Nội dung toàn văn Quyết định 923/QĐ-BTTTT 2022 Yêu cầu kỹ thuật sản phẩm Phòng chống tấn công từ chối dịch vụ
BỘ THÔNG TIN VÀ | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 923/QĐ-BTTTT | Hà Nội, ngày 20 tháng 5 năm 2022 |
QUYẾT ĐỊNH
BAN HÀNH YÊU CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ
BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Theo đề nghị của Cục trưởng Cục An toàn thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Yêu cầu kỹ thuật cơ bản đối với sản phẩm Phòng, chống tấn công từ chối dịch vụ (Anti-DDoS).
Điều 2. Khuyến nghị cơ quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm Anti-DDoS đáp ứng các yêu cầu kỹ thuật cơ bản theo Điều 1 Quyết định này.
Điều 3. Cục An toàn thông tin chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng các yêu cầu trong Yêu cầu kỹ thuật cơ bản đối với sản phẩm Anti-DDoS tại Điều 1 Quyết định này.
Điều 4. Quyết định này có hiệu lực thi hành kể từ ngày ký.
Điều 5. Chánh Văn phòng, Cục trưởng Cục An toàn thông tin, Thủ trưởng các đơn vị thuộc Bộ, các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
| KT. BỘ TRƯỞNG |
YÊU CẦU KỸ THUẬT CƠ BẢN
ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ
(Kèm theo Quyết định số 923/QĐ-BTTTT ngày 20 tháng 5 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông)
I. THÔNG TIN CHUNG
1. Phạm vi áp dụng
Tài liệu này mô tả các yêu cầu kỹ thuật cơ bản đối với sản phẩm Phòng, chống tấn công từ chối dịch vụ (Anti-DDoS). Tài liệu bao gồm các nhóm yêu cầu: Yêu cầu về tài liệu, Yêu cầu về quản trị hệ thống, Yêu cầu về kiểm soát lỗi, Yêu cầu về log, Yêu cầu về hiệu năng xử lý, Yêu cầu về khả năng bảo vệ, Yêu cầu về cảnh báo, Yêu cầu về giám sát, Yêu cầu về tự động hóa.
2. Đối tượng áp dụng
Các cơ quan, tổ chức có liên quan đến hoạt động nghiên cứu, phát triển, đánh giá, lựa chọn sản phẩm Anti-DDoS khi đưa vào sử dụng trong các hệ thống thông tin.
3. Khái niệm và thuật ngữ
Trong tài liệu này các khái niệm và thuật ngữ được hiểu như sau:
3.1. Nhật ký hệ thống (Log)
Sự kiện an toàn thông tin được hệ thống ghi lại, liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công, thông tin về các mối đe dọa thu thập được và các thông tin khác liên quan đến hoạt động của hệ thống (nếu có).
3.2. Gói tin (Packet)
Gói tin là một đơn vị của dữ liệu được chuẩn hóa theo các giao thức mạng, được sử dụng để gửi, nhận thông tin giữa thiết bị nguồn và đích trên mạng.
3.3. Danh sách kiểm soát truy cập (Access Control List - ACL)
Danh sách kiểm soát truy cập (ACL) là chính sách được thiết lập trên thiết bị, theo thứ tự ưu tiên để xác định hành động của thiết bị (cho phép/chặn) đối với mỗi gói tin được xử lý bởi thiết bị phục vụ phòng, chống tấn công từ chối dịch vụ.
3.4. Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS)
Tấn công từ chối dịch vụ phân tán là một loại hình tấn công mạng nhằm làm mất tính khả dụng của hệ thống, từ nhiều nguồn tấn công phân tán khác nhau.
3.5. Cảnh báo (Alert)
Sự kiện an toàn thông tin được thu thập từ các thiết bị/nền tảng tích hợp.
3.6. Độ trễ (Latency)
Độ trễ là khoảng thời gian thiết bị cần để xử lý gói tin từ khi nhận cho đến khi đưa ra hành động chặn/cho phép đối với gói tin được xử lý.
3.7. Định tuyến qua bộ lọc (Route)
Định tuyến qua bộ lọc là việc điều hướng lưu lượng mạng qua một hệ thống trung gian thông qua cơ chế định tuyến để chặn/giảm thiểu lưu lượng tấn công.
3.8. Khôi phục (Rollback)
Là việc khôi phục lại chính sách định tuyến ban đầu trước khi thực hiện định tuyến qua bộ lọc.
