Yêu cầu kĩ thuật cơ bản đối với sản phẩm Phòng chống tấn công từ chối dịch vụ (Anti-DDoS) năm 2022?

Nội dung chính

• Các khái niệm và thuật ngữ cơ bản đối với sản phẩm Phòng chống tấn công từ chối dịch vụ là gì?
• Yêu cầu cơ bản về tài liệu đối với sản phẩm Phòng chống tấn công từ chối dịch vụ như thế nào?
• Một số yêu cầu về kĩ thuật đối với sản phẩm Phòng chống tấn công từ chối dịch vụ như thế nào?

Các khái niệm và thuật ngữ cơ bản đối với sản phẩm Phòng chống tấn công từ chối dịch vụ là gì?

Căn cứ tiểu mục 3 Mục I Quyết định 923/QĐ-BTTTT năm 2022 Yêu cầu kỹ thuật đối với sản phẩm Phòng, chống tấn công từ chối dịch vụ:

- Nhật ký hệ thống (Log): Sự kiện an toàn thông tin được hệ thống ghi lại, liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công, thông tin về các mối đe dọa thu thập được và các thông tin khác liên quan đến hoạt động của hệ thống (nếu có).

- Gói tin (Packet): Gói tin là một đơn vị của dữ liệu được chuẩn hóa theo các giao thức mạng, được sử dụng để gửi, nhận thông tin giữa thiết bị nguồn và đích trên mạng.

- Danh sách kiểm soát truy cập (Access Control List - ACL): Danh sách kiểm soát truy cập (ACL) là chính sách được thiết lập trên thiết bị, theo thứ tự ưu tiên để xác định hành động của thiết bị cho phép/chặn) đối với mỗi gói tin được xử lý bởi thiết bị phục vụ phòng, chống tấn công từ chối dịch vụ.

- Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS): Tấn công từ chối dịch vụ phân tán là một loại hình tấn công mạng nhằm làm mất tính khả dụng của hệ thống, từ nhiều nguồn tấn công phân tán khác nhau.

- Cảnh báo (Alert) Sự kiện an toàn thông tin được thu thập từ các thiết bị/nền tảng tích hợp. 3.6. Độ trễ (Latency): Độ trễ là khoảng thời gian thiết bị cần để xử lý gói tin từ khi nhận cho đến khi đưa ra hành động chặn/cho phép đối với gói tin được xử lý.

- Định tuyến qua bộ lọc (Route): Định tuyến qua bộ lọc là việc điều hướng lưu lượng mạng qua một hệ thống trung gian thông qua cơ chế định tuyến để chặn/giảm thiểu lưu lượng tấn công.

- Khôi phục (Rollback): Là việc khôi phục lại chính sách định tuyến ban đầu trước khi thực hiện định tuyên qua bộ lọc.

Yêu cầu kĩ thuật cơ bản đối với sản phẩm Phòng, chống tấn công từ chối dịch vụ (Anti-DDoS) năm 2022?

Yêu cầu cơ bản về tài liệu đối với sản phẩm Phòng chống tấn công từ chối dịch vụ như thế nào?

Căn cứ tiểu mục 1 Mục II Quyết định 923/QĐ-BTTTT năm 2022 quy định yêu cầu tài liệu đối với sản phẩm Phòng, chống tấn công từ chối dịch vụ Anti-DDoS gồm các nội dung sau:

- Hướng dẫn triển khai và thiết lập cấu hình;

- Hướng dẫn sử dụng và quản trị.

Một số yêu cầu về kĩ thuật đối với sản phẩm Phòng chống tấn công từ chối dịch vụ như thế nào?

Căn cứ tiểu mục 2 Muc II Quyết định 923/QĐ-BTTTT năm 2022 quy định về yêu cầu về quản trị hệ thống Quản lý vận hành Anti-DDoS cho phép quản lý vận hành đáp ứng các yêu cầu sau:

+ Cho phép thiết lập, thay đổi, áp dụng thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập danh sách kiểm soát truy cập:

+ Cho phép thiết lập thời gian hệ thống thủ công hoặc được cập nhật tự động;

+ Cho phép thay đổi thời gian duy trì phiên kết nối; d) Cho phép đăng xuất tài khoản người dùng mà phiên kết nối còn hiệu lực.

- Quản lý xác thực và phân quyền: Anti-DDoS cho phép quản lý cấu hình tài khoản xác thực và phân quyền người dùng đáp ứng các yêu cầu sau:

+ Hỗ trợ phương thức xác thực bằng tài khoản - mật khẩu;

+ Hỗ trợ phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.

- Yêu cầu về quản lý báo cáo, Anti-DDoS cho phép quản lý báo cáo thông qua giao diện đồ họa đáp ứng các yêu cầu sau:

+ Cho phép tạo mới theo thời gian muốn xuất báo cáo;

+ Cho phép tải về báo cáo theo chu kỳ thời gian.

- Yêu cầu về log 4.1. Log quản trị hệ thống

+ Anti-DDoS cho phép ghi log quản trị hệ thống về các loại sự kiện sau:

* Thay đổi ACL của hệ thống cho từng địa chỉ IP riêng biệt;

* Thay đổi về route/rollback một địa chỉ IP ra khỏi hệ thống;

* Thông tin kết quả lệnh tương tác với bộ định tuyến trên mạng lưới để route/rollback hệ thống.

