Khi các tổ chức áp dụng tiêu chuẩn này sẽ đạt được những lợi ích sau: - Cho phép cơ quan/tổ chức nhận biết các rủi ro liên quan đến an toàn mạng - Xác định phạm vi và vai trò của hệ thốn
Trang 1BỘ THÔNG TIN VÀ TRUYỀN THÔNG
TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM
THUYẾT MINH DỰ THẢO TIÊU CHUẨN
CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN –
AN TOÀN MẠNG – PHẦN 2: HƯỚNG DẪN THIẾT
KẾ VÀ TRIỂN KHAI AN TOÀN MẠNG
Information technology – Security techniques – Network security Part 2: Guidelines for the design and implementation of network security
Trang 2Hà Nội, 2015
Trang 3MỤC LỤC
Thuyết minh dự thảo quy chuẩn kỹ thuật quốc gia, tiêu chuẩn quốc gia 2
1 Khái niệm 2
1.1 Ý nghĩa thực tiễn và tính khả thi của tiêu chuẩn 2
1.2 Tính cần thiết của tiêu chuẩn 3
2 Các nội dung chính của Thuyết minh dự thảo TCVN XXXX:XXXX 3
2.1 Tên gọi và ký hiệu của tiêu chuẩn 3
2.2 Đặt vấn đề 4
2.2.1 Đặc điểm tình hình đối tượng tiêu chuẩn hóa ngoài nước, trong nước 4
2.2.2 Lý do và mục đích xây dựng 4
2.2.3 Mục tiêu 5
2.3 Sở cứ xây dựng các yêu cầu kỹ thuật 5
2.3.1 Tổng hợp và phân tích các tiêu chuẩn quốc tế, tài liệu kỹ thuật và các kết quả nghiên cứu liên quan tới đối tượng tiêu chuẩn hóa 5
2.3.2 Sử dụng tài liệu ISO/IEC 27033-2 làm tài liệu cơ sở cho việc biên soạn các yêu cầu kỹ thuật 12
2.4 Giải thích nội dung 13
2.5 Bảng đối chiếu nội dung TCVN 27033 với các tài liệu tham khảo 15
2.6 Khuyến nghị áp dụng 17
Trang 4THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA
1 Khái niệm
1.1 Ý nghĩa thực tiễn và tính khả thi của tiêu chuẩn
Tổ chức viễn thông quốc tế (ITU) với gần 200 nước thành viên Các hoạt động của ITU bao trùm các vấn đề thuộc ngành Viễn thông và Thông tin đã khuyến nghị tất cả các nước thành viên áp dụng các tiêu chuẩn quốc tế làm tiêu chuẩn quốc gia nhằm chia sẻ tài nguyên, tạo lập môi trường kinh doanh toàn cầu, thúc đẩy kinh tế, chia sẻ giải pháp các giải pháp sáng tạo, giúp các nước đang phát triển tránh được những “uổng phí công sức” do làm lại những việc mà tổ chức khác đã làm…
Bộ tiêu chuẩn ISO/IEC 27033 đưa ra các hướng dẫn thiết kế, triển khai, vận hành, duy trì, luật pháp và quy định để đảo bảo an toàn mạng…
Khi các tổ chức áp dụng tiêu chuẩn này sẽ đạt được những lợi ích sau:
- Cho phép cơ quan/tổ chức nhận biết các rủi ro liên quan đến an toàn mạng
- Xác định phạm vi và vai trò của hệ thống mạng đối với cơ quan/tổ chức
- Đưa ra các quy định, biện pháp và hướng dẫn: thiết kế, triển khai, vận hành, giám sát, soát xét, cải tiến và duy trì hệ thống mạng đảm bảo an toàn mạng cho cơ quan đơn vị
- Giảm thiểu các rủi ro và có các biện pháp chủ động trong việc phòng chống các mối đe doạ, điểm yếu an toàn thông tin
- Đảm bảo đầu tư hiệu quả cho các hệ thống thông tin
- Nâng cao uy tín, sự tin cậy đối với đối tác và khách hàng, nâng cao năng lực cạnh tranh của tổ chức/doanh nghiệp
- Nâng cao nhận thức an toàn thông tin cho bộ phận cán bộ/nhân viên trong
tổ chức
Bộ tiêu chuẩn này đã được áp dụng tại rất nhiều nước trên thế giới Một số nước cũng sử dụng bộ tiêu chuẩn này làm tiêu chuẩn quốc gia của họ như: Hà Lan, Đan Mạch, Anh, Úc… và các tiêu chuẩn này được họ ban hành thành tiêu chuẩn quốc gia của họ từ rất sớm (gần như ngay sau khi tổ chức tiêu chuẩn quốc
