Tải bản đầy đủ (.docx) (45 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Phân tích các chuẩn đánh giá an toàn thông tin được xây dựng và sử dụng tại việt nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (907.06 KB, 45 trang )

MỤC LỤC
DANH MỤC HÌNH VẼ............................................................................2
MỞ ĐẦU....................................................................................................3
Chương 1 TỔNG QUAN VỀ ĐÁNH GIÁ AN TỒN THƠNG TIN....6
1.1. Khái niệm về an tồn thơng tin.................................................................6
1.2. Khái niệm về đánh giá an tồn thơng tin..................................................7
1.3. Nhu cầu về đánh giá an tồn thơng tin và các tiêu chí đánh giá chung....7
1.4. Phương pháp luận đánh giá an tồn thơng tin..........................................8
1.4.1. Phương pháp ISSAF........................................................................10
1.4.2. Phương pháp OSSTMM..................................................................12
1.4.3. Phương pháp OWASP.....................................................................14
1.5. Các kỹ thuật đánh giá.............................................................................17
1.6. Yêu cầu cụ thể đối với việc thực hiện đánh giá an tồn thơng tin..........19
1.6.1. Quy trình thực hiện đánh giá an tồn thơng tin...............................19
1.6.2. Mơ tả chi tiết các hạng mục đánh giá an tồn thơng tin mạng........21
Chương 2 TIÊU CHUẨN ĐÁNH GIÁ AN TỒN THƠNG TIN.......24
2.1. Các tiêu chuẩn quốc tế về đánh giá an tồn thơng tin............................24
2.2. Các tiêu chuẩn về đánh giá an tồn thơng tin tại Việt Nam....................29
2.3. Phân tích Bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408)........................30
2.4. Phân tích Bộ tiêu chuẩn ISO/IEC 18045................................................34
2.5. Liên hệ thực tiễn.....................................................................................39
2.5.1. Tình hình an tồn thơng tin trong các cơ quan nhà nước hiện nay
.............................................................................................................................39
2.5.2. Đề xuất các biện pháp đảm bảo an tồn thơng tin mạng.................41
KẾT LUẬN..............................................................................................44
TÀI LIỆU THAM KHẢO......................................................................45

DANH MỤC HÌNH
Hình 1.1 Phương thức làm việc của ISSAF.......................................................11
Hình 1.2 Khái qt mơ hình OSSTMM............................................................13
Hình 1.3 Phương thức làm việc của OSSTMM.................................................14


1


Hình 1.4 Phương thức làm việc của OWASP....................................................16
Hình 1.5 Quy trình thực hiện đánh giá An tồn thơng tin mạng.......................19
YHình 2.1 Mối quan hệ giữa các tiêu chuẩn trong bộ ISO/IEC 27000……….
….24
Hình 2.2 Quá trình hình thành và phát triển của ISO/IEC 15408.....................27
Hình 2.3 Quá trình hình thành cộng đồng CC (Common Criteria)...................28
Hình 2.4 Ví dụ về một báo cáo cơng nhận tn thủ theo các tiêu chí chung.....28
Hình 2.5 Ví dụ về các sản phẩm đã được đánh giá và xác nhận.......................29

2


MỞ ĐẦU
1. Tính cấp thiết của đề tài
Từ đầu thế kỷ 21, thế giới bước vào cuộc cách mạng công nghiệp lần thứ tư.
Đây là cuộc cách mạng gắn liền với sự phát triển của không gian mạng, hợp nhất
công nghệ vật lý, kỹ thuật số và sinh học, kết hợp giữa hệ thống ảo và thực thể, làm
thay đổi căn bản cách thức con người tạo ra sản phẩm, từ đó tạo nên “cuộc cách
mạng” về tổ chức các chuỗi sản xuất - giá trị. Sự kết nối và tương tác thông qua
Internet đã mở ra một kỷ nguyên mới thúc đẩy tiến trình phát triển xã hội của nhân
loại. Không gian mạng đã trở thành một bộ phận cấu thành và đóng vai trị rất quan
trọng trong việc xây dựng xã hội thông tin và kinh tế tri thức. Do vậy, phát triển và
làm chủ không gian mạng là một trong những nhiệm vụ quan trọng, cấp bách của
các nước trên thế giới.
Bên cạnh những lợi ích to lớn mà không gian mạng đem lại, các nước cũng
phải đối mặt với các nguy cơ, như: Chiến tranh mạng, gián điệp mạng, tấn công
mạng, tội phạm mạng và nhiều vấn đề phức tạp mới.

Đối với Việt Nam, thời gian qua, các thế lực thù địch, tội phạm mạng gia
tăng hoạt động tấn công mạng nhằm thu thập thông tin, bí mật nhà nước, bí mật nội
bộ, chiếm quyền điều khiển, phá hoại hệ thống mạng thông tin; sử dụng Internet,
nhất là các trang mạng xã hội với nhiều phương thức, thủ đoạn tinh vi, xảo quyệt
nhằm gây chia rẽ nội bộ, xâm phạm lợi ích, an ninh quốc gia.
Cơng tác quản lý nhà nước về an toàn, an ninh mạng còn sơ hở, chưa theo
kịp tốc độ phát triển và ứng dụng công nghệ thông tin, nhất là đối với báo điện tử,
mạng xã hội, trò chơi trực tuyến, thuê bao di động trả trước, hoạt động cung cấp
dịch vụ viễn thông, Internet.
Một số cơ quan, tổ chức, cá nhân cịn chủ quan, sơ hở trong quản lý thơng tin
nội bộ, bí mật nhà nước; chưa nhận thức đầy đủ vị trí, tầm quan trọng của cơng tác
bảo đảm an tồn, an ninh mạng cũng như tính chất nguy hiểm trong âm mưu, hoạt
động của các thế lực thù địch, tội phạm mạng chống phá ta trên không gian mạng;
cơng tác phịng ngừa cịn để lộ, lọt bí mật nhà nước, bí mật nội bộ trên mạng…

