Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	11/06/2007 21:36:10 (+0700) \| #1 \| 64159

viet_ha
Member

Joined: 20/09/2003 16:00:01
Messages: 39
Location: in fog
Offline

Chào các bạn!

Mình đang cần tìm hiểu về các chuẩn đánh giá tính security cho các sản phẩm phần mềm trong quy trình sản xuất phần mềm. Vậy bạn nào có thể chỉ giúp mình một số chuẩn và tài liệu nói về chúng được không? Cảm ơn các bạn rất nhiều.

Ps: nếu là chuẩn của Microsoft thì tốt quá.

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	12/06/2007 03:43:29 (+0700) \| #2 \| 64208

eyesdog
Elite Member

Joined: 18/01/2002 06:54:01
Messages: 94
Offline

Chuẩn đánh giá An toàn thông tin là ISO 17799. Có thể dùng google để search.

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	12/06/2007 21:03:08 (+0700) \| #3 \| 64320

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

eyesdog wrote:

Chuẩn đánh giá An toàn thông tin là ISO 17799. Có thể dùng google để search.

Theo tớ eyesdog nói không đúng lắm. ISO17799/BS7799 nó là một khuôn mẫu quản lý bảo mật thông tin giúp cho các tổ chức thiết lập và quản lý Hệ Thống Quản Trị Bảo Mật Thông Tin (ISMS)
Xem thêm:
http://www.tapchibcvt.gov.vn/News/PrintView.aspx?ID=16872
Còn tác giả lại muốn hỏi về chuẩn đánh giá tính bảo mật cho các sản phẩm phần mềm.

Let's build on a great foundation!

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	12/06/2007 23:22:18 (+0700) \| #4 \| 64352

viet_ha
Member

Joined: 20/09/2003 16:00:01
Messages: 39
Location: in fog
Offline

quanta wrote:

eyesdog wrote:

Chuẩn đánh giá An toàn thông tin là ISO 17799. Có thể dùng google để search.

Theo tớ eyesdog nói không đúng lắm. ISO17799/BS7799 nó là một khuôn mẫu quản lý bảo mật thông tin giúp cho các tổ chức thiết lập và quản lý Hệ Thống Quản Trị Bảo Mật Thông Tin (ISMS)
Xem thêm:
http://www.tapchibcvt.gov.vn/News/PrintView.aspx?ID=16872
Còn tác giả lại muốn hỏi về chuẩn đánh giá tính bảo mật cho các sản phẩm phần mềm.

Chính xác

Ai đó giúp mình với smilie

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	13/06/2007 00:07:09 (+0700) \| #5 \| 64359

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

ko co' 1 chuan chinh xac

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	18/06/2007 01:45:26 (+0700) \| #6 \| 65299