tế ISO/IEC ban hành các tiêu chuẩn thuộc bộ ISO/IEC 27033) như: Đan Mạch
Trang 5ban hành tiêu chuẩn DS/ISO/IEC 27033-2 ngày 28/9/2012; DS/ISO/IEC 27033-1 ngày 22/1/2010, DS/ISO/IEC 27033-3: 2011 ngày: 22/3/2013 hay Hà Lan ban hành NEN-ISO/IEC 27033-2:2012 ngày 1/8/2013, NEN-ISO/IEC 27033-2:2013 ngày 1/8/2013; NEN-ISO/IEC 27033-3:2010 ngày 1/1/2010… Điều này chứng tỏ rằng bộ tiêu chuẩn ISO/IEC 27033 được tổ chức tiêu chuẩn các nước rất quan tâm
và đón nhận Tương tự, tại Việt Nam bộ tiêu chuẩn này đã dự thảo được Bộ Thông tin và Truyền thông quan tâm và giao cho các đơn vị thuộc bộ xây dựng 03 tiêu chuẩn thuộc bộ tiêu chuẩn ISO/IEC 27033, trong đó 02 tiêu chuẩn đã ban hành thành tiêu chuẩn quốc gia bao gồm:
- TCVN 9801-1:2013, ban hành năm 2013
- Dự thảo TCVN ISO/IEC 27033-2: Trung tâm VNCERT xây dựng
- TCVN 9801-3:2014, ban hành năm 2014
1.2 Tính cần thiết của tiêu chuẩn
Do tình hình an toàn thông tin hiện nay đang rất nóng và nhiều vấn đề phúc tạp Vấn đề triển khai các biện pháp để đảm bảo an toàn mạng hết sức cần thiết Cần thiết có một bộ tiêu chuẩn để hướng dẫn: thiết kế, triển khai, vận hành, giám sát, soát xét, cải tiến và duy trì đảm bảo an toàn mạng Để hoàn thiện bộ tiêu chuẩn về an toàn mạng
Hoàn thiện bộ tiêu chuẩn ISO/IEC 27033 về an toàn mạng
2 Các nội dung chính của Thuyết minh dự thảo TCVN 27033-2
2.1 Tên gọi và ký hiệu của tiêu chuẩn
Tên tiếng việt:
CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – AN TOÀN MẠNG – PHẦN 2: HƯỚNG DẪN THIẾT KẾ VÀ TRIỂN KHAI AN TOÀN MẠNG
Tên tiếng anh:
Information technology – Security techniques – Network security
Part 2: Guidelines for the design and implementation of network security
Ký hiệu (dự kiến): TCVN 9801-2
Trang 62.2 Đặt vấn đề
2.2.1 Đặc điểm tình hình đối tượng tiêu chuẩn hóa ngoài nước, trong nước
- Tình hình tiêu chuẩn hóa trong nước:
An toàn mạng là một vấn đề quan trọng trong hệ thống thông tin, áp dụng các biện pháp đảm bảo an toàn mạng theo bộ ISO/IEC 27033 sẽ giúp các tổ chức: Xác định phạm vi và hướng dẫn các biện pháp đảm bảo an toàn mạng, hướng dẫn lập thiết kế và triển khai an toàn mạng, các kịch bản tham chiếu, các biện pháp đảm bảo an toàn giữa các mạng sử dụng: thiết bị cổng an toàn; mạng riêng ảo; mạng không dây Bộ tiêu chuẩn này cung cấp các hướng dẫn đảm bảo an toàn mạng ra đời thay thế cho bộ tiêu chuẩn ISO/IEC 18028 về an toàn mạng IT đã ban hành tiêu chuẩn quốc gia 8051
Hiện nay bộ ISO/IEC 27033 đã ban hành 05 phần và có thể sẽ có các phần ban hành tiếp theo sau đó Đến nay phần 1 và phần 3 của bộ tiêu chuẩn này đã được ban hành thành TCVN Phần 4, và phần 5 cũng đang được các cơ quan của
Bộ Thông tin và Truyền thông xây dựng dự thảo tiêu chuẩn quốc gia
Vì vậy nhằm bổ sung và hoàn thiện các tiêu chuẩn thuộc Bộ tiêu chuẩn an toàn thông tin nói chung và bộ tiêu chuẩn an toàn mạng nói riêng thì việc xây dựng tiêu chuẩn TCVN ISO/IEC 27033-2 (Công nghệ thông tin – Kỹ thuật an toàn- Hướng dẫn thiết kế và triển khai an toàn mạng) là rất cần thiết
- Tình hình tiêu chuẩn hóa ngoài nước:
Việc ứng dụng tiêu chuẩn trong công tác đảm bảo an toàn thông tin nói chung và an toàn mạng nói riêng đang được coi là một trong các hướng tiếp cận hiệu quả để đảm bảo an toàn thông tin Tổ chức tiêu chuẩn quốc tế ISO/IEC đã ban hành hoặc có phiên bản cập nhật cho hơn 20 tiêu chuẩn về an toàn thông tin trong trong vài năm trở lại đây như: ISO/IEC 27010:2012; ISO/IEC 27013:2012; ISO/IEC 27032:2012; ISO/IEC 27033-2:2012, ISO/IEC 27037:2012, ISO/IEC 27002:2013, ISO/IEC 27033-5:2013
2.2.2 Lý do và mục đích xây dựng
Bộ tiêu chuẩn ISO/IEC 27033 ra đời nhằm thay thế cho bộ Tiêu chuẩn ISO/ IEC 18028 Với mục tiêu xây dựng Bộ Tiêu chuẩn về an toàn mạng nhằm thay thế cho Bộ tiêu chuẩn TCVN 8051 (dựa trên ISO/IEC 18028 đã cũ, lỗi thời) đáp ứng
Trang 7các yêu cầu mới về an toàn mạng, phù hợp với các công nghệ mới hiện nay, thích hợp với các bối cảnh mới về các mối đe dọa, các kịch bản tấn công, cùng với các
bổ sung, cập nhật khác, cần thiết xây dựng bộ Tiêu chuẩn mới dựa trên ISO/IEC 27033
Bộ tiêu chuẩn ISO/IEC 27033 là cung cấp hướng dẫn chi tiết về các khía cạnh an toàn về quản lý, vận hành và sử dụng hệ thống thông tin và mạng và các vấn đề kết nối giữa các thành phần của mạng cũng như các vấn đề liên quan đến kết nối giữa các tổ chức với nhau Bộ tiêu chuẩn này cũng đưa ra các yêu cầu cụ thể đối với từng cá nhân trong tổ chức phải có trách nhiệm đảm bảo an toàn thông tin nói chung và an toàn mạng nói riêng cho tổ chức
Bộ tiêu chuẩn ISO/IEC 27033 cũng cung cấp hướng dẫn chi tiết cho việc triển khai các biện pháp kiểm soát an toàn mạng mà được giới thiệu trong TCVN 27002:2009 Bộ tiêu chuẩn này áp dụng để đảm bảo an toàn cho các thiết bị mạng, quản lý, đảm bảo an toàn mạng cho ứng dụng, dịch vụ, người sử dụng và đảm bảo các luồng an toàn thông tin trao đổi được an toàn thông qua các đường truyền thông Ngoài ra bộ tiêu chuẩn này còn nhằm mục đích đưa ra kiến trúc an toàn mạng cho toàn bộ tổ chức
2.2.3 Mục tiêu
Phục vụ công tác quản lý an toàn thông tin trong việc hoàn chỉnh các tiêu chuẩn về an toàn thông tin nhằm đáp ứng yêu cầu cấp bách, đưa các tiêu chuẩn được hoàn thiện thành các tiêu chuẩn an toàn thông tin quốc gia
2.3 Sở cứ xây dựng các yêu cầu kỹ thuật
2.3.1 Tổng hợp và phân tích các tiêu chuẩn quốc tế, tài liệu kỹ thuật và các kết quả nghiên cứu liên quan tới đối tượng tiêu chuẩn hóa
2.3.1.1 Tổng hợp các tiêu chuẩn quốc tế, tài liệu kỹ thuật liên quan
Bộ tiêu chuẩn ISO/IEC 27003 bao gồm 6 phần:
- ISO/IEC 27033-1:2009: Tổng quan và khái niệm
Trang 8Tiêu chuẩn này đưa ra các hướng dẫn về các vấn đề: Lập kế hoạch, nhận biết rủi
ro, xác định các biện pháp hỗ trợ an toàn, hướng dẫn thiết kế và triển khai an toàn mạng
Lập kế hoạch quản lý an toàn mạng: Xem xét kết nối mạng; vai trò và trách nhiệm của các thành phần tham gia kết nối mạng; các kịch bản tham chiếu; các chuyên đề đảm bảo an toàn cho các kiểu mạng, thành phần kết nối mạng; kiểm thử, vận hành; soát xét các giải pháp an toàn mạng
Nhận biết rủi ro và chuẩn bị xác định các biện pháp an toàn
+ Thông tin về mạng hiện tại và các mạng đã được lập kế hoạch
Các yêu cầu về chính sách an toàn thông tin
Thu thập thông tin về mạng hiện tại và các mạng đã được lập kế hoạch (Kiến trúc, ứng dụng, dịch vụ mạng, kiểu kết nối, đặc tính)
+ Xác định các rủi ro an toàn thông tin và các biện pháp kiểm soát
Các biện pháp hỗ trợ
+ Quản lý an toàn mạng (Kiến trúc, các hoạt động quản lý, chính sách an toàn mạng, thủ tục vận hành, kiểm tra tuân thủ, điều kiện kết nối, quản lý sự
cố an toàn mạng, vai trò và trách nhiệm)
+ Quản lý lỗ hổng kỹ thuật
+ Nhận biết và xác thực
+ Ghi nhật ký và giám sát kiểm toán mạng
+ Phát hiện và ngăn chặn xâm nhập
+ Bảo vệ chống lại mã độc
+ Dịch vụ dựa trên mã hoá
+ Quản lý tính liên tục nghiệp vụ
Hướng dẫn thiết kế và triển khai an toàn mạng
Kịch bản mạng tham chiếu – Rủi ro, kỹ thuật thiết kế và các vấn đề biện pháp + Dịch vụ truy cập internet
+ Dịch vụ hợp tác nâng cao
Trang 9+ Dịch vụ doanh nghiệp tới doanh nghiệp
+ Dịch vụ doanh nghiệp tới khác hàng
+ Dịch vụ thuê ngoài
+ Phân đoạn mạng
+ Thông tin di động
Chuyên đề về công nghệ - Rủi ro, kỹ thuật thiết kế và các vấn đề về biện pháp + Mạng cục bộ
+ Mạng diện rộng
+ Mạng không dây
+ Mạng vô tuyến
+ Mạng băng rộng
+ Thiết bị cổng an toàn
+ Mạng riêng ảo
+ Mạng thoại
+ Hội tụ IP
+ Lưu trữ nội dung Web
+ Thư điện tử
+ Truy cập định tuyến đến các tổ chức bên thứ ba
+ Trung tâm dữ liệu Intranet
Phát triển và kiểm thử giải pháp an toàn
Vận hành giải pháp an toàn
Giám sát và soát xét việc triển khai giải pháp
- TCVN 9801-3:2014: Kịch bản kết nối mạng tham chiếu – nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát
TCVN 9801-3:2014 mô tả mô tả các nguy cơ, các kỹ thuật thiết kế và các vấn đề liên quan với các kịch bản mạng tham chiếu Đối với mỗi kịch bản, Tiêu chuẩn cung cấp hướng dẫn chi tiết về các nguy cơ, các kỹ thuật và kiểm soát an toàn yêu cầu để giảm thiểu các rủi ro liên quan Tiêu chuẩn này gồm các nội dung:
Trang 10Cấu trúc của tiêu chuẩn này bao gồm:
Tổng quan phương pháp tiếp cận đề cập đến an toàn cho từng kịch bản tham chiếu + Soát xét thông tin cơ bản và phạm vi của kịch bản;
+ Mô tả các nguy cơ liên quan đến kịch bản;
+ Thực hiện phân tích rủi ro trên các điểm yếu được phát hiện;
+ Phân tích ảnh hưởng đến kinh doanh của các điểm yếu chỉ ra;
+ Xác định các khuyến nghị triển khai để bảo đảm an toàn mạng
Mô tả các kịch bản tham chiếu:
+ Dịch vụ truy cập Internet cho nhân viên (điều 7);
+ Dịch vụ doanh nghiệp tới doanh nghiệp (điều 8);
+ Dịch vụ doanh nghiệp tới khách hàng (điều 9);
+ Dịch vụ hợp tác nâng cao (điều 10);
+ Phân đoạn mạng (điều 11);
+ Hỗ trợ kết nối mạng cho hộ gia đình và đơn vị có quy mô nhỏ (điều 12); + Truyền thông di động (điều 13);
+ Hỗ trợ kết nối mạng cho người sử dụng đang di chuyển (điều 14);
+ Dịch vụ thuê ngoài (điều 15)
- ISO/IEC 27033-5:2013: An toàn truyền thông qua các mạng sử dụng mạng riêng ảo (VPN)
Tiêu chuẩn ISO/IEC 27033-5:2013 hướng dẫn đảm bảo an toàn truyền thông sửa dụng mạng riêng ảo (VPN) gồm các nội dung:
Các kiểu mạng riêng ảo VPN;
Cac mối de doạ an toàn
Các yêu cầu về an toàn
+ Tính bí mật
+ Tính toàn vẹn
Trang 11+ Tính xác thực
+ Ủy quyền
+ Tính sẵn sàng
Các biện pháp kiểm soát an toàn
+ Khía cạnh an toàn
+ Mạch ảo
Kỹ thuật thiết kế
+ Khía cạnh luật pháp và nghị định