3


Cùng với đó, sự phát triển của các dịch vụ, nhất là mạng xã hội, trò chơi trực
tuyến và xu hướng chuyển dịch hoạt động các mặt của đời sống xã hội lên không
gian mạng đang đặt ra những thách thức gay gắt với cơng tác bảo đảm an tồn, an
ninh mạng. Với xu hướng kết hợp giữa hệ thống ảo và thực thể, Internet kết nối
vạn vật và các hệ thống, hoạt động tấn công mạng của các thế lực thù địch, tội
phạm mạng sẽ ngày càng gia tăng, khơng chỉ dừng lại ở mục đích thu thập thơng
tin bí mật, mà cịn phá hoại cơ sở dữ liệu, hạ tầng cơng nghệ thơng tin, thậm chí trở
thành những loại vũ khí nguy hiểm, có sức tàn phá nặng nề, được sử dụng song
hành cùng các loại vũ khí truyền thống một khi xung đột vũ trang xảy ra.
Bối cảnh trên đặt ra yêu cầu cấp bách phải tạo được sự chuyển biến sâu sắc
trong nhận thức của các cấp ủy đảng, chính quyền, các đồn thể từ Trung ương đến
địa phương về tầm quan trọng của công tác bảo đảm an tồn thơng tin mạng, coi

đây là nhiệm vụ quan trọng, cấp bách, thường xuyên, lâu dài của cả hệ thống chính
trị và tồn dân dưới sự lãnh đạo của Đảng, sự quản lý của Nhà nước. Trong đó, một
vấn đề có tính then chốt là đánh giá và kiểm định an tồn cho các hệ thống thơng
tin.
Trước tình hình đó, việc nghiên cứu đề tài: “Phân tích các chuẩn đánh giá
an tồn thơng tin được xây dựng và sử dụng tại Việt Nam?” có ý nghĩa về mặt
thực tiễn và khoa học, đáp ứng đòi hỏi ngày càng cao của cơng tác đảm bảo an tồn
thơng tin mạng.
2. Kết cấu đề tài
Ngoài phần mở đầu và kết luận. Kết cấu đề tài bao gồm 2 chương:
Chương 1: Tổng quan về đánh giá an tồn thơng tin.
Chương này cung cấp khái niệm cơ bản về đánh giá, tầm quan trọng của
đánh giá và phương pháp luận đánh giá an tồn hệ thống thơng tin. Đồng thời
chương này cũng giới thiệu về các kỹ thuật đánh giá và yêu cầu cụ thể của việc
đánh giá an tồn thơng tin.
Chương 2: Tiêu chuẩn đánh giá an tồn thơng tin.
Ở chương này sẽ giới thiệu và phân tích các bộ tiêu chuẩn an tồn thơng tin
được sử dụng ở Việt Nam và trên thế giới. Bên cạnh đó phân tích tình hình thực
4


tiễn trong cơng tác đảm bảo an tồn thơng tin của các cơ quan chính phủ hiện nay
cùng với đề xuất các giải pháp khắc phục.

5


Chương 1
TỔNG QUAN VỀ ĐÁNH GIÁ AN TỒN THƠNG TIN
1.1. Khái niệm về an tồn thơng tin

Thơng tin được lưu trữ bởi các sản phẩm và hệ thống công nghệ thông tin là
một tài nguyên quan trọng cho sự thành cơng của tổ chức đó, là tài sản của một cá
nhân hay tổ chức. Các thông tin cá nhân lưu trữ trong hệ thống thơng tin cần được
giữ bí mật, bảo vệ và không bị thay đổi khi không được phép. Trong khi các sản
phẩm và hệ thống công nghệ thông tin thực hiện các đảm bảo của chúng, các thơng
tin cần được kiểm sốt để đảm bảo chúng được bảo vệ chống lại các nguy cơ, ví dụ
như việc phổ biến và thay đổi thông tin không mong muốn và trái phép, nguy cơ
mất mát thơng tin.
An tồn thơng tin là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ
tầng thơng tin, trong đó bao gồm an toàn phần cứng và phần mềm theo các tiêu
chuẩn kỹ thuật do nhà nước ban hành; duy trì các tính chất bí mật, tồn vẹn, chính
xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng
(theo định nghĩa trong Nghị định 64-2007/NĐ-CP).
Đảm bảo an tồn thơng tin là đảm bảo an toàn kỹ thuật cho hoạt động của
các cơ sở hạ tầng thơng tin, trong đó bao gồm đảm bảo an toàn cho cả phần cứng và
phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn
ngừa khả năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành
vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tính
chất bí mật, tồn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý
và truyền tải trên mạng.
Như vậy khái niệm đảm bảo an tồn thơng tin bao hàm đảm bảo an toàn cho
cả phần cứng và phần mềm. An toàn phần cứng là bảo đảm hoạt động cho cơ sở hạ
tầng thơng tin. An tồn phần mềm gồm các hoạt động quản lý, kỹ thuật nhằm bảo
vệ hệ thống thông tin, đảm bảo đảm cho các hệ thống thực hiện đúng đảm bảo,
phục vụ đúng đối tượng một cách sẵn sàng, chính xác, tin cậy. An tồn cơng nghệ

6


thơng tin là đảm bảo an tồn kỹ thuật cho các sản phẩm, dịch vụ và hệ thống công

nghệ thông tin.
1.2. Khái niệm về đánh giá an tồn thơng tin
Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống
có tin cậy hay khơng, có áp dụng các biện pháp và kỹ thuật an tồn phù hợp hay
khơng, mức độ an tồn như thế nào? Đánh giá an tồn thơng tin chính là để đáp ứng
nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm
và hệ thống.
Mặt khác, nhiều người tiêu dùng công nghệ thơng tin khơng có đủ kiến thức,
chun mơn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và
hệ thống công nghệ thông tin có phù hợp hay khơng, và cũng khơng thể chỉ dựa
vào cam kết của các nhà phát triển. Bởi vậy, người tiêu dùng có thể nâng cao tin
cậy trong các biện pháp an toàn của một sản phẩm hoặc hệ thống cơng nghệ thơng
tin bằng cách đặt hàng phân tích về an toàn cho chúng, nghĩa là đánh giá an tồn.
1.3. Nhu cầu về đánh giá an tồn thơng tin và các tiêu chí đánh giá chung
Đánh giá an tồn thông tin là một nhu cầu thực tế, giúp người dùng xác định
xem sản phẩm hoặc hệ thống công nghệ thơng tin có đủ an tồn và tin cậy chưa khi
đưa vào sử dụng, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được hay
khơng, hoặc các sản phẩm và hệ thống có áp dụng các biện pháp và kỹ thuật an
tồn phù hợp hay khơng, mức độ an toàn như thế nào. Ngoài ra, việc đánh giá an
tồn thơng tin cịn giúp các doanh nghiệp trong việc phát triển các sản phẩm và hệ
thống công nghệ thông tin đảm bảo các yêu cầu về an tồn thơng tin.
Thực tế cho thấy, một mơ hình tổng thể cho đánh giá an tồn thơng tin hết
sức cần thiết. Mơ hình này khơng những đáp ứng nhu cầu đảm bảo an tồn các hệ
thống thơng tin, mà đồng thời còn là một phương tiện hữu hiệu để khảo sát qui
hoạch, phát triển hệ thống và đánh giá kết quả.
Để đạt được sự so sánh hiệu quả giữa các kết quả đánh giá, các đánh giá cần
được thực hiện theo một khung của mơ hình chính thức trong đó các tiêu chí đánh

