TIÊu chuẩn quốc gia tcvn 9801-1: 2013 iso/iec 27033-1: 2009

Băng thông rộng là một liên kết tốc độ cao "luôn bật" giữa một thuê bao người dùng và mạng Internet. Các tính năng này khiến cho việc phá hoại hệ thống kết nối băng thông rộng trở thành một việc làm đáng kể đối với các tin tặc. Những rủi ro an ninh chính liên quan tới việc sử dụng băng thông rộng bao gồm những rủi ro tương ứng với:

- Công bố, sửa đổi hay xóa bỏ thông tin như một hệ quả của truy cập không xác thực từ xa,

- Truyền bá mã độc,

- Tải lên/tải xuống và thực hiện các mã không xác thực,

- Đánh cắp nhận dạng,

- Cấu hình sai của hệ thống khách hàng,

- Sự xuất hiện những yếu điểm phần mềm,

- Nghẽn mạng,

- Tấn công DoS.

Một số kiểm soát an ninh kỹ thuật quản lý rủi ro từ những nguy hại xác định từ kết nối băng thông rộng bao gồm:

- Các tường lửa cho văn phòng nhỏ/văn phòng gia đình (SOHO),

- Mã hóa dữ liệu,

- Phần mềm chống mã độc (gồm cả chống vi-rút),

- IDS, bao gồm IPS,

- Các mạng VPN,

- Các cập nhật phần mềm/ bản sửa lỗi.

Việc sắp xếp cổng an ninh phù hợp phải bảo vệ được hệ thống nội bộ của tổ chức và quản lý an ninh cũng như kiểm soát giao dịch qua nó, phù hợp với một chính sách dịch vụ truy cập cổng an ninh đã được ghi nhận.

Mỗi ngày, các tin tặc càng trở nên phức tạp hơn nhằm phá vỡ mạng doanh nghiệp và cổng mạng chính là một trung tâm hướng tới của chúng. Nỗ lực truy cập trái phép có thể là nguy hại, như dẫn tới một tấn công DoS, có thể sử dụng sai tài nguyên mạng hay có thể lấy đi những thông tin đáng giá.

Cổng mạng cần phải bảo vệ tổ chức khỏi những sự xâm nhập từ bên ngoài như từ mạng Internet hay những mạng thứ ba. Nội dung không được quản lý khiến cho tổ chức rơi vào những vấn đề pháp lý và nguy cơ mất sở hữu trí tuệ. Hơn nữa, vì càng ngày càng nhiều tổ chức hơn đang kết nối với mạng Internet để đạt được những yêu cầu của chính tổ chức, chúng phải đối mặt với yêu cầu quản lý truy cập tới những website không phù hợp hay chống đối. Không có sự kiểm soát này, tổ chức sẽ có rủi ro về năng suất hoạt động, hướng trách nhiệm pháp lý và phân bổ sai băng thông dựa trên việc lướt web không có tính năng suất. Do đó những rủi ro an ninh cần được đưa ra bao gồm những rủi ro tương ứng với:

- Những kết nối với bên ngoài phải trở nên không khả dụng,

- Dữ liệu bị gián đoạn,

- Tài sản giá trị của công ty trở thành mục tiêu cho sự công bố trái phép,

- Dữ liệu trên webstie hay được truyền tải không có thẩm quyền thích hợp dẫn tới phạt pháp lý như giao dịch nội gián.

A.6.3. Kiểm soát an ninh

Cổng an ninh phải:

- Phân chia mạng một cách hợp lý,

- Cung cấp chức năng hạn chế và phân tích thông tin qua lại giữa các mạng logic,

- Được sử dụng bởi một tổ chức như một cách thức quản lý truy cập vào và từ mạng tổ chức,

- Cung cấp một điểm kiểm soát và quản lý riêng lẻ cho mục vào mạng,

- Thi hành chính sách an ninh của tổ chức, phù hợp với kết nối mạng,

- Cung cấp một điểm riêng lẻ cho đăng nhập.

Với mỗi cổng an ninh, một văn bản chính sách (an ninh) truy cập riêng biệt phải được phát triển và nội dung được thiết lập sao cho bảo đảm chỉ giao dịch xác thực mới được cho phép qua. Văn bản này phải bao gồm các chi tiết của những nguyên tắc về cổng mạng mà nhà quản trị yêu cầu và cấu hình cổng mạng. Cũng có thể xác định kết nối được phép một cách riêng rẽ dựa theo giao thức kết nối và những chi tiết khác. Do đó, để đảm bảo chỉ những người dùng và giao dịch hợp pháp có thể truy cập từ các kết nối truyền thông, chính sách cần phải được xác định và lưu lại chi tiết những luật lệ và hạn chế áp dụng với giao dịch vào và ra cổng an ninh cũng như những tham số về quản lý và cấu hình.

Với tất cả các cổng an ninh, việc sử dụng toàn bộ phải được tạo phải từ xác thực khả dụng thẩm quyền, quản lý truy cập hợp lý và công cụ nhật ký sẵn có. Hơn nữa, chúng phải được kiểm tra thường xuyên về những phần mềm và/hay dữ liệu trái phép, nếu có; báo cáo sự việc phải được cung cấp dựa trên mô hình quản lý sự cố an ninh thông tin của tổ chức và/hay cộng đồng.

Có thể nhấn mạnh rằng kết nối với một mạng chỉ diễn ra sau khi nó đã kiểm tra rằng cổng an ninh được lựa chọn phù hợp với các yêu cầu của tổ chức và/hay cộng đồng, và rằng tất cả các rủi ro dẫn đến một kết nối có thể được quản lý một cách an toàn. Cũng phải đảm bảo rằng việc thông qua cổng an ninh là không khả thi.

Tường lửa là một ví dụ tốt của cổng an ninh. Các tường lửa phải thường là những thứ có thể đạt được mức độ tương xứng đảm bảo phù hợp với những rủi ro đã đánh giá, với những nguyên tắc tiêu chuẩn về tường lửa thường bắt đầu với việc từ chối toàn bộ truy cập giữa mạng trong và ngoài cũng như những quy tắc bổ sung để thỏa mãn chỉ những ráp nối truyền thông được yêu cầu.

