BỘ THÔNG TIN VÀ |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
Số: 1591/QĐ-BTTTT |
Hà Nội, ngày 13 tháng 10 năm 2021 |
BAN HÀNH YÊU CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG XÂM NHẬP LỚP MẠNG
BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Theo đề nghị của Cục trưởng Cục An toàn thông tin.
QUYẾT ĐỊNH
Điều 4. Quyết định này có hiệu lực thi hành kể từ ngày ký.
|
KT. BỘ TRƯỞNG |
YÊU
CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG XÂM NHẬP LỚP MẠNG
(Kèm theo Quyết định số 1591/QĐ-BTTTT ngày 13 tháng 10 năm 2021 của Bộ trưởng
Bộ Thông tin và Truyền thông)
1. Phạm vi áp dụng
Tài liệu này mô tả các yêu cầu kỹ thuật cơ bản để đánh giá chất lượng sản phẩm Phòng, chống xâm nhập lớp mạng (NIPS). Tài liệu bao gồm các nhóm yêu cầu: Yêu cầu về tài liệu, Yêu cầu về quản trị hệ thống, Yêu cầu về kiểm soát lỗi, Yêu cầu về log, Yêu cầu về hiệu năng xử lý, Yêu cầu về chức năng tự bảo vệ, Yêu cầu về chức năng phát hiện và ngăn chặn xâm nhập mạng.
2. Đối tượng áp dụng
Các cơ quan, tổ chức có liên quan đến hoạt động nghiên cứu, phát triển; đánh giá, lựa chọn sản phẩm NIPS khi đưa vào sử dụng trong các hệ thống thông tin.
3. Khái niệm và thuật ngữ
Trong tài liệu này, các khái niệm và thuật ngữ được hiểu như sau:
3.1. Tập luật bảo vệ
Danh sách các luật bao gồm các tham số, quy tắc được định nghĩa và thiết lập bởi quản trị viên, cho phép sản phẩm NIPS phát hiện các hành vi xâm nhập mạng thông qua việc phân tích lưu lượng mạng tại giao diện giám sát.
3.2. Hành động kiểm soát lưu lượng mạng
Hành động được thiết lập cho mỗi luật bảo vệ cho phép NIPS thực hiện chức năng cảnh báo, ngăn chặn hành vi xâm nhập mạng phát hiện được.
3.3. Nhật ký hệ thống (log)
Sự kiện an toàn thông tin được hệ thống ghi lại, liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công và các thông tin khác liên quan đến hoạt động của hệ thống (nếu có).
3.4. Thời gian duy trì phiên kết nối (session timeout)
Khoảng thời gian được thiết lập để cho phép hệ thống hủy phiên kết nối đối với một máy khách, nếu trong khoảng thời gian này mà hệ thống không nhận được yêu cầu mới từ máy khách đó.
3.5. Giao diện giám sát (monitoring interface)
Giao diện mạng của NIPS được sử dụng để thu thập và phân tích lưu lượng mạng phục vụ việc thực thi tập luật bảo vệ nhằm phát hiện và ngăn chặn hành vi xâm nhập mạng.
3.6. Chế độ giám sát (monitoring mode)
Chế độ hoạt động của NIPS áp dụng trên giao diện giám sát nhằm quyết định hành động của NIPS trong việc cảnh báo, ngăn chặn hành vi xâm nhập mạng phát hiện được. Chế độ hoạt động của NIPS bao gồm chế độ giám sát chủ động (inline mode) và chế độ giám sát thụ động (promiscuous mode).
3.7. Chế độ giám sát chủ động (inline mode)
Chế độ giám sát cho phép NIPS kiểm soát chủ động lưu lượng mạng được giám sát để trực tiếp thực hiện ngăn chặn nếu phát hiện hành vi xâm nhập mạng.
3.8. Chế độ giám sát thụ động (promiscuous mode)
Chế độ giám sát chỉ cho phép NIPS thu thập thụ động lưu lượng mạng được giám sát để phân tích và đưa ra cảnh báo nếu phát hiện có hành vi xâm nhập mạng. Tuy nhiên, NIPS vẫn có thể tương tác với các thiết bị mạng khác để ngăn chặn các hành vi đó.
3.9. Lưu lượng sạch (clean traffic)
Lưu lượng mạng được giám sát bởi hệ thống mà không bị phát hiện có hành vi xâm nhập mạng.
3.10. Lưu lượng tấn công (attack traffic)
Lưu lượng mạng được giám sát bởi hệ thống mà bị phát hiện có hành vi xâm nhập mạng.
