|
BỘ THÔNG TIN VÀ
TRUYỀN THÔNG
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 176/QĐ-BTTTT
|
Hà Nội, ngày 09
tháng 02 năm 2022
|
QUYẾT ĐỊNH
BAN
HÀNH YÊU CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG MÃ ĐỘC
BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng
11 năm 2015;
Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng
02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ
chức của Bộ Thông tin và Truyền thông;
Theo đề nghị của Cục trưởng Cục An toàn thông
tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết
định này Yêu cầu kỹ thuật cơ bản đối với sản phẩm Phòng, chống mã độc
(Anti-Virus - AV).
Điều 2. Khuyến nghị cơ
quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm AV đáp ứng các
yêu cầu kỹ thuật cơ bản theo Điều 1 Quyết định này.
Điều 3. Cục An toàn thông
tin chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng
các yêu cầu trong Yêu cầu kỹ thuật cơ bản đối với sản phẩm AV tại Điều 1 Quyết
định này.
Điều 4. Quyết định này có
hiệu lực thi hành kể từ ngày ký.
Điều 5. Chánh Văn phòng, Cục
trưởng Cục An toàn thông tin, Thủ trưởng các đơn vị thuộc Bộ, các tổ chức, cá
nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Như Điều 5;
- Bộ trưởng (để b/c);
- Các Thứ trưởng;
- Cổng thông tin điện tử của Bộ;
- Lưu: VT, CATTT.
|
KT. BỘ TRƯỞNG
THỨ TRƯỞNG
Nguyễn Huy Dũng
|
YÊU
CẦU KỸ THUẬT CƠ BẢN
ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG MÃ ĐỘC
(Kèm theo Quyết định số 176/QĐ-BTTTT ngày 09 tháng 02 năm 2022 của Bộ
trưởng Bộ Thông tin và Truyền thông)
I. THÔNG TIN CHUNG
1. Phạm vi áp dụng
Tài liệu này mô tả các yêu cầu kỹ thuật cơ bản đối
với sản phẩm Phòng, chống mã độc (Anti-Malware - AV). Tài liệu bao gồm các nhóm
yêu cầu: Yêu cầu về tài liệu, Yêu cầu về quản trị hệ thống, Yêu cầu về kiểm
soát lỗi, Yêu cầu về log, Yêu cầu về hiệu năng xử lý, Yêu cầu về chức năng tự bảo
vệ, Yêu cầu về chức năng phát hiện và ngăn chặn mã độc.
2. Đối tượng áp dụng
Các cơ quan, tổ chức có liên quan đến hoạt động
nghiên cứu, phát triển, đánh giá, lựa chọn sản phẩm AV khi đưa vào sử dụng
trong các hệ thống thông tin.
3. Khái niệm và thuật ngữ
Trong tài liệu này các khái niệm và thuật ngữ được
hiểu như sau:
3.1. Nhật ký hệ thống (Log)
Sự kiện an toàn thông tin được hệ thống ghi lại,
liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công,
thông tin về các mối đe dọa thu thập được và các thông tin khác liên quan đến
hoạt động của hệ thống (nếu có).
3.2. Mẫu mã độc (Sample)
Tệp tin hoặc đường dẫn URL có hành vi/nội dung độc
hại phục vụ cho quá trình kiểm tra, đánh giá chức năng phát hiện và ngăn chặn
mã độc của AV.
3.3. Loại mã độc lây nhiễm tệp tin (File
Infector)
Loại mã độc thực hiện chèn hoặc ghi đè đoạn mã lệnh
độc hại vào một số dạng tệp tin có phần mở rộng như .exe, .dll, .sys,... để thực
hiện các hành vi độc hại (ví dụ: lấy trộm thông tin, theo dõi hoạt động của hệ
thống, khiến chúng không thể sử dụng được,...).
3.4. Loại mã độc không lây nhiễm tệp tin
(Non-File Infector)
Loại mã độc hành vi lây nhiễm không qua tệp tin.
3.5. Tập mã độc thông thường (Mainstream
Collection)
Tập mã độc đã được các cơ quan, tổ chức công khai
và được cập nhật, duy trì theo thời gian.
3.6. Tập mã độc thử nghiệm (Lab Collection)
Tập mã độc đã được cơ quan, tổ chức nghiên cứu
nhưng không công bố để sử dụng riêng phục vụ cho mục đích của mình.
3.7. Chế độ rà quét thủ công (On-Demand Scanning
Mode)
Chế độ hoạt động của AV dựa trên các tùy chọn được
người dùng thiết lập thủ công và chỉ được kích hoạt theo ý muốn của người dùng.
3.8. Chế độ rà quét tự động (Automatic Scanning
Mode)
Chế độ hoạt động của AV thực hiện theo theo thời
gian thực. Mọi dữ liệu, thông tin liên quan trong bộ nhớ RAM và hệ thống tệp
tin của máy trạm được bảo vệ và tự động cảnh báo theo thời gian thực khi phát
hiện có mã độc.