7



giá chung (Common Criteria), các thành phần giám sát chất lượng của q trình
đánh giá và các tổ chức có thẩm quyền đánh giá tương thích với nhau trong cùng
một ngữ cảnh đánh giá.
Sử dụng phương pháp đánh giá chung làm tăng thêm tính chính xác và khách
quan của kết quả đánh giá, song chỉ sử dụng phương pháp đánh giá chung vẫn chưa
đủ. Cần có những tiêu chí đánh giá chung và lược đồ đánh giá. Nhiều tiêu chí đánh
giá địi hỏi có các kinh nghiệm chun gia và kiến thức cơ bản, nhằm đạt được sự
nhất quán và khách quan trong các kết quả đánh giá.
Để tăng cường sự nhất quán và khách quan cho các kết quả đánh giá, cần có
một quy trình cơng nhận/phê chuẩn. Quy trình này xem xét kỹ càng một cách độc
lập các kết quả đánh giá để đưa ra chứng nhận/ phê chuẩn về mức độ an toàn cho
các sản phẩm/ hệ thống công nghệ thông tin khi vào sử dụng.
1.4. Phương pháp luận đánh giá an tồn thơng tin
Để thực hiện đánh giá an tồn thơng tin một cách tối ưu và đúng đắn, người
đánh giá cần phải có một phương pháp luận cụ thể. Phương pháp luận đánh giá nên
được lập thành tài liệu và nên tái thực hiện theo nhiều phiên bản bởi vì:
- Cung cấp tính thống nhất và có cấu trúc cho việc kiểm thử an tồn, từ đó có
thể giảm thiểu rủi ro trong q trình đánh giá.
- Giúp dễ dàng trong việc chuyển giao quy trình đánh giá nếu có sự thay đổi
nhân sự đánh giá.
- Chỉ ra những hạn chế về tài nguyên kết hợp với các đánh giá an tồn.
Bởi vì đánh giá an tồn thơng tin cần các vấn đề như thời gian, nhân lực,
phần cứng, phần mềm; song đây lại là một trong những yếu tố làm hạn chế tới cách
thức cũng như tần suất đánh giá. Chính vì thế, việc xác định phương thức đánh giá,
xác định kiểu kiểm thử và kiểm tra, và có một phương pháp luật phù hợp sẽ giúp
giảm thiểu được các hạn chế ở trên, đồng thời cũng giảm bớt chi phí cho việc thực
hiện đánh giá.
Xây dựng phương pháp luận đánh giá an toàn thông tin theo các giai đoạn sẽ
mang lại rất nhiều các ưu điểm và cung cấp một cấu trúc, điểm dừng tự nhiên cho

8


quá trình chuyển đổi nhân viên. Phương pháp luận cần chứa tối thiểu các pha như
sau:
- Lập kế hoạch: Pha này đóng vai trị quan trọng góp phần giúp cho q
trình đánh giá thành cơng. Trong pha này, các thơng tin cần thiết để phục vụ quá
trình đánh giá sẽ được thu thập, chẳng hạn như các tài sản, mối đe dọa đối với tài
sản và các biện pháp kiểm sốt an tồn được sử dụng nhằm giảm thiểu các mối đe
dọa đó. Ngồi ra, người đánh giá cũng có thể hình dung được phương pháp tiếp cận
đánh giá trong pha này. Một đánh giá an toàn nên được coi như bất kì một dự án
nào khác với một kế hoạch quản lý dự án để chỉ ra các mục tiêu, mục đích, phạm
vi, u cầu, các vai trị và trách nhiệm của nhóm, những hạn chế, yếu tố thành
cơng, giả định, tài nguyên, thời gian và các phân phối.
- Thực thi: Mục tiêu chính cho giai đoạn thực thi là xác định các lỗ hổng và
xác nhận chúng khi thích hợp. Pha này cần phải chỉ ra các hoạt động liên quan tới
phương pháp và kỹ thuật đánh giá đã được dự kiến. Mặc dù các hoạt động cụ thể
của pha này khác nhau tùy theo kiểu đánh giá nhưng khi hồn thành pha này thì
người đánh giá sẽ phải xác định hệ thống, mạng và các lỗ hổng.
- Hậu thực thi: Giai đoạn hậu thực thi tập trung vào việc phân tích các lỗ
hổng đã được xác định để biết được nguyên nhân thực sự, đưa ra các khuyến cáo
giảm nhẹ lỗ hổng và phát triển báo cáo cuối cùng.
Có một vài phương pháp luận được chấp nhận để thực hiện các kiểu đánh giá
an tồn thơng tin khác nhau. Chẳng hạn NIST đã đưa ra một phương pháp luận –
Hướng dẫn đánh giá các biện pháp kiểm sốt an tồn trong hệ thống thơng tin liên
bang (NIST - SP 800-53A). Tài liệu này cung cấp các gợi ý cho việc đánh giá tính
hiệu quả của các biện pháp kiểm sốt an tồn đã nêu trong NIST SP 800-53. Hay
một phương pháp luận được sử dụng rộng rãi khác là phương pháp mở kiểm thử an
tồn thủ cơng (Open Source Security Testing Methodology Manual - OSSTMM).
Bởi vì có rất nhiều lí do để tiến hành đánh giá nên một tổ chức có thể muốn sử

dụng nhiều phương pháp luận. Dưới đây chúng ta sẽ xem xét kỹ hơn về một số
phương pháp luận được ứng dụng rộng rãi trong đánh giá an tồn hệ thống thơng

