Hình 2 - Bản đồ TCVN 9801 (ISO/IEC 27033)

Cấu trúc của TCVN 9801-1 (ISO/IEC 27033-1) bao gồm:

● Tổng quan về phương pháp tiếp cập an ninh mạng (xem Điều 6),

● Tổng kết của quy trình xác định các rủi ro liên quan đến mạng và việc chuẩn bị để xác định các kiểm soát an ninh, như việc thiết lập các yêu cầu an ninh mạng (xem Điều 7),

● Tổng quan của các kiểm soát an ninh mà hỗ trợ các kiến trúc kỹ thuật an ninh mạng và các kiểm soát an ninh kỹ thuật liên quan, như các kiểm soát an ninh khác (phi kỹ thuật và kỹ thuật) mà có thể được áp dụng không chỉ cho các mạng (xem Điều 8). Các tham chiếu được cung cấp cho nội dung liên quan của các bộ TCVN ISO/IEC 27001, TCVN ISO/IEC 27002 và ISO/IEC 27005 (xem Điều 9),

● Giới thiệu cho thành tựu của các kiến trúc an ninh kỹ thuật chất lượng mà phải đảm bảo an ninh mạng được phù hợp cho các môi trường doanh nghiệp của tổ chức, sử dụng một hướng tiếp cận chắc chắn cho việc lập kế hoạch và thiết kế an ninh mạng, được hỗ trợ bằng việc sử dụng các mô hình/các nền tảng (như một giới thiệu cho nội dung của ISO/IEC 27033-2 (xem Điều 9)),

● Giới thiệu các rủi ro, thiết kế, các kỹ thuật và các mục kiểm soát an ninh cụ thể phù hợp với các kịch bản nghiệp vụ mạng tham chiếu (ví dụ như một giới thiệu cho nội dung của ISO/IEC 27003-3) xem Điều 10),

● Giới thiệu các rủi ro, kỹ thuật thiết kế và các mục kiểm soát cụ thể cho các chủ đề "công nghệ" mạng (như một giới thiệu cho nội dung của các tiêu chuẩn ISO/IEC 27033-4, 27033-5, 27033-6, 27033-7 và các tiêu chuẩn dự kiến khác) (xem Điều 11 và Phụ lục A),

● Tổng kết của các mục được phù hợp với việc phát triển, thiết lập và thử nghiệm một giải pháp an ninh mạng (xem Điều 12), vận hành một giải pháp mạng (xem Điều 13) và việc giám sát và đánh giá liên tục của việc thiết lập một an ninh mạng (xem Điều 14), và

● Bảng trình bày các tham chiếu dọc giữa các kiểm soát an ninh liên quan an ninh mạng theo TCVN ISO/IEC 27001/27002 và các điều của TCVN 9801-1 (ISO/IEC 27033-1) được đưa ra trong phụ lục B.

6. Tổng quan

6.1. Nền tảng

Ví vụ về môi trường mạng có thể được quan sát bởi nhiều tổ chức hiện nay được thể hiện trong Hình 3 (Hình 3 chỉ nhằm mục đích miêu tả theo cách tổng quan và không có bất kỳ mục đich nào khác).

Mạng Intranet là mạng được thiết lập và duy trì nội bộ của một tổ chức. Thông thường chỉ các cá nhân đang làm việc cho tổ chức được truy cập trực tiếp vào mạng đó, và kể từ khi mạng đó được đặt trong khu vực của chính tổ chức, một mức độ của sự bảo vệ vật lý có thể đạt được một cách dễ dàng. Trong hầu hết các trường hợp, mạng Intranet không đồng nhất về các phương diện công nghệ sử dụng và các yêu cầu an ninh; do đó cần có những hạ tầng đòi hỏi mức bảo vệ cao hơn. Những hạ tầng này, ví dụ như các bộ phận thiết yếu của một môi trường PKI, có thể được vận hành trong một phân vùng riêng của mạng Intranet. Mặt khác, các công nghệ hiện thời (như các hạ tầng WLAN) có thể đòi hỏi một vài sự cách ly và xác thực nhất định bởi chúng có thể có các rủi ro. Với cả hai trường hợp, các cổng an ninh nội bộ có thể sử dụng để thiết lập việc phân vùng này.

Nhu cầu kinh doanh của phần lớn các tổ chức ngày nay cần phải có các kết nối và việc trao đổi dữ liệu với các đối tác bên ngoài và các tổ chức khác. Các đối tác kinh doanh quan trọng nhất thường xuyên được kết nối theo hướng mở rộng trực tiếp mạng Intranet hướng đến mạng của tổ chức đối tác. Thuật ngữ Extranet sử dụng phổ biến cho các mở rộng đó. Khi niềm tin của các tổ chức đối tác được kết nối trong các tổ chức hầu hết các trường hợp thấp hơn trong tổ chức, các cổng an ninh mạng Extranet được sử dụng để bù đắp các rủi ro được đưa ra bởi các kết nối đó.

Mạng công cộng, mà mạng Internet là một ví dụ phổ biến nhất, sử dụng hiện nay để cung cấp các kết nối tối ưu hóa giá trị và các công cụ trao đổi thông tin với các đối tác, các khách hàng và cộng đồng chung, và cung cấp nhiều dạng của việc mở rộng mạng Intranet. Dựa trên mức độ tin cậy thấp nhất các mạng công cộng, đặc biệt là Internet, các cổng an ninh phức tạp là cần thiết để giúp quản lý các rủi ro tương ứng. Các cổng an ninh này bao gồm các thành phần đặc trưng để gửi các yêu cầu dưới nhiều dạng của việc mở rộng mạng Intranet như các kết nối giữa đối tác và khách hàng.

Người dùng từ xa có thể được kết nối thông qua công nghệ VPN, và họ có thể sử dụng các công cụ kết nối không dây như các điểm phát WLAN công cộng để truy cập mạng Internet. Cách khác, người dùng từ xa có thể dùng mạng điện thoại cho việc thiết lập các kết nối quay số/ chuyển mạch trực tiếp tới một máy chủ truy cập từ xa (RAS), mà thường được đặt trong môi trường DMZ của tường lửa Internet.

Khi một tổ chức quyết định sử dụng các công nghệ VoIP để thiết lập mạng điện thoại nội bộ, các cổng an ninh phù hợp tới mạng điện thoại thường cũng được sử dụng sau đó.