TCVN

TIÊU CHU
ẨN QUỐC
GIA

TCVN xxxx-1:2012
Xuất bản lần 1

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –
AN TOÀN MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM
Information technology – Security techniques – Network security –
Part 1: Overview and concepts

HÀ NỘI – 2012


TCVN xxxx-1:2012

2



TCVN xxxx-1:2012
Mục lục
1. Phạm vi áp dụng.................................................................................................................................................. 9
2. Tài liệu viện dẫn................................................................................................................................................. 10
3. Thuật ngữ và định nghĩa.................................................................................................................................... 10
4 Các thuật ngữ viết tắt......................................................................................................................................... 16
5 Cấu trúc.............................................................................................................................................................. 19
6 Tổng quan........................................................................................................................................................... 21

6.1 Khái quát..................................................................................................................................................................21
6.2 Lập kế hoạch và quản lý an toàn mạng...................................................................................................................23
7 Nhận dạng các rủi ro và chuẩn bị xác định các biện pháp an tồn.........................................................................27
7.1 Giới thiệu..................................................................................................................................................................27
7.2 Thơng tin về mạng hiện thời và/hoặc mạng đã được lập kế hoạch........................................................................27
7.2.1 Các u cầu an tồn trong chính sách an tồn thơng tin doanh nghiệp.......................................................27
7.2.2 Thơng tin về mạng hiện thời hoặc mạng đã được lập kế hoạch...................................................................27
7.2.2.1 Giới thiệu................................................................................................................................................. 28
7.2.2.2 Kiến trúc, ứng dụng và dịch vụ mạng....................................................................................................... 28
7.2.2.3 Các kiểu kết nối mạng.............................................................................................................................. 30
7.2.2.4 Các đặc tính mạng khác........................................................................................................................... 31
7.2.2.5 Những thông tin khác.............................................................................................................................. 33
7.3 Các rủi ro an tồn thơng tin và khu vực kiểm sốt tiềm năng.................................................................................33
8 Các biện pháp hỗ trợ........................................................................................................................................... 38
8.1 Giới thiệu..................................................................................................................................................................38
8.2 Quản lý an toàn mạng.............................................................................................................................................38
8.2.1 Kiến thức cơ bản......................................................................................................................................... 38
8.2.2 Các hoạt động quản lý an toàn mạng.......................................................................................................... 38
8.2.2.1 Giới thiệu................................................................................................................................................. 38
8.2.2.2 Chính sách an tồn mạng......................................................................................................................... 39
8.2.2.3 Các thủ tục vận hành an toàn mạng......................................................................................................... 39
8.2.2.4 Kiểm tra việc tuân thủ an toàn mạng....................................................................................................... 40

4


TCVN xxxx-1:2012
8.2.2.5 Điều kiện an toàn cho các kết nối mạng đa tổ chức..................................................................................40
8.2.2.6 Các điều kiện an toàn ban hành cho những người sử dụng mạng từ xa...................................................41
8.2.2.7 Quản lý sự cố an tồn mạng.................................................................................................................... 41

8.2.3 Vai trị và trách nhiệm an toàn mạng.......................................................................................................... 41
8.2.4 Giám sát mạng............................................................................................................................................ 43
8.2.5 Đánh giá an toàn mạng............................................................................................................................... 43
8.3 Quản lý điểm yếu kỹ thuật.......................................................................................................................................43
8.4 Nhận dạng và xác thực............................................................................................................................................44
8.5 Ghi nhật ký và giám sát việc kiểm toán mạng.........................................................................................................45
8.6Phát hiện và ngăn chặn xâm nhập...........................................................................................................................47
8.7 Bảo vệ chống lại mã độc..........................................................................................................................................48
8.8 Dịch vụ dựa trên mã hóa.........................................................................................................................................49
8.9 Quản lý tính liên tục trong nghiệp vụ.......................................................................................................................51
9 Hướng dẫn thiết kế và triển khai an toàn mạng................................................................................................... 52
9.1 Kiến thức cơ bản......................................................................................................................................................52
9.2 Kiến trúc/thiết kế an toàn kỹ thuật mạng................................................................................................................52
10 Các kịch bản mạng tham chiếu – Rủi ro, thiết kế, kỹ thuật và các vấn đề về biện pháp........................................55
10.1 Giới thiệu................................................................................................................................................................55
10.2 Các dịch vụ truy cập Internet cho nhân viên..........................................................................................................56
10.3 Các dịch vụ hợp tác nâng cao................................................................................................................................56
10.4 Các dịch vụ doanh nghiệp tới doanh nghiệp..........................................................................................................57
10.5 Các dịch vụ doanh nghiệp tới khách hàng.............................................................................................................57
10.6 Các dịch vụ th ngồi...........................................................................................................................................57
10.7 Phân đoạn mạng....................................................................................................................................................58
10.8 Thơng tin di động...................................................................................................................................................58
10.9 Hỗ trợ mạng cho người sử dụng di chuyển...........................................................................................................59
10.10 Hỗ trợ mạng cho hộ gia đình và các văn phịng doanh nghiệp nhỏ....................................................................59
11 Các chun đề về “cơng nghệ” – Rủi ro, kỹ thuật thiết kế và các vấn đề về biện pháp.........................................59
12 Phát triển và kiểm thử giải pháp an toàn........................................................................................................... 60

5



TCVN xxxx-1:2012
13 Vận hành giải pháp an toàn............................................................................................................................... 61
14 Giám sát và soát xét việc triển khai giải pháp..................................................................................................... 61
Phụ lục A............................................................................................................................................................... 62
Các chuyên đề về “công nghê” – Rủi ro, kỹ thuât thiết kế và các vấn đề về biện pháp .............................................62
A.1 Mạng cục bộ............................................................................................................................................................62
A.1.1 Kiến thức cơ bản........................................................................................................................................ 62
A.1.2 Các rủi ro an toàn....................................................................................................................................... 63
A.1.3 Các biện pháp an toàn................................................................................................................................ 63
A.2 Mạng diện rộng.......................................................................................................................................................65
A.2.1 Kiến thức cơ bản........................................................................................................................................ 65
A.2.2 Các rủi ro an toàn....................................................................................................................................... 66
A.2.3 Các biện pháp an tồn................................................................................................................................ 67
A.3 Mạng khơng dây......................................................................................................................................................68
A.3.1 Kiến thức cơ bản........................................................................................................................................ 68
A.3.2 Các rủi ro an toàn....................................................................................................................................... 68
A.3.3 Các biện pháp an tồn................................................................................................................................ 68
A.4 Mạng vơ tuyến.........................................................................................................................................................69
A.4.1 Kiến thức cơ bản........................................................................................................................................ 69
A.4.2 Các rủi ro an toàn....................................................................................................................................... 70
A.4.3 Các biện pháp an toàn................................................................................................................................ 71
A.5 Mạng băng rộng......................................................................................................................................................72
A.5.1 Kiến thức cơ bản........................................................................................................................................ 72
A.5.2 Các rủi ro an toàn....................................................................................................................................... 72
A.5.3 Các biện pháp an tồn................................................................................................................................ 73
A.6 Cổng thơng tin an tồn............................................................................................................................................73
A.6.1 Kiến thức cơ bản........................................................................................................................................ 73
A.6.2 Các rủi ro an toàn....................................................................................................................................... 73
A.6.3 Các biện pháp an toàn................................................................................................................................ 74
A.7 Mạng riêng ảo.........................................................................................................................................................75

