等級保護共分爲五級具體介紹如下:
https://blog.csdn.net/weixin_33860528/article/details/89573660
等級保護2.0發佈後,市場上鋪天蓋地的出現了衆多解讀文章,但大部分文章只停留在總體變化的描述,缺少對等級保護2.0具體條款與等級保護1.0具體基本技術要求的區別分析。
本文以幫助企業理解等級保護2.0基本要求爲導向,對等級保護2.0和1.0在基本技術要求存在的區別進行具體分析。在等級保護2.0合規要求下,滿足基本符合等級保護要求從1.0的60分提高到了2.0的75分,這無疑對企業、系統集成商和安全廠家提出了更高的要求和挑戰:
● 採用何種安全技術手段、何種安全防護體系能夠滿足等級保護2.0基本要求?
● 如何爲企業提供既能解決用戶切實的需求,又合法、合規的安全解決方案?
● 如何幫助企業既能合理規劃網絡安全的費用投入,又能提高自身網絡安全防護能力,達到相關等級保護級別測評要求?
下面將結合等級保護1.0(三級)的具體條款和等級保護2.0(三級)的關鍵條款變化進行詳細的解讀。(本文主要針對網絡安全部分進行詳細解讀分析)
1 網絡安全-關鍵條款變化
由於等級保護2.0中將整體結構進行調整,從物理安全、網絡安全、主機安全、應用安全、數據安全變成安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心,所以原等級保護1.0中的“網絡安全”變成“安全通信網絡”。
結構安全-詳解
在等級保護2.0中,在這一小節沒有明顯的變化,主要是將一些過於老舊的條款進行了刪除,將原等級保護1.0中的c)d)g)刪除。同時增加了“應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗餘,保證系統的可用性”的條款,並將這一小節中的“子網、網段”都統一更換成了“網絡區域”。
對企業、安全廠家、系統集成商提出的要求
1) 企業或集成商進行網絡基礎建設時,必須要對通信線路、關鍵網絡設備和關鍵計算設備進行冗餘配置,例如關鍵網絡設備應採用主備或負載均衡的部署方式;
2) 安全廠家在進行安全解決方案設計時,也應採用主備或負載均衡的方式進行設計、部署;
3) 強調、突出了網絡區域的概念,無論在網絡基礎建設,還是安全網絡規劃,都應該根據系統應用的實際情況進行區域劃分。
訪問控制-詳解
在等級保護2.0中,對於訪問控制這一節變化較大,首先將等級保護1.0訪問控制這一小節從原來網絡安全中的條款變更到安全區域邊界這一節中,其次刪除了等級保護1.0中大部分條款,如上圖,將c)d)e)f)g)h)全部刪除。同時在上一節網絡架構提出網絡區域的基礎上,進一步強調區域的概念,強調應在網絡邊界或區域之間部署訪問控制設備,並強調了“應對進、出網絡的數據流實現基於應用協議和應用內容的訪問控制”,對應用協議、數據內容的深度解析提出了更高的要求。
對企業、安全廠家、系統集成商提出的要求
1) 要着重考慮網絡邊界的訪問控制手段,但網絡邊界不僅僅是業務系統對其他系統的網絡邊界,還應該包括在業務系統內不同工藝區域的網絡邊界;
2) 訪問控制的顆粒度要進一步的強化,不僅僅要停留在對於HTTP,FTP,TELNET,SMTP等通用協議的命令級控制程度,而是要對進出網絡數據流的所有應用協議和應用內容都要進行深度解析;
3)企業用戶在進行網絡安全防護項目招標時一定要考慮參與投標的安全廠家所採用的邊界訪問控制設備是否具備對應用協議深度解析的能力,例如在工業控制系統,除了能夠對比較常見的OPC、ModBus TCP、DNP3、S7等協議進行深度解析外,還需要根據現場業務實際情況,對業務系統中使用的私有協議進行自定義深度解析,否則很難達到測評要求。
安全審計-詳解
