Tiêu chuẩn quốc gia TCVN 14107:2024 về Công nghệ thông tin - Các kỹ thuật an toàn - Hồ sơ bảo vệ cho sản phẩm tường lửa ứng dụng web
TIÊU CHUẨN QUỐC GIA
TCVN 14107:2024
CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO SẢN PHẨM TƯỜNG LỬA ỨNG DỤNG WEB
Information technology - Security techniques - Protection profile for Web Application Firewall
Lời nói đầu
TCVN 14107:2024 do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO SẢN PHẨM TƯỜNG LỬA ỨNG DỤNG WEB
Information Technology - Security techniques - Protection profile for Web Application Firewall
1 Phạm vi áp dụng
Tiêu chuẩn này quy định hồ sơ bảo vệ cho sản phẩm tường lửa ứng dụng web, thể hiện các yêu cầu chức năng an toàn (SFR) và yêu cầu đảm bảo an toàn (SAR) đối với sản phẩm tường lửa ứng dụng web.
Tiêu chuẩn này áp dụng vào quá trình đánh giá an toàn thông tin đối với sản phẩm tường lửa ứng dụng web theo các tiêu chí đánh giá được quy định trong TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709-3:2011 (ISO/IEC 15408-3:2008).
2 Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là cần thiết để áp dụng đối với tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả phiên bản sửa đổi, bổ sung).
TCVN 8709:2011 (ISO/IEC 15408:2009) toàn phần, “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT” [CC].
TCVN 11386:2016 (ISO/IEC 18045:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin” [CEM].
3 Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong TCVN 8709-1:2011 và các thuật ngữ sau:
3.1
Tài sản (assets)
Các thực thể mà chủ sở hữu Đích đánh giá (TOE) đặt giá trị vào đó.
3.2
Chỉ định (assignment)
Định rõ một tham số định danh trong một thành phần (của TCVN 8709) hoặc một yêu cầu.
3.3
Khả năng tấn công (attack potential)
Ước lượng về khả năng tấn công vào TOE biểu thị qua kinh nghiệm, tài nguyên và động cơ của kẻ tấn công.
3.4
Gia tăng (augmentation)
Việc thêm một hoặc nhiều yêu cầu vào một gói.
3.5
Dữ liệu xác thực (authentication data)
Thông tin được dùng để xác minh định danh đã tuyên bố của một người dùng.
3.6
Phục hồi tự động (automated recovery)
Phục hồi mà không cần sự can thiệp của người dùng.
3.7
Quản trị viên được ủy quyền (authorized administrator)
Người dùng được ủy quyền để vận hành và quản lý TOE một cách an toàn
3.8
Có thể (can/could)
Có thể được trình bày trong CHÚ THÍCH biểu thị các yêu cầu tùy chọn được áp dụng cho TOE theo lựa chọn của Tác giả ST.
3.9
Lớp (class)
Tập các họ TCVN 8709 cùng chia sẻ một mục tiêu chung.
| Số hiệu | TCVN14107:2024 |
|---|---|
| Loại văn bản | Tiêu chuẩn Việt Nam |
| Lĩnh vực | Môi trường – Công nghệ |
| Ngày ban hành | 01/01/2024 |
| Ngày hiệu lực | 11/07/2026 |
| Nơi ban hành | *** |
| Người ký | *** |
| Tình trạng | Chưa xác định |
Tóm tắt mang tính tham khảo.
Tiêu chuẩn quốc gia TCVN 14107:2024 về Công nghệ thông tin - Các kỹ thuật an toàn - Hồ sơ bảo vệ cho sản phẩm tường lửa ứng dụng web quy định các yêu cầu kỹ thuật, tiêu chí đánh giá an toàn và cấu trúc hồ sơ bảo vệ đối với các sản phẩm tường lửa ứng dụng web (WAF). Tiêu chuẩn này đóng vai trò quan trọng trong việc định hướng thiết kế, phát triển và đánh giá chất lượng an toàn thông tin của các giải pháp tường lửa bảo vệ ứng dụng web trước các nguy cơ tấn công mạng hiện nay. Phạm vi và đối tượng áp dụng Phạm vi áp dụng: Tiêu chuẩn này áp dụng trong việc xây dựng, đánh giá và lựa chọn các sản phẩm tường lửa ứng dụng web nhằm bảo vệ các hệ thống thông tin, đặc biệt là các dịch vụ web trực tuyến. Đối tượng áp dụng: Các tổ chức, doanh nghiệp phát triển phần mềm/thiết bị an toàn thông tin; các đơn vị thử nghiệm, đánh giá an toàn thông tin; và các cơ quan, tổ chức sử dụng tường lửa ứng dụng web để bảo vệ hệ thống thông tin chuyên ngành. Khái niệm và định nghĩa cốt lõi Phần tử (element): Là đơn vị thành phần cơ bản được sử dụng trong quá trình xây dựng và đánh giá các yêu cầu an toàn thông tin của sản phẩm. Chương trình ứng dụng quản trị: Là hệ thống cung cấp