(028) 3930 3279
Hỗ trợ trực tuyến
0906 22 99 66
Tiêu chuẩn quốc gia TCVN 14179:2024 các biện pháp an toàn thông tin chung cho hệ thống ETC ra sao?
Tiêu chuẩn quốc gia TCVN 14179:2024 các biện pháp an toàn thông tin chung cho hệ thống ETC ra sao?
Tiêu chuẩn quốc gia TCVN 14179:2024 quy định các yêu cầu cơ bản và biện pháp bảo đảm an toàn thông tin cho các hệ thống thu phí điện tử và các bên có liên quan[1] trong mô hình kiến trúc hệ thống thu phí điện tử không dừng sử dụng công nghệ RFID với thẻ thụ động tại Việt Nam.
Tại tiểu mục 6.1 Mục 6 Tiêu chuẩn quốc gia TCVN 14179:2024 về các biện pháp an toàn thông tin chung cho hệ thống ETC như sau:
Tiêu chuẩn quốc gia TCVN 14179:2024 cung cấp các biện pháp để giải quyết các rủi ro cụ thể tiềm ẩn của hệ thống thu phí không dừng bằng cách xác định các yêu cầu và các biện pháp an toàn thông tin để bảo vệ cho các giao diện kết nối, các thành phần trong hệ thống.
- Các nguyên tắc bảo đảm an toàn thông tin khi trao đổi dữ liệu, bao gồm:
+ Sử dụng các kênh truyền thông với sự khả dụng tin cậy.
+ Đảm bảo tính bí mật dữ liệu.
+ Đảm bảo đảm bảo tính toàn vẹn dữ liệu.
+ Đảm bảo sự xác thực nguồn gốc dữ liệu.
+ Đảm bảo tính không thoái thác với bằng chứng về nguồn gốc dữ liệu.
+ Đảm bảo tính không thoái thác với bằng chứng về việc phân phát dữ liệu.
+ Thực hiện xác thực đối với trao đổi dữ liệu tương ứng giữa các thực thể.
+ Sử dụng giải pháp cho phép phát hiện các bản tin bất thường nhằm bảo vệ chống lại các tấn công phát lặp.
- Các biện pháp an toàn thông tin chung đối với Hệ thống ETC được liệt kê trong bảng sau:
Bảng 4. Các biện pháp an toàn thông tin chung đối với hệ thống ETC
TT | Biện pháp |
1 | Đơn vị quản lý thu phí và Nhà cung cấp dịch vụ thu phí tuân thủ quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. |
2 | Đơn vị quản lý thu phí, Nhà cung cấp dịch vụ thu phí quy định rõ quyền và trách nhiệm của Nhà cung cấp dịch vụ đối với việc xử lý dữ liệu cá nhân của người dùng trong hợp đồng cung cấp dịch vụ. |
3 | Nhà cung cấp dịch vụ thu phí thiết lập một quy trình kiểm soát chất lượng để bảo trì hoặc trao đổi thẻ RFID hoạt động kém trong một khung thời gian đã thỏa thuận. |
- Các biện pháp an toàn thông tin chung đối với các kết nối như trong bảng sau:
Bảng 5. Các biện pháp an toàn thông tin chung đối với các kết nối
TT | Biện pháp |
1 | Nhà cung cấp dịch vụ mạng cung cấp các kết nối theo các mức dịch vụ đã được thỏa thuận và các thủ tục giám sát được áp dụng để có thể để phát hiện bất kỳ hành vi không tuân thủ nào của Nhà cung cấp dịch vụ mạng. |
2 | Đơn vị quản lý thu phí và Nhà cung cấp dịch vụ thu phí thống nhất về các giao diện và thủ tục xác định để truy cập vào dữ liệu được lưu trữ. |
3 | Đơn vị quản lý thu phí và Nhà cung cấp dịch vụ thu phí chỉ cho phép truy cập vào dữ liệu được lưu trữ cho một thực thể được ủy quyền và xác thực. |
4 | Các biện pháp an toàn thông tin hoặc kiểm soát an toàn thông tin cần được thực hiện. Các biện pháp an toàn thông tin hoặc kiểm soát an toàn thông tin được xác định theo tiêu chuẩn TCVN ISO/IEC 27002:2020 hoặc tương đương được sử dụng. |
5 | Đơn vị quản lý thu phí và Nhà cung cấp dịch vụ thu phí thống nhất một thỏa thuận mức dịch vụ xác định mục tiêu chất lượng và thời gian đáp ứng. |
6 | Một hệ thống quản lý an toàn thông tin (ISMS) được thực hiện. Khuyến nghị sử dụng ISMS theo TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) hoặc tương đương. |
7 | Bằng chứng xác thực gốc được lưu trữ cùng với dữ liệu đã thu nhận. |
8 | Bằng chứng xác thực cung cấp (hoặc cấp phát) được lưu trữ cùng với dữ liệu đã cung cấp (hoặc cấp phát). |
Tiêu chuẩn quốc gia TCVN 14179:2024 các biện pháp an toàn thông tin chung cho hệ thống ETC ra sao? (Hình ảnh Internet)
Biện pháp bảo đảm an toàn hạ tầng CNTT tại nhà điều hành trạm như thế nào?
Tại tiết 6.4.2 tiểu mục 6.4 Mục 6 Tiêu chuẩn quốc gia TCVN 14179:2024 về biện pháp bảo đảm an toàn hạ tầng CNTT tại nhà điều hành trạm như sau:
- Hạ tầng CNTT tại nhà điều hành trạm thu phí bao gồm các hệ thống thành phần quan trọng trong hệ thống ETC. Các biện pháp an toàn thông tin đối với các hạ tầng này đáp ứng mức độ yêu cầu tương ứng với cấp an toàn thông tin của hệ thống ETC tuân thủ TCVN 11930:2017. Cụ thể như được quy định trong 6.5 Tiêu chuẩn quốc gia TCVN 14179:2024.