arphat
Locked

Joined: 08/06/2007 22:18:40
Messages: 36
Offline

nguồn http://adminviet.net/forum/showthread.php?t=239

Thông tin là phần rất quan trọng của tổ chức, nó có thể tồn tại ở rất nhiều dạng khác nhau - in hoặc viết ra giấy, lưu trữ trong các thiết bị điện tử, truyền phát qua con đường thư tín hoặc các phương tiện điện, thể hiện trên phim, hoặc là các lời nói trong hội thoại.
Trong môi trường kinh doanh cạnh tranh hiện nay, thông tin luôn chịu đe dọa từ rất nhiều nguồn khác nhau - có thể từ bên trong tổ chức, bên ngoài, các thảm họa hoặc các mã hại. Cùng với việc gia tăng sử dụng công nghệ mới cho lưu trữ, truyền phát và thu thập thông tin, là sự gia tăng tương ứng về số lượng và chủng loại các đe dọa.
Hơn nữa, yêu cầu ngày các cao từ các cơ quan Nhà nước liên quan đến nghĩa vụ tổ chức phải đảm bảo an toàn bảo mật thông tin.
An toàn bảo mật thông tin không chỉ là về đề công nghệ - nó là các vấn đề chính để quản trị và có thể tác động trực tiếp đến danh tiếng và cuối cùng là tồn tại của tổ chức - Bởi vậy nó là sống còn để tổ chức tiến hành các bước thích hợp để bảo vệ các tài sản thông tin của mình.
Chúng ta có thể dễ dàng đi đến thống nhất với nhau rằng An toàn bảo mật là một quá trình chứ không chỉ là một trạng thái.
An toàn bảo mật thông tin là vấn đề cốt yếu đối với tất cả các tổ chức và yêu cầu quản lý một cách hiệu quả.
Để quản lý hiệu quả các rủi ro và các mối đe dọa thông tin của tổ chức của bạn, Một giải pháp đã được chứng minh trên thực tế là bạn nên xây dựng hệ thống quản lý an toàn bảo mật thông tin (ISMS dựa trên tiêu chuẩn ISO 27001, sẽ giúp bạn quản lý các vấn đề này trong quá trình cải tiến liên tục an toàn bảo mật thông tin của bạn.
ISO 27001 là tiêu chuẩn công nhận mang tính quốc tế đặt ra các yêu cầu cho một ISMS. Nó giúp nhận biết, quản lý và tối thiểu một dải các đe dọa với thông tin là chủ đề thường xuyên. Tiêu chuẩn này được thiết kế để đảm bảo sự lựa chọn các kiểm soát an toàn bảo mật thích hợp và tương xứng. Nó sử dụng tiếp cận dựa trên rủi ro để quản lý an toàn bảo mật thông tin, đảm bảo rằng các kết quả là vừa thích hợp và vừa có thể đủ cho tổ chức của bạn
Thiết lập ISMS theo yêu cầu tiêu chuẩn ISO 27001 có thể giúp cho tổ chức của bạn bảo vệ được các tài sản thông tin.
Một vấn đề đặt ra khi thiết lập ISMS đó là lưa chọn các kiểm soát như thế nào? – trong phụ lục A của ISO 27001 đưa ra các mục tiêu kiểm soát và các kiểm soát cần thiết cho ISMS. Các mục tiêu kiểm soát và các kiểm soát này lấy từ trong ISO 17799:2005 – sau đây chúng ta thử tìm hiểu sơ bộ về ISO 17799:2005.
Giới thiệu ISO 17799
ISO 17799:2005 - Tập quy phạm cho quản lý an toàn bảo mật thông tin: đây là tiêu chuẩn quốc tế cung cấp các hướng dẫn quản lý an toàn bảo mật thông tin dựa trên quy phạm công nghiệp tốt nhất. ISO 17799 thiết lập các hướng dẫn và các nguyên tắc cơ bản để khởi tạo, thực hiện, duy trì và cải tiến quản lý an toàn bảo mật thông tin trong tổ chức. Lưu ý rằng tiêu chuẩn đơn giản chỉ đưa ra các hướng dẫn, nó không chứa thông tin đủ kỹ để chỉ ra bằng cách nào an toàn bảo mật thông tin được thực hiện và duy trì.
Các kiểm soát an toàn bảo mật và các phương tiện quản lý các rủi ro đươc đề cập trong tiêu chuẩn không phải được lựa chọn tất cả. Các kiểm soát thích hợp được lựa chọn sau khi việc đánh giá rủi ro một cách đủ sâu đã hoàn tất. Chỉ từ khi đó các kiểm soát được lựa chọn mới đáp ứng được các cần thiết cụ thể của tổ chức. Mỗi tổ chức là duy nhất, do vậy với mỗi tổ chức sẽ đối diện với các mối đe dọa và các điểm yếu khác nhau. Điều này này rất quan trọng đối với việc hiểu các kiểm soát được đề cập trong tiêu chuẩn không được sắp xếp và xây dựng theo tổ chức hoặc được ưu tiên theo bất kỳ một chuẩn mực cụ thể nào. Mỗi kiểm soát nên được cân bằng với tầm quan trọng và nên được cân nhắc theo các yêu cầu cụ thể của Hệ thống và chặng thiết kế. Các thất bại trong thực hiện thường ở chỗ thiếu các đo lường hiệu quả chi phí hoăc thậm chí thất bại trong việc tìm an toàn bảo mật thích hợp.
Điểm cuối cùng nên được nhấn mạnh về tiêu chuẩn là ISO cảnh báo rằng không có một tập hợp các kiểm soát nào đạt được an toàn bảo mật hoàn thiện. ISO khuyến khích can thiệp thêm từ lãnh đạo để theo dõi, đánh giá và cải tiến hiệu lực của các kiểm soát an toàn bảo mật hỗ trợ cho các mục tiêu kinh doanh của tổ chức.
Cấu trúc ISO 17799
Chúng ta sẽ xem xét một cách thích hợp cấu trúc của ISO 17799, nó sẽ giúp chúng ta hiểu tốt hơn các hướng dẫn và các nguyên tắc cơ bản trong tiêu chuẩn. Tiêu chuẩn chứa 11 “ điều khoản” kiểm soát an toàn bảo mật, tập hợp trong nó tổng cộng có 39 loại an toàn bảo mật chính.
Đây là danh sách của 11 điều, không xếp theo mức độ quan trọng, số trong ngặc đơn bên cạnh là số các loại an toàn bảo mật chính chứa trong mỗi điều khoản đó. Đầu tiên mỗi loại có:
+ “ mục tiêu kiểm soát” – nó tuyên bố kiểm soát nào sẽ đạt được.
+ Kế đến mỗi loại lại chứa một hoặc nhiều kiểm soát có thể được áp dụng để đạt được mục tiêu kiểm soát.
a) Chính sách an toàn (1)
b) Tổ chức an toàn thông tin (2)
c) Quản lý tài sản (2)
d) An toàn nguồn nhân lực (3)
e) An toàn vật lý và môi trường (2)
f) Quản lý trao đổi và vận hành (10)
g) Kiểm soát truy cập (7)
h) Các hệ thống thông tin đạt được, phát triển và duy trì (6)
i) Quản lý sự cố an toàn thông tin (2)
j) Quan lý kinh doanh liên tục (1)
k) Sự phù hợp (3