giao diện đồ họa (GUI), giao diện dòng lệnh (CLI) hoặc các phương thức tương đương cho quản trị viên. Thành phần này chịu trách nhiệm cung cấp các chức năng cấu hình, thiết lập chính sách và quản lý toàn diện hệ thống tường lửa ứng dụng web. Phần mềm máy chủ web (Web Server): Là hệ thống tiếp nhận thông tin yêu cầu từ máy khách (trình duyệt web) thông qua giao thức HTTP và phản hồi kết quả về máy trạm. Máy chủ web tiếp nhận tài nguyên yêu cầu dưới dạng URL (Bộ định vị tài nguyên thống nhất), xử lý bằng cách ánh xạ với hệ thống tệp nội bộ hoặc xử lý các dữ liệu đầu vào (như tên đăng nhập, mật khẩu tại màn hình đăng nhập) theo quy trình đã thiết lập trước khi gửi trả kết quả cho máy khách. Các phần mềm máy chủ web tiêu biểu được đề cập bao gồm Apache, nginx và Microsoft IIS (Internet Information Services). Nội dung cấu trúc Hồ sơ bảo vệ (PP) và Tuyên bố an toàn (ST) Phần giới thiệu ST (Security Target): Phải đảm bảo chứa đựng đầy đủ các thông tin cốt lõi bao gồm: tham chiếu ST, tham chiếu TOE (Đối tượng đánh giá), tổng quan về TOE và mô tả chi tiết về TOE nhằm định hình rõ ràng phạm vi đánh giá an toàn. Mục tiêu an toàn thông tin: Xác định rõ các mục tiêu an ninh mà sản phẩm cần đạt được nhằm chống lại các mối đe dọa, bảo vệ tính toàn vẹn, tính bảo mật và tính sẵn sàng của dữ liệu ứng dụng web. Các thành phần chức năng an toàn (Phần 2) Phần này tập trung vào các yêu cầu kỹ thuật tối thiểu mà một sản phẩm tường lửa ứng dụng web phải đáp ứng để thực hiện chức năng bảo mật, bao gồm: Khả năng kiểm soát, lọc và phân tích sâu lưu lượng HTTP/HTTPS đi và đến ứng dụng web. Phát hiện và ngăn chặn các hành vi tấn công phổ biến (như SQL Injection, Cross-Site Scripting - XSS, và các lỗ hổng bảo mật khác). Cơ chế quản lý quyền truy cập, xác thực người dùng và quản trị viên một cách an toàn. Hệ thống ghi nhật ký (log) chi tiết các sự kiện an toàn thông tin phục vụ công tác giám sát và ứng cứu sự cố. Các thành phần đảm bảo an toàn (Phần 3) Quy định các tiêu chí đánh giá mức độ tin cậy của sản phẩm trong suốt vòng đời phát triển và vận hành, bao gồm: Quy trình phát triển sản phẩm an toàn, kiểm soát cấu hình và quản lý lỗi. Các phương pháp thử nghiệm, kiểm thử xâm nhập nhằm chứng minh khả năng chống chịu của tường lửa trước các kịch bản tấn công thực tế. Tài liệu hướng dẫn vận hành, bàn giao và cấu hình an toàn cho người sử dụng cuối. Hiệu lực thi hành Tiêu chuẩn quốc gia TCVN 14107:2024 có hiệu lực áp dụng kể từ ngày ban hành theo các quy định hiện hành của pháp luật Việt Nam về tiêu chuẩn và quy chuẩn kỹ thuật. Các tổ chức, doanh nghiệp khi phát triển hoặc mua sắm thiết bị tường lửa ứng dụng web được khuyến nghị áp dụng tiêu chuẩn này để đảm bảo tính đồng bộ và nâng cao năng lực bảo mật hệ thống.
- Tiêu chuẩn quốc gia TCVN 13902:2023 (ISO/IEC 22989:2022) về Công nghệ thông tin - Trí tuệ nhân tạo - Các khái niệm và thuật ngữ trí tuệ nhân tạo
- Tiêu chuẩn quốc gia TCVN 13903:2023 (ISO/IEC TR 24028:2020) về Công nghệ thông tin - Trí tuệ nhân tạo - Tổng quan về tính đáng tin cậy trong trí tuệ nhân tạo
- Tiêu chuẩn quốc gia TCVN 14106:2024 về Công nghệ thông tin - Các kỹ thuật an toàn - Hồ sơ bảo vệ cho sản phẩm phát hiện và phản hồi điểm cuối (EDR)
- Tiêu chuẩn quốc gia TCVN 14192-1:2024 (ISO/IEC 20085-1:2019) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã - Phần 1: Công cụ và kỹ thuật kiểm thử
- Tiêu chuẩn quốc gia TCVN 14192-2:2024 (ISO/IEC 20085-2:2020) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã - Phần 2: Phương pháp và phương tiện hiệu chuẩn kiểm thử
- Tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát
- Tiêu chuẩn Việt Nam TCVN 8709-2:2011 (ISO/IEC 15408-2 : 2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn
- Tiêu chuẩn Việt Nam TCVN 8709-3:2011 (ISO/IEC 15408-3:2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn
- Tiêu chuẩn quốc gia TCVN 11386:2016 (ISO/IEC 18045:2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin