Tải bản đầy đủ (.doc) (105 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Dự thảo an toàn mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (569.1 KB, 105 trang )

TCVN xxxx-1:2012

T I Ê U C H U
Ẩ N Q U Ố C
G I A
TCVN xxxx-1:2012
Xuất bản lần 1
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –
AN TOÀN MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM
Information technology – Security techniques – Network security –
Part 1: Overview and concepts
HÀ NỘI – 2012
TCVN
TCVN xxxx-1:2012
2

TCVN xxxx-1:2012
Mục lục
1. Phạm vi áp dụng................................................................................................................................................. 9
2. Tài liệu viện dẫn................................................................................................................................................ 10
3. Thuật ngữ và định nghĩa................................................................................................................................... 10
4 Các thuật ngữ viết tắt........................................................................................................................................ 16
5 Cấu trúc............................................................................................................................................................. 19
6 Tổng quan ......................................................................................................................................................... 21
6.1 Khái quát..................................................................................................................................................................21
6.2 Lập kế hoạch và quản lý an toàn mạng ...................................................................................................................23
7 Nhận dạng các rủi ro và chuẩn bị xác định các biện pháp an toàn........................................................................27
7.1 Giới thiệu..................................................................................................................................................................27
7.2 Thông tin về mạng hiện thời và/hoặc mạng đã được lập kế hoạch.........................................................................27
7.2.1 Các yêu cầu an toàn trong chính sách an toàn thông tin doanh nghiệp...........................................................27
7.2.2 Thông tin về mạng hiện thời hoặc mạng đã được lập kế hoạch.......................................................................27


7.2.2.1 Giới thiệu...........................................................................................................................................................28
7.2.2.2 Kiến trúc, ứng dụng và dịch vụ mạng..............................................................................................................28
7.2.2.3 Các kiểu kết nối mạng......................................................................................................................................30
7.2.2.4 Các đặc tính mạng khác....................................................................................................................................31
7.2.2.5 Những thông tin khác......................................................................................................................................33
7.3 Các rủi ro an toàn thông tin và khu vực kiểm soát tiềm năng...................................................................................33
8 Các biện pháp hỗ trợ.......................................................................................................................................... 38
8.1 Giới thiệu..................................................................................................................................................................38
8.2 Quản lý an toàn mạng..............................................................................................................................................38
8.2.1 Kiến thức cơ bản..................................................................................................................................................38
8.2.2 Các hoạt động quản lý an toàn mạng.................................................................................................................38
8.2.2.1 Giới thiệu...........................................................................................................................................................38
8.2.2.2 Chính sách an toàn mạng.................................................................................................................................39
8.2.2.3 Các thủ tục vận hành an toàn mạng................................................................................................................39
8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng..............................................................................................................40
4
TCVN xxxx-1:2012
8.2.2.5 Điều kiện an toàn cho các kết nối mạng đa tổ chức.......................................................................................40
8.2.2.6 Các điều kiện an toàn ban hành cho những người sử dụng mạng từ xa.......................................................41
8.2.2.7 Quản lý sự cố an toàn mạng.............................................................................................................................41
8.2.3 Vai trò và trách nhiệm an toàn mạng.................................................................................................................41
8.2.4 Giám sát mạng.....................................................................................................................................................43
8.2.5 Đánh giá an toàn mạng........................................................................................................................................43
8.3 Quản lý điểm yếu kỹ thuật .......................................................................................................................................43
8.4 Nhận dạng và xác thực.............................................................................................................................................44
8.5 Ghi nhật ký và giám sát việc kiểm toán mạng..........................................................................................................45
8.6Phát hiện và ngăn chặn xâm nhập............................................................................................................................47
8.7 Bảo vệ chống lại mã độc...........................................................................................................................................48
8.8 Dịch vụ dựa trên mã hóa..........................................................................................................................................49
8.9 Quản lý tính liên tục trong nghiệp vụ........................................................................................................................51

9 Hướng dẫn thiết kế và triển khai an toàn mạng.................................................................................................. 52
9.1 Kiến thức cơ bản.......................................................................................................................................................52
9.2 Kiến trúc/thiết kế an toàn kỹ thuật mạng.................................................................................................................52
10 Các kịch bản mạng tham chiếu – Rủi ro, thiết kế, kỹ thuật và các vấn đề về biện pháp.......................................55
10.1 Giới thiệu................................................................................................................................................................55
10.2 Các dịch vụ truy cập Internet cho nhân viên...........................................................................................................56
10.3 Các dịch vụ hợp tác nâng cao.................................................................................................................................56
10.4 Các dịch vụ doanh nghiệp tới doanh nghiệp...........................................................................................................57
10.5 Các dịch vụ doanh nghiệp tới khách hàng..............................................................................................................57
10.6 Các dịch vụ thuê ngoài............................................................................................................................................57
10.7 Phân đoạn mạng....................................................................................................................................................58
10.8 Thông tin di động....................................................................................................................................................58
10.9 Hỗ trợ mạng cho người sử dụng di chuyển............................................................................................................59
10.10 Hỗ trợ mạng cho hộ gia đình và các văn phòng doanh nghiệp nhỏ......................................................................59
11 Các chuyên đề về “công nghệ” – Rủi ro, kỹ thuật thiết kế và các vấn đề về biện pháp........................................59
12 Phát triển và kiểm thử giải pháp an toàn.......................................................................................................... 60
5
TCVN xxxx-1:2012
13 Vận hành giải pháp an toàn.............................................................................................................................. 61
14 Giám sát và soát xét việc triển khai giải pháp.................................................................................................... 61
Phụ lục A.............................................................................................................................................................. 62
Các chuyên đề về “công nghệ” – Rủi ro, kỹ thuật thiết kế và các vấn đề về biện pháp............................................62
A.1 Mạng cục bộ.............................................................................................................................................................62
A.1.1 Kiến thức cơ bản..................................................................................................................................................62
A.1.2 Các rủi ro an toàn................................................................................................................................................63
A.1.3 Các biện pháp an toàn........................................................................................................................................63
A.2 Mạng diện rộng........................................................................................................................................................65
A.2.1 Kiến thức cơ bản..................................................................................................................................................65
A.2.2 Các rủi ro an toàn................................................................................................................................................66
A.2.3 Các biện pháp an toàn.........................................................................................................................................67

