TIÊu chuẩn quốc gia tcvn 9801-1: 2013 iso/iec 27033-1: 2009

TCVN 9801-1:2013

ISO/IEC 27033-1:2009

CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM

Hiện nay trên thế giới, đa số các tổ chức chính phủ và thương mại có các hệ thống thông tin riêng được kết nối bởi các mạng (xem Hình 1), với các kết nối mạng đang là một hoặc nhiều điều sau đây:

- Trong tổ chức,

- Giữa các tổ chức,

Hơn nữa, do sự phát triển nhanh chóng của công nghệ khả dụng công cộng (đặc biệt là với mạng Internet) dẫn đến các cơ hội kinh doanh đáng kể, các tổ chức đang tăng cường triển khai kinh doanh điện tử trong một phạm vi toàn cầu và cung cấp các dịch vụ công cộng online. Các cơ hội bao gồm quan điểm của các kết nối giảm chi phí dữ liệu, sử dụng mạng Internet đơn giản như một phương tiện kết nối toàn cầu, thông qua nhiều dịch vụ phức tạp được cung cấp bởi bên cung cấp dịch vụ Internet (ISPs). Nghĩa là cách thức sử dụng các điểm gắn vật lý khu vực chi phí thấp ở mỗi điểm cuối trong một mạch của các hệ thống phân phối dịch vụ và trao đổi điện tử online toàn dải, sử dụng các dịch vụ và ứng dụng dựa trên web. Thêm vào đó, công nghệ mới (bao gồm việc tương thích dữ liệu, âm thanh và video) tăng cường cơ hội cho việc làm việc từ xa (được biết tới như "làm việc từ xa" hoặc "kết nối từ xa") cho phép nhân viên vận hành công việc từ nhà tùy theo các giai đoạn quan trọng của thời gian. Điều này cho phép liên hệ thông qua việc sử dụng các cơ sở từ xa để truy cập tổ chức và các mạng cộng đồng và các dịch vụ và thông tin hỗ trợ doanh nghiệp liên quan.

Tuy nhiên, khi môi trường tạo điều kiện cho các lợi ích doanh nghiệp quan trọng thì các rủi ro an ninh mới cần được quản lý. Với các tổ chức tin tưởng mạnh mẽ vào việc sử dụng thông tin và các mạng tương ứng để triển khai kinh doanh của họ, việc mất mát của tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin và dịch vụ có thể có các tác động đối nghịch quan trọng tới các vận hành doanh nghiệp. Do vậy, yêu cầu chính để bảo vệ thực sự mạng, thông tin và các hệ thống thông tin liên quan. Đó là ý nghĩa của cụm từ: triển khai và duy trì an ninh mạng tương ứng là đặc biệt quan trọng cho việc thành công của bất kỳ vận hành doanh nghiệp của tổ chức nào.

Trong ngữ cảnh này, công nghiệp công nghệ thông tin và viễn thông đang tìm kiếm các giải pháp an ninh hiệu quả toàn diện, nhắm đến việc bảo vệ mạng chống lại các cuộc tấn công nguy hại và các hành động sai không chủ tâm và đáp ứng các yêu cầu kinh doanh cho tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin và dịch vụ. An ninh một mạng cũng cần thiết cho việc duy trì lập dự toán chính xác hay sử dụng thông tin tương ứng. Năng lực an ninh trong sản xuất là quyết định đối với toàn bộ an ninh mạng (bao gồm các ứng dụng và dịch vụ). Tuy nhiên, hầu hết các sản phẩm được kết hợp để cung cấp các giải pháp tổng thể, khả năng tương tác hay việc thiếu hụt chính điều đó sẽ định nghĩa cho sự thành công của giải pháp. An ninh không chỉ là một dòng liên quan đối với mỗi sản phẩm hoặc dịch vụ, nhưng phải được phát triển theo cách thức đẩy liên kết từ xa của các khả năng an ninh trong giải pháp an ninh tổng thể.

