QUYẾT ĐỊNH

BAN HÀNH YÊU CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG MÃ ĐỘC

BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Theo đề nghị của Cục trưởng Cục An toàn thông tin.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Yêu cầu kỹ thuật cơ bản đối với sản phẩm Phòng, chống mã độc (Anti-Virus - AV).

Điều 2. Khuyến nghị cơ quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm AV đáp ứng các yêu cầu kỹ thuật cơ bản theo Điều 1 Quyết định này.

Điều 3. Cục An toàn thông tin chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng các yêu cầu trong Yêu cầu kỹ thuật cơ bản đối với sản phẩm AV tại Điều 1 Quyết định này.

Điều 4. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 5. Chánh Văn phòng, Cục trưởng Cục An toàn thông tin, Thủ trưởng các đơn vị thuộc Bộ, các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

YÊU CẦU KỸ THUẬT CƠ BẢN
ĐỐI VỚI SẢN PHẨM PHÒNG, CHỐNG MÃ ĐỘC
(Kèm theo Quyết định số 176/QĐ-BTTTT ngày 09 tháng 02 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông)

I. THÔNG TIN CHUNG

1. Phạm vi áp dụng

Tài liệu này mô tả các yêu cầu kỹ thuật cơ bản đối với sản phẩm Phòng, chống mã độc (Anti-Malware - AV). Tài liệu bao gồm các nhóm yêu cầu: Yêu cầu về tài liệu, Yêu cầu về quản trị hệ thống, Yêu cầu về kiểm soát lỗi, Yêu cầu về log, Yêu cầu về hiệu năng xử lý, Yêu cầu về chức năng tự bảo vệ, Yêu cầu về chức năng phát hiện và ngăn chặn mã độc.

2. Đối tượng áp dụng

Các cơ quan, tổ chức có liên quan đến hoạt động nghiên cứu, phát triển, đánh giá, lựa chọn sản phẩm AV khi đưa vào sử dụng trong các hệ thống thông tin.

3. Khái niệm và thuật ngữ

Trong tài liệu này các khái niệm và thuật ngữ được hiểu như sau:

3.1. Nhật ký hệ thống (Log)

Sự kiện an toàn thông tin được hệ thống ghi lại, liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công, thông tin về các mối đe dọa thu thập được và các thông tin khác liên quan đến hoạt động của hệ thống (nếu có).

3.2. Mẫu mã độc (Sample)

Tệp tin hoặc đường dẫn URL có hành vi/nội dung độc hại phục vụ cho quá trình kiểm tra, đánh giá chức năng phát hiện và ngăn chặn mã độc của AV.

3.3. Loại mã độc lây nhiễm tệp tin (File Infector)

Loại mã độc thực hiện chèn hoặc ghi đè đoạn mã lệnh độc hại vào một số dạng tệp tin có phần mở rộng như .exe, .dll, .sys,... để thực hiện các hành vi độc hại (ví dụ: lấy trộm thông tin, theo dõi hoạt động của hệ thống, khiến chúng không thể sử dụng được,...).

3.4. Loại mã độc không lây nhiễm tệp tin (Non-File Infector)

Loại mã độc hành vi lây nhiễm không qua tệp tin.

3.5. Tập mã độc thông thường (Mainstream Collection)

Tập mã độc đã được các cơ quan, tổ chức công khai và được cập nhật, duy trì theo thời gian.

3.6. Tập mã độc thử nghiệm (Lab Collection)

Tập mã độc đã được cơ quan, tổ chức nghiên cứu nhưng không công bố để sử dụng riêng phục vụ cho mục đích của mình.

3.7. Chế độ rà quét thủ công (On-Demand Scanning Mode)

Chế độ hoạt động của AV dựa trên các tùy chọn được người dùng thiết lập thủ công và chỉ được kích hoạt theo ý muốn của người dùng.

3.8. Chế độ rà quét tự động (Automatic Scanning Mode)

Chế độ hoạt động của AV thực hiện theo theo thời gian thực. Mọi dữ liệu, thông tin liên quan trong bộ nhớ RAM và hệ thống tệp tin của máy trạm được bảo vệ và tự động cảnh báo theo thời gian thực khi phát hiện có mã độc.

II. YÊU CẦU CƠ BẢN

1. Yêu cầu về tài liệu

AV có tài liệu bao gồm các nội dung sau:

a) Hướng dẫn triển khai và thiết lập cấu hình;

b) Hướng dẫn sử dụng và quản trị.