A.7.1 Kiến thức cơ bản........................................................................................................................................ 75
A.7.2 Các rủi ro an toàn....................................................................................................................................... 75
A.7.3 Các biện pháp an toàn................................................................................................................................ 76
A.8 Mạng thoại..............................................................................................................................................................77
A.8.1 Kiến thức cơ bản........................................................................................................................................ 77

6


TCVN xxxx-1:2012
A.8.2 Các rủi ro an toàn....................................................................................................................................... 77
A.8.3 Các biện pháp an toàn................................................................................................................................ 78
A.9 Hội tụ IP...................................................................................................................................................................79
A.9.1 Kiến thức cơ bản........................................................................................................................................ 79
A.9.2 Các rủi ro an toàn....................................................................................................................................... 79
A.9.3 Các biện pháp an toàn................................................................................................................................ 80
A.10 Lưu trữ nội dung Web............................................................................................................................................81
A.10.1 Kiến thức cơ bản...................................................................................................................................... 81
A.10.2 Các rủi ro an toàn..................................................................................................................................... 81
A.10.3 Các biện pháp an toàn.............................................................................................................................. 82
A.11 Thư điện tử Internet..............................................................................................................................................84
A.11.1 Kiến thức cơ bản...................................................................................................................................... 84
A.11.2 Rủi ro an toàn........................................................................................................................................... 85
A.11.3 Các biện pháp an toàn.............................................................................................................................. 86
A.12 Truy cập định tuyến đến các tổ chức bên thứ ba..................................................................................................89
A.12.1 Kiến thức cơ bản...................................................................................................................................... 89
A.12.2 Rủi ro an toàn........................................................................................................................................... 91
A.12.3 Các biện pháp an toàn.............................................................................................................................. 91
A.13 Trung tâm dữ liệu Intranet....................................................................................................................................92
A.13.1 Kiến thức cơ bản...................................................................................................................................... 92

A.13.2 Rủi ro an toàn........................................................................................................................................... 92
A.13.3 Các biện pháp an toàn.............................................................................................................................. 93
Tham chiếu chéo giữa TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011 Các biện pháp liên quan đến an toàn
mạng, và các điều trong TCVN xxxx-1:2012............................................................................................................. 94
Phụ lục C............................................................................................................................................................. 100
Ví dụ mẫu đối với tài liệu về SecOP...................................................................................................................... 100
Thư mục tài liệu tham khảo................................................................................................................................. 105

7


TCVN xxxx-1:2012

Lời nói đầu
TCVN xxxx-1:2012 được xây dựng trên cơ sở ISO/IEC 27033-1.
TCVN xxxx-1:2012 do Viện Khoa học Ky thuật Bưu điện và Trung tâm Ứng cứu
Khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị,
Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ
công bố.

8


TIÊU CHUẨN QUỐC GIA

TCVN xxxx-1:2012

Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng –
Phần 1: Tổng quan và khái niệm
Information technology - Security techniques – Network security – Part 1: Overview and

concepts

1. Phạm vi áp dụng
Tiêu chuẩn TCVN xxxx-1:2012 cung cấp tổng quan về an tồn mạng và các định nghĩa liên quan. Nó
định nghĩa và mô tả các khái niệm liên quan đến an toàn mạng và cung cấp hướng dẫn quản lý về an
toàn mạng. (An toàn mạng áp dụng cho an toàn của các thiết bị, an toàn của các hoạt động quản lý
liên quan đến các thiết bị, các ứng dụng/dịch vụ, và những người sử dụng cuối, ngồi ra, cịn áp
dụng cho an tồn của những thơng tin được truyền qua các đường truyền thông).
Tiêu chuẩn này liên quan đến bất cứ ai tham gia sở hữu, vận hành hay sử dụng mạng, bao gồm
những nhà quản lý cao cấp và những nhà quản lý phi ky thuật khác hoặc những người sử dụng.
Ngồi ra, cịn có những người quản lý và những nhà quản trị, những người mà có trách nhiệm cụ thể
đối với an tồn thơng tin và/hoặc an toàn mạng, vận hành mạng, hoặc những người chịu trách nhiệm
đối với chương trình an tồn tổng thể của tổ chức và phát triển chính sách an tồn. Tiêu chuẩn này
cũng liên quan đến bất cứ ai tham gia vào việc lập kế hoạch, thiết kế và triển khai các khía cạnh kiến
trúc của an tồn mạng.
Tiêu chuẩn TCVN xxxx-1:2012 cũng:
-

Cung cấp hướng dẫn về việc nhận dạng và phân tích các rủi ro an tồn mạng và xác định các
yêu cầu an toàn mạng dựa trên các phân tích đó,

-

Cung cấp tổng quan gồm những biện pháp hỗ trợ các kiến trúc an toàn ky thuật mạng và các
biện pháp ky thuật liên quan, cũng như các biện pháp phi ky thuật và các biện pháp ky thuật
mà có khả năng áp dụng khơng chỉ cho các mạng,

-

Giới thiệu cách làm thế nào để đạt được các kiến trúc an tồn ky tḥt mạng có chất lượng

tốt, và xác định rủi ro, thiết kế và các biện pháp liên quan tới các kịch bản mạng điển hình và
các lĩnh vực “công nghệ” mạng (chúng được đưa ra một cách chi tiết trong các phần tiếp theo
của TCVN xxxx)

-

Đưa ra ngắn gọn các vấn đề liên quan tới việc triển khai và vận hành các biện pháp an toàn
mạng, giám sát và soát xét liên tục việc triển khai chúng.


TCVN xxxx-1:2012
Nói chung, Tiêu chuẩn này cung cấp tổng quan của loạt tiêu chuẩn TCVN xxxx và “chỉ dẫn” tới tất cả
các phần khác.

2. Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn
ghi năm cơng bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố
thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có)
[1]

TCVN ISO/IEC 27001:2009 – Cơng nghệ thơng tin - Ky tḥt an tồn – Các hệ thống quản lý
an tồn thơng tin – Các yêu cầu (TCVN 27001:2009 – Information technology – Security
techniques - Information security management systems – Requirements).

[2]

TCVN ISO/IEC 27002:2011 – Công nghệ thơng tin - Ky tḥt an tồn – Quy trình ky tḥt
cho quản lý an tồn thơng tin (TCVN ISO/IEC 27002:2011 – Information technology –
Security techniques – Code of practice for information security management).


[3]

ISO/IEC 27000:2009 – Information technology – Security techniques - Information security
management systems – Overview and vocabulary (ISO/IEC 27000:2009 – Công nghệ thông
tin - Kỹ thuật an tồn – Các hệ thống quản lý an tồn thơng tin – Tổng quan và từ vựng).

[4]

ISO/IEC 7498 – Information technology – Open Systems Interconnection – Basis Reference
Model (ISO/IEC 7498 – Công nghệ thông tin – Kết nối các hệ thống mở – Mơ hình tham
chiếu cơ sở).

[5]

ISO/IEC 27005:2011– Information technology – Security techniques – Information security
risk management (ISO/IEC 27005:2011 – Cơng nghệ thơng tin - Kỹ thuật an tồn – Quản lý
rủi ro an tồn thơng tin).

3. Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong ISO/IEC 7498, ISO/IEC 27000, TCVN
27001, ISO/IEC 27005 và các thuật ngữ, định nghĩa sau:
CHÚ THÍCH: Các thuật ngữ và định nghĩa dưới đây cũng sẽ áp dụng cho các phần có thể có tiếp theo của TCVN xxxx.

3.1
Cảnh báo (alert)
Chỉ báo “tức thời” cho thấy hệ thống thơng tin và mạng có thể đang bị tấn cơng, hoặc trong tình
trạng nguy hiểm bởi những sự cố, hỏng hóc hoặc do lỗi con người
3.2
Kiến trúc (architecture)
Tổ chức cơ bản của một hệ thống được thể hiện bởi: các thành phần của nó; quan hệ giữa các

thành phần với nhau; quan hệ giữa các thành phần với môi trường; nguyên tắc dẫn đến thiết kế
và tiến triển của hệ thống

10


TCVN xxxx-1:2012
3.3
Đới tượng tấn cơng (attacker)
Người có chủ ý khai thác các điểm yếu trong các biện pháp an toàn kĩ thuật lẫn phi kĩ thuật nhằm
ăn cắp hoặc gây hại đối với các hệ thống và mạng thông tin hoặc gây hại đối với tính sẵn sàng
trong việc sử dụng các tài nguyên của hệ thống và mạng thông tin của những người sử dụng hợp
pháp.
3.4
Nhật ký kiểm toán (audit logging)
Việc ghi lại dữ liệu về các sự kiện an tồn thơng tin cho mục đích sốt xét, phân tích và giám sát
liên tục
3.5
Cơng cụ kiểm tốn (audit tools)
Các công cụ tự động để hỗ trợ cho việc phân tích nội dung của nhật ký kiểm tốn
3.6
Cơ quan chứng thực (certification authority – CA)
Cơ quan được tin tưởng bởi một hay nhiều người sử dụng để tạo ra và cấp các chứng chỉ khóa
cơng khai
CHÚ THÍCH 1: Cơ quan chứng thực có thể tùy chọn để tạo ra các chìa khóa người sử dụng.
CHÚ THÍCH 2: Vai trị của cơ quan chứng thực trong quy trình này là đảm bảo rằng cá nhân được cấp chứng chỉ duy
nhất trong thực tế chính là cá nhân mà cơ quan chứng thực xác nhận. Thơng thường, điều đó có nghĩa là cơ quan
chứng thực có một sự thỏa thuận với một tổ chức cung cấp cho cơ quan chứng thực những thơng tin để xác nhận danh
tính được khẳng định của một cá nhân. Các cơ quan chứng thực chính là một thành tố quan trọng trong an tồn thơng
tin và thương mại điện tử bởi vì họ đảm bảo rằng hai bên trao đổi thơng tin thực sự chính là những người mà họ xác

nhận.

3.7
Chính sách an tồn thơng tin của tổ chức (corporate information security policy)
Tài liệu mô tả chỉ dẫn quản lý và hỗ trợ cho an toàn thông tin phù hợp với các yêu cầu nghiệp vụ
và các ḷt, qui định thích hợp
CHÚ THÍCH: Tài liệu mơ tả các u cầu an tồn thơng tin ở mức cao buộc phải thực hiện trong toàn bộ tổ chức.

3.8
Miền phi quân sự (Demilitarized zone - DMZ)

Mạng vành đai (cũng được biết đến như một mạng lá chắn) được chèn vào như một “mạng nằm
giữa” các mạng

11


TCVN xxxx-1:2012
3.9
Từ chối dịch vụ (denined of service – DoS)
Sự ngăn cản việc truy cập hợp pháp đến một tài nguyên hệ thống hoặc làm cản trở hoạt động và
chức năng hệ thống, dẫn đến kết quả là làm mất đi tính sẵn sàng đối với người sử dụng hợp pháp
3.10
Mạng Extranet (extranet)
Sự mở rộng mạng Intranet của một tổ chức, đặc biệt trên hạ tầng mạng công cộng, cho phép chia
sẻ tài nguyên giữa tổ chức này với các tổ chức và các cá nhân liên quan khác bằng cách cung
cấp truy cập có giới hạn đối với mạng Intranet của tổ chức đó
CHÚ THÍCH: Ví dụ, các khách hàng của một tổ chức có thể được cung cấp truy cập đến một vài bộ phận của mạng
Intranet của tổ chức đó, tạo ra mạng Extranet, nhưng các khách hàng không thể được xem là “tin cậy” từ một quan điểm
an tồn.


3.11
Lọc (filtering)
Quy trình chấp nhận hoặc từ chối luồng dữ liệu truyền trên mạng, dựa trên các tiêu chí cụ thể
3.12
Tường lửa (firewall)
Được xem như là một dạng hàng rào an tồn được đặt giữa các mơi trường mạng – bao gồm một
thiết bị chuyên dụng hoặc một tập hợp gồm các thành phần và ky thuật – mà thơng qua đó chỉ cho
phép luồng dữ liệu hợp pháp, được xác định dựa trên các chính sách an tồn cục bộ được trao
đổi từ mơi trường mạng khác và ngược lại.
3.13
Hub
Thiết bị mạng hoạt động tại lớp 1 của mơ hình tham chiếu OSI
CHÚ THÍCH: Khơng có đặc tính thơng minh thực sự trong các thiết bị mạng này; chúng chỉ cung cấp các điểm kết nối
vật lý cho các hệ thống hoặc tài nguyên mạng.