3.11. Danh sách trắng địa chỉ IP (IP address whitelist)
Danh sách địa chỉ/dải địa chỉ IP được thiết lập để bỏ qua việc kiểm tra, phân tích, xử lý của NIPS.
3.12. Danh sách đen địa chỉ IP (IP address blacklist)
Danh sách địa chỉ/dải địa chỉ IP được thiết lập để NIPS thực hiện những hành động kiểm soát lưu lượng mạng cụ thể đối với các địa chỉ IP nằm trong danh sách này.
3.13. Môi trường kiểm thử
Môi trường bao gồm sản phẩm và các thiết bị mạng có liên quan được triển khai có kết nối mạng với nhau để phục vụ cho hoạt động kiểm thử, đánh giá sản phẩm.
3.14. Chức năng bỏ qua kiểm soát (fail open)
Chức năng cho phép NIPS bỏ qua các biện pháp kiểm soát theo tập luật bảo vệ khi có sự cố xảy ra.
NIPS có tài liệu bao gồm các nội dung sau:
a) Hướng dẫn triển khai và thiết lập cấu hình;
b) Hướng dẫn sử dụng và quản trị.
2. Yêu cầu về quản trị hệ thống
2.1. Quản lý vận hành
NIPS cho phép quản lý, vận hành đáp ứng các yêu cầu sau:
a) Cho phép thiết lập, thay đổi, áp dụng và hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP;
b) Cho phép thay đổi thời gian hệ thống;
c) Cho phép thay đổi thời gian duy trì phiên kết nối;
d) Cho phép thiết lập, thay đổi các tham số giới hạn đối với kết nối quản trị từ xa (ví dụ: giới hạn địa chỉ IP, giới hạn số phiên kết nối quản trị từ xa đồng thời, ...);
đ) Cho phép đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực;
e) Cho phép tìm kiếm dữ liệu log bằng từ khóa để xem lại;
g) Cho phép xóa log;
h) Cho phép xem thời gian hệ thống chạy tính từ lần khởi động gần nhất.
2.2. Quản trị từ xa
NIPS cho phép quản trị từ xa an toàn đáp ứng các yêu cầu sau:
a) Sử dụng giao thức có mã hóa như TLS hoặc tương đương;
b) Tự động đăng xuất tài khoản và hủy bỏ phiên kết nối quản trị từ xa khi hết thời gian duy trì phiên kết nối.
2.3. Quản lý xác thực và phân quyền
NIPS cho phép quản lý cấu hình tài khoản xác thực và phân quyền người dùng đáp ứng các yêu cầu sau:
a) Hỗ trợ phương thức xác thực bằng tài khoản - mật khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu;
b) Hỗ trợ phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.
2.4. Quản lý các giao diện mạng
NIPS cho phép quản lý cấu hình hệ thống về các giao diện mạng đáp ứng các yêu cầu sau:
a) Cho phép thiết lập một hoặc một số giao diện giám sát ở chế độ giám sát chủ động hoặc chế độ giám sát thụ động hoặc kết hợp cả hai chế độ;
b) Cho phép thiết lập tối thiểu một giao diện quản trị (khác với giao diện giám sát) để thực hiện:
i) Quản trị hệ thống;
ii) Tương tác với các thiết bị mạng khác (nếu có).
2.5. Quản lý báo cáo
NIPS cho phép quản lý báo cáo thông qua giao diện đồ họa đáp ứng các yêu cầu sau:
a) Cho phép tạo mới, xem lại và xóa báo cáo đã được tạo;
b) Cho phép tạo báo cáo mới theo các mẫu báo cáo đã được định nghĩa trước;
c) Cho phép áp dụng các quy tắc tìm kiếm thông tin, dữ liệu log để thêm, lọc, tinh chỉnh nội dung cho báo cáo;
d) Cho phép lựa chọn định dạng tệp tin báo cáo xuất ra đáp ứng tối thiểu 02 trong các định dạng sau: WORD, EXCEL, PDF, HTML, XML;
đ) Cho phép tải về tệp tin báo cáo đã được xuất ra.
2.6. Quản lý tập luật bảo vệ
NIPS cho phép quản lý tập luật bảo vệ bao gồm các thao tác sau:
a) Thêm luật mới;
b) Tinh chỉnh luật;
c) Tìm kiếm luật;
d) Xóa luật;
đ) Kích hoạt/vô hiệu hóa luật;
e) Xuất tập luật ra tệp tin;
g) Khôi phục tập luật từ tệp tin;
h) Cập nhật tập luật được phát hành bởi nhà sản xuất.
