TIÊU CHUẨN QUỐC GIA
TCVN 9801-1:2013
ISO/IEC 27033-1:2009
CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG - PHẦN 1: TỔNG QUAN VÀ KHÁI
NIỆM
Information technology - Security techniques - Network security - Part 1: Overview and concepts
Lời nói đầu
TCVN 9801-1:2013 do Ban Kỹ thuật tiêu chuẩn quốc gia TCVN/JTC1 "Công nghệ thông tin" biên soạn,
Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.
TCVN 9801-1:2013 hoàn toàn tương đương với ISO/IEC 27033-1:2009.
Lời giới thiệu
Hiện nay trên thế giới, đa số các tổ chức chính phủ và thương mại có các hệ thống thông tin riêng
được kết nối bởi các mạng (xem Hình 1), với các kết nối mạng đang là một hoặc nhiều điều sau đây:
- Trong tổ chức,
- Giữa các tổ chức,
- Giữa tổ chức và cộng đồng chung.
Hình 1 - Các loại kết nối mạng phổ biến
Hơn nữa, do sự phát triển nhanh chóng của công nghệ khả dụng công cộng (đặc biệt là với mạng
Internet) dẫn đến các cơ hội kinh doanh đáng kể, các tổ chức đang tăng cường triển khai kinh doanh
điện tử trong một phạm vi toàn cầu và cung cấp các dịch vụ công cộng online. Các cơ hội bao gồm
quan điểm của các kết nối giảm chi phí dữ liệu, sử dụng mạng Internet đơn giản như một phương tiện
kết nối toàn cầu, thông qua nhiều dịch vụ phức tạp được cung cấp bởi bên cung cấp dịch vụ Internet
(ISPs). Nghĩa là cách thức sử dụng các điểm gắn vật lý khu vực chi phí thấp ở mỗi điểm cuối trong một
mạch của các hệ thống phân phối dịch vụ và trao đổi điện tử online toàn dải, sử dụng các dịch vụ và
ứng dụng dựa trên web. Thêm vào đó, công nghệ mới (bao gồm việc tương thích dữ liệu, âm thanh và
video) tăng cường cơ hội cho việc làm việc từ xa (được biết tới như "làm việc từ xa" hoặc "kết nối từ
xa") cho phép nhân viên vận hành công việc từ nhà tùy theo các giai đoạn quan trọng của thời gian.
Điều này cho phép liên hệ thông qua việc sử dụng các cơ sở từ xa để truy cập tổ chức và các mạng
cộng đồng và các dịch vụ và thông tin hỗ trợ doanh nghiệp liên quan.
Tuy nhiên, khi môi trường tạo điều kiện cho các lợi ích doanh nghiệp quan trọng thì các rủi ro an ninh
mới cần được quản lý. Với các tổ chức tin tưởng mạnh mẽ vào việc sử dụng thông tin và các mạng
tương ứng để triển khai kinh doanh của họ, việc mất mát của tính bảo mật, tính toàn vẹn và tính khả
dụng của thông tin và dịch vụ có thể có các tác động đối nghịch quan trọng tới các vận hành doanh
nghiệp. Do vậy, yêu cầu chính để bảo vệ thực sự mạng, thông tin và các hệ thống thông tin liên quan.
Đó là ý nghĩa của cụm từ: triển khai và duy trì an ninh mạng tương ứng là đặc biệt quan trọng cho việc
thành công của bất kỳ vận hành doanh nghiệp của tổ chức nào.
Trong ngữ cảnh này, công nghiệp công nghệ thông tin và viễn thông đang tìm kiếm các giải pháp an
ninh hiệu quả toàn diện, nhắm đến việc bảo vệ mạng chống lại các cuộc tấn công nguy hại và các hành
động sai không chủ tâm và đáp ứng các yêu cầu kinh doanh cho tính bảo mật, tính toàn vẹn và tính
khả dụng của thông tin và dịch vụ. An ninh một mạng cũng cần thiết cho việc duy trì lập dự toán chính
xác hay sử dụng thông tin tương ứng. Năng lực an ninh trong sản xuất là quyết định đối với toàn bộ an
ninh mạng (bao gồm các ứng dụng và dịch vụ). Tuy nhiên, hầu hết các sản phẩm được kết hợp để
cung cấp các giải pháp tổng thể, khả năng tương tác hay việc thiếu hụt chính điều đó sẽ định nghĩa
cho sự thành công của giải pháp. An ninh không chỉ là một dòng liên quan đối với mỗi sản phẩm hoặc
dịch vụ, nhưng phải được phát triển theo cách thức đẩy liên kết từ xa của các khả năng an ninh trong
giải pháp an ninh tổng thể.