3.14
Mạng Internet
Hệ thống tồn cầu kết nối các mạng trong một miền cơng cộng
3.15
internet
Tập hợp các mạng được kết nối với nhau gọi là liên mạng hay internet
3.16

12


TCVN xxxx-1:2012
Mạng Intranet (intranet)
Mạng máy tính cá nhân mà sử dụng các giao thức Internet và kết nối mạng để chia sẻ thông tin

hay các hoạt động của một tổ chức với các nhân viên một cách an toàn
3.17
Xâm nhập (intrusion)
Truy cập bất hợp pháp đến một mạng hoặc một hệ thống kết nối mạng, tức là cố ý hoặc vô ý truy
cập bất hợp pháp đến một hệ thống thông tin, bao gồm hoạt động gây hại cho một hệ thống thông
tin hoặc sử dụng bất hợp pháp tài nguyên trong một hệ thống thông tin
3.18
Phát hiện xâm nhập (intrusion detection)
Là quy trình chính thức phát hiện xâm nhập được đặc trưng bằng việc thu thập các thông tin về
các mẫu sử dụng khơng bình thường cũng như làm gì, làm như thế nào , điểm yếu nào đã bị khai
thác , nó xảy ra như thế nào và xảy ra khi nào.
CHÚ THÍCH: Xem ISO/IEC 18043.

3.19
Hệ thớng phát hiện xâm nhập (intrusion detection system – IDS)
Hệ thống ky thuật mà được sử dụng nhằm phát hiện việc một xâm nhập đã được thực hiện, đang
xuất hiện hoặc khả năng đối phó với những xâm nhập khi đã bị xâm nhập trong các mạng và các
hệ thống thông tin.
CHÚ THÍCH: Xem ISO/IEC 18043.

3.20
Ngăn ngừa xâm nhập (intrusion prevention)
Quy trình chính thức của việc phản ứng tích cực để ngăn ngừa những xâm nhập
3.21
Hệ thống ngăn ngừa xâm nhập (intrusion prevention system – IPS)
Một dạng của hệ thống phát hiện xâm nhập, được thiết kế riêng nhằm cung cấp khả năng đối phó
xâm nhập một cách linh hoạt
CHÚ THÍCH: Xem ISO/IEC 18043.

3.22

Phần mềm độc hại (malware)

13


TCVN xxxx-1:2012
Phần mềm độc hại được thiết kế riêng để phá hủy hoặc làm dừng một hệ thống, tấn công vào tính
bí mật, tính tồn vẹn và/hoặc tính sẵn sàng
CHÚ THÍCH: Các virus và Trojan horses là các ví dụ của phần mềm độc hại.

3.23
Chuyển mạch nhãn đa giao thức (Multi protocol label switching - MPLS)
Là một ky thuật, được phát triển để sử dụng trong định tuyến liên mạng, theo đó, các nhãn được
gán cho các đường dẫn hoặc các luồng dữ liệu riêng, và được sử dụng để chuyển mạch kết nối,
bên dưới và độc lập với các cơ chế giao thức định tuyến thơng thường
CHÚ THÍCH: Chuyển mạch nhãn có thể được sử dụng như một phương pháp thiết lập đường hầm.

3.24
Quản trị mạng (network administration)
Vận hành và quản lý hàng ngày các quy trình mạng và các tài sản sử dụng các mạng
3.25
Bộ phân tích mạng (network analyzer)
Thiết bị hay phần mềm được sử dụng để quan sát và phân tích những thơng tin truyền trên mạng
CHÚ THÍCH: Trước khi phân tích luồng thơng tin thì cần phải thu thập thông tin theo một cách cụ thể như bằng việc sử
dụng một bộ sniffer mạng.

3.26
Phần tử mạng (network element)
Hệ thống thông tin được kết nối đến một mạng
3.27

Quản lý mạng (network management)
Quy trình lập kế hoạch, thiết kế, triển khai, vận hành, giám sát và duy trì một mạng
3.28
Giám sát mạng (network monitoring)
Quy trình liên tục quan sát và soát xét bản ghi dữ liệu trong các hoạt động và vận hành mạng, bao
gồm các bản ghi kiểm toán và các cảnh báo, và bản phân tích liên quan
3.29
Chính sách an tồn mạng (network security policy)

14


TCVN xxxx-1:2012
Một tập hợp gồm các điều khoản, qui tắc và bài thực hành mà giải thích phương pháp của tổ chức
đối với việc sử dụng các tài nguyên mạng của tổ chức đó, và xác định hạ tầng mạng và dịch vụ
mạng của tổ chức đó được bảo vệ như thế nào
3.30
Bộ sniffer mạng (network sniffer)
Thiết bị hay phần mềm được sử dụng để bắt các thông tin truyền trên mạng
3.31
Cổng (port)
Điểm cuối đối với một kết nối
CHÚ THÍCH: Trong ngữ cảnh của giao thức Internet, một cổng là một kênh logic đầu cuối của một kết nối TCP hoặc
UDP. Các giao thức ứng dụng dựa trên TCP hoặc UDP thường được gán các số cổng mặc định, như cổng 80 cho giao
thức HTTP.

3.32
Truy cập từ xa (remote access)
Quá trình truy cập tài các nguyên mạng từ mạng khác, hoặc từ một thiết bị đầu cuối mà thường
xuyên không có kết nối vật lý hoặc logic trực tiếp đến mạng mà nó đang truy cập

3.33
Người sử dụng từ xa (remote user)
Người sử dụng tại vị trí khác với vị trí chứa tài nguyên mạng đang được sử dụng
3.34
Bộ định tuyến (router)
Thiết bị mạng được sử dụng để thiết lập và điều khiển luồng dữ liệu giữa các mạng khác nhau
bằng cách chọn lựa các đường đi hoặc tuyến dựa trên các giao thức mạng và tḥt tốn định
tuyến
CHÚ THÍCH 1: Các mạng có thể dựa trên các giao thức khác nhau.
CHÚ THÍCH 2: Thơng tin định tuyến được lưu giữ trong bảng định tuyến.

