý an toàn mạng thông tin Việt nam Đảm bảo an toàn thông tin nhu cầu thiết thực để thúc đẩy phát triển dịch vụ, công nghệ thông tin truyền thông Tiêu chuẩn an toàn thông tin lĩnh vực CNTT thiếu nhiều Tổ chức ISO có 100 chuẩn an toàn thông tin, TCVN ban hành Thiếu tiêu chuẩn dẫn đến việc người sử dụng, tổ chức sở để thực biện pháp an toàn cho Do đó, việc xây dựng tiêu chuẩn an toàn thông tin nói chung, quản lý an toàn mạng nói riêng, cần thiết Tiêu chuẩn an toàn mạng thông tin ISO/IEC 27033 Bộ tiêu chuẩn ISO/IEC 27033 biên soạn tổ chức ISO/IEC JTC1, Công nghệ thông tin – nhóm SC 27, Kỹ thuật an toàn IT Bộ tiêu chuẩn kết thúc thay cho ISO/IEC 18028 Hiện Phần Phần ban hành, phần lại trình biên soạn 3.1 Giới thiệu Ngày nay, phần lớn tổ chức thương mại phủ có hệ thống thông tin kết nối mạng họ, với kết nối mạng loại sau:  Trong tổ chức  Giữa tổ chức  Giữa tổ chức mạng chung Hình – Các loại kết nối mạng Hơn nữa, với phát triển nhanh công nghệ mạng (đặc biệt Internet), đưa hội kinh doanh quan trọng, tổ chức tăng thiết lập kinh doanh điện tử qui mô rộng cung cấp dịch vụ chung on-line Các hội bao gồm cung cấp truyền thông liệu chi phí thấp cung cấp ISP Điều sử dụng điểm gắn kết chi phí thấp điểm cuối mạch tới thương mại điện tử qui mô toàn hệ thống phan phối dịch vụ, sử dụng ứng dụng dịch vụ dựa web Thêm nữa, công nghệ (bao gồm tích hợ liệu, thoại video) làm tăng hội cho làm việc từ xa (được biết teleworking hay telecommuting) cho phép người cá nhận hoạt động xa sở làm việc khoảng thời gian Họ có khả trì kết nối thông qua sử dụng phương tiện từ xa để truy nhập mạng tổ chức cộng đồng thông tin dịch vụ hỗ trợ nghiệp vụ liên quan Tuy nhiên, môi trường đem đến lợi ích kinh doanh đáng kể, xuất rủi ro an toàn cần quản lý Với tổ chức dựa chủ yếu vào sử dụng thông tin mạng thích hợp để thực nghiệp vụ họ, việc tính cẩn mật, tính toàn vẹn, tính sẵn sàng thông tin dịch vụ gây tác động bất lợi đáng kể tới hoạt động kinh doanh Do đó, có yêu cầu chủ yếu để bảo vệ mạng hệ thống thông tin liên quan thông tin Nói cách khác, triển khai trì an toàn mạng đầy đủ tối quan trọng cho thành công hoạt động kinh doanh tổ chức Trong bối cảnh này, nhà công nghiệp công nghệ viễn thông thông tin tìm kiếm giải pháp an toàn toàn diện hiệu quả, nhằm bảo vệ mạng chống lại công hành động không đúng, thỏa mãn yêu cầu nghiệp vụ cho tính bí mật, tính toàn vẹn, tính sẵn sàng thông tin dịch vụ An toàn mạng thiết yếu trì tính xác cước, hay sử dụng thông tin phù hợp Khả an toàn sản phẩm quan trọng cho an toàn toàn mạng (bao gồm ứng dụng dịch vụ) Tuy nhiên, nhiều sản phẩm kết hợp để cung cấp giải pháp tổng thể khả tương tác xác định thành công giải pháp Tính an toàn phải không cho sản phẩm hay dịch vụ, mà phải phát triển cho thúc đẩy tréo cho hay khả an toàn giải pháp an toàn toàn thể Mục tiêu ISO/IEC 27033 cung cấp hướng dẫn chi tiết khía cạnh an toàn quản lý, vận hành sử dụng mạng hệ thống thông tin, kết nối chúng Các cá nhân tổ chức có trách nhiệm an toàn thông tin nói chung, an toàn mạng nói riêng, phải có khả thông hiểu tư liệu Tiêu chuẩn để thỏa mãn yêu cầu cụ thể