A.3 Mạng không dây......................................................................................................................................................68
A.3.1 Kiến thức cơ bản..................................................................................................................................................68
A.3.2 Các rủi ro an toàn...............................................................................................................................................68
A.3.3 Các biện pháp an toàn.........................................................................................................................................68
A.4 Mạng vô tuyến........................................................................................................................................................69
A.4.1 Kiến thức cơ bản..................................................................................................................................................69
A.4.2 Các rủi ro an toàn................................................................................................................................................70
A.4.3 Các biện pháp an toàn.........................................................................................................................................71
A.5 Mạng băng rộng.......................................................................................................................................................72
A.5.1 Kiến thức cơ bản..................................................................................................................................................72
A.5.2 Các rủi ro an toàn................................................................................................................................................72
A.5.3 Các biện pháp an toàn.........................................................................................................................................73
A.6 Cổng thông tin an toàn.............................................................................................................................................73
A.6.1 Kiến thức cơ bản..................................................................................................................................................73
A.6.2 Các rủi ro an toàn...............................................................................................................................................73
A.6.3 Các biện pháp an toàn.........................................................................................................................................74
A.7 Mạng riêng ảo..........................................................................................................................................................75
A.7.1 Kiến thức cơ bản..................................................................................................................................................75
A.7.2 Các rủi ro an toàn................................................................................................................................................75
A.7.3 Các biện pháp an toàn.........................................................................................................................................76
A.8 Mạng thoại...............................................................................................................................................................77
A.8.1 Kiến thức cơ bản..................................................................................................................................................77
6
TCVN xxxx-1:2012
A.8.2 Các rủi ro an toàn................................................................................................................................................77
A.8.3 Các biện pháp an toàn.........................................................................................................................................78
A.9 Hội tụ IP....................................................................................................................................................................79
A.9.1 Kiến thức cơ bản..................................................................................................................................................79
A.9.2 Các rủi ro an toàn................................................................................................................................................79
A.9.3 Các biện pháp an toàn.........................................................................................................................................80

A.10 Lưu trữ nội dung Web............................................................................................................................................81
A.10.1 Kiến thức cơ bản...............................................................................................................................................81
A.10.2 Các rủi ro an toàn..............................................................................................................................................81
A.10.3 Các biện pháp an toàn.......................................................................................................................................82
A.11 Thư điện tử Internet...............................................................................................................................................84
A.11.1 Kiến thức cơ bản...............................................................................................................................................84
A.11.2 Rủi ro an toàn....................................................................................................................................................85
A.11.3 Các biện pháp an toàn.......................................................................................................................................86
A.12 Truy cập định tuyến đến các tổ chức bên thứ ba....................................................................................................89
A.12.1 Kiến thức cơ bản...............................................................................................................................................89
A.12.2 Rủi ro an toàn....................................................................................................................................................91
A.12.3 Các biện pháp an toàn.......................................................................................................................................91
A.13 Trung tâm dữ liệu Intranet.....................................................................................................................................92
A.13.1 Kiến thức cơ bản...............................................................................................................................................92
A.13.2 Rủi ro an toàn....................................................................................................................................................92
A.13.3 Các biện pháp an toàn.......................................................................................................................................93
Tham chiếu chéo giữa TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn
mạng, và các điều trong TCVN xxxx-1:2012............................................................................................................. 94
Phụ lục C............................................................................................................................................................. 100
Ví dụ mẫu đối với tài liệu về SecOP..................................................................................................................... 100
Thư mục tài liệu tham khảo................................................................................................................................ 105
7
TCVN xxxx-1:2012

Lời nói đầu
TCVN xxxx-1:2012 được xây dựng trên cơ sở ISO/IEC 27033-1.
TCVN xxxx-1:2012 do Viện Khoa học Kỹ thuật Bưu điện và Trung tâm Ứng cứu
Khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị,
Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ
công bố.

8
Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng –
Phần 1: Tổng quan và khái niệm
Information technology - Security techniques – Network security – Part 1: Overview and
concepts
1. Phạm vi áp dụng
Tiêu chuẩn TCVN xxxx-1:2012 cung cấp tổng quan về an toàn mạng và các định nghĩa liên quan. Nó
định nghĩa và mô tả các khái niệm liên quan đến an toàn mạng và cung cấp hướng dẫn quản lý về an
toàn mạng. (An toàn mạng áp dụng cho an toàn của các thiết bị, an toàn của các hoạt động quản lý
liên quan đến các thiết bị, các ứng dụng/dịch vụ, và những người sử dụng cuối, ngoài ra, còn áp
dụng cho an toàn của những thông tin được truyền qua các đường truyền thông).
Tiêu chuẩn này liên quan đến bất cứ ai tham gia sở hữu, vận hành hay sử dụng mạng, bao gồm
những nhà quản lý cao cấp và những nhà quản lý phi kỹ thuật khác hoặc những người sử dụng.
Ngoài ra, còn có những người quản lý và những nhà quản trị, những người mà có trách nhiệm cụ thể
đối với an toàn thông tin và/hoặc an toàn mạng, vận hành mạng, hoặc những người chịu trách nhiệm
đối với chương trình an toàn tổng thể của tổ chức và phát triển chính sách an toàn. Tiêu chuẩn này
cũng liên quan đến bất cứ ai tham gia vào việc lập kế hoạch, thiết kế và triển khai các khía cạnh kiến
trúc của an toàn mạng.
Tiêu chuẩn TCVN xxxx-1:2012 cũng:
- Cung cấp hướng dẫn về việc nhận dạng và phân tích các rủi ro an toàn mạng và xác định các
yêu cầu an toàn mạng dựa trên các phân tích đó,
- Cung cấp tổng quan gồm những biện pháp hỗ trợ các kiến trúc an toàn kỹ thuật mạng và các
biện pháp kỹ thuật liên quan, cũng như các biện pháp phi kỹ thuật và các biện pháp kỹ thuật
mà có khả năng áp dụng không chỉ cho các mạng,
- Giới thiệu cách làm thế nào để đạt được các kiến trúc an toàn kỹ thuật mạng có chất lượng
tốt, và xác định rủi ro, thiết kế và các biện pháp liên quan tới các kịch bản mạng điển hình và
các lĩnh vực “công nghệ” mạng (chúng được đưa ra một cách chi tiết trong các phần tiếp theo
của TCVN xxxx)
T I Ê U C H U Ẩ N Q U Ố C G I A TCVN xxxx-1:2012
TCVN xxxx-1:2012