3.35
Miền an toàn (security domain)
Một tập hợp gồm các tài sản và nguồn lực phụ thuộc vào một chính sách an tồn chung
3.36
Cổng an tồn (security gateway)

15


TCVN xxxx-1:2012
Điểm kết nối giữa các mạng, hoặc giữa các nhóm trong mạng, hoặc giữa các phần mềm ứng
dụng trong các miền an toàn khác nhau nhằm bảo vệ mạng theo các chính sách an tồn mạng đã
được đưa ra
3.37
Thư rác (spam)
Thư điện tử tự gửi đến, có thể mang các nội dung phần mềm độc hại và/hoặc các bản tin lừa đảo
3.38
Sự giả mạo (spoofing)
Mạo nhận tài nguyên hoặc người dùng hợp pháp

3.39
Thiết bị chuyển mạch (switch)
Thiết bị cung cấp kết nối giữa các thiết bị mạng bằng cơ chế chuyển mạch trong, với công nghệ
chuyển mạch được triển khai tại lớp 2 hoặc lớp 3 của mơ hình tham chiếu OSI.
CHÚ THÍCH: Các thiết bị chuyển mạch được phân biệt với các thiết bị kết nối mạng cục bộ (như là hub) bởi vì cơng
nghệ được sử dụng trong các bộ chuyển mạch là thiết lập các kết nối trên cơ sở điểm tới điểm.

3.40
Đường hầm (tunnel)
Đường dẫn dữ liệu giữa các thiết bị kết nối mạng, được thiết lập thông qua một hạ tầng mạng
đang tồn tại
CHÚ THÍCH: Các đường hầm có thể được thiết lập bằng cách sử dụng các ky thuật như đóng gói giao thức, chuyển
mạch nhãn, hoặc mạch ảo.

3.41
Mạng cục bộ ảo (virtual local area network)
Một mạng độc lập, có tính logic được tạo ra từ hạ tầng mạng vật lý

4 Các thuật ngữ viết tắt
CHÚ THÍCH: Các thuật ngữ viết tắt sau được sử dụng trong tất cả các phần của TCVN xxxx.

AAA

Xác thực, quyền hạn và kế toán

Authentication,

Authorization

Accounting

ACL

Danh sách điều khiển truy cập

Access Control List

ADSL

Đường dây thuê bao số bất đối xứng

Asymmetric Digital Subsciber Line

AES

Tiêu chuẩn mã hóa nâng cao

Advanced Encryption Standard

ATM

Chế độ truyền tải không đồng bộ

Asynchronous Transfer Mode

BPL

Đường nguồn băng rộng

Broadband power line


CA

Cơ quan chứng thực

Certification authority

CDPD

Dữ liệu gói kiểu Cellular số

Cellular Digital Packet Data

CDMA

Đa truy cập phân chia theo mã

Code Division Multiple Access

CLID

Nhận dạng đường dây gọi tới

Calling Line Identifier

CLNP

Giao thức mạng không tin tưởng

Connectionless Network Protocol


16

and


TCVN xxxx-1:2012
CoS

Lớp dịch vụ

Class of Service

CRM

Quản lý quan hệ khách hàng

Customer Relationship Management

DEL

Đường dây trao đổi trực tiếp

Direct Exchange Line

DES

Tiêu chuẩn mã hóa dữ liệu

Data Encryption Standard


DMZ

Miền phi quân sự

Demilitarized Zone

DNS

Dịch vụ tên miền

Domain Name Service

DNPSS

Hệ thống báo hiệu mạng riêng ky thuật số

Digital

private

network

signaling

system
DoS

Từ chối dịch vụ

Denial of Service


DSL

Đường thuê bao số

Digital Subscriber Line

EDGE

Phát triển GSM với tốc độ dữ liệu được nâng

Enhanced

cao.

Evolution

EDI

Hệ thống trao đổi dữ liệu điện tử

Electronic Data Interchange

EGPRS

Dịch vụ vơ tuyến gói tổng qt nâng cao

Enhanced

Data-Rates


General

for

Packet

GSM

Radio

Service
EIS

Hệ thống thông tin doanh nghiệp

Enterprise Information System

FiOS

Dịch vụ truyền dẫn bằng cáp quang

Fiber optic service

FTP

Giao thức truyền tải tập tin

File Transfer Protocol


FTTH

Cáp quang đến tận nhà

Fiber to the home

GPRS

Dịch vụ vơ tuyến gói tổng qt

General Packet Radio Service

GSM

Hệ thống tồn cầu cho truyền thông di động

Global System for Mobile
communication

HIDS

Hệ thống phát hiện xâm nhập cho máy chủ

Host

based

Intrusion

Detection


System
HTTP

Giao thức truyền tải siêu văn bản

Hypertext Transfer Protocol

IDS

Hệ thống phát hiện xâm nhập

Intrusion Detection System

IG

Hướng dẫn triển khai

Implementation guidance

IP

Giao thức Internet

Internet Protocol

IPS

Hệ thống ngăn ngừa xâm nhập


Intrusion Prevention System

ISP

Nhà cung cấp dịch vụ Internet

Internet Service Provider

IT

Công nghệ thông tin

Information Technology

LAN

Mạng cục bộ

Local Area network

MPLS

Chuyển mạch nhãn đa giao thức

Multi- Protocol Label Switching

MRP

Kế hoạch hóa tài nguyên sản xuất


Manufacturing Resource Planning

NAT

Chuyển dịch địa chỉ mạng

Network Address Translation

NIDS

Hệ thống phát hiện xâm nhập mạng

Network Intrusion Detection System

NTP

Giao thức quản lý thời gian mạng

Network Time Protocol
17


TCVN xxxx-1:2012
OOB

Ngoài dải

Out of Band

PABX


Tổng đài điện thoại nội bộ tự động

Private automated brand (telephone)
exchange

PC

Máy tính cá nhân

Personal Computer

PDA

Máy trợ giúp dữ liệu cá nhân

Personal Data Assistant

PIN

Số xác nhận cá nhân

Personal Identificaiton number

PKI

Hạ tầng khóa cơng khai

Public Key Infrastructure


PSTN

Mạng điện thoại chuyển mạch công cộng

Public Switched Telephone Networks

QoS

Chất lượng dịch vụ

Quality of Service

RAID

Hệ thống đĩa dự phòng

Redundant

Array

of

Inexpensive

Disks
RAS

Dịch vụ truy cập từ xa

Remote Access Service


RTP

Giao thức quản lý thời gian thực

Real Time Protocol

SDSL

Đường dây thuê bao số đối xứng

Symmetric Digital Subscriber Line

SecOPs

Qui trình vận hành an tồn

Security Operating Procedures

SIM

Mơ đun nhận biết thuê bao

Subscriber Identity Module

SNMP

Giao thức quản lý mạng đơn giản

Simple


Network

Management

Protocol
SPIT

Thư rác trên thoại IP

Spam over IP telephony

SSH

Giao thức mạng truyền dữ liệu an toàn

Secure Shell

TCP

Giao thức điều khiển truyền tải

Transmission Control Protocol

TDMA

Đa truy cập phân chia thời gian

Time Division Multiple Access


TETRA

Sóng vơ tuyến đường truyền mặt đất

Terrestrial Trunked Radio

TKIP

Giao thức tồn vẹn sử dụng khóa thời gian

Temporal Key Integrity Protocol

UDP

Giao thức gói dữ liệu người dùng

User Datagram Protocol

UMTS

Hệ thống viễn thơng di động tồn cầu

Universal Mobile Telecommunication
System

UPS

Nguồn cung cấp điện liên tục (Bộ lưu điện)