họ Các mục tiêu Tiêu chuẩn  ISO/IEC 27033-1, Tổng quan khái niệm, xác định mô tả khái niệm liên quan với, cung cấp hướng dẫn quản lý cho, an toàn mạng Nó bao gồm cung cấp tổng quan an toàn mạng định nghĩa liên quan, hướng dẫn xác định phân tích rủi ro an toàn mạng sau xác định yêu cầu an toàn mạng Nó đưa làm để đạt kiến trúc an toàn kỹ thuật chất lượng tốt, khía cạnh rủi ro, thiết kế, kiểm soát liên quan đến kịch mạng lĩnh vực ‘công nghệ’ mạng điển hình (chúng xử lý chi tiết phần sau TC)  ISO/IEC 27033-2, Hướng dẫn thiết kế triển khai an toàn mạng, xác định tổ chức phải đạt kiến trúc, thiết kế triển khai an toàn kỹ thuật mạng chất lượng tôt nào, chúng đảm bảo an toàn mạng thích hợp với môi trường nghiệp vụ họ, sử dụng tiếp cận quán để lập kế hoạch, thiết kế triển khai mạng an toàn, liên quan, trợ giúp từ sử dụng mô hình/khung (trong bối cảnh này, mô hình/ khung sử dụng phác thảo diễn tả hay mô tả cấu trúc mức làm việc 3.3.2 Lập kế hoạch quản lý an toàn mạng Khi xem xét kết nối mạng, tất cá nhân tổ chức có trách nhiệm liên quan đến kết nối phải hiểu rõ yêu cầu lợi ích kinh doanh, rủi ro an toàn liên quan, kỹ thuật khía cạnh/ thiết kế kiến trúc an toàn kỹ thuật lĩnh vực kiểm soát an toàn liên quan Các yêu cầu lợi ích kinh doanh ảnh hưởng đến nhiều định hành động trình xem xét kết nối mạng, xác định các kỹ thuật khía cạnh/ thiết kế kiến trúc an toàn kỹ thuật lĩnh vực kiểm soát an toàn tiềm từ lựa chọn, thiết kế, triển khai trì mạng an toàn Toàn trình đạt trì an toàn mạng yêu cầu tóm tắt sau: a)Xác định phạm vi/ ngữ cảnh sau đánh giá rủi ro an toàn: 1)Thu thập thông tin môi trường mạng thời và/hoặc lập kế hoạch; i)Soát xét sách an toàn thông tin doanh nghiệp để công bố rủi ro, xem xét cao, liên quan đến mạng, kiểm soát an toàn mạng cần phải triển khai không phụ thuộc vào rủi ro đánh giá CHÚ THÍCH: Chính sách phải bao gồm vị trí tổ chức (1) yêu cầu an toàn có tính qui định lập pháp liên quan đến kết nối mạng xác định qui định liên quan quan lập pháp (bao gồm quan phủ), (2) tính nhạy cảm liệu lưu giữ truyền tải mạng ii) Thu thập xem xét thông tin mạng thời và/hoặc mạng lập kế hoạch – kiến trúc, ứng dụng, dịch vụ, loại kết nối đặc tính khác – điều dẫn đến việc nhận dạng đánh giá rủi ro, xác định có khả phạm vi kiến trúc/ thiết kế an toàn kỹ thuật, iii)Thu thập thông tin có khả đánh giá ảnh hưởng kinh doanh có hại, mối đe dọa điểm yếu tiềm (bao gồm đánh giá hoạt động kinh doanh thông tin truyền qua kết nối mạng, thông tin khác có khả bị truy cập cách bất hợp pháp thông qua kết nối này, dịch vụ cung cấp), 2)Xác định đánh giá rủi ro an toàn mạng, lĩnh vực kiểm soát tiềm thích hợp 16 i)Thực đánh giá rủi ro an toàn mạng soát xét quản lý bao gồm sử dụng thông tin an toàn liên quan tới kịch mạng yêu cầu chuyên đề “công nghệ” (xem phần ISO/IEC 27033-3 đến ISO/IEC 27033-7) – xác định yêu cầu an toàn (Lưu ý điều bao gồm (1) đánh giá rủi ro liên quan đến vi phạm tiềm qui định luật pháp tương ứng liên quan đến kết nối mạng xác định qui định liên quan hay quan lập pháp (bao gồm quan phủ), (2) sử dụng tác động kinh doanh có hại tiềm đồng