II. YÊU CẦU CƠ BẢN
1. Yêu cầu về tài liệu
AV có tài liệu bao gồm các nội dung sau:
a) Hướng dẫn triển khai và thiết lập cấu hình;
b) Hướng dẫn sử dụng và quản trị.
2. Yêu cầu về quản trị hệ thống
2.1. Quản lý vận hành
AV cho phép quản lý vận hành đáp ứng các yêu cầu
sau:
a) Cho phép thiết lập, thay đổi, áp dụng và hoàn
tác sự thay đổi trong cấu hình hệ thống;
b) Cho phép tìm kiếm dữ liệu log bằng từ khóa để
xem lại.
2.2. Cập nhật cơ sở dữ liệu mã độc và các thành phần
tích hợp
AV cho phép cập nhật cơ sở dữ liệu mã độc và các
thành phần tích hợp của AV đáp ứng các yêu cầu sau:
a) Cho phép tự động thông báo có bản cập nhật mới
cho người dùng;
b) Cho phép tải về trực tuyến và áp dụng bản cập nhật
mới theo cả 02 cách thức: tự động và thủ công;
c) Cho phép cập nhật theo cả 02 cách thức: trực tuyến
và ngoại tuyến.
2.3. Quản lý báo cáo
AV cho phép quản lý báo cáo thông qua giao diện đồ
họa đáp ứng các yêu cầu sau:
a) Cho phép hiển thị các báo cáo kết quả rà quét,
các thống kê về tình hình phát hiện và xử lý mã độc trên thiết bị được bảo vệ;
b) Cho phép áp dụng các quy tắc lọc hiển thị dữ liệu
thống kê tối thiểu theo 04 cách thức: từ khóa, thời gian, loại mã độc, mức độ
nguy hiểm của mã độc.
2.4. Chia sẻ dữ liệu
AV cho phép kết nối, chia sẻ dữ liệu với hệ thống kỹ
thuật của cơ quan chức năng có thẩm quyền theo hướng dẫn tại Văn bản số
2290/BTTTT-CATTT ngày 17/07/2018 của Cục An toàn thông tin và các hướng dẫn
khác liên quan của Bộ Thông tin và Truyền thông.
3. Yêu cầu về kiểm soát lỗi
3.1. Bảo vệ cấu hình
Trong trường hợp AV phải khởi động lại do có lỗi
phát sinh (ngoại trừ lỗi phần cứng), AV đảm bảo cấu hình hệ thống đang được áp
dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp.
3.2. Đồng bộ thời gian hệ thống
Trong trường hợp AV phải khởi động lại do có lỗi
phát sinh (ngoại trừ lỗi phần cứng), AV đảm bảo thời gian hệ thống phải được đồng
bộ tự động đến thời điểm hiện tại.
4. Yêu cầu về log
4.1. Log quản trị hệ thống
a) AV cho phép ghi log quản trị hệ thống về các loại
sự kiện sau:
i) Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ
thống;
ii) Kích hoạt lệnh khởi động lại, tắt hệ thống;
b) AV cho phép ghi log quản trị hệ thống có các trường
thông tin sau:
i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ,
phút và giây);
ii) Địa chỉ IP hoặc định danh của máy trạm;
iii) Định danh của tác nhân (ví dụ: tài khoản người
dùng, tên hệ thống,..
iv) Thông tin về hành vi thực hiện (ví dụ: thêm, sửa,
xóa, cập nhật, hoàn tác,...);
v) Kết quả thực hiện hành vi (thành công hoặc thất
bại);
vi) Lý do giải trình đối với hành vi thất bại (ví dụ:
không tìm thấy tài nguyên, không đủ quyền truy cập,...).
4.2. Log chức năng phát hiện và ngăn chặn mã độc
a) AV cho phép ghi log tất cả các sự kiện về mã độc
phát hiện được trong các quá trình rà quét thủ công hoặc tự động.
b) AV cho phép ghi log chức năng phát hiện và ngăn
chặn mã độc có các trường thông tin sau:
i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ,
phút và giây);
ii) Đường dẫn đến vị trí mã độc phát hiện được;
iii) Mô tả của mã độc phát hiện được;
iv) Phân loại của mã độc phát hiện được;
vi) Hành động kiểm soát mã độc đã được áp dụng
(tham chiếu theo các hành động được đưa ra tại Mục 7.2.b).
4.3. Định dạng log
AV cho phép chuẩn hóa log theo tối thiểu 01 định dạng
được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân
tích, điều tra log.
4.4. Quản lý log
AV cho phép quản lý log đáp ứng các yêu cầu sau:
a) Cho phép tìm kiếm log theo từ khóa trên tất cả
các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);
b) Cho phép xuất dữ liệu log ra để phục vụ cho việc
tích hợp các dữ liệu này vào các giải pháp về quản lý, phân tích, điều tra log.