2. Yêu cầu về quản trị hệ thống

2.1. Quản lý vận hành

AV cho phép quản lý vận hành đáp ứng các yêu cầu sau:

a) Cho phép thiết lập, thay đổi, áp dụng và hoàn tác sự thay đổi trong cấu hình hệ thống;

b) Cho phép tìm kiếm dữ liệu log bằng từ khóa để xem lại.

2.2. Cập nhật cơ sở dữ liệu mã độc và các thành phần tích hợp

AV cho phép cập nhật cơ sở dữ liệu mã độc và các thành phần tích hợp của AV đáp ứng các yêu cầu sau:

a) Cho phép tự động thông báo có bản cập nhật mới cho người dùng;

b) Cho phép tải về trực tuyến và áp dụng bản cập nhật mới theo cả 02 cách thức: tự động và thủ công;

c) Cho phép cập nhật theo cả 02 cách thức: trực tuyến và ngoại tuyến.

2.3. Quản lý báo cáo

AV cho phép quản lý báo cáo thông qua giao diện đồ họa đáp ứng các yêu cầu sau:

a) Cho phép hiển thị các báo cáo kết quả rà quét, các thống kê về tình hình phát hiện và xử lý mã độc trên thiết bị được bảo vệ;

b) Cho phép áp dụng các quy tắc lọc hiển thị dữ liệu thống kê tối thiểu theo 04 cách thức: từ khóa, thời gian, loại mã độc, mức độ nguy hiểm của mã độc.

2.4. Chia sẻ dữ liệu

AV cho phép kết nối, chia sẻ dữ liệu với hệ thống kỹ thuật của cơ quan chức năng có thẩm quyền theo hướng dẫn tại Văn bản số 2290/BTTTT-CATTT ngày 17/07/2018 của Cục An toàn thông tin và các hướng dẫn khác liên quan của Bộ Thông tin và Truyền thông.

3. Yêu cầu về kiểm soát lỗi

3.1. Bảo vệ cấu hình

Trong trường hợp AV phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), AV đảm bảo cấu hình hệ thống đang được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp.

3.2. Đồng bộ thời gian hệ thống

Trong trường hợp AV phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), AV đảm bảo thời gian hệ thống phải được đồng bộ tự động đến thời điểm hiện tại.

4. Yêu cầu về log

4.1. Log quản trị hệ thống

a) AV cho phép ghi log quản trị hệ thống về các loại sự kiện sau:

i) Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ thống;

ii) Kích hoạt lệnh khởi động lại, tắt hệ thống;

b) AV cho phép ghi log quản trị hệ thống có các trường thông tin sau:

i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);

ii) Địa chỉ IP hoặc định danh của máy trạm;

iii) Định danh của tác nhân (ví dụ: tài khoản người dùng, tên hệ thống,..

iv) Thông tin về hành vi thực hiện (ví dụ: thêm, sửa, xóa, cập nhật, hoàn tác,...);

v) Kết quả thực hiện hành vi (thành công hoặc thất bại);

vi) Lý do giải trình đối với hành vi thất bại (ví dụ: không tìm thấy tài nguyên, không đủ quyền truy cập,...).

4.2. Log chức năng phát hiện và ngăn chặn mã độc

a) AV cho phép ghi log tất cả các sự kiện về mã độc phát hiện được trong các quá trình rà quét thủ công hoặc tự động.

b) AV cho phép ghi log chức năng phát hiện và ngăn chặn mã độc có các trường thông tin sau:

i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);

ii) Đường dẫn đến vị trí mã độc phát hiện được;

iii) Mô tả của mã độc phát hiện được;

iv) Phân loại của mã độc phát hiện được;

vi) Hành động kiểm soát mã độc đã được áp dụng (tham chiếu theo các hành động được đưa ra tại Mục 7.2.b).

4.3. Định dạng log

AV cho phép chuẩn hóa log theo tối thiểu 01 định dạng được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.

4.4. Quản lý log

AV cho phép quản lý log đáp ứng các yêu cầu sau:

a) Cho phép tìm kiếm log theo từ khóa trên tất cả các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);

b) Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào các giải pháp về quản lý, phân tích, điều tra log.

5. Yêu cầu về hiệu năng xử lý

AV được triển khai thỏa mãn cấu hình tối thiểu theo hướng dẫn cài đặt và thiết lập cấu hình của nhà sản xuất phải đảm bảo đáp ứng các yêu cầu sau:

5.1. Đối với chế độ rà quét thủ công

Xét trong môi trường kiểm thử và với chế độ rà quét thủ công đáp ứng yêu cầu tại mục 7.1, AV phải đảm bảo hiệu suất khả năng phát hiện mã độc đáp ứng các yêu cầu sau:

a) Phát hiện 100% mẫu mã độc dạng lây nhiễm tệp tin trong 1000 mẫu mã độc được lấy ngẫu nhiên từ các nguồn công khai;

b) Phát hiện tối thiểu 92% mẫu mã độc dạng không lây nhiễm tệp tin trong 1000 mẫu mã độc được lấy ngẫu nhiên từ các nguồn công khai.

