请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具和内容均来自网络,仅做学习和记录使用,安全性自测,如有侵权请联系删除。
目录
等保2.0基本要求
由于等级保护2.0中将整体结构进行调整,从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心,所以原等级保护1.0中的"网络安全"变成"安全通信网络"。具体我们看如下图中网络安全的技术要求和管理要求的变化图:
对企业、安全厂家、系统集成商提出的要求
安全通信网络
-
结构安全
-
企业或集成商进行网络基础建设时,必须要对通信线路、关键网络设备和关键计算设备进行冗余配置,例如关键网络
设备应采用主备或负载均衡的部署方式。
-
安全厂家在进行安全解决方案设计时,也应采用主备或负载均衡的方式进行设计、部署。
-
无论在网络基础建设,还是安全网络规划,都应该根据系统应用的实际情况进行区域划分。
-
-
访问控制
-
要着重考虑网络边界的访问控制手段,但网络边界不仅仅是业务系统对其他系统的网络边界,还应该包括在业务系统内不同工艺区域的网络边界。
-
访问控制的颗粒度要进一步的强化,不仅仅要停留在对于HTTPFTPTELNET,SMTP等通用协议的命令级控制程度,而是要对进出网络数据流的所有应用协议和应用内容都要进行深度解析。
-
企业用户在进行网络安全防护项目招标时一定要考虑参与投标的安全厂家所采用的边界访问控制设备是否具备对应用协议深度解析的能力,例如在工业控制系统,除了能够对比较常见的OPC、ModBus TCP、DNP3、S7等协议进行深度解析外,还需要根据现场业务实际情况,对业务系统中使用的私有协议进行自定义深度解析,否则很难达到测评要求。
-
-
安全审计
-
重点强调了需要在网络边界、重要网络节点处进行网络行为审计,要求企业在进行网络安全防护项目时要充分考虑网络边界和重要网络节点的行为审计能力。
-
重点强调对网络流量进行审计。
-
-
边界完整性、入侵防范、恶意代码防范
-
对于企业和系统集成商,在进行网络安全防护项目招标时要充分考虑对于在等级保护2.0中所提出的对于"已知"和"未知"的检测要求。尤其在进行安全厂家选择时,要重点考虑安全厂家对于"未知"攻击的检测能力。
-
对于安全厂家,网络安全审计或入侵检测产品不应仅仅局限在采用"特征库"的形式进行攻击检测,因为采用以"特征库"为模板的形式无法对"未知"攻击进行检测。
-
对于安全厂家,入侵防范的范围变化,需要在网络安全解决方案设计时充分考虑,不应仅仅在网络边界处进行入侵防范,还需要在网络中的关键节点处均需要进行入侵防范。
-
安全计算环境
-
身份鉴别
-
设备存在弱口令,远程管理无防护和缺少双因子认证均是高危风险项。
-
集成商进行业务应用软件设计时,应考虑业务应用系统在"用户名"+"口令"的基础上进一步实现通过密码技术对登录用户的身份进行鉴别,同时应避免业务应用系统的弱口令问题。
-
集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制。
-
企业在业务运营期间不可通过不可控的网络环境进行远程管理,容易被监听,造成数据的泄露,甚至复改安全厂家在进行安全产品选用时,应采用具有两种或以上的组合鉴别方式的安全防护软件对登录系统的管理用户进行身份鉴别。满足本地身份认证和第三方远程身份认证双因子验证要求。
-
-
访问控制
-
集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制,确保业务应用系统不存在访问控制失效的情况。
-
企业或集成商在进行系统配置时,应为用户分配账户和权限,删除或重命名默认账户及默认口令,删除过期、多余和共享的账户
-
安全厂家在进行安全产品选用时,应采用符合强制访问控制要求的安全防护软件对主机、系统进行防护,可以有效的降低高风险项的风险等级。
-
-
安全审计
-
对集成商而言,业务应用系统软件的安全审计能力至关重要,需要能够对重要用户操作、行为进行日志审计,并且审计的范围不仅仅是针对前端用户,也要针对后端用户
-
