A.12. Truy cập định tuyến tới các tổ chức bên thứ ba

Các kết nối bên thứ ba đang trên đà tăng trưởng do các tổ chức tiến tới hoạt động mang tính hợp tác hơn, yêu cầu một kết nối trực tiếp và các thiết bị cổng vào giữa các tổ chức. Hình A.2 trình diễn một ví dụ giải pháp an ninh kỹ thuật cho truy cập định tuyến cho các tổ chức bên thứ ba.

Truy cập định tuyến tới các tổ chức có thể được tạo ra thông qua một kênh chính thức hoặc các công nghệ của mạng WAN và được đòi hỏi với nhiều lý do như truy cập có thể yêu cầu các ứng dụng cơ sở dữ liệu theo hướng đồng thời mà trong trường hợp hướng nào, mã không xác thực cũng có thể được đưa ra hay truy cập trái phép có thể được mưu tính bởi người dùng trong mạng này hay mạng khác. Thông tin được thu thập phải bao gồm:

- Các ứng dụng có thể hỗ trợ qua liên kết định tuyến,

- Các chi tiết của máy chủ kết nối với nơi chúng được đặt,

- Các chi tiết của máy tính cá nhân người sử dụng và nơi chúng được đặt,

- Các chi tiết của bộ định tuyến bên thứ ba, nếu có (gồm địa chỉ IP, phương pháp xác thực như các chứng thực số, bí mật được chia sẻ, RADIUS, TACACS+),

- Loại kết nối các truyền dẫn và tốc độ như VPN qua mạng mạch chính, độ trễ khung, liên kết đường dây cá nhân, quay số và ISDN.

(Khi đề cập đến truy cập định tuyến cho tổ chức bên thứ ba thì đó là hợp lý để nhắc đến ISO/IEC TR14516:1999 - Các hướng dẫn sử dụng và quản lý các dịch vụ bên thứ ba đáng tin cậy)

Các rủi ro an ninh chính liên quan đến truy cập định tuyến cho các tổ chức bên thứ ba, về cơ bản là tương ứng với thực tế là bất kỳ bên thứ ba nào cũng là một máy chủ an ninh riêng biệt với các chính sách của chính nó - và có thể không an toàn như tổ chức của bạn. Do đó, các rủi ro an ninh chính liên quan tới truy cập định tuyến vào các tổ chức bên thứ ba bao gồm những rủi ro tương ứng với:

- Truy cập trái phép vào mạng và các hệ thống và thông tin liên quan,

- Sự nhập vào các mã độc thông qua cổng tưởng như đáng tin cậy,

- Tấn công DoS qua bên thứ ba,

- Niềm tin rằng mạng bên thứ ba cung cấp một mức độ an ninh cao hơn so với mạng Internet.

Kiểm soát an ninh truy cập định tuyến đối với các tổ chức bên thứ ba có thể bao gồm:

- Tất cả các kết nối bên thứ ba bị cô lập bởi một tường lửa riêng biệt được sử dụng cho mạng Internet và các lớp khác của kết nối bên ngoài,

- Phần mềm chống mã độc gồm cách thức làm việc với tường lửa để kiểm tra mã ActiveX và Java (như đề cập trước đó, mã này không được nhận dạng bởi phần mềm mã chống độc thông thường (gồm cả chống vi-rút) như một vi-rút và tương tự không thể bị phát hiện và kiểm tra để xem nó có hiệu lực hay không),

- Thẻ hay cạc dựa trên xác thực bền vững theo cách thức mà các chứng thực số trên thiết bị bỏ túi chính hay thẻ thông minh hay bởi hai thẻ với phần xác thực,

- Nếu các kết nối thông qua truy cập định tuyến ISDN, CLID được sử dụng như một phương thức xác thực bổ sung,

- Các bộ định tuyến, gồm các điểm cuối ở xa của kết nối được xác thực thông qua một máy chủ xác thực bổ sung,

- Các bộ định tuyến, gồm các điểm cuối ở xa của kết nối được xác thực thông qua một máy chủ xác thực như TACACS+. Tuy nhiên, nếu không có sự thỏa thuận đạt được với phương pháp xác thực của bên thứ ba này thì các bí mật được chia sẻ có thể được sử dụng khi một thiết lập nhỏ mà chính là sự chuyển đổi mật khẩu. Với một lượng lớn các kết nối, các chứng thực số phải được sử dụng như các thay đổi thông thường,