在等級保護2.0中,將等級保護1.0安全審計這一小節從原來網絡安全中的條款變更安全區域邊界這一節中,將原條款的c)去掉,並對其他三條都進行了強化,尤其是a)條款,同時增加了“應能對遠程訪問的用戶行爲、訪問互聯網用戶行爲等都進行行爲審計和數據分析”。
對企業、安全廠家、系統集成商提出的要求
1) 重點強調了需要在網絡邊界、重要網絡節點處進行網絡行爲審計,要求企業在進行網絡安全防護項目時要充分考慮網絡邊界和重要網絡節點的行爲審計能力,例如在城市軌道交通信號系統中,車站分爲一級集中站、二級集中站和非集中站,結合等級保護2.0的要求,需要在一級和二級集中站都要考慮部署具備網絡行爲審計能力的安全產品。而僅僅在一級集中站內部署具有網絡行爲審計能力的產品是不夠的。
2) 重點強調網絡行爲審計,即對網絡流量進行審計,而這僅僅靠原有的日誌審計類產品是不夠的,無法滿足等級保護2.0的要求。
邊界完整性&入侵防範&惡意代碼防範-詳解
將這三點放到一起是因爲彼此之間具備一定的連帶關係,將等級保護1.0中的邊界完整性檢查、入侵防範和惡意代碼防範這3節都變更到等級保護2.0中的安全區域邊界中。在邊界完整性檢查的這一節中,原等級保護1.0中要求必須準確定位並有效阻斷非法外聯、內聯的行爲,但在等級保護2.0中要求中,提出了“防止或限制”的要求,取消了原等級保護1.0中的“定位”要求;入侵防範這一節中,主要提出了對於網絡行爲的分析,並且能夠實現“已知”和“未知”的攻擊行爲檢測能力。
對企業、安全廠家、系統集成商提出的要求
1) 對於企業和系統集成商,在進行網絡安全防護項目招標時要充分考慮對於在等級保護2.0中所提出的對於“已知”和“未知”的檢測要求。尤其在進行安全廠家選擇時,要重點考慮安全廠家對於“未知”攻擊的檢測能力;
2) 對於安全廠家,網絡安全審計或入侵檢測產品不應僅僅侷限在採用“特徵庫”的形式進行攻擊檢測,因爲採用以“特徵庫”爲模板的形式無法對“未知”攻擊進行檢測;
3) 對於安全廠家,入侵防範的範圍變化,需要在網絡安全解決方案設計時充分考慮,不應僅僅在網絡邊界處進行入侵防範,還需要在網絡中的關鍵節點處均需要進行入侵防範。
網絡設備防護-詳解
該小節在等級保護2.0全部被刪除,並整合到“安全計算環境”中。
以下內容以等級保護三級爲基礎,針對等級保護2.0中安全計算環境部分進行解讀。
再次回顧等級保護2.0的整體變化,整體結構從物理安全、網絡安全、主機安全、應用安全、數據安全變成安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心,其中原等級保護1.0中的“主機安全”部分整合到“安全計算環境”中。
2 條款對比詳解
身份鑑別
在身份鑑別這一小節中首先弱化了系統的概念,提出標識的唯一性,將原等級保護1.0中老舊條款的e)刪除。同時對雙因子認證進行了加強,強調“口令、密碼技術、生物技術的組合鑑別,要求其中一種至少應使用密碼技術來實現”。
>>>
高風險強調
在身份鑑別這部分要求中,設備存在弱口令,遠程管理無防護和缺少雙因子認證均是高危風險項。
對企業、安全廠家、系統集成商提出的要求:
1) 集成商進行業務應用軟件設計時,應考慮業務應用系統在“用戶名”+“口令”的基礎上進一步實現通過密碼技術對登錄用戶的身份進行鑑別,同時應避免業務應用系統的弱口令問題;
2) 集成商進行業務應用軟件設計時,應充分考慮用戶權限的控制以及用戶在登錄失敗後的處理機制;
3) 企業在業務運營期間不可通過不可控的網絡環境進行遠程管理,容易被監聽,造成數據的泄露,甚至篡改;
4) 安全廠家在進行安全產品選用時,應採用具有兩種或以上的組合鑑別方式的安全防護軟件對登錄系統的管理用戶進行身份鑑別。滿足本地身份認證和第三方遠程身份認證雙因子驗證要求。
訪問控制
在訪問控制這一小節中,主要是將原等級保護1.0中的條款進行了完善,強調“強制訪問控制”,明確授權主體可以通過配置策略規定對客體的訪問規則,控制粒度等。
>>>
高風險強調
要求項中,未重命名或刪除默認賬戶,未修改默認賬戶的默認口令屬於高風險項。