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	18/06/2007 21:49:32 (+0700) \| #7 \| 65439

eyesdog
Elite Member

Joined: 18/01/2002 06:54:01
Messages: 94
Offline

Thực ra bộ quốc phòng Mỹ có đưa ra một loạt chuẩn đánh giá tính an toàn, an ninh của phần mềm theo các mức A, B, C gì đó, nhưng tôi không thể tìm được các tài liệu này. Chỉ nhớ mang máng là trước đây NT được xếp loại B2 hay C2. Search mệt nghĩ chỉ thấy những mảnh vụn, bận nên bỏ qua, chưa có được câu trả lời hoàn toàn chính xác.

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	26/06/2007 12:05:35 (+0700) \| #8 \| 67055

hakuso
HVA Friend

Joined: 04/01/2004 13:28:06
Messages: 287
Location: làng Đo Đo
Offline

Không biết http://www.microsoft.com/security/msrc/default.mspx có giúp cho bạn gì không smilie

))

Live, fight, work and study

[Question] Re: Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	29/06/2007 12:35:29 (+0700) \| #9 \| 67671

hack2prison
Member

Joined: 10/02/2004 10:43:43
Messages: 58
Offline

1. Nếu cái gì đó có một "CHUẨN" nghĩa là gần như mang tính tuyệt đối <> Trên đời này chẳng có gì là tuyệt đối.
2. Có thể tồn tại một chuẩn mà bạn đang tìm nhưng đọc lại 1

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	12/07/2007 08:47:39 (+0700) \| #10 \| 70680

longname
Member

Joined: 26/04/2007 14:55:42
Messages: 34
Offline

hiện nay tính bảo mật cho các phần mềm là rất khó vì đã quá nhiều phiên bản ra đâu có cần mua bản quyền mà vẫn xài tốt đó thôi vì đời sống cao cac Cracker đang phát huy hết tài năng của mình nên tính xâm phạm bnanr quyền là rất cao.Theo thống kê ở Vn tính xâm phạm bản quyền là lớn nhất thế giới

[Question] Re: Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	01/08/2007 05:34:11 (+0700) \| #11 \| 75499

tanhosy
Member

Joined: 31/07/2007 18:06:40
Messages: 20
Location: Hà Nội
Offline

Chuẩn đánh giá sản phẩm an toàn CNTT nói chung hiện nay nổi tiếng và phổ biến nhất là ISO/IEC 15408 hay vẫn thường được gọi là CC (Common Criteria). Đây là tiêu chí chung để đánh giá về tính an toàn của bất cứ sản phẩm CNTT nào (dù là phần mềm hay phần cứng). Nó được xây dựng từ những năm 90 với sự kết hợp tinh túy của rất nhiều tiêu chuẩn thời bấy giờ như: "Các tiêu chí Châu Âu về An toàn CNTT - ITSEC", "Các tiêu chí liên bang Hoa Kỳ về CNTT - TCSEC", "Các tiêu chí Canada về an toàn hệ thống máy tính CTCPE",....Để thống nhất có một chuẩn chung cho đánh giá các sản phẩm An toàn CNTT, vào khoảng tháng 6 năm 1993 đã có một dự án của ISO về biên soạn CC, CC đã chính thức trở thành tiêu chuẩn ISO 15408 vào năm 1999. Hiện nay CC đã phát triển với phiên bản 3.1, có thể vào site www.commoncriteriaporrtal.org để có thêm thông tin. Song song với CC là tôt chức CCRA, đây là tổ chức gồm các nước công nhận lẫn nhau về tiêu chí chung.
Tôi sẽ post tiếp một bài chi tiết về vấn đề này.