- Bộ định tuyến bên thứ ba sử dụng cùng cách thức xác thực như các chứng thực số, bí mật được chia sẻ, RADIUS, TACACS+,

- Các bộ định tuyến cho hai điểm cuối của liên kết giữ an ninh vật lý,

- Tất cả các kết nối bên thứ ba bao phủ bởi một điều kiện cho văn bản kết nối an ninh mà được ký bởi mỗi tổ chức bên thứ ba trước khi bất kỳ kết nối nào được cho phép,

- cân nhắc về việc sử dụng IDS/IPS,

- Nhật ký và kế toán được triển khai,

- Với mỗi truy cập bên thứ ba, một tài liệu cấu hình cung cấp và thỏa thuận gồm một tổng quan yêu cầu, một mô hình mạng, thông tin cấu hình và các chi tiết địa chỉ IP và phương thức xác thực.

Trung tâm dữ liệu mạng Intranet chứa hầu hết các ứng dụng và thông tin quan trọng của tổ chức. Trung tâm dữ liệu phải là một phần quan trọng của một hạ tầng của tổ chức và có các quan hệ đơn nhất dựa trên các khía cạnh khác nhau của mạng bao phủ các phần khác của phần phụ lục này. Mặc dù bộ lưu trữ (các SAN) và máy chủ riêng lẻ trong trung tâm dữ liệu nằm ngoài phạm vi tiêu chuẩn này (như củng cố trình duyệt hay cơ sở dữ liệu), một số những xem xét về an ninh tổng thể của trung tâm dữ liệu vẫn được nêu ra ở đây.

Các mối đe dọa mà các nhà quản trị an ninh công nghệ thông tin phải đối mặt ngày nay đã phát triển từ những nỗ lực tương đối bình thường để phá hoại mạng tới những tấn công phức tạp nhằm mục tiêu lợi nhuận và đánh cắp dữ liệu doanh nghiệp nhạy cảm. Việc thiết lập cơ sở an ninh trung tâm dữ liệu vững chắc để bảo vệ các ứng dụng nghiệp vụ và dữ liệu nhạy cảm là nền tảng bảo toàn mạng doanh nghiệp.

Bởi vì trách nhiệm chính của an ninh trung tâm dữ liệu là duy trì tính khả dụng của dịch vụ, cách thức mà an ninh mạng ảnh hưởng tới dòng giao dịch, khả năng mở rộng và các lỗi cần phải được xem xét một cách kỹ càng.

Các khía cạnh tấn công đã chuyển dịch cao hơn trong các khối để phá hủy sự bảo vệ mạng và nhắm thẳng vào những ứng dụng. Các cuộc tấn công dựa trên HTTP, XML và SQL là những nỗ lực lớn với hầu hết những kẻ tấn công bởi các giao thức này thường được phép luân chuyển qua mạng doanh nghiệp và thâm nhập vào trung tâm dữ liệu trên mạng Intranet.

Theo đó có một vài khía cạnh nguy hiểm ảnh hưởng tới trung tâm dữ liệu mạng Intranet ví dụ:

- Truy cập trái phép dữ liệu,

- Truy cập trái phép các ứng dụng,

- Truy cập trái phép thiết bị,

- Ngăn chặn các dịch vụ quan trọng qua các tấn công DoS,

- Các tấn công chưa được khám phá ra,

- Mất mát dữ liệu,

- Không có khả năng phục hồi dữ liệu,

- Các tấn công có trọng điểm nhằm thay đổi dữ liệu,

- Đặc quyền leo thang,

- Cài đặt phần mềm mã độc,

- Sử dụng trái phép các dịch vụ vi phạm chính sách tổ chức.

Kiểm soát an ninh kỹ thuật cho các trung tâm dữ liệu bao gồm:

- Các cổng mạng an ninh để kiểm soát truy cập vào trung tâm dữ liệu,

- Sử dụng IPS/IDS trong trung tâm dữ liệu,

- Các kiểm soát chống mã độc trên các lưu trữ,

- Quản lý an ninh các thiết bị hạ tầng cơ sở,

- Các khả năng truy xuất và thu thập được hỗ trợ bởi dịch vụ thời gian đồng bộ toàn phần qua tất cả các thành phần trong trung tâm dữ liệu,