- Đưa ra ngắn gọn các vấn đề liên quan tới việc triển khai và vận hành các biện pháp an toàn
mạng, giám sát và soát xét liên tục việc triển khai chúng.
Nói chung, Tiêu chuẩn này cung cấp tổng quan của loạt tiêu chuẩn TCVN xxxx và “chỉ dẫn” tới tất cả
các phần khác.
2. Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn
ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố
thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có)
[1] TCVN ISO/IEC 27001:2009 – Công nghệ thông tin - Kỹ thuật an toàn – Các hệ thống quản lý
an toàn thông tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security
techniques - Information security management systems – Requirements).
[2] TCVN ISO/IEC 27002:2011 – Công nghệ thông tin - Kỹ thuật an toàn – Quy trình kỹ thuật
cho quản lý an toàn thông tin (TCVN ISO/IEC 27002:2011 – Information technology –
Security techniques – Code of practice for information security management).
[3] ISO/IEC 27000:2009 – Information technology – Security techniques - Information security
management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thông
tin - Kỹ thuật an toàn – Các hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng).
[4] ISO/IEC 7498 – Information technology – Open Systems Interconnection – Basis Reference
Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối các hệ thống mở – Mô hình tham
chiếu cơ sở).
[5] ISO/IEC 27005:2011– Information technology – Security techniques – Information security
risk management (ISO/IEC 27005:2011 – Công nghệ thông tin - Kỹ thuật an toàn – Quản lý
rủi ro an toàn thông tin).
3. Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong ISO/IEC 7498, ISO/IEC 27000, TCVN
27001, ISO/IEC 27005 và các thuật ngữ, định nghĩa sau:
CHÚ THÍCH: Các thuật ngữ và định nghĩa dưới đây cũng sẽ áp dụng cho các phần có thể có tiếp theo của TCVN xxxx.
3.1
Cảnh báo (alert)
Chỉ báo “tức thời” cho thấy hệ thống thông tin và mạng có thể đang bị tấn công, hoặc trong tình

trạng nguy hiểm bởi những sự cố, hỏng hóc hoặc do lỗi con người
3.2
Kiến trúc (architecture)
10
TCVN xxxx-1:2012
Tổ chức cơ bản của một hệ thống được thể hiện bởi: các thành phần của nó; quan hệ giữa các
thành phần với nhau; quan hệ giữa các thành phần với môi trường; nguyên tắc dẫn đến thiết kế
và tiến triển của hệ thống
3.3
Đối tượng tấn công (attacker)
Người có chủ ý khai thác các điểm yếu trong các biện pháp an toàn kĩ thuật lẫn phi kĩ thuật nhằm
ăn cắp hoặc gây hại đối với các hệ thống và mạng thông tin hoặc gây hại đối với tính sẵn sàng
trong việc sử dụng các tài nguyên của hệ thống và mạng thông tin của những người sử dụng hợp
pháp.
3.4
Nhật ký kiểm toán (audit logging)
Việc ghi lại dữ liệu về các sự kiện an toàn thông tin cho mục đích soát xét, phân tích và giám sát
liên tục
3.5
Công cụ kiểm toán (audit tools)
Các công cụ tự động để hỗ trợ cho việc phân tích nội dung của nhật ký kiểm toán
3.6
Cơ quan chứng thực (certification authority – CA)
Cơ quan được tin tưởng bởi một hay nhiều người sử dụng để tạo ra và cấp các chứng chỉ khóa
công khai
CHÚ THÍCH 1: Cơ quan chứng thực có thể tùy chọn để tạo ra các chìa khóa người sử dụng.
CHÚ THÍCH 2: Vai trò của cơ quan chứng thực trong quy trình này là đảm bảo rằng cá nhân được cấp chứng chỉ duy
nhất trong thực tế chính là cá nhân mà cơ quan chứng thực xác nhận. Thông thường, điều đó có nghĩa là cơ quan
chứng thực có một sự thỏa thuận với một tổ chức cung cấp cho cơ quan chứng thực những thông tin để xác nhận danh
tính được khẳng định của một cá nhân. Các cơ quan chứng thực chính là một thành tố quan trọng trong an toàn thông

tin và thương mại điện tử bởi vì họ đảm bảo rằng hai bên trao đổi thông tin thực sự chính là những người mà họ xác
nhận.
3.7
Chính sách an toàn thông tin của tổ chức (corporate information security policy)
Tài liệu mô tả chỉ dẫn quản lý và hỗ trợ cho an toàn thông tin phù hợp với các yêu cầu nghiệp vụ
và các luật, qui định thích hợp
CHÚ THÍCH: Tài liệu mô tả các yêu cầu an toàn thông tin ở mức cao buộc phải thực hiện trong toàn bộ tổ chức.
3.8
Miền phi quân sự (Demilitarized zone - DMZ)
11
TCVN xxxx-1:2012
Mạng vành đai (cũng được biết đến như một mạng lá chắn) được chèn vào như một “mạng nằm
giữa” các mạng
3.9
Từ chối dịch vụ (denined of service – DoS)
Sự ngăn cản việc truy cập hợp pháp đến một tài nguyên hệ thống hoặc làm cản trở hoạt động và
chức năng hệ thống, dẫn đến kết quả là làm mất đi tính sẵn sàng đối với người sử dụng hợp pháp
3.10
Mạng Extranet (extranet)
Sự mở rộng mạng Intranet của một tổ chức, đặc biệt trên hạ tầng mạng công cộng, cho phép chia
sẻ tài nguyên giữa tổ chức này với các tổ chức và các cá nhân liên quan khác bằng cách cung
cấp truy cập có giới hạn đối với mạng Intranet của tổ chức đó
CHÚ THÍCH: Ví dụ, các khách hàng của một tổ chức có thể được cung cấp truy cập đến một vài bộ phận của mạng
Intranet của tổ chức đó, tạo ra mạng Extranet, nhưng các khách hàng không thể được xem là “tin cậy” từ một quan điểm
an toàn.
3.11
Lọc (filtering)
Quy trình chấp nhận hoặc từ chối luồng dữ liệu truyền trên mạng, dựa trên các tiêu chí cụ thể
3.12
Tường lửa (firewall)