Mục đích của bộ TCVN 9801 (ISO/IEC 27033) nhằm cung cấp hướng dẫn chi tiết dựa trên các khía cạnh quản lý, vận hành và sử dụng các mạng hệ thống thông tin, và các liên kết nối. Các cá thể đó trong tổ chức chịu trách nhiệm chung cho an ninh thông tin, và an ninh thông tin cụ thể phải được đáp ứng với tài liệu của tiêu chuẩn này để đáp ứng các yêu cầu đặc trưng. Các mục tiêu chính được tuân thủ.

- TCVN 9801-1 (ISO/IEC 27033-1), Tổng quan và khái niệm, định nghĩa và mô tả các khái niệm tương ứng với, và cung cấp hướng dẫn quản lý trên an ninh mạng. Tiêu chuẩn bao gồm quan điểm của một tổng quan an ninh mạng và các định nghĩa liên quan, và hướng dẫn về cách thức xác định và phân tích các rủi ro an ninh mạng và sau đó định nghĩa các yêu cầu an ninh mạng. Tiêu chuẩn này cũng giới thiệu cách thức đạt được các kiến trúc an ninh kỹ thuật chất lượng tốt và rủi ro, thiết kế và các khía cạnh kiểm soát tương ứng với các kịch bản mạng phổ thông và các lĩnh vực "công nghệ" mạng (được giải quyết chi tiết trong các phần phụ tiếp theo của bộ tiêu chuẩn này)

- ISO/IEC 27033-2, Hướng dẫn thiết kế và triển khai an ninh mạng, định nghĩa cách tổ chức đạt được các kiến trúc, thiết kế và việc triển khai an ninh mạng chất lượng, mà đảm bảo an ninh mạng tương ứng với các môi trường kinh doanh, sử dụng một hướng tiếp cận chắc chắn để hoạch định, thiết kế và triển khai an ninh mạng, để việc sử dụng các mô hình/nền (trong ngữ cảnh này, một mô hình/nền được dùng để mô phỏng một trình diễn hoặc mô tả thể hiện cấu trúc và các công việc mức độ cao của một loại kiến trúc/thiết kế an ninh kỹ thuật) và liên quan tới tất cả các nhân viên mà liên quan trong việc hoạch định, thiết kế và triển khai các khía cạnh kiến trúc của an ninh mạng (ví dụ: các kiến trúc mạng và nhà thiết kế, quản lý mạng và các nhân viên an ninh mạng)

- ISO/IEC 27033-3, Rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho kịch bản nghiệp vụ mạng tham chiếu định nghĩa các rủi ro đặc trưng, các công nghệ thiết kế và các vấn đề kiểm soát tương ứng với các kịch bản mạng phổ thông. Tiêu chuẩn này liên quan tới tất cả nhân viên liên quan trong việc hoạch định, thiết kế và triển khai các khía cạnh kiến trúc của an ninh mạng (ví dụ: các kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng)

Có các phần dự kiến của bộ TCVN 9801 (ISO/IEC 27033) sẽ chỉ ra các chủ đề sau:

- ISO/IEC 27033-4, Các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát an ninh kết nối giữa mạng sử dụng cổng an ninh định nghĩa các rủi ro, các công nghệ thiết kế và các vấn đề kiểm soát cụ thể cho luồng an ninh thông tin giữa các mạng sử dụng các cổng an ninh. Tiêu chuẩn này liên quan tới tất cả các nhân viên liên quan trong việc hoạch định, thiết kế và triển khai các khía cạnh kiến trúc của các cổng an ninh (ví dụ: các kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng).

- ISO/IEC 27033-5, Các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho việc an ninh mạng cá nhân ảo định nghĩa các rủi ro, các công nghệ thiết kế và các vấn đề kiểm soát cụ thể cho an ninh kết nối mà thiết lập sử dụng các mạng cá nhân ảo (VNPs). Tiêu chuẩn này liên quan tới tất cả các nhân viên liên quan trong việc hoạch định, thiết kế và triển khai an ninh VPN (ví dụ: các kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng).

- ISO/IEC 27033-6, Hội tụ IP định nghĩa các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho an ninh mạng hội tụ IP, ví dụ, với việc hội tụ dữ liệu, âm thanh video. Tiêu chuẩn này liên quan tới tất cả các nhân viên liên quan trong việc hoạch định, thiết kế và triển khai an ninh cho các mạng hội tụ IP (ví dụ: các kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng).

