Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1, cấp độ 2 phải tuân thủ những gì?

Nội dung chính

• Một số yêu cầu cần đáp ứng đối với hệ thống thông tin cấp độ là gì?
• Bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1 được quy định thế nào?
• Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 phải tuân thủ những gì?

Một số yêu cầu cần đáp ứng đối với hệ thống thông tin cấp độ là gì?

Tại Mục 4 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ:

Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ

Các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.

Yêu cầu quản lý đưa ra các yêu cầu về mặt quản lý nhằm quản lý việc xây dựng, quản lý vận hành và gỡ bỏ hệ thống thông tin bảo đảm an toàn. Các yêu cầu quản lý được chia thành các nhóm yêu cầu: thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; quản lý vận hành hệ thống.

Yêu cầu kỹ thuật đưa ra các yêu cầu về mặt kỹ thuật để bảo đảm việc thiết kế, xây dựng và thiết lập hệ thống thông tin bảo đảm an toàn. Các yêu cầu kỹ thuật được chia thành các nhóm yêu cầu: bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.

Theo đó, các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.

Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1, cấp độ 2 phải tuân thủ những gì? (Hình từ Internet)

Bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1 được quy định thế nào?

Về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1 căn cứ theo Mục 5.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định như sau:

Yêu cầu kỹ thuật

...

5.2.2 Bảo đảm an toàn máy chủ

5.2.2.1 Xác thực

a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;

b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);

c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

- Yêu cầu thay đổi mật khẩu mặc định;

- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.

5.2.2.2 Kiểm soát truy cập

Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa.

5.2.2.3 Nhật ký hệ thống

a) Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:

- Thông tin kết nối mạng tới máy chủ (Firewall log);

- Thông tin đăng nhập vào máy chủ;

b) Đồng bộ thời gian giữa máy chủ với máy chủ thời gian.

5.2.2.4 Phòng chống xâm nhập

a) Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;

b) Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ.

5.2.2.5 Phòng chống phần mềm độc hại

Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm.

Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 phải tuân thủ những gì?

Về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 căn cứ theo Mục 6.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định như sau:

Yêu cầu kỹ thuật

...

6.2.2 Bảo đảm an toàn máy chủ

6.2.2.1 Xác thực

a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;

b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);

c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

- Yêu cầu thay đổi mật khẩu mặc định;

- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự;

- Thiết lập thời gian yêu cầu thay đổi mật khẩu;

- Thiết lập thời gian mật khẩu hợp lệ.

6.2.2.2 Kiểm soát truy cập

a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;

b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng.

6.2.2.3 Nhật ký hệ thống

a) Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau;

- Thông tin kết nối mạng tới máy chủ (Firewall log);

- Thông tin đăng nhập vào máy chủ;

- Lỗi phát sinh trong quá trình hoạt động;

- Thông tin thay đổi cấu hình máy chủ;

- Thông tin truy cập dữ liệu và dịch vụ quan trọng trên máy chủ (nếu có).

b) Đồng bộ thời gian giữa máy chủ với máy chủ thời gian;

c) Lưu nhật ký hệ thống trong khoảng thời gian tốt thiểu là 01 tháng.

6.2.2.4 Phòng chống xâm nhập

a) Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;

b) Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ;

c) Vô hiệu hóa các giao thức mạng không an toàn, các dịch vụ hệ thống không sử dụng;

d) Có phương án cập nhật bản vá, xử lý điểm yếu an toàn thông tin cho hệ điều hành và các dịch vụ hệ thống trên máy chủ.

6.2.2.5 Phòng chống phần mềm độc hại

a) Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm;

b) Có phương án kiểm tra, dò quét, xử lý phần mềm độc hại cho các phần mềm trước khi cài đặt.

6.2.2.6 Xử lý máy chủ khi chuyển giao

Có phương án xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.

Như vậy, về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 phải đảm bảo về việc xác thực, kiểm soát truy cập, nhật ký hệ thống, phòng chống xâm nhập và phòng chống phần mềm độc hại.