Chi tiết hơn về cổng an ninh mạng được cung cấp ở tiêu chuẩn ISO/IEC 27033-4 (cũng như TCVN ISO/IEC 27002 và ISO/IEC 27005).

Chú thích rằng trong khi các khía cạnh an ninh mạng của tường lửa cá nhân, một loại đặc biệt của tường lửa, không được bàn đến trong ISO/IEC 27033-4, chúng vẫn phải được xem xét đến. Không như phần lớn các trang trung tâm mà được bảo vệ bởi tường lửa xác định, các hệ thống từ xa có thể không bảo đảm chi phí và những kỹ năng đặc biệt để hỗ trợ những thiết bị này. Thay vào đó, một tường lửa cá nhân có thể được sử dụng, quản lý dòng kết nối vào (và đôi khi là ra) một máy tính từ xa. Việc điều hành các quy tắc (chính sách) về tường lửa có thể được thực hiện từ xa thông qua cá nhân ở trung tâm, làm giảm bớt yêu cầu hiểu biết kỹ thuật đối với người dùng hệ thống từ xa. Tuy nhiên, nếu điều đó là không khả thi, sự cẩn trọng cần được bảo đảm hiệu quả cấu hình, đặc biệt nếu cá nhân ở những trang từ xa không có hiểu biết về công nghệ thông tin. Một số tường lửa cá nhân có thể bị hạn chế khả năng truyền tải qua mạng tới những chương trình xác thực (hay cả với các thư viện), giúp hạn chế khả năng phần mềm độc hại lan tràn.

Mạng VPN là một mạng cá nhân được thiết lập thông qua việc sử dụng hạ tầng các mạng sẵn có. Theo quan điểm của người dùng thì mạng VPN hoạt động và cung cấp những tính năng, dịch vụ tương tự như một trang cá nhân. Một mạng VPN có thể được sử dụng trong nhiều trường hợp khác nhau ví dụ:

- Thiết lập truy cập từ xa tới một tổ chức từ điện thoại di động hay các nhân viên bên ngoài,

- Liên kết các khu vực khác nhau của một tổ chức, bao gồm các liên kết dư thừa để thiết lập một hạ tầng chống sụp đổ,

- Thiết lập các kết nối tới một mạng của một tổ chức cho các đối tác tổ chức/doanh nghiệp khác.

Nói cách khác, các mạng VPN cho phép hai máy tính hoặc mạng tương tác thông qua một kênh dẫn như internet. Kết nối đó được thực hiện một cách truyền thống với chi phí cao thông qua việc sử dụng các kênh thuê riêng với các bộ mã hóa liên kết. Tuy nhiên, với sự ra đời của liên kết Internet tốc độ cao và thiết bị kết thúc phù hợp ở mỗi điểm cuối, kết nối đáng tin cậy giữa các trang có thể được thiết lập sử dụng mạng VPN.

Rủi ro an ninh chính liên quan tới kết nối thông qua một mạng không an toàn là tương ứng với những thông tin nhạy cảm có xu hướng bị truy cập bởi các đối tác bất hợp pháp, dẫn tới các thay đổi và/hoặc công bố thông tin bất hợp pháp. Hơn nữa, rủi ro an ninh thường liên quan tới mạng vùng rộng và mạng cục bộ (xem lần lượt các Điều A.1 và A.2), những rủi ro thông thường liên quan tới mạng VPN bao gồm những rủi ro tương ứng với:

- Thiết lập không an toàn thông qua:

- Một gói mã hóa chưa được thử nghiệm hay khiếm khuyết bộ mật mã,

- Một bí mật được chia sẻ không bền vững mà có thể đoán được dễ dàng,

- Một cấu trúc liên kết mạng yếu.

- Không chắc chắn về bảo mật của người dùng từ xa,

- Không chắc chắn về thẩm quyền người dùng,

- Không chắc chắn về bảo mật của bên cung cấp các dịch vụ kèm theo,

- Hoạt động hay tính khả dụng của dịch vụ kém,

- Không tuân theo những quy định và yêu cầu về luật pháp trong việc sử dụng mã hóa ở những quốc gia cụ thể.

A.7.3. Kiểm soát an ninh

Trong các mạng VPN, các công nghệ mã hóa sử dụng các giao thức ứng dụng phổ biến và/hoặc để thiết lập tính năng và các dịch vụ an ninh, đặc biệt nếu mạng VPN được xây dựng là một mạng công cộng (như mạng Internet). Thiết lập chủ yếu các liên kết truyền thông giữa các thành phần được mã hóa để đảm bảo chắc chắn và các giao thức thẩm định được sử dụng để xác định của các hệ thống kết nối tới mạng VPN. Thông thường, thông tin được mã hóa di chuyển qua một "đường hầm" an ninh có kết nối với cổng mạng của tổ chức, với sự bảo mật và hoàn chỉnh của thông tin được duy trì. Cổng mạng, theo đó xác định người dùng từ xa và cho phép người dùng truy cập chỉ những thông tin họ có đủ thẩm quyền để xác nhận.

Do đó, một mạng VPN là một cơ chế dựa trên đường hầm các giao thức - xử lý của một giao thức hoàn chỉnh (giao thức người dùng) như một dòng đơn các bít và gói chúng lại với nhau (giao thức bên cung cấp). Thông thường, giao thức bên cung cấp mạng VPN cung cấp bảo mật (bảo đảm và hoàn chỉnh) tới các giao thức người dùng. Khi xem xét việc sử dụng mạng VPN, các khía cạnh kiến trúc phải được đưa ra bao gồm:

- Bảo mật điểm cuối,

- Bảo mật kết thúc,

- Bảo vệ khỏi các phần mềm mã độc,

- Chứng thực bền vững,

- Phát hiện xâm nhập,

Cổng mạng an ninh (bao gồm cả tường lửa),

- Mã hóa dữ liệu,

- Thiết kế mạng,

- Các kết nối khác,

- Đường hầm phân chia,

- Ghi nhật ký và quản lý mạng,

- Quản lý nhược điểm kỹ thuật,

Chi tiết hơn về mạng VPN, bao gồm sử dụng những khía cạnh kết cấu, được cung cấp ở ISO/IEC 27033-5.