Uninterruptible Power Supply


USB

Cổng kết nối tổng hợp

Universal Serial Bus

VHF

Tần số rất cao

Very High Frquency

VoIP

Thoại trên IP (Thoại trên giao thức Internet)

Voice over IP (Internet Protocol)

VLAN

Mạng cục bộ ảo

Virtual local area network

VPN

Mạng riêng ảo

Virtual Private Network


WAN

Mạng diện rộng

Wide Area Network

WAP

Giao thức ứng dụng không dây

Wireless Application Protocol

WEP

Một tḥt tốn bảo mật cho mạng khơng dây Wired Equivalent Privacy
IEEE 802.11

WLAN

Mạng cục bộ không dây

Wireless Local Area Network

WORM

Ghi một lần đọc nhiều lần

Write Once Read Many


18


TCVN xxxx-1:2012
WPA

Giao thức bảo mật để bảo vệ các mạng máy Wi-Fi protected access
tính khơng dây

3G

Hệ thống điện thoại di động thế hệ thứ ba

Third generation mobile telephone
system

QoS

Chất lượng dịch vụ

Quality of Service

5 Cấu trúc
Cấu trúc của bộ tiêu chuẩn TCVN xxxx được thể hiện dưới dạng biểu đồ, hay “chỉ dẫn” trong Hình
1 ở dưới.
Lưu ý rằng, trong Hình 1, các đường liền biểu thị thứ tự tự nhiên của các Phần trong Tiêu chuẩn
TCVN xxxx, các đường đứt qng chỉ ra rằng các quy trình được mơ tả trong (a) Phần 1 – Phần 3,
4, 5, 6 và 7 có thể được tham khảo để có những thơng tin về các rủi ro an toàn, và (b) Phần 2 –
Phần 3, 4, 5, 6, và 7 có thể được tham khảo để có những thơng tin về các ky thuật thiết kế và các
vấn đề về biện pháp. Hơn nữa, có các tham chiếu trong Phần 3 đối với các khía cạnh cụ thể có

trong Phần 4, 5, 6 và 7 để tránh lặp lại (tức là khi sử dụng Phần 3, có thể cần tham khảo Phần 4,
5, 6 và 7).
Do đó, đối với bất kì tổ chức nào bắt đầu từ đầu, hay thực hiện soát xét chủ yếu (các) mạng đang
tồn tại, trước hết phải sử dụng nội dung Phần 1 và sau đó là Phần 2, nhưng tham khảo khi cần
thiết và thích hợp những thơng tin về các rủi ro an tồn, các ky thuật thiết kế và các vấn đề về biện
pháp trong Phần 3 đến Phần 7.
Ví dụ, một tổ chức đang xem xét việc triển khai một môi trường mạng mới mà bao gồm việc sử
dụng hạ tầng mạng IP, các cổng an tồn và một số sử dụng cơng nghệ không dây, cũng như sử
dụng lưu trữ web và Internet (như đối với thư điện tử và truy cập trực tuyến gửi đi).
Khi sử dụng các quy trình được mô tả trong Phần 1 để xác định các rủi ro an tồn đối với mơi
trường mạng mới, tổ chức có thể tham khảo những thơng tin liên quan đến rủi ro từ các Phần có
liên quan khác của TCVN xxxx, tức là các Phần mà xác định những rủi ro an toàn cụ thể (cũng
như các ky thuật thiết kế và các vấn đề về biện pháp) liên quan đến hội tụ IP, các cổng an toàn và
sử dụng công nghệ không dây, cũng như sử dụng lưu trữ web và Internet (như đối với thư điện tử
và truy cập trực tuyến).
Khi sử dụng Phần 2 để xác định kiến trúc an toàn ky thuật mạng cần thiết, tổ chức có thể tham
khảo thơng tin về các ky tḥt thiết kế và các vấn đề về biện pháp từ các Phần có liên quan khác
của TCVN xxxx, tức là các Phần mà xác định các ky thuật thiết kế và các vấn đề về biện pháp cụ
thể (cũng như các rủi ro an toàn) – liên quan đến hội tụ IP, các cổng an tồn và sử dụng cơng

19


TCVN xxxx-1:2012
nghệ không dây, cũng như sử dụng lưu trữ web và Internet (như đối với thư điện tử và truy cập
trực tuyến).
Phần 1
Hướng dẫn cho an toàn mạng

Phần 2


Phần 3

Hướng dẫn thiết kế và triển

Các kịch bản mạng tham chiếu –

khai an toàn mạng

Rủi ro, thiết kế, kỹ thuật và các vấn
đề về biện pháp

Phần 4

Phần 5

Phần 6

Phần 7

An tồn thơng

An tồn thơng

An tồn thơng

An tồn thơng

tin giữa các


tin qua các

tin qua các

tin qua các

mạng sử dụng

mạng sử dụng

mạng sử dụng

mạng sử dụng

cổng an toàn –

mạng riêng ảo

hạ tầng mạng

công nghệ

Rủi ro, kỹ thuật

(VPN) – Rủi ro,

IP – Rủi ro, kỹ

không dây và


thiết kế và các

kỹ thuật thiết kế

thuật thiết kế

sóng vơ tuyến –

vấn đề về biện

và các vấn đề

và các vấn đề

Rủi ro, kỹ thuật

pháp

về biện pháp

về biện pháp

thiết kế và các
vấn đề về biện
pháp

Hình 1 - Chỉ dẫn bộ TCVN xxxx
Có thể có những phần khác của TCVN xxxx trong tương lai. Các ví dụ về các chủ đề có thể có
trong những phần đó có thể là mạng cục bộ, mạng diện rộng, mạng băng rộng, lưu trữ web,
Internet, và truy cập định tuyến đến các tổ chức của các bên thứ ba. Trọng tâm của tất cả những

phần này sẽ bao gồm, nhưng không giới hạn, ba nội dung chính sau: các rủi ro, những ky thuật
thiết kế và các vấn đề về biện pháp.
Cấu trúc của TCVN xxxx bao gồm:
•

Một tổng quan về phương pháp đối với an toàn mạng (xem Điều 6),

20


•

TCVN xxxx-1:2012
Một bản tóm tắt quy trình nhận dạng các rủi ro có liên quan đến mạng và chuẩn bị xác định
các biện pháp an toàn, tức là thiết lập các u cầu an tồn mạng (xem Điều 7),