- ISO/IEC 27033-7, Mạng không dây định nghĩa các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho an ninh mạng vô tuyến và mạng không dây. Tiêu chuẩn này liên quan tới tất cả các nhân viên liên quan trong việc hoạch định, thiết kế và triển khai an ninh các mạng vô tuyến và không dây (ví dụ: các kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng).

Phải nhấn mạnh rằng bộ TCVN 9801 (ISO/IEC 27033) cung cấp hướng dẫn triển khai chi tiết hơn nữa về các kiểm soát an ninh mạng mà được mô tả ở mức tiêu chuẩn hóa căn bản trong TCVN ISO/IEC 27002.

Nếu các phần dự kiến khác liên quan tới tất cả nhân viên mà bao quát trong việc hoạch định, thiết kế và triển khai chi tiết của các khía cạnh mạng bao quát các phần đó (ví dụ: các kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng)

Phải chú thích rằng tiêu chuẩn này không phải là tài liệu tham chiếu hoặc viện dẫn cho các yêu cầu luật pháp hoặc quy định. Mặc dù tiêu chuẩn này nhấn mạnh tầm quan trọng của những ảnh hưởng, nhưng cũng không thể chỉ ra một cách cụ thể, khi mà chúng tùy thuộc theo từng quốc gia, hình thức kinh doanh…

Ngoại trừ các phần khác đã chỉ ra, toàn bộ tiêu chuẩn này hướng dẫn tham chiếu được áp dụng cho các mạng hiện tại/ dự kiến nhưng chỉ tham chiếu ở "các mạng" hoặc "mạng".
CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM

Information technology - Security techniques - Network security - Part 1: Overview and concepts

1. Phạm vi áp dụng

Tiêu chuẩn này cung cấp tổng quan về an ninh mạng và các định nghĩa liên quan. Tiêu chuẩn này định nghĩa và mô tả các khái niệm tương ứng với, và cung cấp các hướng dẫn quản lý trong an ninh mạng (An ninh mạng áp dụng cho an ninh của thiết bị, an ninh của các hoạt động quản lý liên quan tới các thiết bị, ứng dụng/dịch vụ và người dùng cuối) người an ninh của thông tin được truyền tải qua các đường liên kết truyền thông.

Tiêu chuẩn này liên quan đến bất kỳ người nào sở hữu, vận hành hoặc sử dụng mạng: bao gồm các nhà quản lý cấp cao và các nhà quản lý hoặc người dùng không liên quan đến kỹ thuật khác, ngoài các nhà quản lý và quản trị viên có trách nhiệm cụ thể đối với an ninh thông tin và/hoặc an ninh mạng, vận hành mạng, hoặc người chịu trách nhiệm đối với chương trình an ninh tổng thể và phát triển chính sách an ninh của một tổ chức. Tiêu chuẩn này cũng phù hợp với bất kỳ người nào tham gia vào việc lập kế hoạch, thiết kế và thiết lập các khía cạnh kiến trúc an ninh mạng.

Tiêu chuẩn này cũng:

- Đưa ra hướng dẫn về cách thức để xác định và phân tích các rủi ro an ninh mạng và định nghĩa về các yêu cầu an ninh mạng dựa trên các phân tích đó.

- Đưa ra một tổng quan về các biện pháp kiểm soát để hỗ trợ các kiến trúc an ninh kỹ thuật mạng và các biện pháp kiểm soát kỹ thuật liên quan, cũng như các biện pháp kiểm soát phi kỹ thuật và các kiểm soát kỹ thuật được áp dụng không chỉ cho các mạng.

- Đưa ra cách thức để đạt được các kiến trúc an ninh kỹ thuật mạng chất lượng tốt, và các khía cạnh rủi ro, thiết kế và kiểm soát an ninh tương ứng với các kịch bản và các lĩnh vực "công nghệ" mạng điển hình (được quy định cụ thể trong các phần tiếp theo của bộ tiêu chuẩn này), và

- Mô tả vắn tắt các vấn đề liên quan tới việc thiết lập và vận hành các biện pháp kiểm soát an ninh mạng, và việc giám sát và đánh giá của việc thiết lập đang được tiến hành.