ý, khẳng định tính nhạy cảm/ phân loại liệu lưu giữ truyền tải mạng), b)Xác định kiểm soát an toàn hỗ trợ - không kỹ thuật kỹ thuật không áp dụng cho mạng, c)Soát xét tùy chọn kiến trúc/ thiết kế an toàn kỹ thuật, xem xét kịch mạng chuyên đề “công nghệ”, lựa chọn lập tài liệu liến trúc/ thiết kế an toàn kỹ thuật kiểm soát an toàn liên quan ưu tiên (xem phần ISO/IEC 27033-2 đến ISO/IEC 27033-7) Lưu ý điều bao gồm kiểm soát yêu cầu tuân thủ theo qui định luật pháp tương ứng liên quan đến kết nối mạng xác định qui định liên quan hay quan lập pháp (bao gồm quan phủ), d) Phát triển kiểm tra giải pháp an toàn, e)Triển khai vận hành kiểm soát an toàn, f) Giám sát soát xét triển khai Lưu ý điều bao gồm giám sát soát xét kiểm soát yêu cầu để tuân thủ theo qui định luật pháp tương ứng liên quan đến kết nối mạng xác định qui định liên quan hay quan lập pháp (bao gồm quan phủ),  Soát xét phải tiến hành định kì, trường hợp thay đổi lớn (về yêu cầu kinh doanh, công nghệ, giải pháp an toàn, …), cần thiết kết từ giai đoạn trước phác thảo phải xem lại cập nhật Tổng quan trình lập kế hoạch quản lý an toàn mạng đưa dạng biểu đồ Hình bên 17 Xác định rủi ro liên quan mạng chuẩn bị xác định kiểm soát an toàn: +Thu thập thông tin môi trường mạng thời/ lập kế hoạch: - Soát xét sách an toàn thông tin doanh nghiệp, - Soát xét kiến trúc, ứng dụng, dịch vụ mạng, - Xác định loại kết nối mạng - Soát xét đặc tính mạng khác, - Thu thập thông tin có khả đánh giá tác động kinh doanh bất lợi, đe dọa điểm yếu tiềm + Xác định rủi ro an toàn thông tin lĩnh vực kiểm soát tiềm - Thực đánh giá rủi ro an toàn soát xét quản lý (xem ISO/IEC 27005, TCVN 27001) – bao gồm, cần thiết, sử dụng thông tin liên quan đến kịch mạng yêu cầu chuyên đề ‘công nghệ’ (xem ISO/IEC 27033 phần đến 7) – Xác định yêu cầu an toàn (điều – phần 1) Xác định phạm vi/ bối cảnh đánh giá rủi ro Xác định kiểm soát hỗ trợ Xác định kiểm soát hỗ trợ: - Không kỹ thuật - Kỹ thuật áp dụng không cho mạng (điều – phần 1) Xác định kiến trúc an toàn kỹ thuật yêu cầu kiểm soát Soát xét tùy chọn kiến trúc/ thiết kế an toàn kỹ thuật, xem xét kịch mạng chuyên đề ‘công nghệ’, lựa chọn biên soạn kiến trúc/ thiết kế an toàn kỹ thuật kiểm soát liên quan thích hợp (ISO/IEC 27033 phần đến 7) Phát triển, thực kiểm tra, sau vận hành, giám sát soát xét Phát triển, triển khai kiểm tra giải pháp an toàn (điều 12 – phần 1) Vận hành giải pháp an toàn (điều 13 – phần 1) Giám sát soát xét triển khai (điều 14 – phần 1) Soát xét định kì trường hợp có thay đổi lớn (nhu cầu nghiệp vụ, công nghệ, giải pháp an toàn,…) CHÚ THÍCH: Xem TCVN 27001, TCVN 27002, ISO/IEC 27003, ISO/IEC 24004 ISO/IEC 27005 Hình - Quá trình lập kế hoạch quản lý an toàn mạng 18 Cần nhấn mạnh toàn trình tham chiếu phải thực thích hợp với TCVN 27001, TCVN 27002, ISO/IEC 27005, bao gồm tư vấn chung nhận dạng kiểm soát an toàn Tiêu chuẩn ISO/IEC 27033-1 bổ sung cho tiêu chuẩn này, cung cấp giới thiệu làm để xác định kiểm soát an toàn mạng thích hợp phần ISO/IEC 27033-2 đến ISO/IEC 27033-7 Tiêu chuẩn ISO/IEC 27033-3 kịch tham chiếu mạng – nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát 4.1 Phạm vi áp dụng Phần tiêu chuẩn ISO/IEC 27033 mô tả nguy cơ, kỹ thuật thiết kế vấn đề liên quan với kịch mạng tham chiếu Đối với kịch bản, tiêu chuẩn cung cấp hướng dẫn chi tiết nguy kỹ thuật kiểm soát an toàn yêu cầu để giảm thiểu rủi ro liên quan Nếu có liên quan, tiêu chuẩn bao gồm tham chiếu đến phần 4-6 ISO/IEC 27033 để tránh trùng lặp nội dung tiêu chuẩn Thông tin phần tiêu chuẩn ISO/IEC 27033 sử dụng xem xét tùy chọn kiến trúc/ thiết kế an toàn kỹ thuật lựa chọn soạn thảo kiến trúc/ thiết kế an toàn kỹ thuật ưu tiên kiểm soát an toàn liên quan, tương thích với ISO/IEC 27033-2 Thông tin đặc thù lựa chọn (cùng với thông tin lựa chọn từ phần 4-7 ISO/IEC 27033) phụ thuộc vào đặc tính môi trường mạng xem xét, tức kịch mạng đặc thù chuyên đề “công nghệ” liên quan Về tổng thể, phần ISO/IEC 27033 hỗ trợ đáng kể việc xác định thực toàn diện an toàn cho môi trường mạng tổ chức 4.2 Tổng quan tiêu chuẩn ISO/IEC 27033-3 Hướng dẫn đưa phần ISO/IEC 27033 cho kịch mạng tham chiếu xác định dựa cách tiếp cận sau:  Xem xét thông tin phạm vi kịch  Mô tả nguy liên quan đến kịch  Thực phân tích rủi ro điểm yếu phát  Phân tích ảnh hưởng đến kinh doanh điểm yếu  Xác định khuyến nghị triển khai để bảo đảm an toàn mạng 19 Để giải an toàn cho mạng nào, phương pháp tiếp cận cách hệ thống cung cấp đánh giá toàn trình xem xét Độ phức tạp phân tích hàm số chất kích cỡ mạng phạm vi đề cập Tuy nhiên, phương pháp luận thống quan trọng để quản lý an toàn, đặc biệt chất phát triển công nghệ Xem xét đánh giá an toàn xác định tài sản yêu cầu bảo vệ Chúng phân loại rộng thành tài sản hạ tầng, dịch vụ ứng dụng Tuy nhiên, doanh nghiệp chọn để xác định thể loại riêng mình, việc phân định rõ quan trọng để lộ nguy công cho dạng hay loại tài sản Ví dụ, định tuyến phân loại vào tài sản hạ tầng, thoại IP dịch vụ người sử dụng cuối, công từ chối dịch vụ (DoS) yêu cầu xem xét khác trường hợp Đặc biệt, định tuyến yêu cầu bảo vệ chống tràn ngập gói tin giả cổng vật lý định tuyến ngăn chặn hay làm cản trở truyền lưu lượng hợp pháp Tương tự, dịch vụ VoIP yêu cầu bảo vệ thông tin tài khoản/ dịch vụ thuê bao khỏi bị xóa hay bị phá hỏng làm cho người sử dụng hợp pháp không bảo vệ trình truy cập dịch vụ An toàn mạng kéo theo phải bảo vệ hoạt động khác hỗ trợ mạng, hoạt động quản lý; tin điều khiển/ báo hiệu; liệu người sử dụng cuối (sự diện cố định hay xa) Ví dụ, quản lý GUI chủ thể làm lộ thông tin hệ truy cập bất hợp pháp (dễ dàng đoán ID quản trị mật khẩu) Tự thân lưu lượng quản lý chủ thể phá hoại lệnh OA&M giả mạo với địa IP lừa gạt hệ thống điều hành, làm lộ thông tin bị bắt giữ lưu lượng, bị ngắt công tràn ngập gói tin Phương pháp tiếp cận xác định tài sản hoạt động cho phép xem xét theo mô đun có hệ thống nguy Mỗi kịch mạng tham chiếu khảo sát biết nguy để chắn nguy có khả ứng dụng Phụ lục B Tiêu chuẩn cung cấp danh sách nguy cho doanh nghiệp biết Mặc dù danh sách hoàn toàn đầy đủ, cung cấp điểm xuất phát cho phân tích Một lược sử nguy mạng đưa ra, điểm yếu phân tích để xác định nguy thực bối cảnh tài sản cụ thể xem xét