9


tin là:
- Phương pháp đánh giá an toàn hệ thống thông tin – ISSAF
- Phương pháp mở đánh giá an tồn thủ cơng – OSSTMM
- Dự án mở về bảo mật ứng dụng Web – OWASP
1.4.1. Phương pháp ISSAF
ISSAF là phương pháp luận đánh giá an tồn hệ thống thơng tin của tổ chức
OISSG, ra đời năm 2003, cho phép người nghiên cứu, đánh giá an ninh công nghệ
thông tin chuyên nghiệp tham gia đóng góp, thảo luận trong lĩnh vực an ninh cơng
nghệ thơng tin.
Khung làm việc của nó được phân vào một số loại lĩnh vực giải quyết các
đánh giá an ninh theo một trình tự. Mỗi lĩnh vực đánh giá các bộ phận khác nhau
của một hệ thống mục tiêu và cung cấp dữ liệu đầu vào cho nhóm cơng việc an
ninh thành cơng. ISSAF phát triển tập trung vào hai lĩnh vực: quản lý và kỹ thuật.
Mặt quản lý thực hiện quản lý nhóm cơng việc và các kinh nghiệm thực tế tốt nhất
phải được tuân thủ trong suốt quá trình đánh giá, trong khi mặt kỹ thuật thực hiện
bộ quy tắc cốt lõi, thủ tục cần tuân thủ và tạo ra một quy trình đánh giá an ninh đầy
đủ.
Về mặt kỹ thuật, ISSAF xây dựng một loạt các phương pháp đánh giá cho
từng thành phần của hệ thống công nghệ thông tin như: đánh giá an toàn mật khẩu;
đánh giá an toàn các thiết bị mạng: Switch, Router, Firewall, IDS, VPN, Anti-Virus,
WLAN…; đánh giá an ninh máy chủ: Windows, Linux, Novell, Web Server; đánh
giá an ninh ứng dụng web, mã nguồn, CSDL đến đánh giá an ninh phi công nghệ
như an ninh vật lý; công nghệ xã hội.
Về phương thức làm việc, ISSAF bao gồm 3 giai đoạn tiếp cận và 9 bước

đánh giá, đó là:

10


Hình 1.1 Phương thức làm việc của ISSAF
Giai đoạn 1: Lên kế hoạch và chuẩn bị
Đây là giai đoạn trao đổi thông tin ban đầu, lập kế hoạch và chuẩn bị cho
đánh giá; ký thỏa thuận đánh giá chính thức làm cơ sở pháp lý; xác định thời gian
và khoảng thời gian đánh giá, nhóm tham gia đánh giá, hướng leo thang…
Giai đoạn 2: Đánh giá
Đây là giai đoạn thực sự thực hiện đánh giá. Trong giai đoạn này, một cách
tiếp cận theo lớp được tn thủ. Có chín lớp đánh giá bao gồm:
 Lớp 1. Thu thập thông tin
 Lớp 2. Lập bản đồ mạng
 Lớp 3. Xác định lỗ hổng
 Lớp 4. Xâm nhập
 Lớp 5. Truy cập & leo thang đặc quyền
 Lớp 6. Liệt kê thêm
 Lớp 7. Thỏa hiệp user/site từ xa
 Lớp 8. Duy trì truy cập
 Lớp 9. Xóa dấu vết
Các bước được thực hiện lặp đi lặp lại đại diện bởi các mũi tên vòng tròn
11


trong giai đoạn đánh giá trong Hình 1.1. Đặc biệt chín lớp được mơ tả rất kỹ và giới
thiệu rất nhiều phần mềm tương ứng có thể sử dụng trong từng lớp hoặc tham khảo
khi đánh giá.
Giai đoạn 3: Báo cáo, dọn dẹp và hủy hậu quả

Bao gồm báo cáo bằng lời nói (thực hiện khi có việc đột xuất hoặc vấn đề
quan trọng khi đánh giá an toàn) và báo cáo cuối cùng thực hiện sau khi hoàn thành
tất cả các bước đánh giá được xác định trong phạm vi công việc. Cuối cùng là dọn
dẹp hậu quả, tất cả các thông tin được tạo ra hoặc được lưu trữ trên hệ thống đánh
giá cần được loại bỏ khỏi hệ thống.
1.4.2. Phương pháp OSSTMM
OSSTMM là một dự án của ISECOM – tổ chức phi lợi nhuận được thành lập
ở New York, Hoa Kỳ và ở Catalonia, Tây Ban Nha. Dự án này phát triển trong một
cộng đồng mở, với các đối tượng tham gia bình đẳng và khơng ảnh hưởng bởi
chính trị và thương mại. Đây là một phương pháp khoa học giúp mơ tả chính xác
các an ninh hoạt động đặc trưng thông qua đánh giá một cách nhất quán và lặp đi
lặp lại trên các kênh vật lý, tương tác con người, kết nối như không dây, có dây,
tương tự và số. Phương pháp này phù hợp với hầu hết các kiểu đánh giá như đánh
giá an ninh, đánh giá lỗ hổng… Hiện nay dự án được phát triển và nâng cấp lên tới
phiên bản 3.0.
Từ góc độ kỹ thuật, phương pháp tiếp cận chia thành bốn nhóm chính, đó là
phạm vi, kênh, chỉ mục và hướng. Phạm vi là tất cả các tài sản hoạt động trong mơi
trường mục tiêu trên đó xác định một quy trình thu thập thơng tin. Một kênh xác
định loại giao tiếp và tương tác với các tài sản có thể là vật lý, dải tần số và truyền
thông. Chỉ số là một phương pháp được coi là hữu ích khi phân loại và đếm các tài
sản mục tiêu tương ứng với từng loại cụ thể của chúng, chẳng hạn như địa chỉ
MAC và địa chỉ IP. Cuối cùng, hướng mà theo đó người đánh giá có thể đánh giá
và phân tích từng tài sản chức năng. Tồn bộ q trình này khởi tạo một lộ trình kỹ
thuật theo hướng đánh giá tồn bộ mơi trường mục tiêu và được gọi là phạm vi

12


đánh giá.
Phương pháp OSSTMM cũng định nghĩa một loạt các thuật ngữ được sử

dụng như: kiểm soát, bề mặt tấn cơng, hướng, hướng tấn cơng, an ninh, an tồn, độ
xốp, hạn chế, lỗ hổng, điểm yếu, RAV, hoạt động, an ninh hoàn hảo…
Ngoài ra, phương pháp OSSTMM xây dựng một cơ sở lý thuyết mô tả chi
tiết các thành phần cấu thành an ninh hoạt động và lượng hóa các thành phần này
cùng cơng thức tính tốn của chúng. An ninh là một khái niệm tương đối mà với
mức độ an ninh thực tế này thì có thể là tốt đối với tổ chức này nhưng lại quá mất
an ninh so với tổ chức khác. Vì vậy, lượng hóa các thuộc tính an ninh giúp tính tốn
và biểu diễn an ninh một cách nhất quán và lặp đi lặp lại.

