- Bộ Thông tin và Truyền thông vừa ban hành quyết định số 724/QĐ-BTTTT ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát.
Tài liệu này đưa ra và khuyến nghị áp dụng các yêu cầu kỹ thuật an toàn thông tin mạng cơ bản cho thiết bị camera giám sát sử dụng giao thức mạng (gọi tắt là thiết bị camera). Khuyến nghị áp dụng đối với các tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến hoạt động nghiên cứu, phát triển, sản xuất, đánh giá, lựa chọn và sử dụng thiết bị camera.
Theo đó, Bộ tiêu chí yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát phải đáp ứng các yêu cầu cơ bản về: tài liệu; quản lý xác thực; quản lý lỗ hổng bảo mật; quản lý và thực hiện cập nhật; quản lý phiên an toàn; quản lý kênh giao tiếp; quản lý giao diện; bảo đảm an toàn thông tin dữ liệu người sử dụng; An toàn ứng dụng và khả năng tự khôi phục lại hệ thống bình thường sau sự cố.
Theo Bộ tiêu chí này, mật khẩu khởi tạo mặc định trên thiết bị camera và các dịch vụ liên kết (nếu có) phải đáp ứng các yêu cầu: Có độ dài tối thiểu 8 ký tự, có chữ hoa, chữ thường, chữ số, ký tự đặc biệt; Cơ chế khởi tạo mật khẩu sử dụng phương pháp sinh mã có giá trị ngẫu nhiên; Cơ chế khởi tạo mật khẩu không dùng các thông tin công khai (ví dụ: địa chỉ MAC; chuỗi định danh Wifi SSID; tên sản phẩm; loại sản phẩm;...); Là khác nhau đối với mỗi thiết bị camera khác nhau.
Ảnh minh họa |
Các camera giám sát phải có tài liệu hướng dẫn sử dụng sản phẩm cho người sử dụng. Để đảm bảo an toàn thông tin cho người dùng, camera giám sát phải có tính năng quản lý xác thực bao gồm phòng chống tấn công vét cạn và quản lý mật khẩu an toàn.
Cụ thể, camera cần có chức năng quản trị hệ thống cho phép thay đổi thời gian khóa, số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục. Chỉ thông tin cho người sử dụng nội dung đăng nhập thành công/thất bại mà không có nội dung khác làm cơ sở thực hiện tấn công vét cạn. Đồng thời có chức năng kiểm soát mật khẩu an toàn và khác nhau đối với mỗi thiết bị camera, đồng thời có chức năng xác thực nhiều loại đối tượng khác nhau như người dùng hoặc thiết bị.
Giao diện của thiết bị camera cho phép kết nối, quản trị thiết bị camera thông qua kết nối mạng; giao diện vật lý của thiết bị camera được sử dụng để truy cập vào các chức năng của thiết bị thông qua kết nối mạng; cổng vật lý hoặc giao diện kết nối vô tuyến của thiết bị camera cho phép giao tiếp với thiết bị camera thông qua kết nối vật lý. Ví dụ: Cổng Ethernet; cổng USB; Wifi...
Thiết bị camera, ứng dụng giao tiếp với người sử dụng có chức năng lựa chọn timeout cho phép tự động đăng xuất ứng dụng sau một khoảng thời gian và tạo khóa phiên an toàn.Bộ tiêu chí cũng yêu cầu thiết bị camera phải có các tính năng: Kiểm tra tính hợp lệ của dữ liệu đầu vào do người sử dụng nhập hoặc qua giao diện lập trình; Ngăn chặn quá trình xử lý dữ liệu đầu vào vi phạm điều kiện lọc đã định nghĩa trước theo nhà sản xuất; Kiểm tra tính hợp lệ của dữ liệu để ngăn chặn các dạng tấn công vào giao diện của thiết bị. Các dạng tấn công bao gồm nhưng không giới hạn những dạng sau: SQL Injection; OS Command Injection; XPath Injection; Remote File Inclusion (RFI); Local File Inclusion (LFI); Cross-Site Scripting (XSS); CrossSite Request Forgery (CSRF).
Bộ tiêu chí cũng đưa ra yêu cầu về khả năng tự khôi phục lại hệ thống bình thường sau sự cố. Theo đó, trong trường hợp thiết bị phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), thiết bị đảm bảo hoạt động bình thường trong lần khởi động kế tiếp.
Phạm Lê