Phân tích giúp xác định phương pháp giảm thiểu nguy bị bỏ sót biện pháp đối phó cần phải thực thi để đạt mục tiêu bảo vệ Biện pháp đối phó giảm khả thành công nguy và/hoặc giảm tác động Phân tích rủi ro phân 20 tích rủi ro thể diện điểm yếu phát Phân tích ảnh hưởng đến kinh doanh bao gồm đạt định kinh doanh tương ứng với giải điểm yếu nào: khắc phục, chấp nhận rủi ro, hay chuyển rủi ro Thiết kế biện pháp đối phó thực kiểm soát điểm yếu bảo vệ khỏi nguy phần phương pháp luận đánh giá an toàn Để tương thích với loạt tiêu chuẩn ISO/IEC 27000 việc lựa chọn thực kiểm soát liên quan tối quan trọng cho bảo vệ tài sản/ thông tin Tiêu chuẩn yêu cầu trì tính bí mật, tính toàn vẹn tính sẵn sàng thông tin, đặc biệt công bố bổ sung đặc tính khác tính xác thực, tính không chối bỏ tính tin cậy tính đến Sau thuộc tính an toàn sử dụng phần Tiêu chuẩn ISO/IEC 27033 nhằm phát triển phương pháp giảm thiểu biện pháp đối phó dạng hướng đối tượng Hợp lý hóa nhu cầu cho thuộc tính (bổ sung thêm tính bí mật, tính toàn vẹn tính sẵn sàng) mô tả  Tính bí mật liên quan với bảo vệ liệu khỏi lộ thông tin bất hợp pháp  Tính toàn vẹn liên quan với bảo trì tính đắn độ xác liệu bảo vệ chống lại thay đổi, xóa bỏ, tạo, nhân bất hợp pháp  Tính sẵn sàng liên quan với việc đảm bảo không phép từ chối truy cập hợp pháp vào thành phần mạng, thông tin lưu trữ, luồng thông tin, dịch vụ ứng dụng  Kiểm soát truy cập, thông qua sử dụng xác nhận xác thực, cung cấp kiểm soát thực truy cập vào thiết bị dịch vụ mạng, đảm bảo có cá nhân hay thiết bị hợp pháp cho phép truy cập vào thành phần mạng, thông tin lưu trữ, luồng thông tin, dịch vụ ứng dụng Ví dụ, triển khai IPTV, khuyến nghị an toàn biết vô hiệu hóa giao diện gỡ rối thiết bị giải mã truyền hình (STB) thuê bao, lấy từ xem xét thuộc tính kiểm soát truy cập Kiểm tra tính bí mật, tính toàn vẹn, tính sẵn sàng không gây ảnh hưởng đến khuyến nghị khác  Xác thực liên quan với việc khẳng định chứng minh danh tính khai báo người sử dụng hay bên truyền thông sử dụng kiểm soát truy cập để ủy quyền, cung cấp bảo đảm thực thể không cố gắng đóng giả dùng lại trái phép truyền thông trước Ví dụ, cá nhân đạt truy cập đến hệ thống 21 quản lý mạng, cần xác thực để cập nhật ghi dịch vụ thuê bao Do khả thực hoạt động quản lý mạng bảo đảm cách đơn giản giải tính bí mật, tính toàn vẹn tính sẵn sàng kiểm soát truy cập CHÚ THÍCH: Trong kiểm soát truy cập dựa vai trò, ủy quyền thực cách đức tính người sử dụng gán vào vai trò Kiểm soát truy cập xác minh người sử dụng có vai trò trước cấp truy cập Tương tự, danh sách kiểm soát truy cập cấp truy cập tới đâu thỏa mãn sách, cho bạn đáp ứng yêu cầu sách bạn cấp quyền truy cập Các chức xác thực ủy quyền không trường hợp  An toàn truyền thông hay truyền tải liên quan với việc đảm bảo thông tin truyền điểm đầu cuối ủy quyền mà không bị chuyển hướng hay bị chặn  Tính không chối bỏ liên quan với trì kiểm định, cho nguyên liệu hay nguyên nhân kiện hay hành động bị từ chối Định danh cá nhân ủy quyền thực hành động bất hợp pháp liệu bảo vệ nghĩa tính bí mật, tính toàn vẹn, tính sẵn sàng liệu  Tính che