5. Yêu cầu về hiệu năng xử lý
AV được triển khai thỏa mãn cấu hình tối thiểu theo
hướng dẫn cài đặt và thiết lập cấu hình của nhà sản xuất phải đảm bảo đáp ứng
các yêu cầu sau:
5.1. Đối với chế độ rà quét thủ công
Xét trong môi trường kiểm thử và với chế độ rà quét
thủ công đáp ứng yêu cầu tại mục 7.1, AV phải đảm bảo hiệu
suất khả năng phát hiện mã độc đáp ứng các yêu cầu sau:
a) Phát hiện 100% mẫu mã độc dạng lây nhiễm tệp tin
trong 1000 mẫu mã độc được lấy ngẫu nhiên từ các nguồn công khai;
b) Phát hiện tối thiểu 92% mẫu mã độc dạng không
lây nhiễm tệp tin trong 1000 mẫu mã độc được lấy ngẫu nhiên từ các nguồn công
khai.
5.2. Đối với chế độ rà quét tự động
Xét trong môi trường kiểm thử và với chế độ rà quét
tự động đáp ứng yêu cầu tại mục 7.1, AV phải đảm bảo hiệu suất
khả năng phát hiện mã độc đáp ứng các yêu cầu sau:
a) Phát hiện 100% mẫu mã độc dạng lây nhiễm tệp tin
trong 1000 mẫu mã độc được lấy ngẫu nhiên từ các nguồn công khai;
b) Phát hiện tối thiểu 92% mẫu mã độc dạng không
lây nhiễm tệp tin trong 1000 mẫu mã độc được lấy ngẫu nhiên từ các nguồn công
khai;
c) Phát hiện tối thiểu 90% mẫu mã độc trong 100 mẫu
mã độc được tùy biến bởi đơn vị đánh giá.
6. Yêu cầu về chức năng tự bảo
vệ
6.1. Phát hiện và ngăn chặn tấn công hệ thống
a) Khi được triển khai trên nền tảng Windows, AV có
khả năng tự bảo vệ, ngăn chặn tối thiểu 04 hành vi tấn công sau của mã độc vào
chính AV:
i) Lây nhiễm vào các tệp tin, thư mục, tiến trình của
AV;
ii) Sửa đổi các registry key, service, driver của
AV;
iii) Xóa bỏ các tệp tin, thư mục, registry key,
service, driver của AV;
iv) Dừng các tiến trình của AV.
b) Khi được triển khai trên nền tảng Linux, AV có
khả năng tự bảo vệ, ngăn chặn tối thiểu 03 hành vi tấn công sau của mã độc vào
chính AV:
i) Lây nhiễm vào các tệp tin, thư mục, tiến trình của
AV;
ii) Xóa bỏ các tệp tin, thư mục của AV;
iii) Dừng các tiến trình của AV.
6.2. Cập nhật bản vá hệ thống
AV có chức năng cho phép cập nhật thủ công hoặc tự
động bản vá để xử lý các điểm yếu, lỗ hổng bảo mật tồn tại trên chính AV.
7. Yêu cầu về chức năng phát hiện
và ngăn chặn mã độc
7.1. Chế độ hoạt động
AV cho phép thực thi các chế độ hoạt động đáp ứng
các yêu cầu sau:
a) Cho phép bật/tắt chế độ rà quét theo thời gian
thực;
b) Cho phép thiết lập các tùy chọn đối với chế độ
rà quét theo yêu cầu bao gồm: chọn kiểu rà quét, nhập đường dẫn đến thư mục cần
rà quét, chọn hành động được áp dụng tự động khi phát hiện có mã độc trong quá trình
rà quét, lên lịch rà quét;
c) Cho phép thực thi, tạm dừng, dừng hẳn quá trình
rà quét theo yêu cầu dựa trên các tùy chọn đã được thiết lập bởi người dùng;
d) Cho phép chỉ định đường dẫn tệp tin, thư mục được
loại trừ khỏi các quá trình rà quét.
7.2. Kiểm soát mã độc
a) AV cho phép ngăn chặn quá trình thực thi và tự
nhân bản của mã độc phát hiện được thông qua việc tạm ngừng (suspend) hoặc dừng
hẳn (terminate) các tiến trình độc hại của nó.
b) AV cho phép áp dụng tự động và thủ công tối thiểu
01 trong 05 hành động sau đối với việc phát hiện có tệp tin đã nhiễm mã độc:
i) Sinh cảnh báo (notify);
ii) Di chuyển tệp tin vào môi trường cách ly
(quarantine);
iii) Làm sạch tệp tin mà không xóa bỏ (clean);
iv) Xóa bỏ hoàn toàn tệp tin (delete);
v) Khôi phục tệp tin từ môi trường cách ly
(restore).
7.3. Gỡ bỏ mã độc một cách an toàn
AV có khả năng gỡ bỏ mã độc ra khỏi hệ thống máy trạm
được bảo vệ đảm bảo không làm hỏng các tệp tin bị nhiễm (tức là tệp tin vẫn có
thể hoạt động bình thường như lúc chưa bị nhiễm mã độc), đặc biệt là đối với những
tệp tin của hệ điều hành.