2.7. Cập nhật tập luật bảo vệ
NIPS cho phép cập nhật tập luật bảo vệ đáp ứng các yêu cầu sau:
a) Cho phép tự động thông báo có bản cập nhật mới cho quản trị viên;
b) Cho phép tải về trực tuyến và áp dụng thủ công bản cập nhật mới.
2.8. Quản lý danh sách trắng địa chỉ IP và danh sách đen địa chỉ IP
NIPS cho phép thực hiện các thao tác sau để quản lý các danh sách trắng địa chỉ IP và danh sách đen địa chỉ IP:
a) Thêm, xóa, sửa địa chỉ/dải địa chỉ IP;
b) Tìm kiếm theo địa chỉ/dải địa chỉ IP;
c) Thiết lập hành động kiểm soát lưu lượng mạng với địa chỉ/dải địa chỉ IP;
d) Kích hoạt/vô hiệu hóa hành động kiểm soát lưu lượng mạng đang được áp dụng đối với địa chỉ/dải địa chỉ IP;
đ) Xuất danh sách địa chỉ/dải địa chỉ IP ra tệp tin;
e) Khôi phục danh sách địa chỉ/dải địa chỉ IP từ tệp tin.
2.9. Quản lý tập các địa chỉ IP đang bị chặn kết nối
NIPS cho phép thực hiện các thao tác sau để quản lý tập các địa chỉ IP đang bị chặn kết nối:
a) Tìm kiếm các địa chỉ IP đang bị chặn kết nối theo địa chỉ IP, từ khóa;
b) Xem các thông tin về một địa chỉ IP đang bị chặn kết nối (tối thiểu bao gồm: thời điểm bắt đầu chặn kết nối, khoảng thời gian chặn chặn kết nối có hiệu lực tính từ thời điểm bắt đầu, số hiệu định danh của luật gây ra việc chặn chặn kết nối);
c) Hủy chặn kết nối đối với một hoặc nhiều địa chỉ IP cùng lúc đang bị chặn kết nối.
2.10. Chia sẻ dữ liệu
NIPS cho phép kết nối với các loại hệ thống SIEM để chia sẻ dữ liệu.
3.1. Bảo vệ cấu hình
Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo các loại cấu hình sau mà đang được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp:
a) Cấu hình hệ thống;
b) Cấu hình quản trị từ xa;
c) Cấu hình tài khoản xác thực và phân quyền người dùng;
d) Cấu hình tập luật bảo vệ;
đ) Danh sách trắng địa chỉ IP;
e) Danh sách đen địa chỉ IP;
g) Danh sách các địa chỉ IP đang bị chặn kết nối.
3.2. Bảo vệ dữ liệu log
Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo dữ liệu log đã được lưu lại phải không bị thay đổi trong lần khởi động kế tiếp.
3.3. Đồng bộ thời gian hệ thống
Trong trường hợp NIPS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), NIPS đảm bảo thời gian hệ thống phải được đồng bộ tự động đến thời điểm hiện tại.
3.4. Khả năng chịu lỗi vận hành
Trong trường hợp NIPS gặp lỗi trong quá trình vận hành ở chế độ giám sát chủ động, NIPS phải cho phép tự động kích hoạt chức năng bỏ qua kiểm soát và cho phép quản trị viên kích hoạt thủ công chức năng này.
4.1. Log quản trị hệ thống
a) NIPS cho phép ghi log quản trị hệ thống về các loại sự kiện sau:
i) Đăng nhập, đăng xuất tài khoản;
ii) Xác thực trước khi cho phép truy cập vào tài nguyên, sử dụng chức năng của hệ thống;
iii) Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ;
iv) Kích hoạt lệnh khởi động lại, tắt hệ thống;
v) Thay đổi thủ công thời gian hệ thống;
vi) Có sự thay đổi trạng thái liên kết (link-status) của giao diện giám sát.
b) NIPS cho phép ghi log quản trị hệ thống có các trường thông tin sau:
i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);
ii) Địa chỉ IP hoặc định danh của máy trạm;
iii) Định danh của tác nhân (ví dụ: tài khoản người dùng, tên hệ thống, ...);
iv) Thông tin về hành vi thực hiện (ví dụ: đăng nhập, đăng xuất, thêm, sửa, xóa, cập nhật, hoàn tác, ...);
v) Kết quả thực hiện hành vi (thành công hoặc thất bại);
vi) Lý do giải trình đối với hành vi thất bại (ví dụ: không tìm thấy tài nguyên, không đủ quyền truy cập, ...).