chắn liên quan với bảo vệ thông tin thu từ quan sát hoạt động mạng Tính che chắn công nhận nhu cầu bảo vệ hành động bổ sung thêm vào thông tin Bảo vệ thông tin tính bí mật Bảo vệ trao đổi gọi điện thoại người A người B bảo vệ tính bí mật họ Bảo vệ kiện người A người B có thoại đảm bảo tính che chắn Trong tất kịch mô tả phần ISO/IEC 27033, thuộc tính an toàn đưa xem xét phần kỹ thuật thiết kế an toàn giai đoạn kiểm soát Bảng bên ví dụ chế an toàn mạng thực cho thuộc tính an toàn chọn để giảm thiểu rủi ro tiềm Bảng – Ví dụ kỹ thuật an toàn mạng Các xem xét an toàn Kiểm soát truy cập Các chế/ kỹ thuật an toàn Hệ thống biểu trưng vật lý, Danh sách kiểm soát truy cập (ACL), Phân chia trách nhiệm Xác thực Mật đăng nhập đơn giản, Chứng thư số, Chữ ký số, 22 TLSv1.2, SSO, CHAP Tính sẵn sàng Dự phòng lưu, Tường lửa, IDS/IPS (để ngăn chặn DoS), Tính liên tục nghiệp vụ, Mạng dịch vụ quản lý với SLA An toàn truyền thông IPSec/L2TP, Các đường thuê bao riêng, Các mạng riêng Tính bí mật Mã hóa (3DES, AES), Các danh sách kiểm soát truy cập, Quyền truy cập tệp IPSec HMAC (như SHA-256), Kiểm tra dự phòng vòng tròn, Tính toàn vẹn Phần mềm diệt virus Tính không chối bỏ Ghi lại, kiểm soát truy cập dựa vai trò, Chữ ký số Tính che chắn Mã hóa mào đầu IP (ví dụ: VPN với chế độ đường hầm IPSec), NAT (cho IPv4) Trong phần ISO/IEC 27033, xem xét kế thừa thiết kế thực đưa bối cảnh kịch mạng tham chiếu Nói chung, tổ chức lựa chọn kiểm soát TCVN 27002 liên quan để đáp ứng mục tiêu kinh doanh họ, hướng dẫn phần ISO/IEC 27033 nhằm cung cấp xem xét mức mạng yêu cầu cho thực kiểm soát chọn 4.3 Cấu trúc Cấu trúc phần tiêu chuẩn ISO/IEC 27033 bao gồm:  Tổng quan phương pháp tiếp cận giải an toàn cho kịch tham chiếu đưa phần ISO/IEC 27033 (điều 6)  Các điều cho kịch tham chiếu (điều 7-15) mô tả: o Các nguy cho kịch tham chiếu o Thể kiểm soát kỹ thuật an toàn dựa phương pháp điều Các kịch tiêu chuẩn đặt theo khung mà mục tiêu đánh giá kịch định hàm số 23  Thể loại truy cập người sử dụng, người sử dụng bên doanh nghiệp, người sử dụng truy cập nguồn tài nguyên doanh nghiệp từ bên ngoài, người sử dụng khách hàng, nhà cung cấp hay đối tác kinh doanh,  Loại tài nguyên thông tin truy cập, nguồn tài nguyên mở, giới hạn hay thuê Do đó, khung trợ giúp thể cấu trúc thống nhất, tạo bổ sung kịch có khả quản lý, điều chỉnh nhu cầu cho kịch đưa phần ISO/IEC 27033 Bảng – Khung kịch mạng đặt Người sử dụng Bên Nhân viên từ Bên bên Mở - Các dịch vụ truy cập - Các dịch vụ Internet cho nhân viên doanh nghiệp tới - Các dịch vụ doanh khách hàng nghiệp tới doanh nghiệp Giới hạn - Các dịch vụ hợp tác - Truyền thông - Các dịch vụ di động nâng cao Nguồn thông tin truy hợp tác nâng cao - Các dịch vụ doanh - Hỗ trợ kết - Các dịch vụ nghiệp tới doanh nghiệp cập - Phân đoạn mạng nối mạng cho doanh nghiệp tới người sử dụng doanh nghiệp di chuyển - Hỗ trợ nối mạng cho nhà riêng văn phòng kinh doanh nhỏ Thuê - Các dịch vụ thuê - Các dịch vụ doanh nghiệp tới khách hàng - Các dịch vụ thuê ngoài Vì vậy, thứ tự đặt kịch liệt kê phần Tiêu chuẩn ISO/IEC 27033 sau:  Các dịch vụ truy cập Internet