5.2. Đối với chế độ rà quét tự động

Xét trong môi trường kiểm thử và với chế độ rà quét tự động đáp ứng yêu cầu tại mục 7.1, AV phải đảm bảo hiệu suất khả năng phát hiện mã độc đáp ứng các yêu cầu sau:

a) Phát hiện 100% mẫu mã độc dạng lây nhiễm tệp tin trong 1000 mẫu mã độc được lấy ngẫu nhiên từ các nguồn công khai;

b) Phát hiện tối thiểu 92% mẫu mã độc dạng không lây nhiễm tệp tin trong 1000 mẫu mã độc được lấy ngẫu nhiên từ các nguồn công khai;

c) Phát hiện tối thiểu 90% mẫu mã độc trong 100 mẫu mã độc được tùy biến bởi đơn vị đánh giá.

6. Yêu cầu về chức năng tự bảo vệ

6.1. Phát hiện và ngăn chặn tấn công hệ thống

a) Khi được triển khai trên nền tảng Windows, AV có khả năng tự bảo vệ, ngăn chặn tối thiểu 04 hành vi tấn công sau của mã độc vào chính AV:

i) Lây nhiễm vào các tệp tin, thư mục, tiến trình của AV;

ii) Sửa đổi các registry key, service, driver của AV;

iii) Xóa bỏ các tệp tin, thư mục, registry key, service, driver của AV;

iv) Dừng các tiến trình của AV.

b) Khi được triển khai trên nền tảng Linux, AV có khả năng tự bảo vệ, ngăn chặn tối thiểu 03 hành vi tấn công sau của mã độc vào chính AV:

i) Lây nhiễm vào các tệp tin, thư mục, tiến trình của AV;

ii) Xóa bỏ các tệp tin, thư mục của AV;

iii) Dừng các tiến trình của AV.

6.2. Cập nhật bản vá hệ thống

AV có chức năng cho phép cập nhật thủ công hoặc tự động bản vá để xử lý các điểm yếu, lỗ hổng bảo mật tồn tại trên chính AV.

7. Yêu cầu về chức năng phát hiện và ngăn chặn mã độc

7.1. Chế độ hoạt động

AV cho phép thực thi các chế độ hoạt động đáp ứng các yêu cầu sau:

a) Cho phép bật/tắt chế độ rà quét theo thời gian thực;

b) Cho phép thiết lập các tùy chọn đối với chế độ rà quét theo yêu cầu bao gồm: chọn kiểu rà quét, nhập đường dẫn đến thư mục cần rà quét, chọn hành động được áp dụng tự động khi phát hiện có mã độc trong quá trình rà quét, lên lịch rà quét;

c) Cho phép thực thi, tạm dừng, dừng hẳn quá trình rà quét theo yêu cầu dựa trên các tùy chọn đã được thiết lập bởi người dùng;

d) Cho phép chỉ định đường dẫn tệp tin, thư mục được loại trừ khỏi các quá trình rà quét.

7.2. Kiểm soát mã độc

a) AV cho phép ngăn chặn quá trình thực thi và tự nhân bản của mã độc phát hiện được thông qua việc tạm ngừng (suspend) hoặc dừng hẳn (terminate) các tiến trình độc hại của nó.

b) AV cho phép áp dụng tự động và thủ công tối thiểu 01 trong 05 hành động sau đối với việc phát hiện có tệp tin đã nhiễm mã độc:

i) Sinh cảnh báo (notify);

ii) Di chuyển tệp tin vào môi trường cách ly (quarantine);

iii) Làm sạch tệp tin mà không xóa bỏ (clean);

iv) Xóa bỏ hoàn toàn tệp tin (delete);

v) Khôi phục tệp tin từ môi trường cách ly (restore).

7.3. Gỡ bỏ mã độc một cách an toàn

AV có khả năng gỡ bỏ mã độc ra khỏi hệ thống máy trạm được bảo vệ đảm bảo không làm hỏng các tệp tin bị nhiễm (tức là tệp tin vẫn có thể hoạt động bình thường như lúc chưa bị nhiễm mã độc), đặc biệt là đối với những tệp tin của hệ điều hành.