Hình 1.2 Khái qt mơ hình OSSTMM
Phương thức làm việc của OSSTMM bao gồm 17 module kiểm thử như Hình 1.3:

13


Hình 1.3 Phương thức làm việc của OSSTMM
Có năm kênh an ninh là: truyền thông, mạng dữ liệu, vật lý, con người và
không dây chia thành 3 lớp kênh: PHYSSEC – con người, vật lý; SPECSEC –
không dây và COMSEC – truyền thông, mạng dữ liệu. Ứng với mỗi kênh sẽ lần
lượt thực hiện 17 mô-đun, chia thành 4 giai đoạn: giai đoạn bắt đầu gồm 3 mô-đun
đầu tiên, giai đoạn tương tác gồm các mô-đun từ 4 đến 7, giai đoạn điều tra gồm
các mô-đun từ 8 đến 13 và giai đoạn can thiệp gồm các mơ-đun cịn lại – từ 14 đến
17. Trong từng mô-đun, tùy thuộc vào từng kênh ta có các nhiệm vụ phải làm để có
thể tìm được các giá trị cho 18 đại lượng ở phần trên (mô tả chi tiết trong chương 7,
8, 9, 10 và 11 của hướng dẫn OSSTMM). Như vậy, người đánh giá phải thực hiện
17 * 5 = 85 phân tích trước khi đưa ra được báo cáo cuối cùng.
1.4.3. Phương pháp OWASP
OWASP ra đời năm 2001, đây là một tổ chức phi lợi nhuận, cộng đồng mở,
mục tiêu chính của tổ chức là cải tiến an ninh các phần mềm ứng dụng, đặc biệt là
ứng dụng web. Tổ chức này cũng xây dựng nhiều công cụ khác nhau cho việc đánh

giá và đều là mã nguồn mở, miễn phí. OWASP ủng hộ phương pháp tiếp cận an
14


ninh ứng dụng theo con người, quy trình và cơng nghệ vì đây là những nhân tố tạo
ra ứng dụng, những nhân tố trên có hành vi an tồn thì ứng dụng mới an toàn. Theo
OWASP, các ứng dụng web trên mạng hầu hết phải tiếp xúc với bên ngoài, nên nó
sẽ là đối tượng đầu tiên chịu các cuộc tấn cơng phá hoại và sửa đổi trái phép. Vì
vậy, đây sẽ là cánh cổng cho kẻ tấn công xâm nhập vào lớp ứng dụng trước khi
thực hiện các bước tiếp theo xâm nhập vào hệ thống. Vì lỗ hổng an ninh này rất
phổ biến, một số phương pháp đánh giá đã được giới thiệu nhằm đánh giá sự trầm
trọng của các rủi ro an ninh cơ bản của ứng dụng web. Một nỗ lực được thực hiện
bởi cộng đồng mở OWASP là xây dựng khung làm việc đánh giá an toàn ứng dụng
web và thúc đẩy dự án OWASP top 10 nhằm nâng cao nhận thức an ninh ứng dụng
của các tổ chức.
Dự án OWASP top 10 không tập trung vào các chương trình ứng dụng an
ninh hồn thiện, mà cung cấp một nền tảng cần thiết để tích hợp an ninh thông qua
các nguyên tắc và thực hành lập trình an tồn. Dự án OWASP top 10 phân loại rủi
ro an ninh ứng dụng web bằng cách đánh giá các hướng tấn công hàng đầu và lỗ
hổng an ninh trong mối quan hệ đối với các tác động kỹ thuật và kinh doanh của
nó. Việc đánh giá mười rủi ro hàng đầu của dự án sẽ thực hiện theo chu kỳ mỗi năm
một lần nhằm mục đích chỉ ra những rủi ro nghiêm trọng nhất trong từng năm (chú
ý khơng chỉ có 10 rủi ro cần xem xét mà rất nhiều, tuy nhiên hàng năm OWASP sẽ
chọn ra 10 rủi ro nguy hại nhất).
Dự án cũng cung cấp hướng dẫn cụ thể giúp đánh giá, xác minh và khắc
phục từng phần các lỗ hổng của một ứng dụng như thế nào. Tuy khơng tập trung
nhưng có một số hướng dẫn có sẵn từ cộng đồng OWASP cho những người phát
triển và người đánh giá an toàn quản lý hiệu quả các ứng dụng web về mặt an ninh.
Đối với OWASP, an tồn phần mềm nói chung và ứng dụng web nói riêng
phải được chú trọng ngay từ giai đoạn đầu tiên: định nghĩa, thiết kế và duy trì cho

đến các giai đoạn sau này như: phát triển, triển khai, bảo trì. Tóm lại, đánh giá an
ninh nên được áp dụng trong suốt vòng đời phát triển phần mềm. Vì vậy hướng dẫn
này khơng chỉ dành cho người đánh giá mà còn phải được đọc và sử dụng bởi