- Một kế hoạch liên tục cho doanh nghiệp với các lỗi,

- Thiết kế linh hoạt,

- Các kiểm soát thường xuyên sự toàn vẹn của các thay đổi dữ liệu bất hợp pháp,

- Mạng VLAN cho các dịch vụ tách rời trong trung tâm dữ liệu để bảo vệ những dịch vụ nhạy cảm hơn,

- Các thiết bị mạng LAN được cấu hình để kiểm soát các thay đổi không thể quản lý với các địa chỉ MAC,

- Sử dụng các giao thức quản lý an ninh.
PHỤ LỤC B

(Tham khảo)

(Tham khảo)

VÍ DỤ MẪU TÀI LIỆU SecOPs

1 Giới thiệu

1.1 nền tảng

1.2 Cấu trúc tài liệu

2 Phạm vi

2.1 Lĩnh vực

2.2 Nền tảng kỹ thuật

2.2.1 Môi trường công nghệ thông tin

2.2.2 Kiến trúc mạng

2.2.3 Khu vực 1

2.2.4 Khu vực 2

2.2.5 Khu vực 3

2.2.6 Kết nối bên ngoài

3 Chính sách bảo mật

4 Tổ chức an ninh thông tin

4.1 Giới thiệu

4.2 Cấu trúc quản lý an ninh và các trách nhiệm

4.2.1 Chỉ huy an ninh tổ chức

4.2.2 Phó chỉ huy an ninh tổ chức

4.2.3 Chỉ huy an ninh thông tin tổ chức

4.2.4 Nhóm hỗ trợ công nghệ thông tin (liên quan)

4.2.5 Các quản lý lĩnh vực kinh doanh

4.2.6 Nhân viên

4.2.7 Ban quản lý tổ chức

4.3 Rủi ro an ninh thông tin và báo cáo yếu điểm

4.4 Phân bổ SecOPs

4.5 Đánh giá rủi ro tương ứng với các bên ngoài

4.6 Thỏa thuận truy cập (bên thứ 3) bên ngoài

4.7 Thuê ngoài

5 Quản lý tài sản

5.1 Kiểm kê tài sản

5.2 Chấp nhận sử dụng của thông tin và các tài sản khác

5.3 Phân loại thông tin

6 An ninh tài nguyên con người

6.1 An ninh nhân lực tối thiểu, bao gồm: sự rõ ràng, các yêu cầu

6.2 Thuật ngữ và định nghĩa

6.3 Sự cảnh báo và đào tạo an ninh thông tin

6.4 Xử lý kỷ luật

6.5 Giám sát nhân lực

6.6 Chấm dứt hợp đồng

6.7 Thẻ truy cập an ninh/xuất cảnh

6.8 Truy cập vật lý mạng và hệ thống công nghệ thông tin

7 An ninh môi trường và vật lý

7.1 Thiết lập kiểm soát an ninh môi trường và vật lý

7.2 Vành đai an ninh vật lý

7.3 Kiểm soát đầu vào vật lý

7.4 Làm việc trong các phòng/vùng trọng điểm

7.5 Đặt thiết bị

7.6 Khóa và sự kết hợp

7.7 Cảnh báo phát hiện xâm nhập

7.8 Bảo vệ thiết bị chống trộm

7.9 Gỡ bỏ thiết bị

1.10 Kiểm soát truy cập phần cứng

7.11 Phát hiện giả mạo

7.12 Bảo trì và sửa chữa

7.13 An ninh năng lượng

7.14 An ninh hỏa hoạn

7.15 An ninh nước/chất lỏng

7.16 Cảnh báo an toàn

7.17 An ninh máy tính cá nhân

8 Quản lý vận hành và kết nối

8.1 Thủ tục vận hành và trách nhiệm

8.1.1 Thay đổi các thủ tục kiểm soát

8.1.2 Phân chia chức vụ và vùng trách nhiệm

8.2 Lập kế hoạch hệ thống và chấp thuận

8.2.1 Lập kế hoạch tiềm năng

8.2.2 Chấp thuận hệ thống

8.3 Bảo vệ chống lại mã độc và mã di động

8.3.1 Ngăn chặn

8.3.2 Phát hiện

8.3.3 Phục hồi

8.3.4 Mã di động

8.4 Lư trữ dự phòng và phục hồi

8.5 Thành phần công nghệ thông tin khởi tạo và đóng (bao gồm mạng)

8.6 An ninh phương tiện (bao gồm tài liệu)

8.6.1 Quản lý phương tiện có thể gỡ bỏ

8.6.2 Đầu ra in ấn

8.6.3 Bảo mật tái sử dụng hoặc gỡ bỏ phương tiện

8.7 Trao đổi thông tin

8.8 Giám sát

8.8.1 Tính toán và kiểm tra

8.3.2 Các bản ghi tính toán thủ công

8.8.3 Đồng bộ đồng hồ

8.9 Nhật ký người vận hành

8.10 Ghi lỗi

8.11 Kế hoạch công nghệ thông tin và Truyền thông

9 Kiểm soát truy cập

9.1 Quản lý tài khoản người dùng

9.1.1 Đòi hỏi tài khoản người sử dụng

9.1.2 Tạo lập tài khoản người sử dụng

9.1.3 Đánh giá, tắt và xóa các tài khoản người sử dụng

9.2 Cấu hình kiểm soát truy cập

9.3 Quản lý mật khẩu

9.3.1 Kiểm soát và triển khai

9.3.2 Tạo lập mật khẩu

9.3.3 Lưu trữ mật khẩu và truyền

9.3.4 Thay đổi các mật khẩu

9.3.5 Đánh giá các mật khẩu

9.3.6 Bảo vệ các mật khẩu

9.3.7 Đặc quyền người sử dụng/quản lý hệ thống giám sát mật khẩu

9.4 Thẻ an ninh truy cập

9.5 Kiểm soát truy cập mạng

9.5.1 Tổng quát

9.5.2 Kết nối bên ngoài

9.6 Điều kiện an ninh kết nối

9.7 Truy cập từ xa

9.8 Hệ điều hành, ứng dụng và thông tin, kiểm soát truy cập

9.9 Điện toán di động và làm việc từ xa

9.9.1 Tổng quát

9.9.2 An ninh máy tính xách tay

9.9.3 An ninh máy PDA

10 Thu thập, phát triển và bảo trì các hệ thống thông tin

10.1 Bảo mật các tệp tin hệ thống

10.1.1 Kiểm soát phần mềm vận hành

10.1.2 Bảo vệ dữ liệu thử nghiệm hệ thống

10.1.3 Bảo vệ mã nguồn

10.2 Bảo mật trong quy trình phát triển và hỗ trợ

10.2.1 Tính toàn vẹn phần mềm ứng dụng và hệ thống

10.2.2 Phát triển phầm mềm thuê ngoài/thầu lại

10.3 Bảo trì phần mềm

10.4 Phần mềm ghi lỗi

10.5 Quản lý lỗ hổng kỹ thuật

11 Quản lý sự cố an toàn thông tin

11.1 Sự cố và điểm yếu của an ninh thông tin

11.2 Sự cố công nghệ thông tin và mạng

12 Quản lý tính kinh doanh liên tục

12.1 Hoạch định tính kinh doanh liên tục

12.2 Thủ tục lưu trữ dự phòng

12.3 Tình huống khẩn cấp và hỏng hóc

12.3.1 Lỗi phần cứng

12.3.2 Lỗi phần mềm

12.3.3 Sơ tán tòa nhà/hỏa hoạn

13 Kiến nghị

13.1 Kiến nghị với các yêu cầu hợp pháp

13.2 Kiến nghị với các chính sách an ninh thông tin và các tiêu chuẩn, kiến nghị kỹ thuật

13.3 Bảo vệ các công cụ kiểm tra hệ thống

14 Cấu hình tài liệu

14.1 Phản hồi

14.2 Những thay đổi của SecOPs

Phụ lục A - Các tham chiếu

[1] TCVN 9696-1:2013 Công nghệ thông tin - Liên kết hệ thống mở = Mô hình tham chiếu cơ sở - Phần 1: Mô hình cơ sở (ISO/IEC 7498-1:1994 Information technology - Open System Interconnection - Basic Reference Model: The Basic Model)

[2] TCVN 9696-2:2013 Công nghệ thông tin - Liên kết hệ thống mở - Mô hình tham chiếu cơ sở - Phần 2: Kiến trúc an ninh (ISO/IEC 7498-2:1994 Information technology - Open System Interconnection - Basic Reference Model: Security Architecture)

[3] TCVN 9696-3:2013 Công nghệ thông tin - Liên kết hệ thống mở - Mô hình tham chiếu cơ sở - Phần 3: Đặt tên và ghi địa chỉ (ISO/IEC 7498-3:1994 Information technology - Open System Interconnection - Basic Reference Model: Naming and Addressing)