Nói chung, tiêu chuẩn cung cấp một tổng quan về bộ tiêu chuẩn và một "lộ trình" cho tất cả các tiêu chuẩn khác.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau là rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

TCVN 9696 (ISO/IEC 7498) (tất cả các phần) Công nghệ thông tin - Liên kết hệ thống mở - Mô hình tham chiếu cơ sở (information technology - Open System interconnection - Basic Reference Model)

TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) Công nghệ thông tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Các yêu cầu (Information technology - Security techniques - Information security management systems - Requirements)

TCVN ISO/IEC 27002:2011 Công nghệ thông tin - Kỹ thuật an ninh - Quy tắc thực hành quản lý an ninh thông tin (ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management)

ISO/IEC 27000:2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary (Công nghệ thông tin - Kỹ thuật an ninh - Các hệ thống quản lý an ninh thông tin - Tổng quan và cấu trúc)

ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management (Công nghệ thông tin - Kỹ thuật an ninh - Quản lý rủi ro an ninh thông tin)

3. Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu ra trong TCVN 9696, ISO/IEC 27000, TCVN ISO/IEC 27001, TCVN ISO/IEC 27002, ISO/IEC 27005 và các thuật ngữ và định nghĩa sau:

CHÚ THÍCH: Các thuật ngữ và định nghĩa dưới đây sẽ áp dụng trong các phần mới của bộ TCVN 9801 (ISO/IEC 27033).

Chỉ báo "tức thời" rằng một mạng và hệ thống thông tin có thể bị tấn công, hoặc ở tình trạng nguy hiểm do tai nạn, lỗi hoạt động hoặc lỗi con người.

Tổ chức cơ bản của một hệ thống tạo nên các thành phần của chính nó, các mối quan hệ với mỗi thành phần khác, và với môi trường, và các nguyên tắc hướng dẫn cho việc thiết kế và sự phát triển chính nó.

[ISO/IEC 15288:2008, định nghĩa 4.5]

3.3. Kẻ tấn công (attacker)

Cá nhân chủ tâm lợi dụng các lỗ hổng kiểm soát an ninh kỹ thuật và phi - kỹ thuật để đánh cắp hoặc làm tổn hại các mạng và hệ thống thông tin, hoặc thỏa hiệp tính có lợi cho các người dùng hợp pháp của các nguồn tài nguyên mạng và hệ thống thông tin.

Việc ghi dữ liệu dựa trên các sự kiện an ninh thông tin với mục đích đánh giá và phân tích, và giám sát đang thực thi.

Các công cụ tự động để hỗ trợ việc phân tích các nội dung của các bản ghi nhật ký.

Tổ chức do một hoặc nhiều người dùng tin cậy nhằm tạo và gán các chứng nhận khóa công khai.

CHÚ THÍCH 1 Tổ chức chứng nhận có thể tạo ra các khóa người dùng một cách tùy ý.

CHÚ THÍCH 2 Vai trò của tổ chức chứng nhận (CA) trong quy trình này là để đảm bảo rằng cá nhân được công nhận là chứng nhận duy nhất, trên thực tế là do người đó được yêu cầu. Thông thường, nó nghĩa là CA có một thỏa thuận với một đơn vị cung cấp thông tin để xác nhận sự đồng nhất được yêu cầu của một cá nhân. Các CA là một thành phần quan trọng trong an ninh thông tin và thương mại điện tử bởi vì chúng đảm bảo rằng việc trao đổi thông tin hai bên là thực sự được yêu cầu.

Văn bản mà mô tả việc chỉ đạo quản lý và hỗ trợ cho an ninh thông tin phù hợp với các yêu cầu kinh doanh và các luật và các điều chỉnh liên quan.

CHÚ THÍCH Văn bản mô tả các yêu cầu an ninh thông tin mức cao phải được tuân theo trong toàn bộ tổ chức.

