Trên mô hình các tiêu chí đã kết nối, bài báo xây dựng cơ chế tạo lập các bản khảo sát dành cho người phát triển, người vận hành, người đánh giá, cung cấp thông tin đầu vào cho việc đánh giá ban đầu khả năng đáp ứng với một mức đảm bảo đánh giá xác định. Các mô hình và cơ chế nói trên được thử nghiệm dưới dạng công cụ có khả năng tùy biến, hỗ trợ xác định tập các tiêu chí đánh giá an toàn thông tin phù hợp với một mức đảm bảo đánh giá cho các hệ thống website; xác định mức đảm bảo đánh giá (Evalution Assurance Level – EAL) mà một website có thể đạt được.
Abstract— Before and after the website deployment, it needs to determine whether the website components and operations are subject to appropriate security measures and techniques, and how secure they are (assurance levels). This article introduces an approach for identifying the website security assessment criteria. The ISO/IEC 15408-based assessment criteria are put in connection with the security requirements according to the protection profiles of the website’s components and operation. Then, a mechanism for creating surveys for developers, operators, and evaluators that provide input to evaluations based on connected criteria is proposed. These are experimented as a customized tool, which supports to identify security assessment criteria accordingly to a given assurance level of a website; and determine the assurance level (EAL) that a website can achieve.
|
Tài liệu tham khảo [1]. ISO/IEC 15408-1, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 1: Introduction and general model. [2]. ISO/IEC 15408-2, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 2: Security functional components. [3]. ISO/IEC 15408-3, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 3: Security assurance components. [4]. Huilin Chen, Da Bao, Hongbiao Gao and Jingde Cheng: “A Security Evaluation and Certification Management Database Based on ISO/IEC Standards”. In Proceedings of 12th International Conference on Computational Intelligence and Security. IEEE 2016. [5]. Information Assurance Directorate. U.S. Government “Protection Profile Web Server For Basic Robustness Environments”. Version 1.0. December 26, 2006. [6]. NIAP. “Protection Profile for Server Virtualization”. Version 1.0. 29 October 2014. [7]. “Turkish standards institution. Common criteria protection profile for security of web services”. Version 1.0. 2012. [8]. NIAP. U.S. Government “Approved Protection Profile - Protection Profile for Application Software”. Version 1.2. 2016. [9]. NIAP. “Protection Profile for Web Browsers”. Version 1.0. 2014. [10]. NIAP. “US Government Protection Profile Authorization Server For Basic Robustness Environments”. Version 1.1. 2007. |
Vũ Thị Hương Giang, Nguyễn Mạnh Tuấn, Đặng Bá Tú, Lê Hồng Dương
15:00 | 05/07/2011
15:54 | 20/05/2016
15:00 | 18/02/2020
10:00 | 04/03/2015
09:00 | 15/10/2019
13:00 | 17/06/2024
Để tăng cường tính bảo mật và khắc phục các lỗ hổng, Microsoft thường phát hành định kỳ những bản cập nhật dành cho Windows, trong đó có các bản vá Patch Tuesday hàng tháng. Việc nắm bắt các bản vá này rất quan trọng để chủ động phòng tránh trước các mối đe dọa mạng. Bài viết này đưa ra quy trình cập nhật bản vá bảo mật Windows trên các máy trạm dành cho người dùng cuối, việc thực hiện cập nhật trên máy chủ Windows Server thực hiện tương tự.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một ví dụ điển hình trong việc triển khai mô hình Zero Trust thành công là của Tập đoàn công nghệ Microsoft. Điều này minh chứng cho cách một tổ chức lớn có thể bảo vệ tài nguyên và người dùng bằng các phương pháp kiểm soát nghiêm ngặt, đảm bảo an ninh mạng toàn diện. Đây cũng là bài học kinh nghiệm cho các tổ chức trong quá trình triển khai mô hình bảo mật hiện đại này.
10:00 | 14/11/2024
Đứng trước thách thức về các mối đe dọa nâng cao, khái niệm về “chuỗi tiêu diệt” được sử dụng để phòng, chống các mối đe dọa này. Phần 2 của bài báo tập trung trình bày về các biện pháp phát hiện, bảo vệ hệ thống khỏi tấn công APT, khai thác lỗ hổng Zero-day và tấn công chuỗi cung ứng.
13:00 | 18/11/2024