II. YÊU CẦU CƠ BẢN
1. Yêu cầu về tài liệu
Anti-DDoS có tài liệu bao gồm các nội dung sau:
a) Hướng dẫn triển khai và thiết lập cấu hình;
b) Hướng dẫn sử dụng và quản trị.
2. Yêu cầu về quản trị hệ thống
2.1. Quản lý vận hành
Anti-DDoS cho phép quản lý vận hành đáp ứng các yêu cầu sau:
a) Cho phép thiết lập, thay đổi, áp dụng thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập danh sách kiểm soát truy cập;
b) Cho phép thiết lập thời gian hệ thống thủ công hoặc được cập nhật tự động;
c) Cho phép thay đổi thời gian duy trì phiên kết nối;
d) Cho phép đăng xuất tài khoản người dùng mà phiên kết nối còn hiệu lực.
2.2. Quản lý xác thực và phân quyền
Anti-DDoS cho phép quản lý cấu hình tài khoản xác thực và phân quyền người dùng đáp ứng các yêu cầu sau:
a) Hỗ trợ phương thức xác thực bằng tài khoản - mật khẩu;
b) Hỗ trợ phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.
2.3. Quản lý báo cáo
Anti-DDoS cho phép quản lý báo cáo thông qua giao diện đồ họa đáp ứng các yêu cầu sau:
a) Cho phép tạo mới theo thời gian muốn xuất báo cáo;
b) Cho phép tải về báo cáo theo chu kỳ thời gian.
3. Yêu cầu về kiểm soát lỗi
3.1. Bảo vệ cấu hình
Trong trường hợp Anti-DDoS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), Anti-DDoS đảm bảo cấu hình hệ thống đang được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp.
3.2. Bảo vệ dữ liệu log
Trong trường hợp Anti-DDoS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), Anti-DDoS đảm bảo dữ liệu log đã được lưu lại phải không bị thay đổi trong lần khởi động kế tiếp.
3.3. Đồng bộ thời gian hệ thống
Trong trường hợp Anti-DDoS phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), Anti-DDoS đảm bảo thời gian hệ thống phải được đồng bộ tự động đến thời điểm hiện tại.
3.4. Khả năng chịu lỗi vận hành
Trong trường hợp Anti-DDoS gặp lỗi trong quá trình thực thi ACL mà không thể tự động khắc phục được, Anti-DDoS phải cho phép tự động kích hoạt chức năng bỏ qua kiểm soát và cho phép quản trị viên kích hoạt thủ công chức năng này.
4. Yêu cầu về log
4.1. Log quản trị hệ thống
a) Anti-DDoS cho phép ghi log quản trị hệ thống về các loại sự kiện sau:
i. Thay đổi ACL của hệ thống cho từng địa chỉ IP riêng biệt;
ii. Thay đổi về route/rollback một địa chỉ IP ra khỏi hệ thống;
iii. Thông tin kết quả lệnh tương tác với bộ định tuyến trên mạng lưới để route/rollback hệ thống.
b) Anti-DDoS cho phép ghi log quản trị hệ thống có các trường thông tin sau:
i. Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);
ii. Định danh của tác nhân thực hiện quản trị hệ thống (ví dụ: tài khoản người dùng, tên hệ thống, ...);
iii. Định danh của đối tượng tác động (địa chỉ IP bị tác động);
iv. Thông tin chi tiết về các thay đổi cấu hình hệ thống bởi người quản trị (ví dụ: danh sách ACL bị thay đổi);
v. Kết quả thực hiện việc thay đổi cấu hình hệ thống bởi người quản trị (thành công hoặc thất bại).
4.2. Định dạng log
Anti-DDoS cho phép chuẩn hóa log theo tối thiểu 01 định dạng đã được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.
4.3. Quản lý log
Anti-DDoS cho phép quản lý log đáp ứng các yêu cầu sau:
a) Cho phép tìm kiếm log theo từ khóa theo thời gian và theo đối tượng;
b) Phân chia log thành tối thiểu 02 nhóm:
i. Log hành vi tương tác người dùng;
ii. Log hành vi tương tác của Anti-DDoS với các thiết bị mạng khác.
5. Yêu cầu về hiệu năng xử lý
Anti-DDoS được triển khai thỏa mãn cấu hình tối thiểu theo hướng dẫn cài đặt và thiết lập cấu hình của nhà sản xuất phải đảm bảo đáp ứng các yêu cầu sau:
5.1. Độ trễ khi đi qua bộ lọc
Anti-DDoS đảm bảo rằng độ trễ của gói tin được xử lý không vượt quá 03 ms.