[4] TCVN 9696-4:2013 Công nghệ thông tin - Liên kết hệ thống mở - Mô hình tham chiếu cơ sở - Phần 4: Khung tổng quát về quản lý (ISO/IEC 7498-4:1994 Information technology - Open System Interconnection - Basic Reference Model:Management Framework Overview)

[5] ISO/IEC 9595-8 Information technology - Open System Interconnection - The Directory: Public - key and attribute certificate frameworks

[6] ISO/IEC 10181-1:1996 Information technology - Open System Interconnection - Security frameworks for open systems: Overview

[7] ISO 11166-2 Banking - Key management by means of asymmetric algorithms - Part 2: Approved algorithms using the RSA cryptosystem

[8] ISO 11568 (tất cả các phần) Banking - Key management (retail)

[9] ISO 11649 Financial services - Code banking - Structured creditor reference to remittance information

[10] ISO/IEC 11770 (tất cả các phần) Information technology - Security techniques - Key management

[11] ISO/IEC 11889-1 Information technology - Trusted Platform Module - Part 1: Overview

[12] ISO/IEC 11889-2 Information technology - Trusted Platform Module - Part 2: Design principles

[13] ISO/IEC 11889-3 Information technology - Trusted Platform Module - Part 3: Structures

[14] ISO/IEC 11889-4 Information technology - Trusted Platform Module - Part 4: Commands

[15] ISO 13492 Financial services - Key management related data element - Application and usage of ISO 8583 data elements 53 and 96

[16] ISO/IEC 13888:2004 (tất cả các phần) Information technology - Security techniques - Non - Repudiation

[17] ISO/IEC 14516:1999 Information technology - Security techniques - Guidelines for the use and management of Trusted Third Party sevices

[18] ISO/IEC 15288 System and software engineering - System life cycle processes

[19] ISO/IEC 18048:2006, Information technology - Security techniques - Selection, deployment and operations of intrusion detections systems (IDS)

[20] ISO/IEC TR 18044:2004² Information technology - Security techniques - Information security incident management

[21] ISO/IEC 21118 Information to be included in specifiction sheets - Data projectors

[22] ISO/PAS 22399:2007 Society security - Guidelines for incident preparedness and oprational continuity management

[23] ISO/IEC 27003 Information technology - Security techniques - Information security management implementations guidance

[24] ISO/IEC 27004 Information technology - Security techniques - Information security management - Measurement

[25] IETF Site Security Handbook (RFC 2196), Tháng 9 1997

[26] IETF Site Document Roadmap (RFC 2411), Tháng 11 1998

[27] IETF Security Architecture for Internet Protocol (RFC 2401), Tháng 11 1998

[28] IETF Address Allocation for Private Internet (RFC 1918), Tháng 2 1996

[29] IETF SNMP Security Protocol (RFC 1352), Tháng 2 1992

[30] IETF Internet Security Glossary (RFC 2828), Tháng 5 2000

[31] IETF Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing (RFC 2827), Tháng 5 2000

[32] NIST Special Publications (800 series) on Computer Security

[33] NIST Special Publication 800-10: Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls, Tháng 12 1994.

Lời nói đầu

Lời giới thiệu

1. Phạm vi áp dụng

2. Tài liệu viện dẫn

3. Thuật ngữ và định nghĩa

4. Thuật ngữ viết tắt

5. Cấu trúc

6. Tổng quan

7. Xác định rủi ro và việc chuẩn bị xác định kiểm soát an ninh

8. Kiểm soát hỗ trợ

9. Hướng dẫn thiết kế và thiết lập an ninh mạng

10. Kịch bản nghiệp vụ mạng tham chiếu - Các rủi ro, thiết kế, kỹ thuật và các vấn đề kiểm soát

11. Chủ đề "công nghệ" - Các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát

12. Phát triển và kiểm tra giải pháp an ninh

13. Vận hành giải pháp an ninh

14. Giám sát và đánh giá việc thiết lập giải pháp

Phụ lục A (tham khảo) Chủ đề "công nghệ" - Các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát

Phụ lục B (tham khảo) Tham chiếu ngang giữa các kiểm soát liên quan đến an ninh thông tin của TCVN ISO/IEC 27001, TCVN ISO/IEC 27002 và các điều trong TCVN 9801-1

Phụ lục C (tham khảo) Mẫu ví dụ văn bản SecOPs