3.8. Khu vành đai (delimilirized zone)

DMZ

Mạng vành đai (cũng được gọi là một mạng con được phân cách) được chèn vào như một "vùng trung lập" giữa các mạng.

Sự ngăn chặn truy cập có thẩm quyền tới một tài nguyên hệ thống hoặc sự trì hoãn các chức năng và sự vận hành hệ thống, gây ra sự tổn thất của sự hiệu lực cho người dùng ủy quyền.

Sự mở rộng của mạng Intranet của một tổ chức, đặc biệt qua hạ tầng mạng phổ thông, cho phép chia sẻ tài nguyên giữa tổ chức này và các tổ chức khác và các cá nhân mà nó xử lý bằng việc cung cấp truy cập giới hạn tới mạng Intranet của chính nó.

CHÚ THÍCH Ví dụ, các khách hàng của một tổ chức có thể được cung cấp truy cập tới một vài phần của chính mạng Intranet đó, tạo một mạng extranet, nhưng các khách hàng không thể được coi là "đáng tin cậy", từ một quan điểm an ninh.

3.11. Sự lọc (filtering)

Quy trình chấp nhận hoặc hủy bỏ các luồng dữ liệu qua một mạng, tùy theo tiêu chuẩn quy định.

Loại rào cản an ninh được đặt giữa các môi trường mạng - bao gồm một thiết bị dành riêng hoặc một tổ hợp của vài thành phần và công nghệ - qua đó tất cả lưu lượng từ một môi trường mạng đi qua môi trường khác và ngược lại, và chỉ có thẩm quyền lưu lượng, được định nghĩa từ chính sách an ninh khu vực, được phép đi qua.

Thiết bị mạng mà có các chức năng ở tầng 1 của mô hình tham chiếu OSI.

CHÚ THÍCH Không có sự thông minh thật sự trong các thiết bị trung tâm mạng, chứng chỉ cung cấp các điểm gắn vật lý cho các hệ thống và tài nguyên được nối mạng.

3.14. Internet (the Internet)

Hệ thống toàn cầu của các mạng được liên hệ kết nối trong miền phổ thông.

Sự tập hợp của các mạng liên kết nối, được gọi là một liên mạng hay chỉ đơn giản là một mạng internet.

Mạng máy tính cá nhân mà sử dụng các giao thức Internet và việc kết nối mạng để chia sẻ an toàn một phần thông tin hoặc các hoạt động của tổ chức cùng với các nhân viên của tổ chức đó.

Truy cập trái phép tới một hệ thống mạng - kết nối, như việc truy cập trái phép vô tình hoặc cố ý tới một phần thông tin, bao gồm các hoạt động nguy hại chống lại một hệ thống thông tin hoặc việc sử dụng trái phép tài nguyên trong một hệ thống thông tin.

Quy trình chính thức của việc phát hiện các xâm nhập, chủ yếu được hiển thị đặc điểm bằng cách thu thập kiến thức về các mẫu sử dụng bất thường như cách thức, và lỗ hổng nào đã được khai thác để bao gồm cách thức và thời điểm nó xảy ra.

Hệ thống kỹ thuật được sử dụng để nhận biết một âm mưu xâm nhập đã được thử, đã hoặc đang xảy ra và có khả năng đáp trả mưu toan xâm nhập vào các hệ thống thông tin và mạng.

Quy trình chính thức của việc đáp ứng chủ động để phòng ngừa các xâm nhập.

Các hệ thống phát hiện xâm nhập khác nhau mà được thiết kế đặc trưng để cung cấp một khả năng phản hồi chủ động.

Được thiết kế đặc biệt để gây thiệt hại hoặc hủy diệt một hệ thống, tấn công tính bảo mật, tính toàn vẹn và/hoặc tính sẵn có.

CHÚ THÍCH: Vi-rút và Trojan là các ví dụ của phần mềm độc hại.

3.23. Sự chuyển nhãn đa giao thức (multi protocol label switching)

MPLS

Công nghệ, được phát triển cho việc sử dụng trong việc định tuyến liên mạng, nhờ đó các nhãn được gán cho các đường hoặc các dòng dữ liệu cá nhân, và được dùng để chuyển các kết nối, ở dưới và bên cạnh các cơ chế giao thức định tuyến thông thường.