cho nhân viên (điều 7); 24  Các dịch vụ doanh nghiệp tới doanh nghiệp (điều 8);  Các dịch vụ doanh nghiệp tới khách hàng (điều 9);  Các dịch vụ hợp tác nâng cao (điều 10);  Phân đoạn mạng (điều 11);  Hỗ trợ nối mạng cho nhà riêng văn phòng kinh doanh nhỏ (điều 12);  Truyền thông di động (điều 13);  Hỗ trợ kết nối mạng cho người sử dụng di chuyển (điều 14);  Các dịch vụ thuê (điều 15) Xây dựng tiêu chuẩn kịch tham chiếu mạng – nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát Tài liệu tham khảo gốc: ISO/IEC 27033-3:2010 Information technology – Security techniques – Network security – Reference networking scenarios - Threats, design techniques and control issues Hình thức biên soạn: chấp thuận có sửa đổi, bổ sung Sở xây dựng Tiêu chuẩn: - Hiện nay, ISO IEC biên soạn Tiêu chuẩn an ninh mạng ISO/IEC 27033, nhằm thay cho Tiêu chuẩn ISO/IEC 18028 Với mục tiêu xây dựng Bộ Tiêu chuẩn an toàn mạng nhằm thay cho Bộ tiêu chuẩn TCVN 8051 (dựa ISO/IEC 18028 cũ, lỗi thời) đáp ứng yêu cầu an toàn mạng, phù hợp với công nghệ nay, thích hợp với bối cảnh mối đe dọa, kịch công, với bổ sung, cập nhật khác, cần thiết xây dựng Tiêu chuẩn dựa ISO/IEC 27033 - Năm 2011 dựa Phần Bộ tiêu chuẩn ISO/IEC 27033: ISO/IEC 27033-1 Công nghệ thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan khái niệm (ISO/IEC 27033-1:2009 Information technology – Security techniques – Network security – Part 1: Overview and concepts) Bộ Thông tin Truyền thông xây dựng dự thảo Phần Bộ TCVN xxxx - Phần Bộ tiêu chuẩn ISO/IEC 27033 đưa nội dung nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát cho kịch mạng tham chiếu khác Trong 25 kịch mạng đưa hướng dẫn chi tiết nguy an toàn kỹ thuật thiết kế kiểm soát yêu cầu cho rủi ro liên quan Tiêu chuẩn hỗ trợ xác định thực an toàn cho môi trường mạng tổ chức Dự thảo tiêu chuẩn hỗ trợ quản lý, hướng dẫn thực đảm bảo an toàn thông tin cho tổ chức, cá nhân sử dụng mạng thông tin - Tài liệu tham chiếu gốc ISO/IEC 27033-3:2010 đầy đủ, rõ ràng để làm sở cho việc đưa tiêu chuẩn an toàn mạng, phiên thời điểm Nội dung tiêu chuẩn bao gồm: Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Ký hiệu chữ viết tắt Cấu trúc Tổng quan Các dịch vụ truy cập Internet cho nhân viên Các dịch vụ doanh nghiệp tới doanh nghiệp Các dịch vụ doanh nghiệp tới khách hàng 10 Các dịch vụ hợp tác nâng cao 11 Phân đoạn mạng 12 Các dịch vụ hỗ trợ kết nối mạng cho nhà riêng văn phòng kinh doanh nhỏ 13 Truyền thông di động 14 Hỗ trợ kết nối mạng cho người sử dụng từ xa 15 Các dịch vụ thuê Phụ lục A (Tham khảo) – Chính sách sử dụng Internet, ví dụ Phụ lục B (Tham khảo) – Danh mục nguy Các sửa đổi bổ sung dự thảo tiêu chuẩn Tài liệu tham chiếu gốc đưa Bảng Bảng – Tham chiếu nội dung dự thảo Tiêu chuẩn với tài liệu gốc 26 Dự thảo TCVN Tài liệu gốc Hình thức ISO/IEC biên soạn Chú thích 27033-3 Phạm vi áp dụng Điều Chấp thuận nguyên vẹn Tài liệu viện dẫn Điều Chấp thuận nguyên vẹn Thuật ngữ Điều Chấp thuận có Ghép điều phụ lục A.6 định nghĩa sửa Phụ lục A.6 đổi, bổ sung Ký hiệu thuật Điều Chấp ngữ nguyên vẹn Cấu trúc Điều thuận Chấp thuận nguyên