Trên mô hình các tiêu chí đã kết nối, bài báo xây dựng cơ chế tạo lập các bản khảo sát dành cho người phát triển, người vận hành, người đánh giá, cung cấp thông tin đầu vào cho việc đánh giá ban đầu khả năng đáp ứng với một mức đảm bảo đánh giá xác định. Các mô hình và cơ chế nói trên được thử nghiệm dưới dạng công cụ có khả năng tùy biến, hỗ trợ xác định tập các tiêu chí đánh giá an toàn thông tin phù hợp với một mức đảm bảo đánh giá cho các hệ thống website; xác định mức đảm bảo đánh giá (Evalution Assurance Level – EAL) mà một website có thể đạt được.
Abstract— Before and after the website deployment, it needs to determine whether the website components and operations are subject to appropriate security measures and techniques, and how secure they are (assurance levels). This article introduces an approach for identifying the website security assessment criteria. The ISO/IEC 15408-based assessment criteria are put in connection with the security requirements according to the protection profiles of the website’s components and operation. Then, a mechanism for creating surveys for developers, operators, and evaluators that provide input to evaluations based on connected criteria is proposed. These are experimented as a customized tool, which supports to identify security assessment criteria accordingly to a given assurance level of a website; and determine the assurance level (EAL) that a website can achieve.
|
Tài liệu tham khảo [1]. ISO/IEC 15408-1, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 1: Introduction and general model. [2]. ISO/IEC 15408-2, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 2: Security functional components. [3]. ISO/IEC 15408-3, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 3: Security assurance components. [4]. Huilin Chen, Da Bao, Hongbiao Gao and Jingde Cheng: “A Security Evaluation and Certification Management Database Based on ISO/IEC Standards”. In Proceedings of 12th International Conference on Computational Intelligence and Security. IEEE 2016. [5]. Information Assurance Directorate. U.S. Government “Protection Profile Web Server For Basic Robustness Environments”. Version 1.0. December 26, 2006. [6]. NIAP. “Protection Profile for Server Virtualization”. Version 1.0. 29 October 2014. [7]. “Turkish standards institution. Common criteria protection profile for security of web services”. Version 1.0. 2012. [8]. NIAP. U.S. Government “Approved Protection Profile - Protection Profile for Application Software”. Version 1.2. 2016. [9]. NIAP. “Protection Profile for Web Browsers”. Version 1.0. 2014. [10]. NIAP. “US Government Protection Profile Authorization Server For Basic Robustness Environments”. Version 1.1. 2007. |
Vũ Thị Hương Giang, Nguyễn Mạnh Tuấn, Đặng Bá Tú, Lê Hồng Dương
15:00 | 05/07/2011
15:54 | 20/05/2016
15:00 | 18/02/2020
10:00 | 04/03/2015
09:00 | 15/10/2019
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
15:00 | 26/05/2023
Ngày nay, trong quy trình xem xét, đánh giá và phân bổ nguồn lực của các tổ chức/doanh nghiệp, bảo mật dữ liệu vẫn được coi là ưu tiên hàng đầu. Tuy nhiên, nhiều tổ chức/doanh nghiệp vẫn phải đối mặt với nhiều hơn những mối đe dọa từ các sự cố an ninh mạng mà họ lường trước.
10:00 | 15/02/2023
Phần mềm diệt virus (antivirus) là một trong những giải pháp bảo mật được sử dụng phổ biến, nhằm ngăn chặn tin tặc xâm nhập vào hệ thống. Tuy nhiên, hiện nay tin tặc đã phát triển các kỹ thuật để qua mặt các giải pháp antivirus và giành quyền truy cập vào các hệ thống được bảo vệ. Những kỹ thuật này được sử dụng trong các công cụ lẩn tránh giải pháp antivirus sẵn có dưới dạng công cụ mã nguồn mở mà tin tặc có thể dễ dàng sở hữu và sử dụng để xâm nhập hệ thống máy tính có trang bị chương trình antivirus.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