對企業、安全廠家、系統集成商提出的要求:
1) 集成商進行業務應用軟件設計時,應充分考慮用戶權限的控制以及用戶在登錄失敗後的處理機制,確保業務應用系統不存在訪問控制失效的情況;
2) 企業或集成商在進行系統配置時,應爲用戶分配賬戶和權限,刪除或重命名默認賬戶及默認口令,刪除過期、多餘和共享的賬戶;
3) 安全廠家在進行安全產品選用時,應採用符合強制訪問控制要求的安全防護軟件對主機、系統進行防護,可以有效的降低高風險項的風險等級。
安全審計
在安全審計這一小節中,主要是將一些過於老舊的條款進行了刪除,將原等級保護1.0中的a)b)d)條款刪除,整合爲“啓用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行爲和重要安全事件進行審計”。審計記錄中刪除“主體標識、客體標識和結果等”並改爲“事件是否成功及其他與審計相關的信息”,增加對審計記錄的“定期備份”。
>>>
高風險強調
要求項中,未啓用安全審計功能,審計覆蓋到每個用戶,未對重要的用戶行爲和重要安全事件未進行審計屬於高風險項。
對企業、安全廠家、系統集成商提出的要求:
1) 對集成商而言,業務應用系統軟件的安全審計能力至關重要,需要能夠對重要用戶操作、行爲進行日誌審計,並且審計的範圍不僅僅是針對前端用戶,也要針對後端用戶;
2) 對企業來說,在基礎建設時應該在重要核心設備、操作系統、數據庫性能允許的前提下,開啓用戶操作類和安全事件的審計策略,並在安全運營的過程中對策略的開啓定期檢查;
3) 安全廠家在進行安全審計產品選用時,應採用可以覆蓋到每個用戶並可對重要的用戶行爲和重要安全事件進行審計的產品。可利用日誌審計系統實現對日誌的審計分析並生產報表,通過堡壘機來實現對第三方運維操作的審計。
剩餘信息保護
在剩餘信息保護這一小節沒有明顯的變化,主要是將“操作系統和數據庫系統用戶”和“無論這些信息是存放在硬盤上還是在內存中”等限制性條件進行了刪除,將“系統內的文件、目錄和數據庫記錄等資源所在的存儲空間”改爲“存有敏感數據的存儲空間”。
>>>
高風險強調
應保證鑑別信息所在的存儲空間被釋放或重新分配前得到完全清除,該項爲高風險項。如果身份鑑別信息釋放或清除機制存在缺陷,如在清除身份鑑別信息後,仍能進行訪問資源的操作,屬於高風險。
對企業、安全廠家、系統集成商提出的要求:
企業或集成商在服務器上啓用基於操作系統本身的剩餘信息保護功能。
入侵防範
在入侵防範這一小節中,將a)和b)進行了整合,“重要服務器”改爲“重要節點”,新增d)和e),要求系統可以對數據進行有效性檢驗,同時可以發現系統存在的已知漏洞,在驗證後可以進行修補。
>>>
高風險強調
不必要的服務、端口未關閉;管理終端管控無措施均屬於高危風險項目。
對企業、安全廠家、系統集成商提出的要求:
1) 企業或集成商在進行系統安裝時,遵循最小安裝原則,僅安裝業務應用程序及相關的組件;
2) 企業或集成商進行應用軟件開發時,需要考慮應用軟件本身對數據的符合性進行檢驗,確保通過人機接口或通信接口收到的數據內容符合系統應用的要求;
3) 企業或集成商在選擇主機安全防護軟件時除了要考慮主機安全防護軟件的安全功能以外,還要考慮與實際業務場景結合的問題,能夠有效的幫助業主解決實際痛點。工業現場大部分現場運維人員對安全知之甚少,很難嚴格按照等級保護要求將安全配置一一完善,所以選擇的主機安全防護軟件應可以通過最簡單的配置來滿足等級保護的要求;
4) 解決安全漏洞最直接的辦法是更新補丁,但對於工業控制系統而言,打補丁的動作越謹慎越好,避免由於更新補丁而影響到生產業務。該條款需要企業委託第三方工控安全廠家對系統進行漏洞的掃描,發現可能存在的已知漏洞,根據不同的風險等級形成報告,企業或集成商根據報告在離線環境經過測試評估無誤後對漏洞進行修補。
惡意代碼防範
在惡意代碼防範這一小節將a)、b)、c)進行了整合,同時提出了主動免疫可信驗證機制,即“文件加載執行控制”的“白名單”技術。