Được xem như là một dạng hàng rào an toàn được đặt giữa các môi trường mạng – bao gồm một
thiết bị chuyên dụng hoặc một tập hợp gồm các thành phần và kỹ thuật – mà thông qua đó chỉ cho
phép luồng dữ liệu hợp pháp, được xác định dựa trên các chính sách an toàn cục bộ được trao
đổi từ môi trường mạng khác và ngược lại.
3.13
Hub
Thiết bị mạng hoạt động tại lớp 1 của mô hình tham chiếu OSI
CHÚ THÍCH: Không có đặc tính thông minh thực sự trong các thiết bị mạng này; chúng chỉ cung cấp các điểm kết nối
vật lý cho các hệ thống hoặc tài nguyên mạng.
3.14
Mạng Internet
Hệ thống toàn cầu kết nối các mạng trong một miền công cộng
3.15
internet
12
TCVN xxxx-1:2012
Tập hợp các mạng được kết nối với nhau gọi là liên mạng hay internet
3.16
Mạng Intranet (intranet)
Mạng máy tính cá nhân mà sử dụng các giao thức Internet và kết nối mạng để chia sẻ thông tin
hay các hoạt động của một tổ chức với các nhân viên một cách an toàn
3.17
Xâm nhập (intrusion)
Truy cập bất hợp pháp đến một mạng hoặc một hệ thống kết nối mạng, tức là cố ý hoặc vô ý truy
cập bất hợp pháp đến một hệ thống thông tin, bao gồm hoạt động gây hại cho một hệ thống thông
tin hoặc sử dụng bất hợp pháp tài nguyên trong một hệ thống thông tin
3.18
Phát hiện xâm nhập (intrusion detection)
Là quy trình chính thức phát hiện xâm nhập được đặc trưng bằng việc thu thập các thông tin về
các mẫu sử dụng không bình thường cũng như làm gì, làm như thế nào , điểm yếu nào đã bị khai

thác , nó xảy ra như thế nào và xảy ra khi nào.
CHÚ THÍCH: Xem ISO/IEC 18043.
3.19
Hệ thống phát hiện xâm nhập (intrusion detection system – IDS)
Hệ thống kỹ thuật mà được sử dụng nhằm phát hiện việc một xâm nhập đã được thực hiện, đang
xuất hiện hoặc khả năng đối phó với những xâm nhập khi đã bị xâm nhập trong các mạng và các
hệ thống thông tin.
CHÚ THÍCH: Xem ISO/IEC 18043.
3.20
Ngăn ngừa xâm nhập (intrusion prevention)
Quy trình chính thức của việc phản ứng tích cực để ngăn ngừa những xâm nhập
3.21
Hệ thống ngăn ngừa xâm nhập (intrusion prevention system – IPS)
Một dạng của hệ thống phát hiện xâm nhập, được thiết kế riêng nhằm cung cấp khả năng đối phó
xâm nhập một cách linh hoạt
CHÚ THÍCH: Xem ISO/IEC 18043.
3.22
13
TCVN xxxx-1:2012
Phần mềm độc hại (malware)
Phần mềm độc hại được thiết kế riêng để phá hủy hoặc làm dừng một hệ thống, tấn công vào tính
bí mật, tính toàn vẹn và/hoặc tính sẵn sàng
CHÚ THÍCH: Các virus và Trojan horses là các ví dụ của phần mềm độc hại.
3.23
Chuyển mạch nhãn đa giao thức (Multi protocol label switching - MPLS)
Là một kỹ thuật, được phát triển để sử dụng trong định tuyến liên mạng, theo đó, các nhãn được
gán cho các đường dẫn hoặc các luồng dữ liệu riêng, và được sử dụng để chuyển mạch kết nối,
bên dưới và độc lập với các cơ chế giao thức định tuyến thông thường
CHÚ THÍCH: Chuyển mạch nhãn có thể được sử dụng như một phương pháp thiết lập đường hầm.
3.24

Quản trị mạng (network administration)
Vận hành và quản lý hàng ngày các quy trình mạng và các tài sản sử dụng các mạng
3.25
Bộ phân tích mạng (network analyzer)
Thiết bị hay phần mềm được sử dụng để quan sát và phân tích những thông tin truyền trên mạng
CHÚ THÍCH: Trước khi phân tích luồng thông tin thì cần phải thu thập thông tin theo một cách cụ thể như bằng việc sử
dụng một bộ sniffer mạng.
3.26
Phần tử mạng (network element)
Hệ thống thông tin được kết nối đến một mạng
3.27
Quản lý mạng (network management)
Quy trình lập kế hoạch, thiết kế, triển khai, vận hành, giám sát và duy trì một mạng
3.28
Giám sát mạng (network monitoring)
Quy trình liên tục quan sát và soát xét bản ghi dữ liệu trong các hoạt động và vận hành mạng, bao
gồm các bản ghi kiểm toán và các cảnh báo, và bản phân tích liên quan
3.29
Chính sách an toàn mạng (network security policy)
14
TCVN xxxx-1:2012
Một tập hợp gồm các điều khoản, qui tắc và bài thực hành mà giải thích phương pháp của tổ chức
đối với việc sử dụng các tài nguyên mạng của tổ chức đó, và xác định hạ tầng mạng và dịch vụ
mạng của tổ chức đó được bảo vệ như thế nào
3.30
Bộ sniffer mạng (network sniffer)
Thiết bị hay phần mềm được sử dụng để bắt các thông tin truyền trên mạng
3.31
Cổng (port)
Điểm cuối đối với một kết nối

CHÚ THÍCH: Trong ngữ cảnh của giao thức Internet, một cổng là một kênh logic đầu cuối của một kết nối TCP hoặc
UDP. Các giao thức ứng dụng dựa trên TCP hoặc UDP thường được gán các số cổng mặc định, như cổng 80 cho giao
thức HTTP.
3.32
Truy cập từ xa (remote access)
Quá trình truy cập tài các nguyên mạng từ mạng khác, hoặc từ một thiết bị đầu cuối mà thường
xuyên không có kết nối vật lý hoặc logic trực tiếp đến mạng mà nó đang truy cập
3.33
Người sử dụng từ xa (remote user)
Người sử dụng tại vị trí khác với vị trí chứa tài nguyên mạng đang được sử dụng
3.34
Bộ định tuyến (router)
Thiết bị mạng được sử dụng để thiết lập và điều khiển luồng dữ liệu giữa các mạng khác nhau
bằng cách chọn lựa các đường đi hoặc tuyến dựa trên các giao thức mạng và thuật toán định
tuyến
CHÚ THÍCH 1: Các mạng có thể dựa trên các giao thức khác nhau.
CHÚ THÍCH 2: Thông tin định tuyến được lưu giữ trong bảng định tuyến.
3.35
Miền an toàn (security domain)
Một tập hợp gồm các tài sản và nguồn lực phụ thuộc vào một chính sách an toàn chung
3.36
Cổng an toàn (security gateway)
15
TCVN xxxx-1:2012
Điểm kết nối giữa các mạng, hoặc giữa các nhóm trong mạng, hoặc giữa các phần mềm ứng
dụng trong các miền an toàn khác nhau nhằm bảo vệ mạng theo các chính sách an toàn mạng đã
được đưa ra
3.37
Thư rác (spam)
Thư điện tử tự gửi đến, có thể mang các nội dung phần mềm độc hại và/hoặc các bản tin lừa đảo