Hiện nay có các mạng PABX sẵn có giúp hỗ trợ kênh truyền thông kết nối điện thoại với PSTN. Thông tin thiết lập các cuộc gọi được truyền giữa chúng thông qua DPNSS (một giao diện công nghiệp tiêu chuẩn được xác định giữa một PABX và một mạng truy cập. DPNSS mở rộng các thiết bị thường chỉ khả dụng giữa các hạn mức trong một PABX đơn lẻ thành tất cả các hạn mức trên các PABX được kết nối với nhau trong một mạng cá nhân. Tuy nhiên, vài năm trước đây, một giao thức mới đã được phát triển cùng với DPNSS để cùng kết nối giữa các PABX và giữa PABX với PSTN. Nó liên quan tới cấu trúc dành cho ISDN cá nhân và một giao thức trao đổi tín hiệu dựa trên mô hình ISDN được nói rõ trong Đề nghị ITU-T. Giao thức trao đổi dựa trên Đề nghị Q.931 được biết tới là QSIG. Giao thức tín hiệu vững chắc và chưa gây ra bất kỳ một vấn đề an ninh nào, nhưng vẫn có một số những rủi ro an ninh liên quan tới hệ thống điện thoại PABX truyền thống.

Rủi ro an ninh liên quan tới điện thoại truyền thống bao gồm những rủi ro tương ứng với:

- Thiếu quản lý lưu trữ dự phòng các thông tin cụ thể của trang mà có thể gây ảnh hưởng tới tính khả dụng trong một số trường hợp nhất định,

- Nghe lén nếu truy cập vật lý có thể thông qua cáp,

- Với sự quản lý các cổng thuộc đối tượng xâm nhập bất hợp pháp bởi chúng được bảo vệ một cách yếu kém với những hệ thống gọi lại đơn giản, nó có thể dẫn tới PABX bị tái lập trình và sử dụng cho gian lận hay ngừng hoạt động,

- Gian lận quay số bởi bảng chặn mạch liên đài thường được duy trì rất kém, do đó, cho phép các cuộc gọi bị điều hướng thủ công thông qua mạng, theo đó gửi ra PSTN (trong nhiều trường hợp, tình trạng này đã dẫn đến gian lận quay số chính tới các số cao cấp với thất thoát tài chính đáng kể),

- Gian lận thông qua mạch liên đài thiếu hiệu quả, cho phép thiết lập cuộc gọi và xoay hướng cuộc gọi bất hợp pháp (với gian lận sử dụng hệ thống thông tin nhắn thoại tương ứng để quay số lại tới PSTN),

- Thiếu khả năng phục hồi và/hoặc công suất mà có thể ảnh hưởng tới tính khả dụng.

Kiểm soát an ninh cho mạng âm thanh cần bảo đảm:

- Nó không thể tăng cường truy cập tới cáp, các hộp chuyển và các khung,

- Các bảng chặn mạch liên đài được sử dụng bình thường để tránh các điều hướng cuộc gọi bất hợp pháp,

- Truy cập người dùng với các mã điều hướng là không khả thi,

- Hệ thống tần số lưu trữ bị lấy đi với các bản sao được lấy và lưu trữ bên ngoài các trang,

- Các mạng PABX được cấu hình với các bộ xử lý đôi mà không có các điểm lỗi đơn lẻ,

- Pin hay nguồn cấp UPS được cung cấp,

- Điều hướng đa chiều tới PSTN được cung cấp, tương đương với đường dây điện thoại tương tự được lựa chọn cho trường hợp khẩn cấp,

- Sự chứng thực mạnh mẽ được sử dụng trên các kênh quản lý (mà có thể là sử dụng thiết bị thứ ba thêm vào),

- Gian lận quay số không thể thực hiện dù thông qua điều hướng trái phép hay qua hệ thống tin nhắn thoại tương ứng,

- Các thiết bị chống thư rác,

- Một hệ thống phân tích cuộc gọi được cài đặt và chi phí cuộc gọi được kiểm tra thường xuyên,

- Các đánh giá và kiểm tra phù hợp với dịch vụ được thực hiện thường xuyên và đưa ra kết quả dựa theo đó.

Cũng cần phải chú thích rằng hệ thống điện thoại PABX truyền thống đang dần trở phải mai một, và một phần chuyển sang hay bị thay thế bởi hệ thống VoIP (xem Điều 11.10).

A.9. Hội tụ IP

A.9.1. Nền tảng

Vì hội tụ IP (dữ liệu âm thanh và video) đang ngày càng nổi tiếng, những vấn đề an ninh vẫn cần được nhìn nhận và đưa ra. Mặc dù thiết lập điện thoại hiện tại yêu cầu kiểm soát an ninh để ngăn chặn gian lận điện thoại và những sự cố an ninh khác, hệ thống này vẫn chưa tích hợp mang dữ liệu doanh nghiệp và không là mục tiêu của những rủi ro như với mạng dữ liệu IP. Với tập hợp các dữ liệu và âm thanh, kiểm soát an ninh cần phải được thiết lập để giảm thiểu rủi ro liên quan tới những cuộc tấn công.

Một ứng dụng VoIP thường bao gồm phần mềm độc quyền được lưu trữ trên phần cứng và hệ thống hoạt động mở hay thương mại. Số lượng các máy chủ phụ thuộc vào thiết lập của bên cung cấp cũng như khai thác thực tiễn. Những thành phần này kết nối qua IP qua Ethernet và được kết nối với nhau qua bộ chuyển đổi và/hay điều hướng.

A.9.2. Rủi ro an ninh

Lĩnh vực chính của các rủi ro an ninh có thể tương ứng với các tấn công dựa trên IP trên cơ sở phần mềm cụ thể của bên cung cấp và nền tảng hệ điều hành kiểm soát ứng dụng VoIP. Các rủi ro an ninh liên quan tới các bộ phận VoIP bao gồm các tương tác với các tấn công trên thiết bị và các ứng dụng vào mạng, và có thể cho phép hay tạo điều kiện bởi những yếu điểm trong thiết kế hay thiết lập giải pháp VoIP. Những rủi ro an ninh chính liên quan tới tập hợp IP bao gồm những rủi ro tương ứng với:

-QoS - không có QoS tổng thể, có thể thất thoát về chất lượng hay gián đoạn cuộc gọi do mất gói dịch vụ và các trì hoãn không mong muốn qua mạng,

- Sự không khả dụng của dịch vụ do tấn công DoS hay thay đổi bảng điều hướng,

- Sự hoàn chỉnh và khả dụng có thể bị ảnh hưởng bởi mã độc (gồm cả vi-rút) mà có thể quản lý để xâm nhập vào mạng thông qua hệ thống VoIP không an toàn, có thể làm giảm cấp độ hay gây mất mát dịch vụ và có thể lan tràn tới máy chủ trong mạng, dẫn đến hỏng dữ liệu lưu trữ,

- Thư rác qua điện thoại IP (SPIT)

- Phần mềm điện thoại trong máy nhân viên là một rủi ro đáng kể bởi có thể có điểm vào cho mã độc (gồm cả vi-rút) và xâm nhập,

- Hệ thống quản lý VoIP và máy chủ VoIP cũng có rủi ro nếu không được bảo vệ sau tường lửa,

- An ninh mạng dữ liệu có thể bị giảm cấp do nhiều cổng bị mở trên tường lửa để hỗ trợ VoIP. Một kỳ VoIP có hàng loạt các giao thức và cổng tương ứng. H.323 sử dụng một loạt các giao thức cho tín hiệu và cả H.323 và SIP sử dụng RTP. Kết quả là một kỳ H.323 có thể sử dụng lên tới 11 cổng khác nhau,

- Gian lận là một vấn đề chính đối với điện thoại rủi ro có thể tạo ra nếu an ninh không được đề ra khi VoIP được sử dụng. Tin tặc có thể truy cập trái phép vào dịch vụ VoIP thông qua việc giả mạo, tấn công lặp lại hay cướp kết nối. Gian lận cuộc gọi hay các cuộc gọi trái phép tới những số cao cấp có thể gây ra mất mát đáng kể,

- Vi phạm bảo mật có thể xảy ra thông qua sự ngăn cản kết nối, như người điều đình, là khả thi trong mạng bởi những cán bộ, nhân vien khác có thể truy cập vào mạng,

- Nghe lén các cuộc gọi thoại,

- Bởi điện thoại IP yêu cầu nguồn điện để hoạt động, mạng điện thoại không thể hoạt động được trong trường hợp lỗi nguồn,

- Có nhiều khả năng lỗi xảy ra ở cả dịch vụ dữ liệu và âm thanh do sử dụng những thành phần thông dụng (như mạng LAN).

Số lượng kiểm soát an ninh kỹ thuật quản lý các rủi ro từ các mối nguy hại xác định tới tập hợp IP mà bao gồm:

- Cơ sở QoS phải được thiết lập trong một mạng tập hợp, nếu không chất lượng âm thanh có thể chịu ảnh hưởng. Truyền tải dịch vụ mạng, và nơi có thể các liên kết IP phải được truyền tải tới một trang qua cáp quang để đảm bảo nhiễu loạn (ảnh hưởng tới chất lượng âm thanh) được giảm thiểu,

- Tất cả các máy chủ VoIP phải được cấu hình với bảo vệ khỏi phần mềm độc hại,

- Máy tính cá nhân hỗ trợ điện thoại phải khít với tường lửa nhân viên và phần mềm kiểm tra chống mã độc (gồm cả chống vi-rút) phải được cập nhật thường xuyên,

- Máy chủ VoIP hệ thống quản lý VoIP phải được bảo vệ sau tường lửa để bảo vệ chúng khỏi tấn công,

- Sử dụng mạng VLAN cho mỗi dịch vụ và mã hóa cho các dòng dữ liệu khác nhau,

- Nhà thiết kế phải đảm bảo chỉ một phần nhỏ các cổng mở trên tường lửa để hỗ trợ dịch vụ VoIP,

- Chống lại gian lận cuộc gọi, chống giả mạo, chống lặp lại tấn công cần phải thiết lập để tránh nhiễu loạn kết nối,

- Tất cả truy cập vào máy chủ quản lý cần phải được xác thực,

- IDS phải được xem xét với các máy chủ hỗ trợ VoIP,

- Mã hóa dữ liệu ráp nối phải được cân nhắc ở nơi các thông tin nhạy cảm được thảo luận qua mạng VoIP,

- Điện thoại IP phải được nối nguồn bởi chuyển đổi hỗ trợ bằng các UPS,

- Có thể cần cung cấp một dịch vụ thoại quy ước mà có nguồn điện riêng cho trường hợp khẩn cấp.

Dịch vụ máy chủ web được cung cấp bởi rất nhiều các bên cung cấp dịch vụ mạng dưới dạng một dịch vụ tiêu chuẩn hóa, thường bao gồm các cơ sở dữ liệu để xử lý dữ liệu kéo dài cũng như một môi trường chạy ứng dụng cơ bản. Mặc dù hầu hết các thành phần cần để thiết lập và cung cấp máy chủ web ngoài phạm vi tiêu chuẩn này (như máy chủ web hoặc phần mềm cơ sở dữ liệu), một vài nhận xét về toàn bộ dịch vụ được ghi nhận ở đây bởi nhiều người nhìn nhận máy chủ web như một phần không thể thiếu của mạng lưới cung cấp.

Các site máy chủ web gặp rủi ro từ rất nhiều mối đe dọa, cụ thể là ở nơi chúng được kết nối với Internet, như khi các tổ chức nổi bật có bị tấn công từ một nhóm ngoài lề. Do đó, việc xác định những mối nguy tiềm ẩn là rất quan trọng, và tất cả các yếu điểm có thể bị khai thác bởi các mối nguy hại đó cần thiết được giải quyết. Điều đó được thực hiện tốt nhất thông qua thiết kế loại bỏ nhược điểm. Bằng cách nhận định những vấn đề theo những hướng dẫn đã cung cấp, điều đó là khả thi khi thiết kế một website an toàn, tin cậy và có ít khả năng bị xóa sổ.

A.10.2. Rủi ro an ninh

Rủi ro an ninh liên quan đến máy chủ web bao gồm những rủi ro tương ứng với:

- Truy cập bởi một kẻ tấn công vào ứng dụng và dữ liệu với vi phạm riêng lẻ bảo mật thông số,

- Tiếp xúc với những lỗ hổng trong các thành phần hạ tầng cơ sở,

- Đa dạng các điểm lỗi riêng lẻ,

- Thất thoát dịch vụ do các lỗi phần cứng,

- Mất khả năng thực hiện dịch vụ bảo trì hệ thống,

- Truy cập không dự định từ người dùng công cộng vào những vùng lưu trữ dữ liệu,

- Các tấn công chống lại tính toàn vẹn (như xóa sổ website hay lưu trữ nội dung trái phép),

- Phần mềm độc hại bị tải lên hệ thống,

- Thỏa hiệp của webstie sử dụng các tính năng chuyển đổi,

- Mất khả năng sao lưu dữ liệu mà không gây ảnh hưởng tới hoạt động website,

- Công bố thông tin trái phép về kế hoạch nhận IP làm thúc đẩy tấn công trên website,

- Khai thác các kết nối giữa trạm quản lý và website,

- Tấn công chưa được khám phá,

- Khó khăn trong phát hiện xâm nhập giữa các thiết bị,

- Mất khả năng đạt được những yêu cầu về mức độ thỏa thuận dịch vụ,

- Mất khả năng duy trì sự liên tục của dịch vụ,

- Sử dụng trái phép các dịch vụ web, bao gồm vi phạm chính sách của tổ chức (như sử dụng máy chủ cho lợi ích riêng) và không tuân theo quy định và luật pháp (như lưu trữ các chất liệu vi phạm bản quyền hay lưu trữ nội dung khiêu dâm trẻ em).

A.10.3. Kiểm soát an ninh

Kiểm soát an ninh quản lý các rủi ro liên quan tới những mối nguy hại xác định đối với website bao gồm:

- Cung cấp phân vùng và bảo mật chiều sâu để giảm thiểu ảnh hưởng của một tấn công thành công,

- Đặc trưng của các loại tường lửa khác nhau để chống lại những yêu điểm khả dĩ của tường lửa (thông tin thêm về tường lửa được cung cấp ở Điều A.6 và ISO/IEC 27033-4),

- Khả năng phục hồi; thiết kế phải được kiểm tra những điểm lỗi riêng tiềm ẩn và những lỗi này phải bị xóa bỏ,

- Chia sẻ dự phòng lỗi/tải để bảo vệ khỏi lỗi thiết bị,

- Chia lớp những nơi yêu cầu tính khả dụng cao trong một môi trường 24x7,

- Dịch vụ ủy quyền để giảm thiểu truy cập vào webstie và cho phép đăng nhập cấp độ cao,

- Kiểm tra tính toàn vẹn thường xuyên với những thay đổi dữ liệu trái phép,

- Quản lý chống mã độc (gồm cả chống vi-rút) trong tải lên để tránh nhập vào mã độc,

- Chuyển đổi hai lớp thường được sử dụng trong thiết kế website. Chuyển đổi ba lớp không phải sử dụng trừ khi đó là yêu cầu của doanh nghiệp liên quan, như về chia sẻ tải lên. Hơn nữa, chuyển đổi vật lý tương tự nhau cũng không phải sử dụng trên mặt của tường lửa. Các điểm kiểm tra phải được tích hợp trong thiết kế trang,

- Các mạng VLAN được tách riêng bởi tính năng để cho phép IDS có thể chỉnh lượng dễ dàng hơn khi một tập giao thức giảm trên bất kỳ mạng VLAN nào. Hơn nữa, việc thiết lập một mạng VLAN dự phòng sẽ cho phép các dự phòng được vận hành ở bất kỳ thời điểm nào trong ngày mà không cần phục hồi hoạt động của cả trang,

- Cũng tương tự như hoạt động doanh nghiệp, kế hoạch xác định IP để giảm thiểu số lượng các địa chỉ công cộng tới một mức nhỏ nhất, với kế hoạch xác định IP mang hiểu biết ở mức tin tưởng nghiêm ngặt nhất về việc có thể bị sử dụng để mở một cuộc tấn công trên website,

- Khi các liên kết quản lý được kết nối qua mạng công cộng, chúng phải được mã hóa (xem ISO/IEC 27033-4 để biết thông tin thêm về truy cập từ xa). Chúng bao gồm ít nhất những cảnh báo/các bẫy SNMP trên các kết nối cổng kiểm soát,

- Tất cả các bản ghi giao dịch và sự kiện từ mỗi thiết bị được sao chép tới một máy chủ nhật ký, và sau đó được sao chép tới một phương tiện lưu trữ như một CD,

- Dịch vụ đồng bộ thời gian được thiết lập như trọng tâm để phân tích truy cập không xác thực và theo sau các dấu vết thông qua tài liệu đăng nhập. Nó yêu cầu thời gian của tất cả các tài liệu đăng nhập, và do đó máy chủ được đồng bộ để thêm/bớt 1 giây hay ít hơn (ở đây, NTP là phù hợp; thông tin thêm xem TCVN ISO/IEC 27002, Điều 10.6).

- Thiết bị mạng LAN được cấu hình để kiểm soát những thay đổi không quản lý được với các địa chỉ MAC,

- Dịch vụ sao lưu tập trung, được ưa thích bởi nó dễ thực hiện theo yêu cầu hơn,

- Với các website cần thiết, trong hầu hết các trường hợp để vận hành được 24 giờ mỗi ngày, nó yêu cầu phần cứng có thể chịu đựng được môi trường. Hạ tầng máy chủ trên một website phải được xác định để hỗ trợ hoạt động "24x7". Hệ thống hỗ trợ hoạt động phải được củng cố và tất cả các máy chủ và các thiết bị khác theo đó phải trải qua các đợt kiểm tra để đảm bảo mọi thiết bị đều được củng cố toàn diện,

- Phần mềm ứng dụng bền vững được thực hiện khi mã về cấu trúc đã được kiểm tra là hợp lý và sử dụng phần mềm xác thực đã được thông qua.

Cũng phải chú thích rằng các vấn đề quản lý sự liên tục của doanh nghiệp thường không được xem xét một cách toàn diện trong khi thiết kế một website. Các hoạt động quản lý sự liên tục của doanh nghiệp phải được triển khai phù hợp với các website.

A.11. Thư điện tử Internet

A.11.1 Nền tảng

Sự mở rộng các dịch vụ mạng Internet cho cộng đồng/tổ chức dựa trên những yêu cầu hợp pháp của doanh nghiệp dẫn đến hàng loạt hiểm họa được sử dụng để khai thác các hệ thống lỗi. Do đó, thư điện tử Internet có thể chịu rủi ro từ rất nhiều hiểm họa, và mục tiêu để thiết kế và thực hiện một giải pháp là an toàn và đáng tin cậy. Hình A.1 trình bày một ví dụ giải pháp tiềm năng cho thư điện tử Internet.

Các hệ thống điện tử Internet (SMTP) là tương đối đơn giản để thực hiện trong một cấu trúc an ninh kỹ thuật mạng bởi chúng chỉ phải kiểm tra và chuyển tiếp thư đã nhận.Thông tin được thu thập bao gồm:

- Số lượng tin nhắn mong đợi mỗi ngày theo mỗi chiều,

- Loại tin nhắn và nội dung từng tin nhắn được phép,

- Số lượng và kích cỡ các tin nhắn trong ngày theo mỗi chiều,

- Kích cỡ trung bình và lớn các tin nhắn được phép,

- Các chi tiết của hệ thống thư nội bộ,

- Các chi tiết của việc phản hồi thư nội bộ mà sẽ kết nối với thư phản hồi được xác định trong cấu trúc an ninh kỹ thuật,

- Các chi tiết của các hệ thống thư bên ngoài (bất kỳ thư phản hồi nào trên Internet hay có thể là một máy chủ thư đặc trưng được bên cung cấp dịch vụ quản lý),

- Chi tiết các yêu cầu thẩm quyền máy chủ thư cho các kết nối nội bộ và tới các kết nối thư trên Internet,

- Chi tiết của cơ sở WINS/DNS nội bộ,

- Chi tiết của cơ sở DNS cho Internet,

- Những truy cập, nếu phù hợp, tới nhóm thông tin được yêu cầu và nếu có bất kỳ hạn chế nào ở nhóm thông tin có thể được truy cập,

- Sự đồng bộ thời gian thư/máy chủ sẽ được yêu cầu hay không từ mạng Internet,

- Có hay không nhiều hơn một tuyến trên Internet,

- Những yêu cầu về quét mã độc (gồm cả vi-rút).

Rủi ro an ninh liên quan đến thư điện tử Internet bao gồm những rủi ro tương ứng với:

- Xâm nhập bất hợp pháp vào trong mạng của một tổ chức/cộng đồng. Nỗ lực truy cập trái phép, bao gồm cả việc xác định không nhân viên hóa, có thể chiếm 24 giờ mỗi ngày, đang trở phải phức tạp và năng động hơn, và có thể độc hại như việc chủ trì tấn công DoS, bỏ qua nguồn tài nguyên hay lấy những thông tin có giá trị,

- Tải lên mã độc mà có thể bao gồm sự xuất hiện của một Trojan thu thập thông tin như mật khẩu và gửi chúng tới một khu vực ở xa hoặc cơ sở làm việc quá tầm kiểm soát của thiết bị từ xa. Vì vậy, phải chú ý tới những mối nguy hại pha trộn gần đây mà mã độc chứa một lượng nhất định,

- Tải lên thư rác (thư rác là một mối nguy đáng kể với dịch vụ điện tử-nó có thể ảnh hưởng lớn tới hoạt động thư thông qua tiêu tốn tài nguyên mạng để điều hướng thư rác và cả tài nguyên hệ thống cho các cổng thư có thể bị sử dụng để lan truyền phần mềm độc hại),

- Sự phân hóa thư rác (nếu một máy chủ thư được cấu hình để cho phép phân hóa thư nặc danh, do những người gửi thư rác để phát tán thư rác thông qua mạng Internet dưới danh nghĩa tổ chức sở hữu máy chủ thư),

- Giả mạo thư điện tử (điều này dễ dàng mạo danh nhận dạng của bất kỳ người dùng nào để giả làm ai đó gửi thư điện tử),

- Giả mạo nội dung,

- Nội dung không được kiểm soát khiến cho các tổ chức không có kiến thức về bảo mật thông tin, đưa tới những hạn chế pháp lý và mất mát tiềm ẩn trong quyền sở hữu trí tuệ

- Tấn công DoS trực diện vào hệ thống thư điện tử,

- Tấn công DoS phân tán với hàng ngàn thư điện thử được gửi từ nhiều khu vực nhằm gây quá tải cho máy chủ thư.

A.11.3. Kiểm soát an ninh

Kiểm soát an ninh thư điện tử Internet bao gồm:

- Các tường lửa được sử dụng với mức độ đảm bảo và các quy định tương ứng với các rủi ro truy cập. Với hầu hết các mục đích an ninh, quy định tường lửa ban đầu phải có để từ chối các giao dịch đi qua tường lửa. Với thư điện thử, một máy chủ thư gửi dữ liệu ra ngoài mạng Internet và nhận dữ liệu liên tục từ mạng Internet là điều thường thấy. Ở đó, quy định tường lửa được thiết lập để cho phép gửi hai chiều của dữ liệu thư điện tử. Như đã đề cập trước đó, việc có hai tường lửa trong chuỗi được xây dựng từ các khía cạnh khác nhau hay có hệ thống hoạt động khác nhau là khuyến khích,

- Lọc và hỗ trợ khả năng ghi nhật ký thông qua dịch vụ đồng bộ thời gian toàn diện qua các thiết bị hạ tầng, tường lửa và máy chủ. Việc đồng bộ hóa thời gian phải được xác định trong thiết kế với mô tả về đồng hồ chuyên biệt và một kế hoạch phân cấp cho các máy chủ và (các) mạng. Đồng hồ chủ thường xuyên được đồng bộ thông qua dịch vụ dẫn hướng vệ tinh toàn cầu (GPS) hay một dịch vụ thời gian tần số vô tuyến,

- Hệ thống chuyển thư của mạng Internet (SMTP) được thiết lập để đáp ứng đầy đủ các tác vụ liên quan đến bảo mật, bao gồm cung cấp các giao diện của các tổ chức/cộng đồng từ mạng Internet, việc truyền thư từ mạng tới máy chủ thư nội bộ và ngược lại, sự ngăn chặn phản hồi thư từ mạng Internet tới địa chỉ khác trên mạng, và bảo đảm rằng thư và các phần kèm theo là không có mã độc theo bất kỳ hướng nào,

- Với bất kỳ thư đến nào, như một kết quả của việc tìm kiếm trên máy chủ DNS của mạng Internet, các tin nhắn trực tiếp tới địa chỉ tường lửa của tổ chức và khi nhận được từ mạng Internet được kiểm tra bởi bộ định tuyến bên ngoài với một vùng địa chỉ nguồn bên ngoài không gian địa chỉ nội bộ trước khi truyền tới tường lửa. Tại tường lửa, tin nhắn phải được kiểm tra cho một vùng địa chỉ bên ngoài không gian địa chỉ nội bộ và địa chỉ đích của máy chủ thư (tất nhiên rằng đó là một thư điện tử) và sau đó truyền tới máy chủ thư SMTP. Tại máy chủ thư SMTP, tin nhắn phải được kiểm tra xem nó có từ mạng Internet truyền tới hay không và rằng địa chỉ đích cho một địa chỉ nội bộ, và sau đó được truyền tới máy chủ mã chống độc để kiểm tra vi-rút và bất kỳ nội dung độc hại nào. Cuối cùng, nó phải được gửi đến máy chủ thư nội bộ để phân tán thông qua hệ thống thư nội bộ. Bất kỳ tin nhắn nào nhận được với địa chỉ không đúng phải bị từ chối và một mục được thêm vào nhật ký đăng nhập. Bất kỳ tin nhắn bị vi-rút hay có nội dung độc hại phải bị cách ly và thông báo tới người hay nhóm phù hợp,

- Với bất kỳ thư gửi đi nào, các tin nhắn qua Internet phải được gửi từ máy chủ thư nội bộ trước tiên tới máy chủ mã chống độc bên ngoài để kiểm tra vi-rút và bất kỳ nội dung độc hại nào khác trước khi được gửi tới máy chủ thư SMTP bên ngoài cho việc truyền tới Internet. Máy chủ thư SMTP bên ngoài phải kiểm tra địa chỉ bên ngoài không gian địa chỉ nội bộ và không phải là đích đến cho bất kỳ định tuyến thư nào khác, và sau đó chuyển tiếp tin nhắn tới mạng Internet,

- Chưa lựa một hay hai tùy chọn của máy chủ thư SMTP bên ngoài để gửi tin nhắn tới một máy chủ thư IP đơn lẻ để định tuyến trở lên hay bất kỳ địa chỉ thư có hiệu lực trên máy chủ thư. Tùy chọn đầu tiên phải phần lớn an toàn bởi nó có nghĩa là ISP (có lẽ là chuyên gia thư điện tử) chịu trách nhiệm trong việc tổ chức và hỗ trợ chuyển tiếp thư, nhưng có thể đưa ra những chậm trễ trong truyền tải thư. Tùy chọn thứ hai phức tạp hơn và không nảy sinh những chậm trễ do chuyển tiếp ISP nhưng có thể ít an toàn hơn nếu không được quản lý một cách bài bản và tổ chức/cộng đồng phải hỗ trợ thư tới nhiều máy chủ thư và chạy những rủi ro bị từ chối nếu chậm trễ thư không được nhận biết bởi máy chủ từ xa, mặc dù điều đó có thể được giải quyết bằng các thủ tục xác thực giữa các máy chủ tương ứng. Tùy chọn nào được chọn phụ thuộc vào các ưu điểm kỹ thuật của giải pháp và mức độ chuyên môn của những giải pháp sẽ hỗ trợ hệ thống thư điện tử,

- Các thông số điều kiện truy cập được thiết lập dựa trên cơ sở quy định đặc quyền tối thiểu nhất,

- Máy chủ thư điện tử cấu hình để khóa hay gỡ bỏ các thư điện tử chứa các phần đính kèm tệp tin mà được sử dụng chủ yếu chỉ lan truyền mã độc như tệp tin .vbs, .bat, .exe, .pif và .scr,

- Các máy tính bị ảnh hưởng sẽ được gỡ bỏ nhanh khỏi mạng để chống sự thỏa hiệp, phân tích pháp lý được thực hiện và phục hồi sử dụng những phương tiện truyền thông đáng tin cậy,

