Trên mô hình các tiêu chí đã kết nối, bài báo xây dựng cơ chế tạo lập các bản khảo sát dành cho người phát triển, người vận hành, người đánh giá, cung cấp thông tin đầu vào cho việc đánh giá ban đầu khả năng đáp ứng với một mức đảm bảo đánh giá xác định. Các mô hình và cơ chế nói trên được thử nghiệm dưới dạng công cụ có khả năng tùy biến, hỗ trợ xác định tập các tiêu chí đánh giá an toàn thông tin phù hợp với một mức đảm bảo đánh giá cho các hệ thống website; xác định mức đảm bảo đánh giá (Evalution Assurance Level – EAL) mà một website có thể đạt được.
Abstract— Before and after the website deployment, it needs to determine whether the website components and operations are subject to appropriate security measures and techniques, and how secure they are (assurance levels). This article introduces an approach for identifying the website security assessment criteria. The ISO/IEC 15408-based assessment criteria are put in connection with the security requirements according to the protection profiles of the website’s components and operation. Then, a mechanism for creating surveys for developers, operators, and evaluators that provide input to evaluations based on connected criteria is proposed. These are experimented as a customized tool, which supports to identify security assessment criteria accordingly to a given assurance level of a website; and determine the assurance level (EAL) that a website can achieve.
Tài liệu tham khảo [1]. ISO/IEC 15408-1, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 1: Introduction and general model. [2]. ISO/IEC 15408-2, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 2: Security functional components. [3]. ISO/IEC 15408-3, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 3: Security assurance components. [4]. Huilin Chen, Da Bao, Hongbiao Gao and Jingde Cheng: “A Security Evaluation and Certification Management Database Based on ISO/IEC Standards”. In Proceedings of 12th International Conference on Computational Intelligence and Security. IEEE 2016. [5]. Information Assurance Directorate. U.S. Government “Protection Profile Web Server For Basic Robustness Environments”. Version 1.0. December 26, 2006. [6]. NIAP. “Protection Profile for Server Virtualization”. Version 1.0. 29 October 2014. [7]. “Turkish standards institution. Common criteria protection profile for security of web services”. Version 1.0. 2012. [8]. NIAP. U.S. Government “Approved Protection Profile - Protection Profile for Application Software”. Version 1.2. 2016. [9]. NIAP. “Protection Profile for Web Browsers”. Version 1.0. 2014. [10]. NIAP. “US Government Protection Profile Authorization Server For Basic Robustness Environments”. Version 1.1. 2007. |
Vũ Thị Hương Giang, Nguyễn Mạnh Tuấn, Đặng Bá Tú, Lê Hồng Dương
15:00 | 05/07/2011
15:54 | 20/05/2016
15:00 | 18/02/2020
10:00 | 04/03/2015
09:00 | 15/10/2019
16:00 | 23/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
09:00 | 18/07/2024
Mới đây, Bộ Công an đã thông tin về tình trạng tin nhắn tin nhắn thương hiệu (SMS Brandname) giả mạo phần lớn xuất phát từ việc các đối tượng sử dụng trạm phát sóng BTS giả mạo để gửi hàng loạt tin nhắn lừa đảo tới người dùng với mục đích nhằm chiếm đoạt tài sản.
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
07:00 | 08/04/2024
Thiết bị truyền dữ liệu một chiều Datadiode có ý nghĩa quan trọng trong việc bảo đảm an toàn thông tin (ATTT) cho việc kết nối liên thông giữa các vùng mạng với nhau, đặc biệt giữa vùng mạng riêng, nội bộ với các vùng mạng bên ngoài kém an toàn hơn. Khi chủ trương xây dựng Chính phủ điện tử, Chính phủ số của Quân đội được quan tâm, đẩy mạnh phát triển. Việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng truyền số liệu quân sự (TSLQS) và mạng Internet, giữa các hệ thống thông tin quân sự và cơ sở dữ liệu (CSDL) quốc gia về dân cư, bảo hiểm y tế và các CSDL dùng chung khác yêu cầu phải kết nối. Bài báo sẽ trình bày giải pháp truyền dữ liệu một chiều Datadiode cho phép các ứng dụng giữa hai vùng mạng kết nối sử dụng giao thức Webservice/RestAPI.
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025
Trong kỷ nguyên số hóa, việc ứng dụng các công nghệ hiện đại đóng vai trò rất quan trọng trong bảo vệ dữ liệu, hệ thống máy tính, ngăn chặn chúng khỏi sự tấn công hoặc truy cập trái phép. Blockchain và trí tuệ nhân tạo (AI) là hai trong số những công nghệ mạnh mẽ đã được ứng dụng và phát huy hiệu quả trong nhiều lĩnh vực của đời sống. Với những ưu thế vượt trội của từng công nghệ, việc kết hợp AI và Blockchain có thể đem lại nhiều giải pháp hiệu quả nhằm đảm bảo an ninh mạng (ANM), an toàn thông tin (ATTT). Bài viết sẽ giới thiệu về ứng dụng của công nghệ AI và Blockchain trong bảo đảm ANM, ATTT cũng như phân tích khả năng tích hợp hai công nghệ này trong phát hiện, ngăn chặn các mối đe dọa hiện nay.
10:00 | 06/02/2025