Mục đích của bộ TCVN 9801 (ISO/IEC 27033) nhằm cung cấp hướng dẫn chi tiết dựa trên các khía
cạnh quản lý, vận hành và sử dụng các mạng hệ thống thông tin, và các liên kết nối. Các cá thể đó
trong tổ chức chịu trách nhiệm chung cho an ninh thông tin, và an ninh thông tin cụ thể phải được đáp
ứng với tài liệu của tiêu chuẩn này để đáp ứng các yêu cầu đặc trưng. Các mục tiêu chính được tuân
thủ.
- TCVN 9801-1 (ISO/IEC 27033-1), Tổng quan và khái niệm, định nghĩa và mô tả các khái niệm tương
ứng với, và cung cấp hướng dẫn quản lý trên an ninh mạng. Tiêu chuẩn bao gồm quan điểm của một
tổng quan an ninh mạng và các định nghĩa liên quan, và hướng dẫn về cách thức xác định và phân tích
các rủi ro an ninh mạng và sau đó định nghĩa các yêu cầu an ninh mạng. Tiêu chuẩn này cũng giới
thiệu cách thức đạt được các kiến trúc an ninh kỹ thuật chất lượng tốt và rủi ro, thiết kế và các khía
cạnh kiểm soát tương ứng với các kịch bản mạng phổ thông và các lĩnh vực "công nghệ" mạng (được
giải quyết chi tiết trong các phần phụ tiếp theo của bộ tiêu chuẩn này)
- ISO/IEC 27033-2, Hướng dẫn thiết kế và triển khai an ninh mạng, định nghĩa cách tổ chức đạt được
các kiến trúc, thiết kế và việc triển khai an ninh mạng chất lượng, mà đảm bảo an ninh mạng tương
ứng với các môi trường kinh doanh, sử dụng một hướng tiếp cận chắc chắn để hoạch định, thiết kế và
triển khai an ninh mạng, để việc sử dụng các mô hình/nền (trong ngữ cảnh này, một mô hình/nền được
dùng để mô phỏng một trình diễn hoặc mô tả thể hiện cấu trúc và các công việc mức độ cao của một
loại kiến trúc/thiết kế an ninh kỹ thuật) và liên quan tới tất cả các nhân viên mà liên quan trong việc
hoạch định, thiết kế và triển khai các khía cạnh kiến trúc của an ninh mạng (ví dụ: các kiến trúc mạng
và nhà thiết kế, quản lý mạng và các nhân viên an ninh mạng)
- ISO/IEC 27033-3, Rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho kịch bản nghiệp vụ mạng
tham chiếu định nghĩa các rủi ro đặc trưng, các công nghệ thiết kế và các vấn đề kiểm soát tương ứng
với các kịch bản mạng phổ thông. Tiêu chuẩn này liên quan tới tất cả nhân viên liên quan trong việc
hoạch định, thiết kế và triển khai các khía cạnh kiến trúc của an ninh mạng (ví dụ: các kiến trúc mạng
và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng)
Có các phần dự kiến của bộ TCVN 9801 (ISO/IEC 27033) sẽ chỉ ra các chủ đề sau:
- ISO/IEC 27033-4, Các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát an ninh kết nối giữa mạng sử
dụng cổng an ninh định nghĩa các rủi ro, các công nghệ thiết kế và các vấn đề kiểm soát cụ thể cho
luồng an ninh thông tin giữa các mạng sử dụng các cổng an ninh. Tiêu chuẩn này liên quan tới tất cả
các nhân viên liên quan trong việc hoạch định, thiết kế và triển khai các khía cạnh kiến trúc của các
cổng an ninh (ví dụ: các kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng).
- ISO/IEC 27033-5, Các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho việc an ninh mạng cá
nhân ảo định nghĩa các rủi ro, các công nghệ thiết kế và các vấn đề kiểm soát cụ thể cho an ninh kết
nối mà thiết lập sử dụng các mạng cá nhân ảo (VNPs). Tiêu chuẩn này liên quan tới tất cả các nhân
viên liên quan trong việc hoạch định, thiết kế và triển khai an ninh VPN (ví dụ: các kiến trúc mạng và
nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng).
- ISO/IEC 27033-6, Hội tụ IP định nghĩa các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho an
ninh mạng hội tụ IP, ví dụ, với việc hội tụ dữ liệu, âm thanh video. Tiêu chuẩn này liên quan tới tất cả
các nhân viên liên quan trong việc hoạch định, thiết kế và triển khai an ninh cho các mạng hội tụ IP (ví
dụ: các kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng).
- ISO/IEC 27033-7, Mạng không dây định nghĩa các rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát
cho an ninh mạng vô tuyến và mạng không dây. Tiêu chuẩn này liên quan tới tất cả các nhân viên liên
quan trong việc hoạch định, thiết kế và triển khai an ninh các mạng vô tuyến và không dây (ví dụ: các
kiến trúc mạng và nhà thiết kế, quản trị mạng và các nhân viên an ninh mạng).
Phải nhấn mạnh rằng bộ TCVN 9801 (ISO/IEC 27033) cung cấp hướng dẫn triển khai chi tiết hơn nữa
về các kiểm soát an ninh mạng mà được mô tả ở mức tiêu chuẩn hóa căn bản trong TCVN ISO/IEC
27002.
Nếu các phần dự kiến khác liên quan tới tất cả nhân viên mà bao quát trong việc hoạch định, thiết kế
và triển khai chi tiết của các khía cạnh mạng bao quát các phần đó (ví dụ: các kiến trúc mạng và nhà
thiết kế, quản trị mạng và các nhân viên an ninh mạng)
Phải chú thích rằng tiêu chuẩn này không phải là tài liệu tham chiếu hoặc viện dẫn cho các yêu cầu luật
pháp hoặc quy định. Mặc dù tiêu chuẩn này nhấn mạnh tầm quan trọng của những ảnh hưởng, nhưng
cũng không thể chỉ ra một cách cụ thể, khi mà chúng tùy thuộc theo từng quốc gia, hình thức kinh
doanh…
Ngoại trừ các phần khác đã chỉ ra, toàn bộ tiêu chuẩn này hướng dẫn tham chiếu được áp dụng cho
các mạng hiện tại/ dự kiến nhưng chỉ tham chiếu ở "các mạng" hoặc "mạng".
CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - AN NINH MẠNG - PHẦN 1: TỔNG QUAN VÀ
KHÁI NIỆM
Information technology - Security techniques - Network security - Part 1: Overview and
concepts
1. Phạm vi áp dụng
Tiêu chuẩn này cung cấp tổng quan về an ninh mạng và các định nghĩa liên quan. Tiêu chuẩn này định
nghĩa và mô tả các khái niệm tương ứng với, và cung cấp các hướng dẫn quản lý trong an ninh mạng
(An ninh mạng áp dụng cho an ninh của thiết bị, an ninh của các hoạt động quản lý liên quan tới các
thiết bị, ứng dụng/dịch vụ và người dùng cuối) người an ninh của thông tin được truyền tải qua các
đường liên kết truyền thông.
Tiêu chuẩn này liên quan đến bất kỳ người nào sở hữu, vận hành hoặc sử dụng mạng: bao gồm các
nhà quản lý cấp cao và các nhà quản lý hoặc người dùng không liên quan đến kỹ thuật khác, ngoài các
nhà quản lý và quản trị viên có trách nhiệm cụ thể đối với an ninh thông tin và/hoặc an ninh mạng, vận
hành mạng, hoặc người chịu trách nhiệm đối với chương trình an ninh tổng thể và phát triển chính
sách an ninh của một tổ chức. Tiêu chuẩn này cũng phù hợp với bất kỳ người nào tham gia vào việc
lập kế hoạch, thiết kế và thiết lập các khía cạnh kiến trúc an ninh mạng.
Tiêu chuẩn này cũng:
- Đưa ra hướng dẫn về cách thức để xác định và phân tích các rủi ro an ninh mạng và định nghĩa về
các yêu cầu an ninh mạng dựa trên các phân tích đó.
- Đưa ra một tổng quan về các biện pháp kiểm soát để hỗ trợ các kiến trúc an ninh kỹ thuật mạng và
các biện pháp kiểm soát kỹ thuật liên quan, cũng như các biện pháp kiểm soát phi kỹ thuật và các kiểm
soát kỹ thuật được áp dụng không chỉ cho các mạng.