- Nhân viên được đào tạo để không mở các phần mềm đính kèm, trừ khi họ muốn chúng, và không chạy phần mềm tải về thông qua Internet trừ khi nó đã được quét mã độc,

- ACL được sử dụng ở các bộ điều hướng. Bộ điều hướng ACL nêu cách xử lý một gói IP tới với những hành động cụ thể gồm chuyển tiếp, đăng nhập và bỏ (hay từ chối). Kết hợp với chính sách điều hướng mặc định phù hợp (như từ chối tất cả), nó có thể xác định một bộ quy định với điều hướng mà hỗ trợ phần lớn trong duy trì bảo mật mạng nằm dưới,

- Chính sách chống giả mạo được cho phép. Giả mạo thường đề cập đến trường hợp khi địa chỉ nguồn của thư xuất phát từ ai đó hay nơi nào đó mà không phải từ người tạo ra. Những phương pháp chống giả mạo hoạt động ở dạng không tiếp nhận thư từ Internet nếu nó được xác nhận là đến từ nội bộ tổ chức và ngược lại (Để biết thêm thông tin xem mục RFC2827, Bộ lọc xâm nhập mạng: Từ chối tiêu diệt của dịch vụ),

- Các chính sách thư điện tử được cho phép. Một máy chủ proxy là một máy chủ hoạt động như một trung gian giữa người dùng MÁY TÍNH CÁ NHÂN. Máy trạm và Internet mà doanh nghiệp đảm bảo an ninh, kiểm soát quản trị và dịch vụ bộ nhớ đệm. Bảo mật được thực thi như sau:

- Quét dữ liệu của mẫu đã biết (như kiểm tra các từ nhạy cảm để tuân thủ bảo đảm),

- Dịch giữa địa chỉ nội bộ và bên ngoài,

- Tạo một bản ghi của các yêu cầu và người yêu cầu,

- Các cơ sở chống mã độc dựa trên các proxy.

Các máy chủ proxy cũng có thể kiểm tra nội dung độc hại một cách đơn giản qua xử lý đề nghị. Nếu yêu cầu là độc hại, dễ có khả năng chính máy chủ proxy sẽ bị hỏng. Khi các proxy được thiết lập chủ yếu trong DMZ - một khu bán tin cậy, động thái này vận hành như một "xung" để bảo vệ người yêu cầu hay máy chủ thật.

- Các kiểm soát chống mã độc được thiết lập trong các proxy thư điện tử. Một khi các hệ thống thông tin được trình bày miễn nhiễm với những mã độc (gồm cả vi-rút), định tuyến duy nhất cho mã độc được cung cấp thông qua sự cung cấp dữ liệu (hay chương trình). Do đó, các cơ sở thư điện tử là những ứng viên chính cho việc truyền mã độc và thể hiện các điểm cơ bản cho việc thiết lập kiểm soát mã chống độc. Các kiểm soát chính gồm những thiết bị để kiểm soát những tệp tin đáng nghi (như bởi kiểu nội dung) và giám sát các địa chỉ thư điện tử được yêu cầu khỏi một danh sách đen. Hơn thế nữa, để giải quyết những hiểm họa gần đây khi mã độc chứa trọng tải, khóa những đính kèm nhất định chứa mã thực thi cần được xem xét.

Công nghệ chống thư rác được khai thác và người dùng được đào tạo về việc bảo vệ địa chỉ thư điện tử của họ khi truy cập các trang.

- Việc chống chậm trễ được thiết lập trên các máy chủ thư điện tử và bộ dò DNO ngược. Một trong nhiều cách thức khả thi mà máy chủ thư có thể khai thác từ mạng Internet để gửi một tin nhắn mà đích đến thực tế là một bên thứ ba. Nếu máy chủ thư chấp nhận tin nhắn, nó sẽ chuyển tiếp tới bên thứ ba một cách rõ ràng từ tổ chức/cộng đồng thay vì người khởi tạo. Thuật toán này có thể được sử dụng bởi những người gửi thư rác hay để lấn át mạng của bên thứ ba qua tấn công DoS. Các kiểm soát chống chậm trễ dò tìm nếu một thư điện tử đến là cho một tổ chức/cộng đồng. Nếu không phải, thư bị ghi lại (hay kiểm dịch) và máy chủ thư sẽ bị ngưng hoạt động,

- Các cảnh báo và các bẫy SNMP phiên bản 3 được cho phép. SNMP có thể được sử dụng để kiểm soát từ xa một thiết bị mạng, và để thiết bị gửi các tin nhắn (hay các "bẫy") để nhắc nhở một trạm giám sát các điều kiện ở thiết bị đó. Giao thức này tương đối không an toàn và có xu hướng không được sử dụng với mục đích kiểm soát thiết bị. Tuy nhiên, các bẫy SNM sử dụng rộng rãi để truyền dẫn thông qua mạng để nhắc nhở một vùng trung tâm xác suất hay các điều kiện lỗi,

- Quản lý nhật ký được thiết lập. Tất cả các đăng nhập liên quan đến thư điện tử phải được ghi lại vào máy chủ nhật ký, và được kiểm tra hàng ngày những hoạt động không bình thường. Nó bao gồm những đăng nhập từ tường lửa và máy chủ thư SNMP. Đăng nhập phải được kiểm tra sử dụng tương quan chất lượng sự kiện và công cụ phân tích,

- Quản lý tường lửa "ngoài luồng" (OOB) được lập. Nó chỉ hoạt động qua sử dụng những mạng khác nhau cho dữ liệu và quản lý để đảm bảo nó không khả thi để người tấn công kết nối với thiết bị mục tiêu của họ (ví dụ như tường lửa). Rất nhiều cơ chế tồn tại để thực hiện quản lý OOB,

- Quản lý chỉ qua truy cập vật lý,

- Mạng quản lý riêng biệt,

- Việc sử dụng các mạng VLAN để tạo ra các kênh riêng biệt qua mạng dữ liệu, cho phép dữ liệu và giao dịch được tách riêng.

Những quản lý khác được thực hiện qua truy cập vật lý.