Biện pháp bảo mật kết nối giữa thẻ RFID và thiết bị đầu đọc thẻ ra sao?
Tại tiểu mục 6.3 Mục 6 Tiêu chuẩn quốc gia TCVN 14179:2024 về biện pháp bảo mật kết nối giữa thẻ RFID và thiết bị đầu đọc thẻ như sau:
(1) Biện pháp mật mã hóa dữ liệu trên giao diện vô tuyến
Hệ thống thu phí điện tử không dừng công nghệ RFID sử dụng giao thức theo tiêu chuẩn ISO/IEC 18000-63 để truyền thông ở giao diện vô tuyến kết nối giữa thẻ và đầu đọc thẻ. Để bảo mật ở giao diện vô tuyến giữa thẻ và đầu đọc phải thực hiện cơ chế mật mã hóa.
Bảng 8. Các biện pháp mật mã hóa dữ liệu trên giao diện vô tuyến
TT | Biện pháp |
I | Các thủ tục mật mã hóa cung cấp bảo vệ chống lại các tấn công nghe lén, nhân bản, ghi, biến đổi, đọc dữ liệu bằng cách: |
1. | Xác thực tương hỗ giữa thẻ và đầu đọc[8]. |
2. | Mật mã hóa dữ liệu truyền tải giữa thẻ và đầu đọc. |
3. | Sử dụng các biện pháp đối phó với phần mềm (các khóa nhận được, sử dụng các khóa phiên, cập nhật khóa định kỳ). |
II | Các cơ chế mật mã được sử dụng trong giao thức ISO/IEC 18000-63 gồm: |
1. | Bộ tạo số giả ngẫu nhiên 16 bít, mã dư thừa mã vòng 16 bít. |
2. | Hai mã PIN 32 bít; lệnh KILL và Access (sử dụng toán từ XOR với mật khẩu), được sử dụng để điều khiển các trạng thái khóa bộ nhớ và các tác vụ KILL thẻ. |
3. | KILLING hoặc hủy thẻ (để đảm bảo tính riêng tư). |
4. | Không nguyên thủy mật mã (các hàm băm, mật mã). |
(2) Biện pháp mật mã Bản tin thông tin định danh thẻ
Theo tiêu chuẩn ISO/IEC 29167-1, giao thức khóa công khai cho việc xác thực và định danh thẻ được phát triển và hiện được tiêu chuẩn hóa bởi ISO/IEC 29176-19. Sử dụng giao thức khoá công khai theo ISO/IEC 29167-1 bổ trợ cho khả năng bảo đảm an toàn thông tin của tiêu chuẩn ISO/IEC 18000-63. Giao thức này bao gồm việc thực hiện mật mã bản tin bởi thẻ bao gồm thông tin định danh thẻ. Để ngăn chặn các tấn công đánh chặn (tấn công xen giữa), các số ngẫu nhiên xuất phát từ cả đầu đọc và thẻ FRID.
(3) Biện pháp kiểm thử và chứng thực giao diện
Việc đưa ra các đặc tả kiểm thử dựa trên giao diện và thực hiện các kiểm thử trên tất cả các thành phần để đảm bảo sự tương thích giữa các thành phần của hệ thống.
Bảng 9. Các biện pháp kiểm thử và chứng thực giao diện
TT | Biện pháp |
1 | Áp dụng các quy định kiểm thử và chứng thực giao diện không tiếp xúc được định nghĩa theo tiêu chuẩn ISO/IEC 18000-63. |
2 | Xây dựng và áp dụng quy định kiểm thử cho các chức năng của giao diện giữa thẻ và đầu đọc thẻ. |
3 | Xây dựng và áp dụng quy định kiểm thử đối với các giao thức, chức năng của kết nối giữa các thành phần còn lại của hệ thống. |
(4) Biện pháp an toàn thông tin truyền dẫn giữa thẻ RFID và đầu đọc thẻ
Bảng 10. Các biện pháp an toàn thông tin truyền dẫn giữa thẻ RFID và đầu đọc thẻ
TT | Biện pháp |
1 | Các nhân viên và người ra vào phòng hệ thống không được phép mang các thiết bị có thể sử dụng để tấn công từ chối dịch vụ (DoS). |
2 | Vị trí lắp đặt đầu đọc thẻ phải được khảo sát và nghiên cứu để đảm bảo việc chống nhiễu tốt. |
3 | Có thể trang bị các thiết bị phát hiện điện từ trường để phát hiện các thiết bị gây nhiễu tạm thời và các tấn công DoS. |
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Mẫu Đơn yêu cầu hủy hợp đồng mua bán nhà ở gửi Tòa án? Hướng dẫn cách viết đơn yêu cầu hủy hợp đồng mua bán nhà ở?
- Chức năng của Kho bạc Nhà nước hiện nay là gì? Kho bạc Nhà nước tại địa phương được tổ chức ra sao?
- Trạng từ là gì? Các loại trạng từ trong Tiếng Việt? Vị trí của trạng từ trong câu? Chương trình giáo dục phổ thông phải bảo đảm yêu cầu gì?
- Cơ sở bảo tồn đa dạng sinh học là gì? Quy trình kỹ thuật kiểm kê loài trong cơ sở bảo tồn đa dạng sinh học?
- Cụm động từ trong tiếng Việt là gì? Ví dụ về cụm đồng từ trong tiếng Việt là gì? Yêu cầu về nội dung giáo dục phổ thông ở cấp trung học cơ sở?