•

Một tổng quan về các biện pháp mà hỗ trợ các kiến trúc ky thuật an toàn mạng và các biện
pháp ky thuật có liên quan của các kiến trúc đó, tức là các biện pháp khác (phi ky thuật và
ky thuật) mà có khả năng áp dụng khơng chỉ cho mạng (xem Điều 8). Các tham chiếu
được cung cấp cho những nội dung có liên quan của TCVN ISO/IEC 27001:2009, TCVN
ISO/IEC 27002:2011 và ISO/IEC 27005,

•

Một phần giới thiệu về cách đạt được các kiến trúc an tồn ky tḥt có chất lượng mà sẽ
đảm bảo an tồn mạng thích hợp cho môi trường nghiệp vụ kinh doanh của tổ chức, sử
dụng một phương pháp phù hợp với việc lập kế hoạch và thiết kế an tồn mạng, như có
liên quan được bổ trợ bởi việc sử dụng các mơ hình/các khung (tức là một phần giới thiệu

về nội dung của TCVN xxxx-2) (xem Điều 9),

•

Một phần giới thiệu về các rủi ro, thiết kế, các ky thuật và các vấn đề về biện pháp cụ thể
liên quan đến các kịch bản mạng tham chiếu (tức là một phần giới thiệu về nội dung của
TCVN xxxx-3) (xem Điều 10),

•

Một phần giới thiệu về các rủi ro, các ky thuật thiết kế và các vấn đề về biện pháp cụ thể
cho các chủ đề về “công nghệ” mạng (tức là một phần giới thiệu về nội dung của TCVN
xxxx-4, TCVN xxxx-5, TCVN xxxx-6, TCVN xxxx-7 và các phần khác có thể có trong tương
lai) (xem Điều 11 và Phụ lục A)

•

Một bản tóm tắt các vấn đề liên quan tới việc phát triển, triển khai và kiểm thử giải pháp an
toàn mạng (xem Điều 12), vận hành giải pháp an toàn mạng (xem Điều 13), và giám sát và
soát xét liên tục việc triển khai an tồn mạng (xem Điều 14), và

•

Một bảng tham khảo chéo giữa an toàn mạng TCVN ISO/IEC 27001/27002 liên quan tới
các biện pháp và các điều khoản của TCVN xxxx-1 được trình bày ở Phụ lục B.

6 Tổng quan
6.1 Khái qt
Một ví dụ mơi trường mạng mà có thể thấy trong rất nhiều tổ chức hiện nay được đưa ra trong
Hình 2 dưới đây. (Hình 2 chỉ hồn tồn dành cho các mục đích minh họa trong phần tổng quan

này, và khơng có ý định dành cho bất cứ một mục đích nào khác).

21


TCVN xxxx-1:2012

Hình 2 – Ví dụ mơi trường mạng
Mạng Intranet xác định mạng mà một tổ chức dựa vào và duy trì từ bên trong. Thơng thường, chỉ
các cá nhân làm việc cho tổ chức mới được truy cập trực tiếp vào mạng, và do mạng được đặt
trong phạm vi mà tổ chức làm chủ nên mức độ bảo vệ có thể dễ dàng đạt được. Trong hầu hết
các trường hợp, mạng Intranet không đồng nhất về các công nghệ được sử dụng và các u cầu
an tồn; có thể có những hạ tầng mà địi hỏi mức bảo vệ cao hơn so với mức mà chính mạng
Intranet đưa ra. Các hạ tầng như vậy, ví dụ như các phần quan trọng của một mơi trường PKI, có
thể được vận hành trong một đoạn xác định của mạng Intranet. Mặt khác, các công nghệ hiện thời
(như các hạ tầng WLAN) có thể yêu cầu sự cách ly và xác thực vì chúng phát sinh thêm các rủi ro.
Trong cả hai trường hợp, các cổng an tồn bên trong có thể được sử dụng để triển khai việc phân
đoạn này.
Các yêu cầu trong nghiệp vụ của phần lớn các tổ chức ngày nay cần những phương tiện liên lạc
và trao đổi dữ liệu với các đối tác bên ngoài và các tổ chức khác. Thông thường, các đối tác kinh
doanh quan trọng nhất được kết nối bằng cách trực tiếp mở rộng kết nối mạng Intranet của tổ
chức với mạng của tổ chức đối tác; khái niệm mạng Extranet thường được sử dụng cho các mở
rộng như vậy. Bởi vì độ tin cậy trong các tổ chức đối tác được kết nối trong phần lớn các trường

22


TCVN xxxx-1:2012
hợp thường thấp hơn so với trong cùng tổ chức, các cổng an toàn mạng extranet được sử dụng
để kiểm soát các rủi ro do các kết nối này phát sinh.

Các mạng cơng cộng, mà mạng Internet là ví dụ chung nhất của loại mạng này, ngày nay được sử
dụng rộng rãi nhằm cung cấp các phương tiện thông tin và trao đổi dữ liệu tối ưu về chi phí với
các đối tác, khách hàng, và cơng chúng nói chung, và cung cấp các dạng mở rộng khác nhau của
mạng Intranet. Do mức độ tin cậy thấp trong các mạng cơng cộng, đặc biệt là Internet, nên cần
phải có các cổng an toàn tinh vi nhằm hỗ trợ quản lý các rủi ro có liên quan. Các cổng an toàn này
bao gồm các thành phần đặc trưng để đáp ứng các yêu cầu của các dạng mở rộng khác nhau của
mạng Intranet cũng như các kết nối của đối tác và khách hàng.
Người sử dụng từ xa có thể được kết nối thông qua công nghệ VPN, và họ có thể sử dụng thêm
các phương tiện kết nối khơng dây như các điểm truy cập WLAN công cộng để truy cập Internet.
Một lựa chọn khác, người sử dụng từ xa có thể sử dụng mạng điện thoại để thiết lập các kết nối
quay số trực tiếp đến một máy chủ truy cập từ xa, máy chủ này thường được đặt bên trong môi
trường DMZ của tường lửa Internet.
Khi một tổ chức quyết định sử dụng các công nghệ VoIP để triển khai mạng điện thoại nội bộ thì
các cổng an tồn thích hợp với mạng điện thoại thường cũng phải hiện diện.
Các cơ hội nghiệp vụ đạt được bởi các môi trường mạng mới phải được cân đối với các rủi ro nảy
sinh từ các công nghệ mới hơn. Ví dụ, mạng Internet có một số đặc tính ky thuật mà có thể là
nguyên nhân của những mối lo ngại từ một quan điểm về an tồn, bởi vì ban đầu nó được thiết kế
ưu tiên tính mềm dẻo hơn là tính an tồn - và nhiều giao thức cơ bản được sử dụng rộng rãi về
bản chất là khơng an tồn. Có một số lượng lớn người sử dụng trong mơi trường tồn cầu có khả
năng, hiểu biết và khuynh hướng truy cập vào cơ cấu hạ tầng và các giao thức cơ bản, và từ đó
tạo ra những sự cố về an toàn, trải rộng khắp từ những truy cập trái phép tới phá hoại và từ chối
các dịch vụ trên qui mô rộng.
6.2 Lập kế hoạch và quản lý an toàn mạng
Khi xem xét các kết nối mạng, tất cả các cá nhân trong tổ chức mà có trách nhiệm liên quan đến
các kết nối phải hiểu rõ các yêu cầu và lợi ích nghiệp vụ, các rủi ro an tồn có liên quan, và các
khía cạnh về kiến trúc an toàn ky thuật/các ky thuật thiết kế và các biện pháp an tồn có liên quan.
Các yêu cầu và lợi ích nghiệp vụ sẽ ảnh hưởng nhiều đến việc đưa ra các quyết định và hành
động trong quá trình xem xét các kết nối mạng, xác định các khía cạnh về kiến trúc an tồn ky
thuật/các ky thuật thiết kế và các biện pháp an tồn tiềm năng và từ đó lựa chọn, thiết kế, triển
khai và duy trì mạng an tồn.