3.38
Sự giả mạo (spoofing)
Mạo nhận tài nguyên hoặc người dùng hợp pháp
3.39
Thiết bị chuyển mạch (switch)
Thiết bị cung cấp kết nối giữa các thiết bị mạng bằng cơ chế chuyển mạch trong, với công nghệ
chuyển mạch được triển khai tại lớp 2 hoặc lớp 3 của mô hình tham chiếu OSI.
CHÚ THÍCH: Các thiết bị chuyển mạch được phân biệt với các thiết bị kết nối mạng cục bộ (như là hub) bởi vì công
nghệ được sử dụng trong các bộ chuyển mạch là thiết lập các kết nối trên cơ sở điểm tới điểm.
3.40
Đường hầm (tunnel)
Đường dẫn dữ liệu giữa các thiết bị kết nối mạng, được thiết lập thông qua một hạ tầng
mạng đang tồn tại
CHÚ THÍCH: Các đường hầm có thể được thiết lập bằng cách sử dụng các kỹ thuật như đóng gói giao thức,
chuyển mạch nhãn, hoặc mạch ảo.
3.41
Mạng cục bộ ảo (virtual local area network)
Một mạng độc lập, có tính logic được tạo ra từ hạ tầng mạng vật lý
4 Các thuật ngữ viết tắt
CHÚ THÍCH: Các thuật ngữ viết tắt sau được sử dụng trong tất cả các phần của TCVN xxxx.
AAA Xác thực, quyền hạn và kế toán Authentication, Authorization and
Accounting
ACL Danh sách điều khiển truy cập Access Control List
ADSL Đường dây thuê bao số bất đối xứng Asymmetric Digital Subsciber Line
AES Tiêu chuẩn mã hóa nâng cao Advanced Encryption Standard
ATM Chế độ truyền tải không đồng bộ Asynchronous Transfer Mode
BPL Đường nguồn băng rộng Broadband power line
CA Cơ quan chứng thực Certification authority
CDPD Dữ liệu gói kiểu Cellular số Cellular Digital Packet Data
CDMA Đa truy cập phân chia theo mã Code Division Multiple Access

CLID Nhận dạng đường dây gọi tới Calling Line Identifier
CLNP Giao thức mạng không tin tưởng Connectionless Network Protocol
16
TCVN xxxx-1:2012
CoS Lớp dịch vụ Class of Service
CRM Quản lý quan hệ khách hàng Customer Relationship Management
DEL Đường dây trao đổi trực tiếp Direct Exchange Line
DES Tiêu chuẩn mã hóa dữ liệu Data Encryption Standard
DMZ Miền phi quân sự Demilitarized Zone
DNS Dịch vụ tên miền Domain Name Service
DNPSS Hệ thống báo hiệu mạng riêng kỹ thuật số Digital private network signaling
system
DoS Từ chối dịch vụ Denial of Service
DSL Đường thuê bao số Digital Subscriber Line
EDGE Phát triển GSM với tốc độ dữ liệu được nâng
cao.
Enhanced Data-Rates for GSM
Evolution
EDI Hệ thống trao đổi dữ liệu điện tử Electronic Data Interchange
EGPRS Dịch vụ vô tuyến gói tổng quát nâng cao Enhanced General Packet Radio
Service
EIS Hệ thống thông tin doanh nghiệp Enterprise Information System
FiOS Dịch vụ truyền dẫn bằng cáp quang Fiber optic service
FTP Giao thức truyền tải tập tin File Transfer Protocol
FTTH Cáp quang đến tận nhà Fiber to the home
GPRS Dịch vụ vô tuyến gói tổng quát General Packet Radio Service
GSM Hệ thống toàn cầu cho truyền thông di động Global System for Mobile
communication
HIDS Hệ thống phát hiện xâm nhập cho máy chủ Host based Intrusion Detection
System

HTTP Giao thức truyền tải siêu văn bản Hypertext Transfer Protocol
IDS Hệ thống phát hiện xâm nhập Intrusion Detection System
IG Hướng dẫn triển khai Implementation guidance
IP
IPS
Giao thức Internet
Hệ thống ngăn ngừa xâm nhập
Internet Protocol
Intrusion Prevention System
ISP Nhà cung cấp dịch vụ Internet Internet Service Provider
IT Công nghệ thông tin Information Technology
LAN Mạng cục bộ Local Area network
MPLS Chuyển mạch nhãn đa giao thức Multi- Protocol Label Switching
MRP Kế hoạch hóa tài nguyên sản xuất Manufacturing Resource Planning
NAT Chuyển dịch địa chỉ mạng Network Address Translation
NIDS Hệ thống phát hiện xâm nhập mạng Network Intrusion Detection System
NTP Giao thức quản lý thời gian mạng Network Time Protocol
17
TCVN xxxx-1:2012
OOB Ngoài dải Out of Band
PABX Tổng đài điện thoại nội bộ tự động Private automated brand (telephone)
exchange
PC Máy tính cá nhân Personal Computer
PDA Máy trợ giúp dữ liệu cá nhân Personal Data Assistant
PIN Số xác nhận cá nhân Personal Identificaiton number
PKI Hạ tầng khóa công khai Public Key Infrastructure
PSTN Mạng điện thoại chuyển mạch công cộng Public Switched Telephone Networks
QoS Chất lượng dịch vụ Quality of Service
RAID Hệ thống đĩa dự phòng Redundant Array of Inexpensive
Disks

RAS Dịch vụ truy cập từ xa Remote Access Service
RTP Giao thức quản lý thời gian thực Real Time Protocol
SDSL Đường dây thuê bao số đối xứng Symmetric Digital Subscriber Line
SecOPs Qui trình vận hành an toàn Security Operating Procedures
SIM Mô đun nhận biết thuê bao Subscriber Identity Module
SNMP Giao thức quản lý mạng đơn giản Simple Network Management
Protocol
SPIT Thư rác trên thoại IP Spam over IP telephony
SSH Giao thức mạng truyền dữ liệu an toàn Secure Shell
TCP Giao thức điều khiển truyền tải Transmission Control Protocol
TDMA Đa truy cập phân chia thời gian Time Division Multiple Access
TETRA Sóng vô tuyến đường truyền mặt đất Terrestrial Trunked Radio
TKIP Giao thức toàn vẹn sử dụng khóa thời gian Temporal Key Integrity Protocol
UDP Giao thức gói dữ liệu người dùng User Datagram Protocol
UMTS Hệ thống viễn thông di động toàn cầu Universal Mobile Telecommunication
System
UPS Nguồn cung cấp điện liên tục (Bộ lưu điện) Uninterruptible Power Supply
USB Cổng kết nối tổng hợp Universal Serial Bus
VHF Tần số rất cao Very High Frquency
VoIP Thoại trên IP (Thoại trên giao thức Internet) Voice over IP (Internet Protocol)
VLAN Mạng cục bộ ảo Virtual local area network
VPN Mạng riêng ảo Virtual Private Network
WAN Mạng diện rộng Wide Area Network
WAP Giao thức ứng dụng không dây Wireless Application Protocol
WEP Một thuật toán bảo mật cho mạng không dây
IEEE 802.11
Wired Equivalent Privacy
WLAN Mạng cục bộ không dây Wireless Local Area Network
WORM Ghi một lần đọc nhiều lần Write Once Read Many
18