对企业来说,在基础建设时应该在重要核心设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件的审计策略,并在安全运营的过程中对策略的开启定期检查
-
安全厂家在进行安全审计产品选用时,应采用可以覆盖到每个用户并可对重要的用户行为和重要安全事件进行审计的产品。可利用日志审计系统实现对日志的审计分析并生产报表,通过堡垒机来实现对第三方运维操作的审计。
-
-
剩余信息保护:企业或集成商在服务器上启用基于操作系统本身的剩余信息保护功能
-
入侵防范
-
企业或集成商在进行系统安装时,遭循最小安装原则,仅安装业务应用程序及相关的组件
-
企业或集成商进行应用软件开发时,需要考虑应用软件本身对数据的符合性进行检验,确保通过人机接口或通信接口收到的数据内容符合系统应用的要求
-
企业或集成商在选择主机安全防护软件时除了要考虑主机安全防护软件的安全功能以外,还要考虑与实际业务场景结合的问题,能够有效的帮助业主解决实际痛点。工业现场大部分现场运维人员对安全知之甚少,很难严格按照等级保护要求将安全配置一一完善,所以选择的主机安全防护软件应可以通过最简单的配置来满足等级保护的要求
-
解决安全漏洞最直接的办法是更新补丁,但对于工业控制系统而言,打补丁的动作越谨慎越好,避免由于更新补丁而影响到生产业务。该条款需要企业委托第三方工控安全厂家对系统进行漏洞的扫描,发现可能存在的已知漏洞,根据不同的风险等级形成报告,企业或集成商根据报告在离线环境经过测试评估无误后对漏洞进行修补
-
-
恶意代码防范:工业现场恶意代码防范一直是用户的痛点,受制于工业现场环境,杀毒软件无法在工业环境内发挥作用。误杀、漏杀、占用资源、无法升级等问题一直被诺病。所以在工业场景中应该选择采用白名单机制的安全防护软件
安全管理中心
在原等保1.0中技术要求部分没有单独设立章节对安全管理中心进行要求,只在"管理要求一系统运维管理下一监控管理和安全管理中心"一节中提到"应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理"。在等级保护2.0的整体变化中,单独设立"安全管理中心"章节,强化安全管理中心的概念,突出安全管理中心在信息安全等级保护建设中的重要性。
-
系统管理
-
集成商进行整体架构设计时,应合理设置安全管理中心,且安全管理中心内的管理系统应具备系統管理员配置和管控的相应功能
-
企业或集成商在系统配置时,应确保系统管理员作为唯一主体通过安全管理中心进行系统配置
-
安全厂家在进行产品选用和开发时,应采用管理权限模块化设计且符合系统管理要求的管理系统对管理主体、权限和对象进行控制,确保系统管理安全性
-
-
审计管理
-
集成商进行整体架构设计时,应合理设置安全管理中心,且安全管理中心内的管理系统应具备审计管理员配置和管控的相应功能
-
企业或集成商在进行审计记录分析和管控时,应确保审计管理员作为唯一主体进行分析和管控,设定安全审计策略
-
安全厂家在进行产品选用和开发时,应采用管理权限模块化设计且符合审计管理要求的管理系统对审计记录和审计策略等进行控制,确保系统审计管控过程安全性。
-
-
安全管理
-
集成商进行整体架构设计时,应合理设置安全管理中心,且安全管理中心内的管理系统应具备安全管理员配置和管控的相应功能
-
企业或集成商在进行系统安全参数设定、主客体安全标记和安全策略配置时,应确保安全管理员作为唯一主体进行配置
-
安全厂家在进行产品选用和开发时,应采用管理权限模块化设计且符合安全管理要求的管理系统对安全管理员管控过程、系统安全策略配置等进行控制,确保系统安全管理过程安全性
-
-
集中管控
-
对集成商而言,应在整体网络架构设计中考量安全管理中心区域设立位置,能够实现对各安全设备/组件的集中监控,且安全管理中心各组件应能够满足集中管控的各项要求
-
对企业来说,在系统建设时应充分考虑安全管理中心建设相关预算经费,并在日常运维过程中采用集中管控的方式进行安全设备/组件管控、设备状态监控、日志分析、安全策略管控和安全事件分析
-
安全厂家在进行安全管理中心内管理系统产品开发和选用时,应采用符合集中管控各项技术要求的安全产品,在设备 通信加密、日志存储、策略集中管控和安全事件分析等各方面满足相关管控要求。
-
总结
√等保1.0和2.0的变化
√对企业、安全厂家、系统集成商提出的要求