[Question] Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	01/08/2007 05:40:10 (+0700) \| #12 \| 75503

KINYO
Member

Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline

mR.Bi wrote:

ko co' 1 chuan chinh xac

Đúng hơn là có, nhưng bản thân cái chuẩn đó cũng không chính xác smilie

[Question] Re: Hỏi về chuẩn đánh giá tính security cho các sản phẩm phần mềm?	01/08/2007 05:55:45 (+0700) \| #13 \| 75518

tanhosy
Member

Joined: 31/07/2007 18:06:40
Messages: 20
Location: Hà Nội
Offline

CC là một hệ thống tài liệu tiêu chuẩn đặc tả và đưa ra một chuẩn chung bao gồm các khái niệm, thuật ngữ, phạm vi, khuôn mẫu và các yêu cầu cũng như các mối quan hệ giữa chúng liên quan đến vấn đề đánh giá sản phẩm an toàn CNTT. Để hiểu được bản chất của CC thực ra không thể nói một hai trang văn bản mà hết được. Tôi chỉ tóm tắt bản chất của nó mà thôi.
1. CC không những là một tiêu chuẩn để đánh giá sản phẩm an toàn CNTT mà nó còn là một tiêu chuẩn cho các nhà phát triển và khách hàng tiềm năng căn cứ để có được một sản phẩm an toàn hơn.
2. CC thực hiện đánh giá các sản phẩm an toàn CNTT và cho kết quả là Đạt/Không đạt dựa trên 7 lớp cơ bản gọi là EAL (Evaluation Assurance Level). Một sản phẩm sẽ được xác định là đã được đánh giá theo EAL nào. Ví dụ nói Sản phẩm firewall của nhà sản xuất A đã được đánh giá theo CC đạt EAL 4 có nghĩa là sản phẩm này đã được thực hiện đánh giá và cho kết quả hoàn toàn thỏa mãn các yêu cầu mà EAL4 đặt ra. Ngoài 7 lớp có bản có thể có các lớp gia tăng như EAL 2 + Yêu cầu XYZ,....
3. Tiêu chuẩn này chia các yêu cầu về an toàn thành 2 dạng là: Yêu cầu chức năng an toàn (chứa các vấn đề thuộc về tính năng mà sản phẩm đạt được, trả lời cho câu hỏi Có thể thực hiện được gì?) và Yêu cầu đảm bảo an toàn (chứa các vấn đề để đảm bảo rằng sản phẩm được đánh giá chặt chẽ tới mức nào?).
4. Mỗi dạng sản phẩm sẽ được xây dựng trước một tài liệu gọi là Hồ sơ bảo vệ (Prôtectin Profile) đặc tả tất cả vấn đề an toàn chung của sản phẩm đó. Mỗi sản phẩm cụ thể được cài đặt và cấu hình gọi là TOE (Target Of Evaluation) được xây dựng một tài liệu gọi là Bản chỉ tiêu an toàn (Security Target) đặc tả về các nội dung an toàn của sản phẩm đó.
5. Để đánh giá một sản phẩm an toàn CNTT phải thực hiện một quy trình rất chi tiết và mật trung bình từ 6 tháng đến 1 năm với sự hỗ trợ của rất nhiều chuyên gia. Sản phẩm đã được đánh giá thường được cấp một chứng chỉ giống như ISO 9001:2000.
6. Có một tổ chức về CC gọi là CCRA (Arrangement on the Recognition of Common Criteria Certificates) bao gồm các nước công nhận lẫn nhau về CC, nếu là thành viên của CCRA sẽ có những quy định riêng về sản xuất, phân phối, trao đổi, mua bán các sản phẩm an toàn CNTT đã được đánh giá theo CC.
(Còn nữa)

Go to:

Users currently in here
1 Anonymous