TCVN xxxx-1:2012
WPA Giao thức bảo mật để bảo vệ các mạng máy
tính không dây
Wi-Fi protected access
3G
QoS
Hệ thống điện thoại di động thế hệ thứ ba
Chất lượng dịch vụ
Third generation mobile telephone
system
Quality of Service
5 Cấu trúc
Cấu trúc của bộ tiêu chuẩn TCVN xxxx được thể hiện dưới dạng biểu đồ, hay “chỉ dẫn” trong Hình
1 ở dưới.
Lưu ý rằng, trong Hình 1, các đường liền biểu thị thứ tự tự nhiên của các Phần trong Tiêu chuẩn
TCVN xxxx, các đường đứt quãng chỉ ra rằng các quy trình được mô tả trong (a) Phần 1 – Phần 3,
4, 5, 6 và 7 có thể được tham khảo để có những thông tin về các rủi ro an toàn, và (b) Phần 2 –
Phần 3, 4, 5, 6, và 7 có thể được tham khảo để có những thông tin về các kỹ thuật thiết kế và các
vấn đề về biện pháp. Hơn nữa, có các tham chiếu trong Phần 3 đối với các khía cạnh cụ thể có
trong Phần 4, 5, 6 và 7 để tránh lặp lại (tức là khi sử dụng Phần 3, có thể cần tham khảo Phần 4,
5, 6 và 7).
Do đó, đối với bất kì tổ chức nào bắt đầu từ đầu, hay thực hiện soát xét chủ yếu (các) mạng đang
tồn tại, trước hết phải sử dụng nội dung Phần 1 và sau đó là Phần 2, nhưng tham khảo khi cần
thiết và thích hợp những thông tin về các rủi ro an toàn, các kỹ thuật thiết kế và các vấn đề về biện
pháp trong Phần 3 đến Phần 7.
Ví dụ, một tổ chức đang xem xét việc triển khai một môi trường mạng mới mà bao gồm việc sử
dụng hạ tầng mạng IP, các cổng an toàn và một số sử dụng công nghệ không dây, cũng như sử
dụng lưu trữ web và Internet (như đối với thư điện tử và truy cập trực tuyến gửi đi).
Khi sử dụng các quy trình được mô tả trong Phần 1 để xác định các rủi ro an toàn đối với môi
trường mạng mới, tổ chức có thể tham khảo những thông tin liên quan đến rủi ro từ các Phần có

liên quan khác của TCVN xxxx, tức là các Phần mà xác định những rủi ro an toàn cụ thể (cũng
như các kỹ thuật thiết kế và các vấn đề về biện pháp) liên quan đến hội tụ IP, các cổng an toàn và
sử dụng công nghệ không dây, cũng như sử dụng lưu trữ web và Internet (như đối với thư điện tử
và truy cập trực tuyến).
Khi sử dụng Phần 2 để xác định kiến trúc an toàn kỹ thuật mạng cần thiết, tổ chức có thể tham
khảo thông tin về các kỹ thuật thiết kế và các vấn đề về biện pháp từ các Phần có liên quan khác
của TCVN xxxx, tức là các Phần mà xác định các kỹ thuật thiết kế và các vấn đề về biện pháp cụ
thể (cũng như các rủi ro an toàn) – liên quan đến hội tụ IP, các cổng an toàn và sử dụng công
19
TCVN xxxx-1:2012
nghệ không dây, cũng như sử dụng lưu trữ web và Internet (như đối với thư điện tử và truy cập
trực tuyến).
Hình 1 - Chỉ dẫn bộ TCVN xxxx
Có thể có những phần khác của TCVN xxxx trong tương lai. Các ví dụ về các chủ đề có thể có
trong những phần đó có thể là mạng cục bộ, mạng diện rộng, mạng băng rộng, lưu trữ web,
Internet, và truy cập định tuyến đến các tổ chức của các bên thứ ba. Trọng tâm của tất cả những
phần này sẽ bao gồm, nhưng không giới hạn, ba nội dung chính sau: các rủi ro, những kỹ thuật
thiết kế và các vấn đề về biện pháp.
Cấu trúc của TCVN xxxx bao gồm:
• Một tổng quan về phương pháp đối với an toàn mạng (xem Điều 6),
Phần 1
Hướng dẫn cho an toàn mạng
Phần 3
Các kịch bản mạng tham chiếu –
Rủi ro, thiết kế, kỹ thuật và các vấn
đề về biện pháp
Phần 2
Hướng dẫn thiết kế và triển
khai an toàn mạng
Phần 5

An toàn thông
tin qua các
mạng sử dụng
mạng riêng ảo
(VPN) – Rủi ro,
kỹ thuật thiết kế
và các vấn đề
về biện pháp
Phần 4
An toàn thông
tin giữa các
mạng sử dụng
cổng an toàn –
Rủi ro, kỹ thuật
thiết kế và các
vấn đề về biện
pháp
Phần 7
An toàn thông
tin qua các
mạng sử dụng
công nghệ
không dây và
sóng vô tuyến –
Rủi ro, kỹ thuật
thiết kế và các
vấn đề về biện
pháp
Phần 6
An toàn thông