4.2. Log chức năng phát hiện và ngăn chặn xâm nhập mạng
a) NIPS cho phép ghi log tất cả các sự kiện về hành vi xâm nhập mạng phát hiện được.
b) NIPS cho phép ghi log chức năng phát hiện và ngăn chặn xâm nhập mạng có các trường thông tin sau:
i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);
ii) Địa chỉ IP của máy nguồn;
iii) Địa chỉ IP của máy đích;
iv) Số hiệu cổng nguồn;
v) Số hiệu cổng đích;
vi) Tên giao thức;
vii) Mô tả của hành vi xâm nhập mạng phát hiện được;
viii) Phân nhóm của hành vi xâm nhập mạng phát hiện được;
ix) Số hiệu định danh của luật bảo vệ sinh cảnh báo;
x) Hành động kiểm soát lưu lượng mạng đã được áp dụng (nếu có).
4.3. Định dạng log
NIPS cho phép chuẩn hóa log theo tối thiểu 01 định dạng được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.
4.4. Quản lý log
NIPS cho phép quản lý log đáp ứng các yêu cầu sau:
a) Cho phép thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log (ví dụ: ngưỡng giới hạn dung lượng lưu trữ, khoảng thời gian lưu trữ,...).
b) Cho phép tìm kiếm log theo từ khóa trên tất cả các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);
c) Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.
NIPS được triển khai thỏa mãn cấu hình tối thiểu theo hướng dẫn cài đặt và thiết lập cấu hình của nhà sản xuất phải đảm bảo đáp ứng các yêu cầu sau:
5.1. Đối với lưu lượng sạch
Xét trong môi trường kiểm thử và với tập luật bảo vệ đáp ứng yêu cầu tại mục 7.1, NIPS cho phép lưu lượng sạch được truyền qua các giao diện giám sát đáp ứng các yêu cầu sau:
a) Đạt tối thiểu 70% băng thông khi phát hiện có lưu lượng tấn công;
b) Đạt tối thiểu 80% băng thông khi không phát hiện có lưu lượng tấn công.
5.2. Đối với độ trễ truyền tin một chiều
Xét trong môi trường kiểm thử. đáp ứng môi trường theo yêu cầu của nhà sản xuất và với tập luật bảo vệ đáp ứng yêu cầu tại mục 7.1, NIPS cho phép độ trễ tối đa đối với gói tin được truyền một chiều qua các giao diện giám sát không vượt quá 100 μs.
6. Yêu cầu về chức năng tự bảo vệ
6.1. Phát hiện và ngăn chặn tấn công hệ thống
NIPS có khả năng tự bảo vệ, ngăn chặn các dạng tấn công phổ biến sau vào giao diện ra bên ngoài của hệ thống, bao gồm tối thiểu các dạng sau:
a) SQL Injection;
b) OS Command Injection;
c) XPath Injection;
d) Remote File Inclusion (RFI);
d) Local File Inclusion (LFI);
e) Cross-Site Scripting (XSS);
g) Cross-Site Request Forgery (CSRF).
6.2. Cập nhật bản và hệ thống
NIPS có chức năng cho phép cập nhật bản vá để xử lý các điểm yếu, lỗ hổng bảo mật.
7. Yêu cầu về chức năng phát hiện và ngăn chặn xâm nhập mạng
7.1. Cơ chế thực thi bảo vệ
NIPS đảm bảo thực hiện quá trình phân tích thông tin trên lưu lượng mạng được giám sát theo đúng thứ tự ưu tiên xử lý của các tập luật bảo vệ, danh sách trắng địa chỉ IP, danh sách đen địa chỉ IP đã được cấu hình, trong đó tối thiểu một thứ tự đã được cấu hình mặc định trước bởi nhà sản xuất.
7.2. Hỗ trợ các giao thức mạng
NIPS cho phép phân tích thông tin trên lưu lượng mạng được giám sát đối với các giao thức mạng sau:
a) Giao thức IPv4 (RFC 791);
b) Giao thức IPv6 (RFC 2460);
c) Giao thức ICMPv4 (RFC 792);
d) Giao thức ICMPv6 (RFC 2463);
đ) Giao thức TCP (RFC 793);
e) Giao thức UDP (RFC 768).
7.3. Phân tích thông tin trong phần tiêu đề gói tin
NIPS cho phép phân tích các trường thông tin sau trong phần tiêu đề (header) của các gói tin thuộc lưu lượng mạng được giám sát:
a) Đối với giao thức IPv4: Version, Header Length, Packet Length, ID, Flags, Fragment Offset, Time to Live, Protocol, Header Checksum, Source Address, Destination Address, Options;
b) Đối với giao thức IPv6: Version, Payload Length, Next Header, Hop Limit, Source Address, Destination Address, Routing Header;
c) Đối với giao thức ICMPv4 và ICMPv6: Type, Code, Header Checksum;
d) Đối với giao thức TCP: Source Port, Destination Port, Sequence Number, Acknowledgment Number, Data Offset, Reserved, Flags, Window, Packet Checksum, Urgent Pointer, Options;
đ) Đối với giao thức UDP: Source Port, Destination Port, Payload Length, Packet Checksum.