CHÚ THÍCH Sự chuyển nhãn có thể được sử dụng như một phương pháp của việc tạo ra các đường hầm.

3.24. Quản trị mạng (network administration)

Việc vận hành và quản lý hàng ngày của các quy trình mạng và tài sản sử dụng mạng.

Thiết bị hoặc phần mềm được dùng để theo dõi và phân tích luồng thông tin trong các mạng.

CHÚ THÍCH Trước khi phân tích luồng thông tin, thông tin phải được thu nhập theo cách riêng bằng cách sử dụng một thiết bị giám sát mạng.

3.26. Phần tử mạng (network element)

Hệ thống thông tin được kết nối tới một mạng.

Quy trình lập kế hoạch, thiết kế, thiết lập, vận hành, giám sát và duy trì một mạng.

Quy trình theo dõi và đánh giá liên tục dữ liệu được ghi theo hoạt động và các vận hành mạng, bao gồm các bản ghi kiểm tra và các báo lỗi, và phân tích liên quan.

Tập các báo cáo, các quy tắc và các thực hành mà giải thích cách tiếp cận của một tổ chức cho việc sử dụng các tài nguyên của chính mạng đó, và chỉ rõ cách thức hạ tầng và các dịch vụ mạng phải được bảo vệ.

Thiết bị hoặc phần mềm được dùng để nắm bắt thông tin vận hành trong các mạng.

Điểm cuối của một kết nối.

CHÚ THÍCH Trong ngữ cảnh về giao thức internet, một cổng là một điểm cuối kênh logic của một kết nối TCP hoặc UDP. Các giao thức ứng dụng dựa trên TCP hoặc UDP được gán điển hình các số cổng mặc định, như cổng 80 cho HTTP.

3.32. Truy cập từ xa (remote access)

Quy trình của việc truy cập các tài nguyên mạng từ mạng khác, hoặc từ một thiết bị đầu cuối mà không được kết nối vĩnh viễn, theo cách vật lý hoặc logic, tới mạng mà nó đang truy cập.

Người dùng tại một site khác với site¹, nơi bố trí tài nguyên mạng được sử dụng.

Thiết bị mạng mà được dùng để thiết lập và kiểm soát an ninh luồng dữ liệu giữa các mạng khác nhau bằng cách chọn lọc các tuyến hoặc đường dựa trên các thuật toán hoặc cơ chế giao thức định tuyến.

CHÚ THÍCH 1 Các mạng có thể dựa trên các giao thức khác nhau của chính nó.

CHÚ THÍCH 2 Thông tin định tuyến được lưu giữ trong bảng định tuyến.

Tập hợp các tài nguyên và tài sản áp dụng một chính sách an ninh chung.

Điểm của kết nối giữa các mạng, hoặc giữa các nhóm phụ trong các mạng, hoặc giữa các ứng dụng phần mềm trong các vùng an ninh khác nhau để bảo vệ một mạng dựa trên một chính sách an ninh sẵn có.

Các thư điện tử không mong muốn, có thể chứa các nội dung độc hại và/hoặc tin nhắn lừa đảo.

Sự mạo nhận một nguồn tài nguyên hoặc người dùng hợp pháp.

Thiết bị cung cấp kết nối giữa các thiết bị được nối mạng theo các cơ chế chuyển nội bộ, với công nghệ chuyển được thiết lập điển hình ở tầng 2 hoặc 3 của mô hình tham chiếu OSI.

CHÚ THÍCH Các bộ chuyển là khác biệt từ các thiết bị liên kết nối mạng cục bộ khác (ví dụ: một trung tâm) như công nghệ được sử dụng để chuyển các thiết lập các kết nối trên một điểm-tới-điểm căn bản.

3.40. Đường hầm (tunnel)

Đường dữ liệu giữa các thiết bị được nối mạng mà được thiết lập qua một hạ tầng mạng hiện hành.

CHÚ THÍCH Các đường hầm có thể được thiết lập sử dụng các kỹ thuật như đóng gói giao thức, chuyển mạch nhãn hoặc các mạch ảo.

3.41. Mạng cục bộ ảo (virtual local area network)

Mạng độc lập được tạo từ một quan điểm logic trong một mạng vật lý.

4. Thuật ngữ viết tắt

CHÚ THÍCH Các thuật ngữ viết tắt sau được sử dụng trong tất cả các phần của TCVN 9801-1:2013 (ISO/IEC 27033-1:2009)

Cấu trúc của bộ TCN 9801 (ISO/IEC 27033) được thể hiện dưới dạng biểu đồ, hoặc bản đồ được tạo trong Hình 2.

Chú thích trong Hình 2, các đường kẻ liền chỉ ra phân nhánh tự nhiên các phần của bộ TCVN 9801 (ISO/IEC 27033). Các đường đứt quãng chỉ ra rằng theo các quy trình được mô tả trong (a) Phần 1 - Phần 3, 4, 5, 6 và 7 thể được tham khảo thông tin dựa trên các rủi ro an ninh, và (b) Phần 2 - Phần 3, 4, 5, 6 và 7 có thể được tham khảo thông tin dựa trên các kỹ thuật thiết kế và các mục kiểm soát an ninh. Hơn nữa, các tham chiếu trong Phần 3 cho các khía cạnh riêng biệt bao trùm trong Phần 4, 5, 6 và 7 để tránh trùng lặp (ví dụ: việc sử dụng Phần 3 có thể cần để tra cứu các Phần 4, 5, 6 và 7)

Như vậy, với bất kỳ tổ chức nào bắt đầu từ "điểm khởi đầu", hoặc tiến hành một đánh giá cơ bản của (các) mạng hiện thời, đầu tiên nó phải sử dụng của Phần 1 và Phần 2, nhưng tra cứu thông tin khi cần và thích hợp dựa theo các rủi ro an ninh, các kỹ thuật thiết kế và các mục kiểm soát được bao gồm các Phần từ 3 đến 7.

Ví dụ, một tổ chức đang xét đến việc thiết lập một môi trường mạng mới, mà bao gồm việc sử dụng của sự hội tụ IP, các cổng an ninh và một vài việc sử dụng của mạng không dây cũng như việc sử dụng máy chủ web và Internet (cho thư điện tử và truy cập online ra ngoài)

Việc sử dụng các quy trình được mô tả trong Phần 1 để xác định các rủi ro an ninh cho các môi trường mạng mới, tổ chức đó phải tra cứu rủi ro liên quan đến thông tin từ các phần liên quan khác của bộ TCVN 9801 (ISO/IEC 27033), các phần này định nghĩa các rủi ro an ninh đặc trưng (cũng như các kỹ thuật thiết kế và các mục kiểm soát an ninh) liên quan tới sự hội tụ IP, các cổng an ninh và một vài việc sử dụng của mạng không dây cũng như việc sử dụng máy chủ web và Internet (cho thư điện tử và truy cập online).

Việc sử dụng Phần 2 để xác định các kiến trúc an ninh kỹ thuật mạng được yêu cầu, tổ chức phải tra cứu thông tin theo các kỹ thuật thiết kế và các mục kiểm soát an ninh từ các phần liên quan khác của bộ TCVN 9801 (ISO/IEC 27033), chúng định nghĩa các kỹ thuật thiết kế và các mục kiểm soát an ninh đặc trưng (cũng như các rủi ro an ninh) liên quan tới sự hội tụ IP, các cổng an ninh và một vài việc sử dụng của mạng không dây cũng như việc sử dụng máy chủ web và Internet (cho thư điện tử và truy cập online).

Trong tương lai, có thể có các phần khác của bộ TCVN 9801 (ISO/IEC 27033); ví dụ của các chủ đề khả thi được bao trùm bởi các phần tương lai bao gồm các mạng cục bộ, các mạng vùng rộng, các mạng băng rộng, máy chủ web, thư điện tử Internet, và truy cập định tuyến tới các tổ chức bên thứ ba. Các mục của tất cả các phần này phải bao gồm nhưng không bị giới hạn bởi ba chỉ định: các rủi ro, công nghệ thiết kế và mục kiểm soát an ninh.