5.2. Thời gian phát hiện tấn công
Đối với các dạng tấn công tại Mục II, khoản 6, Anti-DDoS đảm bảo thời gian phát hiện tấn công tối đa là 03 phút từ lúc có tấn công DDoS xảy ra.
5.3. Băng thông chống tấn công
Anti-DDoS cho phép xử lý các cuộc tấn công DDoS băng thông tối thiểu 1Gbps/01 thiết bị.
5.4. Khả năng chặn lọc lưu lượng tấn công
a) Anti-DDoS đảm bảo khả năng phát hiện và chặn lọc lưu lượng tấn công tối thiểu 80%.
b) Anti-DDoS đảm bảo khả năng bảo vệ lưu lượng sạch tối thiểu 85%.
6. Yêu cầu về khả năng bảo vệ
Anti-DDoS đảm bảo dịch vụ của khách hàng vẫn hoạt động bình thường trước tối thiểu các loại tấn công DDoS sau bao gồm:
a) Tấn công làm tràn ngập băng thông: UDP reflection (DNS, NTP amplification, SSDP attack, Chargen attack), IP fragment, ICMP flood và các dạng tấn công tương tự;
b) Tấn công cạn kiệt tài nguyên qua giao thức TCP: SYN flood, ACK flood, RST flood, SYN-ACK flood và các dạng tấn công tương tự;
c) Tấn công sử dụng gói tin không hợp lệ: malformed, invalid packet;
d) Tấn công gửi gói tin/yêu cầu với tần suất cao, đột ngột;
đ) Tấn công qua phân tích hành vi người dùng: HTTP page flood, DNS flood, brute force;
e) Khả năng chặn lọc gói tin theo chính sách sử dụng ALC.
7. Yêu cầu về cảnh báo
7.1. Cấu hình cảnh báo
Anti-DDoS cho phép cấu hình cảnh báo cho người dùng bao gồm:
a) Cho phép cấu hình nội dung gửi cảnh báo qua một trong các cách thức sau: Email/SMS/OTT;
b) Cho phép cấu hình nhiều người nhận trong cùng một thời gian qua Email hay SMS;
c) Cho phép cấu hình chỉ gửi cảnh báo dựa trên các điều kiện mong muốn (ví dụ: mức độ tấn công, địa chỉ IP bị tấn công);
d) Cho phép cấu hình cảnh báo riêng biệt theo các nhóm địa chỉ IP bảo vệ khác nhau;
đ) Cho phép cấu hình các ngưỡng phát hiện cảnh báo tấn công theo từng nhóm địa chỉ IP bảo vệ khác nhau.
7.2. Cảnh báo theo thời gian thực
Anti-DDoS cho phép tự động cảnh báo tới người dùng theo thời gian thực đối với các loại sự kiện sau.
a) Cảnh báo khi có tấn công DDoS xảy ra;
b) Cảnh báo về tự động xử lý tấn công DDoS;
c) Cảnh báo khi tấn công DDoS kết thúc.
8. Yêu cầu về giám sát
Anti-DDoS cho phép giám sát và phân tích sự cố tấn công DDoS:
a) Cho phép giám sát thông tin các cuộc tấn công xảy ra theo thời gian thực và tìm kiếm trong các cuộc tấn công đã xảy ra;
b) Cho phép giám sát băng thông theo địa chỉ IP và dải mạng phục vụ phân tích tấn công;
c) Cho phép giám sát theo dõi hiệu quả chặn lọc thông qua lưu lượng băng thông trước và sau khi đi qua bộ lọc.
9. Yêu cầu về tự động hóa
Anti-DDoS cho phép quản lý bảo vệ tự động địa chỉ IP bị tấn công được cấu hình trên hệ thống:
a) Cho phép cấu hình kịch bản (điều kiện) tự động bảo vệ địa chỉ IP khi phát hiện được tấn công xảy ra;
b) Cho phép tự động tạo ra ACL ngăn chặn tấn công dựa trên đặc điểm tấn công phát hiện được;
c) Cho phép tự động bỏ bảo vệ, trả về điều kiện ban đầu khi phát hiện tấn công đã kết thúc;
d) Thông báo cho người dùng khi địa chỉ IP được tự động bảo vệ.