- Đưa ra cách thức để đạt được các kiến trúc an ninh kỹ thuật mạng chất lượng tốt, và các khía cạnh
rủi ro, thiết kế và kiểm soát an ninh tương ứng với các kịch bản và các lĩnh vực "công nghệ" mạng điển
hình (được quy định cụ thể trong các phần tiếp theo của bộ tiêu chuẩn này), và
- Mô tả vắn tắt các vấn đề liên quan tới việc thiết lập và vận hành các biện pháp kiểm soát an ninh
mạng, và việc giám sát và đánh giá của việc thiết lập đang được tiến hành.
Nói chung, tiêu chuẩn cung cấp một tổng quan về bộ tiêu chuẩn và một "lộ trình" cho tất cả các tiêu
chuẩn khác.
2. Tài liệu viện dẫn
Các tài liệu viện dẫn sau là rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn
ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố
thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
TCVN 9696 (ISO/IEC 7498) (tất cả các phần) Công nghệ thông tin - Liên kết hệ thống mở - Mô hình
tham chiếu cơ sở (information technology - Open System interconnection - Basic Reference Model)
TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) Công nghệ thông tin - Kỹ thuật an ninh - Hệ thống
quản lý an ninh thông tin - Các yêu cầu (Information technology - Security techniques - Information
security management systems - Requirements)
TCVN ISO/IEC 27002:2011 Công nghệ thông tin - Kỹ thuật an ninh - Quy tắc thực hành quản lý an ninh
thông tin (ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for
information security management)
ISO/IEC 27000:2009 Information technology - Security techniques - Information security management
systems - Overview and vocabulary (Công nghệ thông tin - Kỹ thuật an ninh - Các hệ thống quản lý an
ninh thông tin - Tổng quan và cấu trúc)
ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk
management (Công nghệ thông tin - Kỹ thuật an ninh - Quản lý rủi ro an ninh thông tin)
3. Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu ra trong TCVN 9696, ISO/IEC 27000, TCVN
ISO/IEC 27001, TCVN ISO/IEC 27002, ISO/IEC 27005 và các thuật ngữ và định nghĩa sau:
CHÚ THÍCH: Các thuật ngữ và định nghĩa dưới đây sẽ áp dụng trong các phần mới của bộ TCVN 9801
(ISO/IEC 27033).
3.1. Báo hiệu (alert)
Chỉ báo "tức thời" rằng một mạng và hệ thống thông tin có thể bị tấn công, hoặc ở tình trạng nguy hiểm
do tai nạn, lỗi hoạt động hoặc lỗi con người.
3.2. Kiến trúc (architecture)
Tổ chức cơ bản của một hệ thống tạo nên các thành phần của chính nó, các mối quan hệ với mỗi
thành phần khác, và với môi trường, và các nguyên tắc hướng dẫn cho việc thiết kế và sự phát triển
chính nó.
[ISO/IEC 15288:2008, định nghĩa 4.5]
3.3. Kẻ tấn công (attacker)
Cá nhân chủ tâm lợi dụng các lỗ hổng kiểm soát an ninh kỹ thuật và phi - kỹ thuật để đánh cắp hoặc
làm tổn hại các mạng và hệ thống thông tin, hoặc thỏa hiệp tính có lợi cho các người dùng hợp pháp
của các nguồn tài nguyên mạng và hệ thống thông tin.
3.4. Bản ghi nhật ký (audit logging)
Việc ghi dữ liệu dựa trên các sự kiện an ninh thông tin với mục đích đánh giá và phân tích, và giám sát
đang thực thi.
3.5. Các công cụ nhật ký (audit tools)
Các công cụ tự động để hỗ trợ việc phân tích các nội dung của các bản ghi nhật ký.
3.6. Tổ chức chứng nhận (certification authority)
CA
Tổ chức do một hoặc nhiều người dùng tin cậy nhằm tạo và gán các chứng nhận khóa công khai.
CHÚ THÍCH 1 Tổ chức chứng nhận có thể tạo ra các khóa người dùng một cách tùy ý.