15


người phát triển và kiểm thử phần mềm. Giữ thông tin an ninh liên tục cập nhật là
một khía cạnh quan trọng của dự án hướng dẫn này. Để đáp ứng yêu cầu trên,
OWASP áp dụng phương pháp tiếp cận wiki, cộng đồng OWASP có thể phát triển
và mở rộng thông tin trong tài liệu hướng dẫn này để bắt kịp với sự phát triển
nhanh chóng của các mối đe dọa an ninh nhằm vào ứng dụng.
Theo OWASP, đánh giá an tồn sẽ khơng bao giờ là một khoa học chính xác
với một danh sách đầy đủ của tất cả các vấn đề cần được đánh giá và đánh giá an
tồn an ninh chỉ là một kỹ thuật thích hợp để đánh giá an tòa cho các ứng dụng web
trong những hoàn cảnh nhất định. Phương pháp đánh giá an toàn ứng dụng web của
OWASP dựa trên tiếp cận hộp đen. Người đánh giá khơng biết hoặc biết rất ít thơng
tin về các ứng dụng được đánh giá. Mơ hình đánh giá bao gồm:
 Người đánh giá: Thực hiện các hoạt động đánh giá.
 Công cụ và phương pháp: Cốt lõi là dự án hướng dẫn đánh giá.
 Áp dụng: Đánh giá hộp đen.
Phương pháp OWASP bao gồm 10 bước thực hiện chia thành 2 giai đoạn:

Hình 1.4 Phương thức làm việc của OWASP
Giai đoạn 1 – Chế độ thụ động: Trong chế độ này, người đánh giá cố gắng
hiểu được logic của ứng dụng và các thông tin liên quan đến mục tiêu đánh giá.
16


Các thơng tin có thể thu thập được như: sơ đồ website, thơng tin webserver, vị trí

đặt tên miền… Các thông tin này là tiền đề để thực hiện giai đoạn thứ 2.
Giai đoạn 2 – Chế độ chủ động: Trong giai đoạn này, người đánh giá bắt đầu
thực hiện đánh giá theo hướng dẫn chi tiết trong tài liệu OWASP. OWASP chia
đánh giá chủ động thành 9 loại nhỏ với tổng số 66 bài viết hướng dẫn:
-

Kiểm tra Quản lý cấu hình.
Kiểm tra business logic
Kiểm tra cơ chế xác thực
Kiểm tra việc ủy quyền
Kiểm tra quản lý phiên giao dịch
Kiểm tra các dữ liệu đầu vào13
Kiểm tra khả năng tấn công từ chối dịch vụ
Kiểm tra web services
Kiểm tra AJAX

1.5. Các kỹ thuật đánh giá
Có rất nhiều các kỹ thuật kiểm tra và kiểm thử an tồn có thể được sử dụng
để đánh giá an toàn của hệ thống và mạng. Tuy nhiên tựu chung lại chúng có thể
được chia thành 3 loại như sau:
-

Kỹ thuật rà soát (review): Đây là kỹ thuật kiểm tra được dùng để đánh giá

hệ thống, ứng dụng, mạng, chính sách và thủ tục nhằm mục tiêu phát hiện các lỗ
hổng và thường được tiến hành thủ công (bằng tay). Các kỹ thuật này bao gồm việc
rà sốt tài liệu, nhật kí, tập luật và rà sốt cấu hình hệ thống; thăm dị mạng; kiểm
tra tính tồn vẹn tập tin.
Kỹ thuật phân tích và xác định mục tiêu: Kỹ thuật kiểm thử này có thể
xác định hệ thống, các cổng, dịch vụ và các lỗ hổng. Thơng thường có các cơng cụ

tự động để thực hiện các kỹ thuật này nhưng cũng có thể được thực hiện thủ công.
Các kỹ thuật này bao gồm: phát hiện mạng, nhận dạng cổng và dịch vụ mạng, quét
lỗ hổng, quét mạng không dây và kiểm tra an toàn ứng dụng.
Kỹ thuật xác định điểm yếu mục tiêu: Kỹ thuật kiểm thử này để xác định
sự tồn tại của các lỗ hổng trong hệ thống. Chúng có thể được thực hiện một cách
thủ công hoặc thông qua các công cụ tự động tùy thuộc vào các hệ thống cụ thể
17


cũng như kỹ năng của người kiểm thử. Các kỹ thuật xác định điểm yếu mục tiêu
bao gồm: bẻ mật khẩu, kiểm thử xâm nhập, kỹ nghệ xã hội và kiểm thử an tồn ứng
dụng.
Khơng có một kỹ thuật nào có thể cung cấp một cách đầy đủ, chi tiết về các
vấn đề an toàn trong một hệ thống hay mạng nên cần phải kết hợp các kỹ thuật một
cách phù hợp để đảm bảo rằng các đánh giá an tồn là chính xác. Ví dụ, kiểm thử
xâm nhập thường phụ thuộc vào sự thực hiện của cả sự nhận dạng cổng mạng/dịch
vụ và quét lỗ hổng để xác định các máy chủ và dịch vụ mà có thể là mục tiêu đối
với sự thâm nhập tương lai. Ngoài ra, có một số kỹ thuật chỉ thỏa mãn với một yêu
cầu đánh giá, chẳng hạn như xác định nơi mà các bản vá được áp dụng một cách
phù hợp.
Ngoài các kỹ thuật được trình bày ở trên, thực tế cịn rất nhiều kỹ thuật khác
nữa mà người đánh giá có thể áp dụng. Ví dụ như kiểm thử an tồn vật lý (xác thực
sự tồn tại của các lỗ hổng an toàn vật lý bằng cách cố gắng phá ổ khóa, giả dấu hiệu
và các biện pháp kiểm sốt an toàn vật lý khác) thường để đạt được sự truy cập trái
phép để tiếp cận tới các máy chủ, thiết bị mạng. Một ví dụ khác là nhận dạng tài
sản theo cách thủ cơng. Một tổ chức có thể lựa chọn để xác định các tài sản cần
đánh giá thông qua các kho lưu trữ tài sản hay các phương thức khác thay vì dựa
vào các kỹ thuật để nhận dạng tài sản.

18



1.6. Yêu cầu cụ thể đối với việc thực hiện đánh giá an tồn thơng tin
1.6.1. Quy trình thực hiện đánh giá an tồn thơng tin
1.6.1.1. Các bước thực hiện

Hình 1.5 Quy trình thực hiện đánh giá An tồn thơng tin mạng
1.6.1.2. Mơ tả quy trình
TT

1

2

Tên bước thực
hiện

Mơ tả

Ghi chú

Bắt đầu quá trình
cung cấp dịch vụ
(B1)

Các hợp đồng bao gồm
nhưng khơng giới hạn: Hợp
Có hợp đồng đã được đồng cung cấp dịch vụ giữa
ký kết với khách 2 bên, Thoả thuận cam kết
hàng

bảo mật thông tin (NDA),
phụ lục phạm vi dự án
(scope of work)

Thu thập thông tin
mục tiêu
(B2)

Các thông tin về mục tiêu
Khảo sát hiện trạng
cần đánh giá như: hệ điều
hệ thống, đối tượng
hành, phiên bản phần mềm,
cần đánh giá từ các
loại thiết bị mạng, bảo mật,
nguồn khác nhau.
nghiệp vụ ứng dụng…

19


3

4

5

6

7


Dị qt tự động
(Automatic
Discovery)
(B3)

Kiểm tra thủ cơng
(Manual testing)
(B3)

Sử dụng các cơng cụ
phần mềm để tự động
dị qt các lỗ hổng
phần mềm, hệ điều
hành (nếu cần thiết).

Các thông tin về lỗi, lỗ hổng
bảo mật được lưu lại và xử
lý, đánh giá mức độ ảnh
hưởng và nguy hại tới hệ
thống.

Bao gồm: đánh giá phiên
xác thực, đăng nhập; đánh
giá phân quyền; tương tác
với các hệ thống backThực hiện kiểm tra end…
đánh giá thêm tùy
thuộc vào từng ứng Thông báo cho khách hang
trong trường hợp nghi ngờ
dụng cụ thể.

các lỗi kiểm tra gây nguy
hiểm cho hệ thống mục tiêu.

Xác minh mức độ rủi
ro, khả năng khai
Kiểm thử xâm nhập thác thực tế của các
(B4)
lỗ hổng tiềm năng
theo yêu cầu của
khách hang.

Thực hiện kiểm thử xâm
nhập một/một vài lỗ hổng
nghiêm trọng đã được tìm
thấy trước đó, xác định mức
độ và phạm vi ảnh hưởng
cao.

Viết báo cáo tổng
thể gửi khách hang
(B5)

Báo cáo tổng thể phải cung
cấp tổng số lỗi, mức điểm
Báo cáo tổng thể phải của từng lỗi, chi tiết chứng
chuẩn hóa cho từng minh, khai thác, bằng chứng
loại mục tiêu/dịch vụ. xác nhận, tài liệu tham khảo
và khuyến nghị sửa chữa,
khắc phục.


Đánh giá lại và viết
báo cáo sau đánh
giá lại
(B5)

Báo cáo thể hiện tình trạng
Báo cáo kỹ thuật đơn đã sửa lỗi hay chưa. Bằng
giản xác nhận tình chứng xác thực đi kèm.
trạng của tồn bộ lỗi (Hạng mục này cần được
đã được sửa xong.
thực hiện trong khoảng thời
gian cho phép).

20


8

Đóng dự án
(B6)

Hồn thiện các hồ sơ,
giấy tờ liên quan
phục vụ cho việc
đóng dự án và thanh
lý hợp đồng.

1.6.2. Mơ tả chi tiết các hạng mục đánh giá an toàn thông tin mạng
Các hạng mục đánh giá bao gồm:
- Kiểm tra đánh giá ứng dụng web.

- Kiểm tra đánh giá ứng dụng mobile và các ứng dụng WinForms.
- Kiểm tra đánh giá hệ thống cơ sở dữ liệu.
- Kiểm tra đánh giá hệ thống máy chủ dịch vụ, thiết bị mạng và bảo mật.
- Kiểm tra đánh giá hệ thống mạng không dây.
TT

Nội dung đánh giá

Mô tả

I

Kiểm tra đánh giá ứng dụng Web

1

Thu thập và khảo sát Thực hiện tìm kiếm thông tin về ứng dụng
thông tin
phục vụ cho quá trình đánh giá.

2

Việc phân tích cơ sở hạ tầng và kiến trúc của
Kiểm tra quản lý cấu hình
website có thể giúp xác định rất nhiều yếu tố
và triển khai
về một ứng dụng Web.

3


Xác định việc ứng dụng định danh người
Kiểm tra quản lý định
dùng, qua đó có thể phá vỡ tính xác thực và
danh
định danh của người dùng.

4

Kiểm tra phần xác thực

Kiểm tra cơ chế xác thực dựa trên các phân
tích cơ chế hoạt động của chức năng đăng
nhập trong ứng dụng Web để tìm ra các điểm
yếu.

5

Kiểm tra phân quyền

Tìm hiểu chức năng cấp quyền làm việc, thử
phá vỡ cơ chế quan trọng này.

21


Kiểm tra xem phiên và các “security token” có
được tạo ra một cách an tồn hoặc có thể đốn
trước đựơc hay không.

6


Kiểm tra quản lý phiên

7

Đa phần điểm yếu trong ứng dụng Web tập
trung vào khâu đánh giá đầu vào đến từ người
Kiểm tra kiểm soát dữ
dùng. Điểm yếu này dẫn đến hầu hết lỗ hổng
liệu đầu vào
trong ứng dụng Web như: “SQL Injection”,
“File Inclusion”, “Cross-site scripting” ...

8

Kiểm tra việc xử lý lỗi

Kiểm tra việc thông báo lỗi của ứng dụng có
gây ra các nguy cơ mất an tồn thơng tin cho
hệ thống hay khơng.

9

Kiểm tra mật mã, mã hóa Kiểm tra các cơ chế mã hố có thể yếu của
yếu
ứng dụng.

10

Kiểm tra việc vận hành ứng dụng có thể gây ra

Kiểm tra lỗ hổng logic
các lỗi mà người dùng bình thường khơng phát
nghiệp vụ
hiện ra.

II

Kiểm tra đánh giá ứng dụng Mobile và các ứng dụng WinForms

1

Khảo sát thông tin ứng Thực hiện tìm kiếm thơng tin về ứng dụng
dụng
phục vụ cho quá trình đánh giá.

2

Kiểm tra ứng dụng bằng phương pháp phân
Kiểm tra phía máy khách tích phía máy khách cài đặt, hoạt động của
và phân tích động
ứng dụng có thể gây mất an tồn cho máy
khách sử dụng.

3

Kiểm tra kênh kết nối

4

Kiểm tra các tham số trên các

Kiểm tra các Webservices
Webservices/API, xác định các dữ liệu nhập
và API
có thể gây nguy hại cho hệ thống ứng dụng.

III

Kiểm tra các kết nối đã đạt an tồn thơng tin
(sử dụng các giao thức an toàn)

Kiểm tra đánh giá hệ thống cơ sở dữ liệu

1

Thu thập thông tin Cơ sở Thu thập các thông tin về máy chủ CSDL, các
dữ liệu
“Instance” của CSDL

2

Đánh giá cấu hình máy Xác định cấu hình máy chủ CSDL gây mất an

22


chủ cơ sở dữ liệu

toàn cho hệ thống.

3


Đánh giá xác thực

Kiểm tra cơ chế xác thực, chống các tấn công
vét cạn, tấn công từ điển vào tài khoản quản
trị.

4

Đánh giá phân quyền

Kiểm tra các cơ chế chống leo thang đặc
quyền

5

Kiểm tra các lỗ hổng
CVE
(Common Thu thập thông tin CVE liên quan tới CSDL,
Vulnerabilities
and thực hiện kiểm tra khả năng khai thác của các
Exposures) liên quan tới CVE này lên hệ thống CSDL
CSDL

IV

Kiểm tra đánh giá hệ thống Máy chủ dịch vụ, thiết bị mạng và bảo
mật

1


Thu thập thông tin

Thu thập thông tin của đối tượng.

2

Đánh giá xác thực

Kiểm tra cơ chế xác thực, chống các tấn công
vét cạn, tấn công từ điển vào tài khoản quản
trị.

3

Đánh giá phân quyền

Kiểm tra các cơ chế chống leo thang đặc
quyền.

4

Kiểm tra dữ liệu nhập tại các điểm có khả
Đánh giá q trình kiểm
năng nhận dữ liệu từ phía máy khách trên các
tra dữ liệu đầu vào
cổng dịch vụ đang mở của máy chủ.

V


Kiểm tra đánh giá hệ thống mạng không dây

1

Thu thập các thông tin của thiết bị cấp phát
Thu thập thông tin của
mạng không dây, xác định những phương
mạng không dây
pháp xác thực của mạng không dây.

2

Thực hiện đánh giá mạng Nếu mạng không dây sử dụng xác thực WEP,
không dây sử dụng WEP thực hiện các phương pháp để lấy được key.

3

Thực hiện đánh giá mạng Nếu mạng không dây sử dụng xác thực
không dây sử dụng WPA/WPA2, thực hiện các phương pháp để
WPA/WPA2
lấy được key.

23


Chương 2
TIÊU CHUẨN ĐÁNH GIÁ AN TỒN THƠNG TIN
2.1. Các tiêu chuẩn quốc tế về đánh giá an tồn thơng tin
Các tổ chức viễn thông quốc tế đã nghiên cứu và đưa ra nhiều tài liệu, tiêu chuẩn về
lĩnh vực an tồn thơng tin như:

a) ISO/IEC 27000 Information technology - Security techniques - Information
security management systems
Đây là bộ tiêu chuẩn về an tồn thơng tin do Tổ chức Tiêu chuẩn hóa Quốc
tế (ISO) phối hợp với Ủy ban Kỹ thuật điện quốc tế (IEC) xây dựng nhằm giúp các
tổ chức có được một cơng cụ cần thiết áp dụng các quy phạm an tồn thơng tin tốt
nhất vào hoạt động kinh doanh hàng ngày. ISO 27000 đưa ra một phạm vi rộng lớn
về Khung Chính sách mà có thể thay đổi và áp dụng theo nhu cầu riêng của từng tổ
chức và từ đó có thể xây dựng Văn hóa an ninh thơng tin một cách tồn diện.

Hình 2.1 Mối quan hệ giữa các tiêu chuẩn trong bộ ISO/IEC 27000
b) ISO/IEC 15408 Information Technology - Security Techniques - Evaluation
24


Criteria for IT Security
Chuẩn này là một chuẩn quốc tế đánh giá về an tồn cơng nghệ thơng tin.
Mục đích của chuẩn này là giúp cho người sử dụng biết rõ các yêu cầu về an toàn
đối với sản phẩm công nghệ họ cần, cho phép các nhà phát triển chỉ rõ các thuộc
tính an tồn trong các sản phẩm công nghệ của họ xây dựng và cho phép các nhà
đánh giá quyết định xem các sản phẩm có thực sự đáp ứng được yêu cầu về an toàn
mà họ đưa ra khơng.
ISO/IEC 15408 được trình bày dưới dạng một tập hợp của ba phần riêng biệt
song có liên quan mật thiết nhau, nhằm đưa ra bộ khung đánh giá chung và các tiêu
chí đánh giá chung nhất cho đánh giá an tồn thơng tin.
Phần 1 (ISO/IEC 15408–1) là phần giới thiệu và trình bày về mơ hình tổng
qt.
Phần 2 (ISO/IEC 15408-2) là phần đề cập đến các thành phần chức năng an
toàn cho các sản phẩm và hệ thống cơng nghệ thơng tin. Các u cầu chức năng an
tồn được chuẩn hóa chung cho các sản phẩm và hệ thống công nghệ thông tin và
được biểu diễn trong một tập hợp các thành phần chức năng, các họ và các lớp.

Phần 3 (ISO/IEC 15408-3) là phần đề cập đến các thành phần đảm bảo an
toàn cho các sản phẩm và hệ thống cơng nghệ thơng tin. Các tiêu chí đảm bảo an
tồn được chuẩn hóa chung cho các sản phẩm và hệ thống công nghệ thông tin và
được biểu diễn dưới dạng một tập hợp các thành phần, các họ và các lớp trong một
hồ sơ bảo vệ hoặc một tập đích an tồn.
c) ISO/IEC 18045:2005. Information technology - Security Techniques Methodology for IT Security Evaluation
ISO/IEC 18045 là tài liệu đi kèm ISO/IEC 15408: “công nghệ thông tin - các
kỹ thuật an tồn – tiêu chí đánh giá an tồn thơng tin”. ISO/IEC 18045 qui định
những hành động tối thiểu mà một người đánh giá cần thực hiện theo một thứ tự
nhất định để kiểm soát việc đánh giá trong ISO/IEC 15408, sử dụng tiêu chí và
những căn cứ đánh giá được định nghĩa trong ISO/IEC 15408.
d) ISO/IEC 19791:2010. Information technology - Security Techniques - Security
assessment of operational systems
Tiêu chuẩn này là một tài liệu hỗ trợ, nó định nghĩa các phần mở rộng của

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×