7.4. Phân tích thông tin trong phần dữ liệu gói tin
NIPS cho phép phân tích các trường thông tin sau trong phần dữ liệu (payload) của các gói tin thuộc lưu lượng mạng được giám sát:
a) Đối với giao thức ICMPv4 và ICMPv6: chuỗi dữ liệu sau 4 byte đầu tiên của phần tiêu đề;
b) Đối với giao thức TCP: chuỗi dữ liệu sau 20 byte của phần tiêu đề (kiểm tra với các thông tin sau:
i) Đối với giao thức FTP: help, noop, stat, syst, user, abort, acct, alio, appe, cdup, cwd, dele, list, mkd, mode, nist, pass, pasv, port, pass, quit, rein, rest, retr, rmd, rnfr, rnto, site, smnt, stor, stou, stru và type;
ii) Đối với giao thức HTTP: phương thức GET, phương thức POST, so khớp nội dung trên URL/URI và nội dung trang web;
iii) Đối với giao thức SMTP: start State, commands State, mail header State, mail body State, abort State).
7.5. Phát hiện các dạng tấn công mạng
Xét trong môi trường kiểm thử, NIPS có khả năng phát hiện tối thiểu các dạng tấn công mạng phổ biến sau:
a) Tấn công IP Fragments Overlap (ví dụ: Teardrop, Bonk/Boink);
b) Tấn công có địa chỉ IP nguồn và đích trùng nhau (ví dụ: Land);
c) Tấn công Fragmented ICMP Traffic (ví dụ: Nuke);
d) Tấn công Large ICMP Traffic (ví dụ: Ping of Death); đ) Tấn công TCP NULL flags;
e) Tấn công TCP SYN+FIN flags;
g) Tấn công TCP FIN flags;
h) Tấn công TCP SYN+RST flags;
i) Tấn công UDP Bomb;
k) Tấn công UDP Chargen DoS;
l) Tấn công Flooding a host (ví dụ: Smurf, Ping Flood, SYN Flood);
m) Tấn công Flooding a network;
n) Tấn công IP protocol scanning;
o) Tấn công TCP port scanning;
p) Tấn công UDP port scanning;
q) Tấn công ICMP scanning.
7.6. Phát hiện tấn công trên phần dữ liệu
NIPS cho phép phát hiện hành vi xâm nhập mạng dựa trên phân tích dấu hiệu đối với các phần dữ liệu (payload) của nhiều gói tin không bị phân mảnh.
7.7. Kiểm soát lưu lượng mạng
a) NIPS cho phép thiết lập hành động kiểm soát lưu lượng mạng và khoảng thời gian hiệu lực của hành động đó (nếu có thể) đối với từng luật bảo vệ tối thiểu thuộc 01 trong các hành động sau:
i) Cho phép tiếp tục kết nối;
ii) Gửi gói tin TCP RST về phía địa chỉ nguồn;
iii) Gửi gói tin TCP RST về phía địa chỉ đích;
iv) Gửi gói tin phản hồi ICMP Destination Unreachable;
v) Gửi lệnh tương tác tới thiết bị mạng khác để ngăn chặn kết nối (NIPS đảm bảo có cơ chế giao tiếp an toàn đối với các thiết bị đó).
b) Trong trường hợp NIPS vận hành theo chế độ giám sát chủ động, NIPS cho phép thiết lập hành động chặn kết nối đối với từng luật bảo vệ đáp ứng các yêu cầu sau:
i) Cho phép chặn kết nối theo địa chỉ IP nguồn phát sinh sự kiện;
ii) Cho phép chặn kết nối theo địa chỉ IP đích phát sinh sự kiện.
Ý kiến bạn đọc
Nhấp vào nút tại mỗi ô tìm kiếm.
Màn hình hiện lên như thế này thì bạn bắt đầu nói, hệ thống giới hạn tối đa 10 giây.
Bạn cũng có thể dừng bất kỳ lúc nào để gửi kết quả tìm kiếm ngay bằng cách nhấp vào nút micro đang xoay bên dưới
Để tăng độ chính xác bạn hãy nói không quá nhanh, rõ ràng.