tin qua các
mạng sử dụng
hạ tầng mạng
IP – Rủi ro, kỹ
thuật thiết kế
và các vấn đề
về biện pháp
20
TCVN xxxx-1:2012
• Một bản tóm tắt quy trình nhận dạng các rủi ro có liên quan đến mạng và chuẩn bị xác định
các biện pháp an toàn, tức là thiết lập các yêu cầu an toàn mạng (xem Điều 7),
• Một tổng quan về các biện pháp mà hỗ trợ các kiến trúc kỹ thuật an toàn mạng và các biện
pháp kỹ thuật có liên quan của các kiến trúc đó, tức là các biện pháp khác (phi kỹ thuật và
kỹ thuật) mà có khả năng áp dụng không chỉ cho mạng (xem Điều 8). Các tham chiếu
được cung cấp cho những nội dung có liên quan của TCVN ISO/IEC 27001:2009, TCVN
ISO/IEC 27002:2011 và ISO/IEC 27005,
• Một phần giới thiệu về cách đạt được các kiến trúc an toàn kỹ thuật có chất lượng mà sẽ
đảm bảo an toàn mạng thích hợp cho môi trường nghiệp vụ kinh doanh của tổ chức, sử
dụng một phương pháp phù hợp với việc lập kế hoạch và thiết kế an toàn mạng, như có
liên quan được bổ trợ bởi việc sử dụng các mô hình/các khung (tức là một phần giới thiệu
về nội dung của TCVN xxxx-2) (xem Điều 9),
• Một phần giới thiệu về các rủi ro, thiết kế, các kỹ thuật và các vấn đề về biện pháp cụ thể
liên quan đến các kịch bản mạng tham chiếu (tức là một phần giới thiệu về nội dung của
TCVN xxxx-3) (xem Điều 10),
• Một phần giới thiệu về các rủi ro, các kỹ thuật thiết kế và các vấn đề về biện pháp cụ thể
cho các chủ đề về “công nghệ” mạng (tức là một phần giới thiệu về nội dung của TCVN
xxxx-4, TCVN xxxx-5, TCVN xxxx-6, TCVN xxxx-7 và các phần khác có thể có trong tương
lai) (xem Điều 11 và Phụ lục A)
• Một bản tóm tắt các vấn đề liên quan tới việc phát triển, triển khai và kiểm thử giải pháp an
toàn mạng (xem Điều 12), vận hành giải pháp an toàn mạng (xem Điều 13), và giám sát và

soát xét liên tục việc triển khai an toàn mạng (xem Điều 14), và
• Một bảng tham khảo chéo giữa an toàn mạng TCVN ISO/IEC 27001/27002 liên quan tới
các biện pháp và các điều khoản của TCVN xxxx-1 được trình bày ở Phụ lục B.
6 Tổng quan
6.1 Khái quát
Một ví dụ môi trường mạng mà có thể thấy trong rất nhiều tổ chức hiện nay được đưa ra trong
Hình 2 dưới đây. (Hình 2 chỉ hoàn toàn dành cho các mục đích minh họa trong phần tổng quan
này, và không có ý định dành cho bất cứ một mục đích nào khác).
21
TCVN xxxx-1:2012
Hình 2 – Ví dụ môi trường mạng
Mạng Intranet xác định mạng mà một tổ chức dựa vào và duy trì từ bên trong. Thông thường, chỉ
các cá nhân làm việc cho tổ chức mới được truy cập trực tiếp vào mạng, và do mạng được đặt
trong phạm vi mà tổ chức làm chủ nên mức độ bảo vệ có thể dễ dàng đạt được. Trong hầu hết
các trường hợp, mạng Intranet không đồng nhất về các công nghệ được sử dụng và các yêu cầu
an toàn; có thể có những hạ tầng mà đòi hỏi mức bảo vệ cao hơn so với mức mà chính mạng
Intranet đưa ra. Các hạ tầng như vậy, ví dụ như các phần quan trọng của một môi trường PKI, có
thể được vận hành trong một đoạn xác định của mạng Intranet. Mặt khác, các công nghệ hiện thời
(như các hạ tầng WLAN) có thể yêu cầu sự cách ly và xác thực vì chúng phát sinh thêm các rủi ro.
Trong cả hai trường hợp, các cổng an toàn bên trong có thể được sử dụng để triển khai việc phân
đoạn này.
Các yêu cầu trong nghiệp vụ của phần lớn các tổ chức ngày nay cần những phương tiện liên lạc
và trao đổi dữ liệu với các đối tác bên ngoài và các tổ chức khác. Thông thường, các đối tác kinh
doanh quan trọng nhất được kết nối bằng cách trực tiếp mở rộng kết nối mạng Intranet của tổ
chức với mạng của tổ chức đối tác; khái niệm mạng Extranet thường được sử dụng cho các mở
rộng như vậy. Bởi vì độ tin cậy trong các tổ chức đối tác được kết nối trong phần lớn các trường
22
TCVN xxxx-1:2012
hợp thường thấp hơn so với trong cùng tổ chức, các cổng an toàn mạng extranet được sử dụng
để kiểm soát các rủi ro do các kết nối này phát sinh.

Các mạng công cộng, mà mạng Internet là ví dụ chung nhất của loại mạng này, ngày nay được sử
dụng rộng rãi nhằm cung cấp các phương tiện thông tin và trao đổi dữ liệu tối ưu về chi phí với
các đối tác, khách hàng, và công chúng nói chung, và cung cấp các dạng mở rộng khác nhau của
mạng Intranet. Do mức độ tin cậy thấp trong các mạng công cộng, đặc biệt là Internet, nên cần
phải có các cổng an toàn tinh vi nhằm hỗ trợ quản lý các rủi ro có liên quan. Các cổng an toàn này
bao gồm các thành phần đặc trưng để đáp ứng các yêu cầu của các dạng mở rộng khác nhau của
mạng Intranet cũng như các kết nối của đối tác và khách hàng.
Người sử dụng từ xa có thể được kết nối thông qua công nghệ VPN, và họ có thể sử dụng thêm
các phương tiện kết nối không dây như các điểm truy cập WLAN công cộng để truy cập Internet.
Một lựa chọn khác, người sử dụng từ xa có thể sử dụng mạng điện thoại để thiết lập các kết nối
quay số trực tiếp đến một máy chủ truy cập từ xa, máy chủ này thường được đặt bên trong môi
trường DMZ của tường lửa Internet.
Khi một tổ chức quyết định sử dụng các công nghệ VoIP để triển khai mạng điện thoại nội bộ thì
các cổng an toàn thích hợp với mạng điện thoại thường cũng phải hiện diện.
Các cơ hội nghiệp vụ đạt được bởi các môi trường mạng mới phải được cân đối với các rủi ro nảy
sinh từ các công nghệ mới hơn. Ví dụ, mạng Internet có một số đặc tính kỹ thuật mà có thể là
nguyên nhân của những mối lo ngại từ một quan điểm về an toàn, bởi vì ban đầu nó được thiết kế
ưu tiên tính mềm dẻo hơn là tính an toàn - và nhiều giao thức cơ bản được sử dụng rộng rãi về
bản chất là không an toàn. Có một số lượng lớn người sử dụng trong môi trường toàn cầu có khả
năng, hiểu biết và khuynh hướng truy cập vào cơ cấu hạ tầng và các giao thức cơ bản, và từ đó
tạo ra những sự cố về an toàn, trải rộng khắp từ những truy cập trái phép tới phá hoại và từ chối
các dịch vụ trên qui mô rộng.
6.2 Lập kế hoạch và quản lý an toàn mạng
Khi xem xét các kết nối mạng, tất cả các cá nhân trong tổ chức mà có trách nhiệm liên quan đến
các kết nối phải hiểu rõ các yêu cầu và lợi ích nghiệp vụ, các rủi ro an toàn có liên quan, và các
khía cạnh về kiến trúc an toàn kỹ thuật/các kỹ thuật thiết kế và các biện pháp an toàn có liên quan.
Các yêu cầu và lợi ích nghiệp vụ sẽ ảnh hưởng nhiều đến việc đưa ra các quyết định và hành
động trong quá trình xem xét các kết nối mạng, xác định các khía cạnh về kiến trúc an toàn kỹ
thuật/các kỹ thuật thiết kế và các biện pháp an toàn tiềm năng và từ đó lựa chọn, thiết kế, triển
khai và duy trì mạng an toàn.