vẹn Tổng quan Điều Chấp thuận nguyên vẹn Các dịch vụ truy Điều Chấp cập Internet cho nguyên vẹn thuận nhân viên Các dịch vụ Điều Chấp doanh nghiệp tới nguyên vẹn thuận doanh nghiệp Các dịch vụ Điều Chấp thuận có Bổ sung phần giải thích (): doanh nghiệp tới sửa đổi, 27 bổ khách hàng sung Tr 20 - ‘man in the middle‘ MITM (MITM giống nghe trộm, hoạt động cách thiết lập kết nối đến máy tính nạn nhân chuyển hướng tin chúng) hay ‘man in the browser’ (phần mềm độc hại kích hoạt hoạt động người trung gian người dùng trang Web); Tr 21 - công SQL injection (là kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để thâm nhập vào thi hành câu lệnh SQL bất hợp pháp), công Cross-Site Scripting XSS (là kĩ thuật công cách chèn vào website động thẻ HTML hay đoạn mã script nguy hiểm); 10 Các dịch vụ Điều 10 Chấp hợp tác nâng cao nguyên vẹn 11 Chấp Phân đoạn Điều 11 thuận thuận mạng nguyên vẹn 12 Các dịch vụ hỗ Điều 12 Chấp trợ kết nối mạng nguyên vẹn thuận cho nhà riêng văn phòng kinh doanh nhỏ 28 13 Truyền thông Điều 13 Chấp di động nguyên vẹn 14 Hỗ trợ kết nối Điều 14 thuận Chấp thuận nguyên vẹn 15 Các dịch vụ Điều 15 Chấp thuê nguyên vẹn Phụ lục A (Tham Phụ lục A Chấp thuận có Bỏ phụ lục A.6 ghép phần định khảo) – Chính sách sửa sử dụng Internet ví sung thuận đổi, bổ nghĩa “spam” vào điều Ghép định nghĩa “blog” mục A.6 dụ vào mục A.4.4 Phụ lục B (Tham Phụ lục B Chấp khảo) – Danh mục nguyên vẹn thuận nguy Kết luận Dự thảo Phần Tiêu chuẩn TCVN xxxx, xây dựng chấp thuận có bổ sung thay đổi so với tài liệu gốc ISO/IEC 27033-3:2010 Information technology – Security techniques – Network security – Reference networking scenarios - Threats, design techniques and control issues 29 Tài liệu tham khảo [1] TCVN 8051-1:2009 Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng công nghệ thông tin - Phần 1: Quản lý an ninh mạng [2] TCVN 8051-2:2009 Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng công nghệ thông tin - Phần 2: Kiến trúc an ninh mạng [3] ISO/IEC 18028-1:2005 Information technology – Security techniques – IT network security – Part 1: Network security management (ISO/IEC 18028-1:2005 Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng công nghệ thông tin - Phần 1: Quản lý an ninh mạng) [4] ISO/IEC 18028-2:2006 Information technology – Security techniques – IT network security – Part 2: Network security architecture (ISO/IEC 18028-2:2006 Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng công nghệ thông tin - Phần 2: Kiến trúc an ninh mạng) [5] ISO/IEC 27033-1:2009 Information technology – Security techniques – Network security – Part 1: Overview and concepts (ISO/IEC 27033-1:2009 Công nghệ thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan khái niệm) [6] ISO/IEC 27033-3:2010 - Information technology – Security techniques – Network security Part 3: Reference networking scenarios - Threats, design techniques and control issues (ISO/IEC 27033-3:2010 - Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng – Phần 3: Các kịch kết nối mạng tham chiếu – Nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát) - 30