+ Khía cạnh quản lý VPN
+ Khía cạnh kiến trúc VPN
+ Xem xét/cân nhắc kỹ thuật VPN
Nguyên tắc lựa chọn sản phẩm
+ Lựa chọn giao thức
+ Thiết bị VPN
- ISO/IEC DIS 27033-6 đã ban hành ngày 10/04/2015 Information technology – security techniques – Network security – Part 6: Securing wireless
IP network access - Truy cập mạng IP không dây an toàn
2.3.1.2 Phân tích các tiêu chuẩn quốc tế, tài liệu kỹ thuật liên quan
Phần 1: Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng - Tổng quan và khái niệm
Giúp cho tổ chức có ý định áp dụng bộ tiêu chuẩn có cái nhìn tổng quan về toàn
bộ tiêu chuẩn, nhận biết được tất cả những vấn đề, yêu cầu cần mà tổ chức cần phải thực hiện, đáp ứng khi áp dụng bộ tiêu chuẩn này
Đưa Tổng quan và các khái niệm về các vấn đề Lập kế hoạch, nhận biết rủi ro, xác định và chuẩn bị các biện pháp hỗ trợ an toàn, hướng dẫn thiết kế và triển khai an toàn mạng, kịch bản mạng tham chiếu – Rủi ro, kỹ thuật thiết kế và các vấn đề biện pháp, các vấn đề về công nghệ (LAN/WAN, mạng không dây, mạng riêng ảo, thiết bị cổng an toàn, mạng băng rộng…), phát triển và kiểm thử, vận hành, giám sát, soát xét việc triển khai giải pháp an toàn
Trang 12Phần 2: Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng - Hướng dẫn thiết kế và triển khai an toàn mạng
Phần 2 đưa ra hướng dẫn cho tổ chức về lập kế hoạch, thiết kế, triển khai và lập tài liệu an toàn mạng
Trong khi phần 1 giúp tổ chức nhận biết các yêu cầu, vấn đề khi triển khai an toàn mạng và tổng quan về an toàn mạng thì phần 2 lại đóng vai trò là trung tâm của
bộ tiêu chuẩn này Tiêu chuẩn này sẽ cụ thể hoá những hướng dẫn về các kiến trúc mạng cơ bản, các chính sách, các ứng dụng, các dịch vụ, các kiểu kết nối tại phần 1 để đưa ra các hướng dẫn chi tiết về thiết kế và triển khai an toàn mạng tại các tổ chức
Cung cấp các hướng dẫn cho các mạng kịch bản kết nối mạng tại phần 3
Cung cấp hướng dẫn thiết kế và triển khai an toàn mạng đối với các mạng khi truyền thông sử dụng mạng thiết bị cổng an toàn, mạng riêng ảo, mạng không dây (phần 4, phần 5, phần 6)
Phần 3: Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng - Các kịch bản kết nối mạng tham chiếu – Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát
Sử dụng khi xem xét các tùy chọn kiến trúc (hoặc thiết kế) về an toàn kỹ thuật và khi lựa chọn kiến trúc (hoặc thiết kế) về an toàn kỹ thuật, các kiểm soát an toàn liên quan và tương thích với phần 2 của bộ tiêu chuẩn
Mô tả các nguy cơ, các kỹ thuật thiết kế và các vấn đề liên quan với các kịch bản mạng tham chiếu Đối với mỗi kịch bản, Tiêu chuẩn cung cấp hướng dẫn chi tiết
về các nguy cơ, các kỹ thuật và kiểm soát an toàn yêu cầu để giảm thiểu các rủi ro liên quan Tiêu chuẩn này bao hàm các tham chiếu đến phần 4, phần 5, phần 6 của
bộ tiêu chuẩn
Phần 4, phần 5, phần 6 (Phần 4: Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng - An toàn truyền thông giữa các mạng sử dụng mạng không dây; Phần 5: Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng - An toàn truyền thông giữa các mạng sử dụng mạng riêng ảo (VPN); Phần 6: Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng - Truy cập mạng IP không dây an toàn)