CHÚ THÍCH 2 Vai trò của tổ chức chứng nhận (CA) trong quy trình này là để đảm bảo rằng cá nhân
được công nhận là chứng nhận duy nhất, trên thực tế là do người đó được yêu cầu. Thông thường, nó
nghĩa là CA có một thỏa thuận với một đơn vị cung cấp thông tin để xác nhận sự đồng nhất được yêu
cầu của một cá nhân. Các CA là một thành phần quan trọng trong an ninh thông tin và thương mại điện
tử bởi vì chúng đảm bảo rằng việc trao đổi thông tin hai bên là thực sự được yêu cầu.
3.7. Điều khoản an ninh thông tin doanh nghiệp (corporate information security policy)
Văn bản mà mô tả việc chỉ đạo quản lý và hỗ trợ cho an ninh thông tin phù hợp với các yêu cầu kinh
doanh và các luật và các điều chỉnh liên quan.
CHÚ THÍCH Văn bản mô tả các yêu cầu an ninh thông tin mức cao phải được tuân theo trong toàn bộ
tổ chức.
3.8. Khu vành đai (delimilirized zone)
DMZ
Mạng vành đai (cũng được gọi là một mạng con được phân cách) được chèn vào như một "vùng trung
lập" giữa các mạng.
3.9. Từ chối dịch vụ (denial of services)
DoS
Sự ngăn chặn truy cập có thẩm quyền tới một tài nguyên hệ thống hoặc sự trì hoãn các chức năng và
sự vận hành hệ thống, gây ra sự tổn thất của sự hiệu lực cho người dùng ủy quyền.
3.10. Mạng extranet (extranet)
Sự mở rộng của mạng Intranet của một tổ chức, đặc biệt qua hạ tầng mạng phổ thông, cho phép chia
sẻ tài nguyên giữa tổ chức này và các tổ chức khác và các cá nhân mà nó xử lý bằng việc cung cấp
truy cập giới hạn tới mạng Intranet của chính nó.
CHÚ THÍCH Ví dụ, các khách hàng của một tổ chức có thể được cung cấp truy cập tới một vài phần
của chính mạng Intranet đó, tạo một mạng extranet, nhưng các khách hàng không thể được coi là
"đáng tin cậy", từ một quan điểm an ninh.
3.11. Sự lọc (filtering)
Quy trình chấp nhận hoặc hủy bỏ các luồng dữ liệu qua một mạng, tùy theo tiêu chuẩn quy định.
3.12. Tường lửa (firewall)
Loại rào cản an ninh được đặt giữa các môi trường mạng - bao gồm một thiết bị dành riêng hoặc một
tổ hợp của vài thành phần và công nghệ - qua đó tất cả lưu lượng từ một môi trường mạng đi qua môi
trường khác và ngược lại, và chỉ có thẩm quyền lưu lượng, được định nghĩa từ chính sách an ninh khu
vực, được phép đi qua.
3.13. Thiết bị trung tâm (hub)
Thiết bị mạng mà có các chức năng ở tầng 1 của mô hình tham chiếu OSI.
CHÚ THÍCH Không có sự thông minh thật sự trong các thiết bị trung tâm mạng, chứng chỉ cung cấp
các điểm gắn vật lý cho các hệ thống và tài nguyên được nối mạng.
3.14. Internet (the Internet)
Hệ thống toàn cầu của các mạng được liên hệ kết nối trong miền phổ thông.
3.15. Mạng internet (internet)
Sự tập hợp của các mạng liên kết nối, được gọi là một liên mạng hay chỉ đơn giản là một mạng
internet.
3.16. Mạng intranet (intranet)
Mạng máy tính cá nhân mà sử dụng các giao thức Internet và việc kết nối mạng để chia sẻ an toàn một
phần thông tin hoặc các hoạt động của tổ chức cùng với các nhân viên của tổ chức đó.
3.17. Sự xâm nhập (intrusion)
Truy cập trái phép tới một hệ thống mạng - kết nối, như việc truy cập trái phép vô tình hoặc cố ý tới một
phần thông tin, bao gồm các hoạt động nguy hại chống lại một hệ thống thông tin hoặc việc sử dụng
trái phép tài nguyên trong một hệ thống thông tin.
3.18. Phát hiện xâm nhập (intrusion detection)
Quy trình chính thức của việc phát hiện các xâm nhập, chủ yếu được hiển thị đặc điểm bằng cách thu
thập kiến thức về các mẫu sử dụng bất thường như cách thức, và lỗ hổng nào đã được khai thác để
bao gồm cách thức và thời điểm nó xảy ra.
3.19. Hệ thống phát hiện xâm nhập (intrusion detection system)
IDS