Tồn bộ q trình để đạt được và duy trì an tồn mạng cần thiết có thể được tóm tắt như sau:
a)

Xác định phạm vi/ngữ cảnh và sau đó đánh giá các rủi ro an toàn:

23


TCVN xxxx-1:2012
1)

Thu thập những thông tin trong môi trường mạng hiện thời và/hoặc mạng đã được lập
kế hoạch:
i)

Sốt xét chính sách an tồn thơng tin doanh nghiệp để có các báo cáo về
những rủi ro liên quan đến mạng, những rủi ro mà luôn được xem là ở mức
cao, và về các biện pháp an toàn mạng cần được triển khai bất kể những rủi ro
đã được đánh giá.
CHÚ THÍCH: Chính sách này cũng phải bao gồm cả quan điểm của tổ chức về (1) các u cầu an
tồn có tính qui định và lập pháp liên quan đến các kết nối mạng như đã được định rõ bởi các cơ
quan lập pháp và qui định có liên quan (bao gồm các cơ quan cầm quyền thuộc quốc gia), và (2)
tính nhạy cảm của dữ liệu được lưu giữ hoặc được truyền tải trên mạng.

ii)

Thu thập và soát xét những thông tin về (các) mạng hiện thời và/hoặc mạng đã
được lập kế hoạch – (các) kiến trúc, các ứng dụng, các dịch vụ, các loại kết nối
và các đặc tính khác – điều này sẽ có liên quan tới việc nhận dạng và đánh giá
các rủi ro, và xác định điều gì là có thể về mặt kiến trúc/thiết kế an tồn ky tḥt

mạng.

iii)

Thu thập những thơng tin khác có khả năng đánh giá các tác động nghiệp vụ
bất lợi tiềm năng, các mối đe dọa và các điểm yếu (bao gồm giá trị đối với các
hoạt động nghiệp vụ của những thông tin được truyền tải qua các kết nối mạng,
bất kì thơng tin nào khác có khả năng bị truy cập một cách bất hợp pháp thông
qua các kết nối này, và của các dịch vụ được cung cấp).

2)

Xác định và đánh giá các rủi ro an toàn mạng, và các biện pháp tiềm năng thích hợp:
i)

Tiến hành đánh giá rủi ro an tồn mạng và sốt xét quản lý, bao gồm việc sử
dụng những thông tin về rủi ro liên quan tới các kịch bản mạng cần thiết và các
chuyên đề về “công nghệ” (xem Điều 10 và 11) – xác định các yêu cầu an toàn.
(Lưu ý rằng, điều này bao gồm (1) đánh giá các rủi ro liên quan đến các vi
phạm tiềm năng các qui định và luật pháp tương ứng liên quan đến các kết nối
mạng như đã được định rõ bởi các cơ quan lập pháp hay qui định có liên quan
(bao gồm các cơ quan cầm quyền thuộc quốc gia), và (2) sử dụng các tác động
nghiệp vụ bất lợi tiềm năng đã được chấp nhận, khẳng định tính nhạy cảm/sự
phân loại của dữ liệu được lưu giữ hoặc được truyền tải trên mạng),

b) Xác định các biện pháp an toàn hỗ trợ - các biện pháp phi ky thuật và ky thuật – những
biện pháp mà không chỉ áp dụng cho các mạng (xem Điều 8),
c) Soát xét các tùy chọn về kiến trúc/thiết kế an toàn ky thuật, xem xét các kịch bản mạng và
các chuyên đề về “công nghệ”, và lựa chọn và dẫn chứng bằng tài liệu kiến trúc/thiết kế an
toàn ky thuật được ưu tiên và các biện pháp an tồn có liên quan (xem Điều 9 đến Điều 11,

và Phụ lục A). [Lưu ý rằng, điều này bao gồm các biện pháp được yêu cầu tuân thủ theo
các qui định và luật pháp tương ứng liên quan đến các kết nối mạng như đã được định rõ

24


TCVN xxxx-1:2012
bởi các cơ quan lập pháp hay qui định có liên quan (bao gồm các cơ quan cầm quyền
thuộc quốc gia)],
d) Phát triển và kiểm thử giải pháp an toàn (xem Điều 12),
e) Triển khai và vận hành các biện pháp an tồn (xem Điều 13),
f)

Giám sát và sốt xét việc triển khai (xem Điều 14). (Lưu ý rằng, điều này bao gồm việc
giám sát và soát xét các biện pháp được yêu cầu tuân thủ theo các qui định và luật pháp
tương ứng liên quan đến các kết nối mạng như đã được định rõ bởi các cơ quan lập pháp
hay qui định có liên quan (bao gồm các cơ quan cầm quyền thuộc quốc gia):
1) Soát xét phải được tiến hành định kì, và trong trường hợp có những thay đổi
lớn (về các yêu cầu nghiệp vụ, cơng nghệ, các giải pháp an tồn,…), và khi cần
thiết thì các kết quả từ các giai đoạn trước được phác thảo ở trên phải được
xem lại và cập nhật.

Tổng quan về quá trình lập kế hoạch và quản lý an toàn mạng được đưa ra dưới dạng biểu đồ
trong Hình 3 bên dưới.

25