+ Anti-DDoS cho phép ghi log quản trị hệ thống có các trường thông tin sau:

* Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);

* Định danh của tác nhân thực hiện quản trị hệ thống (ví dụ: tài khoản người dùng, tên hệ thống, ...);

* Định danh của đối tượng tác động (địa chỉ IP bị tác động);

* Thông tin chi tiết về các thay đổi cấu hình hệ thống bởi người quản trị (ví dụ: danh sách ACL bị thay đổi);

* Kết quả thực hiện việc thay đổi cấu hình hệ thống bởi người quản trị

(thành công hoặc thất bại).

- Yêu cầu Định dạng log: Anti-DDoS cho phép chuẩn hóa log theo tối thiểu 01 định dạng đã được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra

log.

- Quản lý log Anti-DDoS cho phép quản lý log đáp ứng các yêu cầu sau:

+ Cho phép tìm kiếm log theo từ khóa theo thời gian và theo đối tượng;

+ Phân chia log thành tối thiểu 02 nhóm:

* Log hành vi tương tác người dùng;

* Log hành vi tương tác của Anti-DDoS với các thiết bị mạng khác.

- Yêu cầu về hiệu năng xử lý: Anti-DDoS được triển khai thỏa mãn cấu hình tối thiểu theo hướng dẫn cài đặt và thiết lập cấu hình của nhà sản xuất phải đảm bảo đáp ứng các yêu cầu sau:

+ Độ trễ khi đi qua bộ lọc Anti-DDoS đảm bảo rằng độ trễ của gói tin được xử lý không vượt quá 03

ms.

+ Thời gian phát hiện tấn công: Đối với các dạng tấn công tại Mục II, khoản 6, Anti-DDoS đảm bảo thời gian phát hiện tấn công tối đa là 03 phút từ lúc có tấn công DDoS xảy ra.

- Băng thông chống tấn công: Anti-DDoS cho phép xử lý các cuộc tấn công DDoS băng thông tối thiểu 1Gbps/01 thiết bị.

- Khả năng chọn lọc lưu lượng tấn công

+ Anti-DDoS đảm bảo khả năng phát hiện và chọn lọc lưu lượng tấn công tối thiểu 80%.

+ Anti-DDoS đảm bảo khả năng bảo vệ lưu lượng sạch tối thiểu 85%.

- Yêu cầu về khả năng bảo vệ Anti-DDoS đảm bảo dịch vụ của khách hàng vẫn hoạt động bình thường trước tối thiểu các loại tấn công DDoS sau bao gồm:

+ Tấn công làm tràn ngập băng thông: UDP reflection (DNS, NTP amplification, SSDP attack, Chargen attack), IP fragment, ICMP flood và các dạng tấn công tương tự;

+ Tấn công cạn kiệt tài nguyên qua giao thức TCP: SYN flood, ACK flood, RST flood, SYN-ACK flood và các dạng tấn công tương tự;

+ Tấn công sử dụng gói tin không hợp lệ: malformed, invalid packet;

+ Tấn công gửi gói tin yêu cầu với tần suất cao, đột ngột;

+ Tấn công qua phân tích hành vi người dùng:HTTP page flood, DNS flood, brute force;

+ Khả năng chặn lọc gói tin theo chính sách sử dụng ALC.

Yêu cầu về cảnh báo

- Cấu hình cảnh báo Anti-DDoS cho phép cấu hình cảnh báo cho người dùng bao gồm:

+ Cho phép cấu hình nội dung gửi cảnh báo qua một trong các cách thức sau: Email/SMS/OTT;

+ Cho phép cấu hình nhiều người nhận trong cùng một thời gian qua Email hay SMS;

+ Cho phép cấu hình chỉ gửi cảnh báo dựa trên các điều kiện mong muốn (ví dụ: mức độ tấn công, địa chỉ IP bị tấn công);

+ Cho phép cấu hình cảnh báo riêng biệt theo các nhóm địa chỉ IP bảo vệ khác nhau;

+ Cho phép cấu hình các ngưỡng phát hiện cảnh báo tấn công theo từng nhóm địa chỉ IP bảo vệ khác nhau.

- Cảnh báo theo thời gian thực Anti-DDoS cho phép tự động cảnh báo tới người dùng theo thời gian thực đối với các loại sự kiện sau.

+ Cảnh báo khi có tấn công DDoS xảy ra;

+ Cảnh báo về tự động xử lý tấn công DDoS;

+ Cảnh báo khi tấn công DDoS kết thúc.

- Yêu cầu về giám sát Anti-DDoS cho phép giám sát và phân tích sự cố tấn công DDoS:

+ Cho phép giám sát thông tin các cuộc tấn công xảy ra theo thời gian thực và tìm kiếm trong các cuộc tấn công đã xảy ra;

+ Cho phép giám sát băng thông theo địa chỉ IP và dải mạng phục vụ phân tích tấn công;

+ Cho phép giám sát theo dõi hiệu quả chặn lọc thông qua lưu lượng bằng thông trước và sau khi đi qua bộ lọc.

- Yêu cầu về tự động hóa Anti-DDoS cho phép quản lý bảo vệ tự động địa chỉ IP bị tấn công được cấu hình trên hệ thống:

+ Cho phép cấu hình kịch bản (điều kiện tự động bảo vệ địa chỉ IP khi phát hiện được tấn công xảy ra;

+ Cho phép tự động tạo ra ACL ngăn chặn tấn công dựa trên đặc điểm tấn công phát hiện được;

+ Cho phép tự động bỏ bảo vệ, trả về điều kiện ban đầu khi phát hiện tấn công đã kết thúc;

+ Thông báo cho người dùng khi địa chỉ IP được tự động bảo vệ.