TIÊU CHUẨN QUỐC GIA

TCVN 12820:2020

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO CHỨC NĂNG PHÒNG CHỐNG XÂM NHẬP TRÊN THIẾT BỊ TƯỜNG LỬA/THIẾT BỊ MẠNG

Information technology - Security techniques - Protection profile for intrusion prevention systems in firewalls/network devices

Lời nói đầu

TCVN 12820:2020 được xây dựng dựa trên cơ sở tham khảo “collaborative Protection Profile for Network Devices/ collaborative Protection Profile for Stateful Traffic Filter Firewalls Extended Package (EP) for Intrusion Prevention Systems (IPS)” của Hiệp hội đảm bảo thông tin quốc gia của Hoa Kỳ NIAP, phiên bản 2.11, ngày 15/6/2017.

TCVN 12820:2020 do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO CHỨC NĂNG PHÒNG CHỐNG XÂM NHẬP TRÊN THIẾT BỊ TƯỜNG LỬA/THIẾT BỊ MẠNG

Information technology - Security techniques - Protection profile for intrusion prevention systems in firewalls/network devices

1  Phạm vi áp dụng

Tiêu chuẩn này quy định hồ sơ bảo vệ cho chức năng phòng chống xâm nhập (chức năng IPS) trên thiết bị tường lửa/thiết bị mạng, thể hiện các yêu cầu chức năng an toàn (SFR) và yêu cầu đảm bảo an toàn (SAR) đối với chức năng phòng chống xâm nhập, phù hợp với bộ tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709- 3:2011 (ISO/IEC 15408-3:2008).

Các yêu cầu này là phần mở rộng của các yêu cầu đưa ra trong hồ sơ bảo vệ cho thiết bị mạng (NDPP) và hồ sơ bảo vệ cho thiết bị tường lửa (FWPP). Điều này có nghĩa một sản phẩm IPS phải đáp ứng yêu cầu an toàn của thiết bị mạng, thiết bị tường lửa và các yêu cầu phần mở rộng cho chức năng IPS trong tiêu chuẩn này.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây lả cần thiết để áp dụng tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả phiên bản sửa đổi, bổ sung).

TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát”.

TCVN 8709-2:2011 (ISO/IEC 15408-2:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn”.

TCVN 8709-3:2011 (ISO/IEC 15408-3:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn".

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong TCVN 8709-1:2011 và các thuật ngữ sau:

3.1

Bất thường/dị thường (anomaly/anomalous)

Hoạt động truy cập có sự khác biệt so với hoạt động bình thường của hệ thống. Hoạt động này không nhất thiết là các hoạt động xâm nhập nhưng cũng có thể xác định các hoạt động xâm nhập thông qua các hoạt động dị thường.

3.2

Thông số/hoạt động bình thường (baseline/base-lining)

Là các thông số chỉ trạng thái hoạt động bình thường của hệ thống và không có hoạt động xâm nhập.

3.3

Chế độ nội tuyến (inline mode)

Chế độ hoạt động của IPS mà cho phép lưu lượng mạng đi qua thiết bị này và được kiểm tra trước khi gửi đến hệ thống được bảo vệ. Chế độ hoạt động này cho phép IPS có thể ngăn chặn các hoạt động xâm nhập.

3.4

Hệ thống ngăn chặn xâm nhập (Intrusion Prevention System)

Các thiết bị được