Toàn bộ quá trình để đạt được và duy trì an toàn mạng cần thiết có thể được tóm tắt như sau:
a) Xác định phạm vi/ngữ cảnh và sau đó đánh giá các rủi ro an toàn:
23
TCVN xxxx-1:2012
1) Thu thập những thông tin trong môi trường mạng hiện thời và/hoặc mạng đã được lập
kế hoạch:
i) Soát xét chính sách an toàn thông tin doanh nghiệp để có các báo cáo về
những rủi ro liên quan đến mạng, những rủi ro mà luôn được xem là ở mức
cao, và về các biện pháp an toàn mạng cần được triển khai bất kể những rủi ro
đã được đánh giá.
CHÚ THÍCH: Chính sách này cũng phải bao gồm cả quan điểm của tổ chức về (1) các yêu cầu an
toàn có tính qui định và lập pháp liên quan đến các kết nối mạng như đã được định rõ bởi các cơ
quan lập pháp và qui định có liên quan (bao gồm các cơ quan cầm quyền thuộc quốc gia), và (2)
tính nhạy cảm của dữ liệu được lưu giữ hoặc được truyền tải trên mạng.
ii) Thu thập và soát xét những thông tin về (các) mạng hiện thời và/hoặc mạng đã
được lập kế hoạch – (các) kiến trúc, các ứng dụng, các dịch vụ, các loại kết nối
và các đặc tính khác – điều này sẽ có liên quan tới việc nhận dạng và đánh giá
các rủi ro, và xác định điều gì là có thể về mặt kiến trúc/thiết kế an toàn kỹ thuật
mạng.
iii) Thu thập những thông tin khác có khả năng đánh giá các tác động nghiệp vụ
bất lợi tiềm năng, các mối đe dọa và các điểm yếu (bao gồm giá trị đối với các
hoạt động nghiệp vụ của những thông tin được truyền tải qua các kết nối mạng,
bất kì thông tin nào khác có khả năng bị truy cập một cách bất hợp pháp thông
qua các kết nối này, và của các dịch vụ được cung cấp).
2) Xác định và đánh giá các rủi ro an toàn mạng, và các biện pháp tiềm năng thích hợp:
i) Tiến hành đánh giá rủi ro an toàn mạng và soát xét quản lý, bao gồm việc sử
dụng những thông tin về rủi ro liên quan tới các kịch bản mạng cần thiết và các
chuyên đề về “công nghệ” (xem Điều 10 và 11) – xác định các yêu cầu an toàn.
(Lưu ý rằng, điều này bao gồm (1) đánh giá các rủi ro liên quan đến các vi
phạm tiềm năng các qui định và luật pháp tương ứng liên quan đến các kết nối

mạng như đã được định rõ bởi các cơ quan lập pháp hay qui định có liên quan
(bao gồm các cơ quan cầm quyền thuộc quốc gia), và (2) sử dụng các tác động
nghiệp vụ bất lợi tiềm năng đã được chấp nhận, khẳng định tính nhạy cảm/sự
phân loại của dữ liệu được lưu giữ hoặc được truyền tải trên mạng),
b) Xác định các biện pháp an toàn hỗ trợ - các biện pháp phi kỹ thuật và kỹ thuật – những
biện pháp mà không chỉ áp dụng cho các mạng (xem Điều 8),
c) Soát xét các tùy chọn về kiến trúc/thiết kế an toàn kỹ thuật, xem xét các kịch bản mạng và
các chuyên đề về “công nghệ”, và lựa chọn và dẫn chứng bằng tài liệu kiến trúc/thiết kế an
toàn kỹ thuật được ưu tiên và các biện pháp an toàn có liên quan (xem Điều 9 đến Điều
11, và Phụ lục A). [Lưu ý rằng, điều này bao gồm các biện pháp được yêu cầu tuân thủ
theo các qui định và luật pháp tương ứng liên quan đến các kết nối mạng như đã được
24
TCVN xxxx-1:2012
định rõ bởi các cơ quan lập pháp hay qui định có liên quan (bao gồm các cơ quan cầm
quyền thuộc quốc gia)],
d) Phát triển và kiểm thử giải pháp an toàn (xem Điều 12),
e) Triển khai và vận hành các biện pháp an toàn (xem Điều 13),
f) Giám sát và soát xét việc triển khai (xem Điều 14). (Lưu ý rằng, điều này bao gồm việc
giám sát và soát xét các biện pháp được yêu cầu tuân thủ theo các qui định và luật pháp
tương ứng liên quan đến các kết nối mạng như đã được định rõ bởi các cơ quan lập pháp
hay qui định có liên quan (bao gồm các cơ quan cầm quyền thuộc quốc gia):
1) Soát xét phải được tiến hành định kì, và trong trường hợp có những thay đổi
lớn (về các yêu cầu nghiệp vụ, công nghệ, các giải pháp an toàn,…), và khi cần
thiết thì các kết quả từ các giai đoạn trước được phác thảo ở trên phải được
xem lại và cập nhật.
Tổng quan về quá trình lập kế hoạch và quản lý an toàn mạng được đưa ra dưới dạng biểu đồ
trong Hình 3 bên dưới.
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×