>>>
高風險強調
未安裝防惡意代碼軟件,並進行統一管理,無法防止來自於外部的病毒、惡意代碼入侵,爲高風險項。
對企業、安全廠家、系統集成商提出的要求:
工業現場惡意代碼防範一直是用戶的痛點,受制於工業現場環境,殺毒軟件無法在工業環境內發揮作用。誤殺、漏殺、佔用資源、無法升級等問題一直被詬病。所以在工業場景中應該選擇採用白名單機制的安全防護軟件。
資源控制
資源控制這一小節整體進行了刪減,將部分內容整合到集中管控章節。
3 整合內容詳解
將原等級保護1.0數據安全內容整合到安全計算環境中,如下圖所示:
>>>
高風險強調
數據傳輸完整性保護和保密性保護,針對不同的業務場景,如業務場景對數據傳輸的完整性要求高,未採取相應措施,則爲高風險;如業務場景對數據傳輸保密性要求高,未採取相應措施,則爲高風險。
數據存儲完整性保護和保密性保護,針對不同的業務場景,如業務場景對數據存儲的完整性要求高,未採取相應措施,則爲高風險;如業務場景對數據存儲保密性要求高,未採取相應措施,則爲高風險。
對企業、安全廠家、系統集成商提出的要求:
在工業現場大部分的場景對於數據傳輸、存儲完整性要求要高於數據傳輸、存儲保密性要求。對於系統集成商在應用通過密碼技術來保證傳輸數據的完整性,並在服務器端對數據有效性進行驗證。
在工業現場關鍵服務器、工作站內存儲的業務軟件及配置文件的完整性和可用性是至關重要的,一旦其完整性遭到破壞,直接影響現場生產任務。所以對於安全廠家提出的要求就是其安全防護軟件應可以通過訪問控制功能,對存儲的數據、配置文件進行完整性保護,避免遭到非法破壞。
企業應建立異地備份中心,同時形成數據備份制度,定期進行現場的關鍵數據、配置文件的備份。
以下內容將以等級保護三級爲基礎,針對等級保護2.0中安全管理中心部分進行解讀。
在原等保1.0中技術要求部分沒有單獨設立章節對安全管理中心進行要求,只在“管理要求→系統運維管理下→監控管理和安全管理中心”一節中提到“應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理”。在等級保護2.0的整體變化中,單獨設立“安全管理中心”章節,強化安全管理中心的概念,突出安全管理中心在信息安全等級保護建設中的重要性。
4 新增條款詳解
在等級保護2.0“安全管理中心”章節中,“系統管理”、“審計管理”和“安全管理”三小節中對分別對系統管理員、審計管理員和安全管理員的管理主體、權限控制和管控過程提出明確要求,同時要求安全管理中心內的管理系統符合“三權分立”權限管理模式,並在“集中管控”小節中對管理系統需要符合的集中管控功能進行了規定。
系統管理
在“系統管理”這一小節中,要求安全管理中心內的管理系統應具備對系統管理員的身份鑑別、特定命令和操作界面控制和操作審計等功能,並要求系統管理員作爲系統資源和運行配置的唯一主體。
>>>
對企業、安全廠家、系統集成商提出的要求:
1) 集成商進行整體架構設計時,應合理設置安全管理中心,且安全管理中心內的管理系統應具備系統管理員配置和管控的相應功能;
2) 企業或集成商在系統配置時,應確保系統管理員作爲唯一主體通過安全管理中心進行系統配置;
3) 安全廠家在進行產品選用和開發時,應採用管理權限模塊化設計且符合系統管理要求的管理系統對管理主體、權限和對象進行控制,確保系統管理安全性。
審計管理
在“審計管理”這一小節中,要求安全管理中心內的管理系統應具備對審計管理員的身份鑑別、特定命令和操作界面控制和操作審計等功能,並要求審計管理員作爲審計記錄分析和管控的唯一主體。
>>>
對企業、安全廠家、系統集成商提出的要求:
1) 集成商進行整體架構設計時,應合理設置安全管理中心,且安全管理中心內的管理系統應具備審計管理員配置和管控的相應功能;
2) 企業或集成商在進行審計記錄分析和管控時,應確保審計管理員作爲唯一主體進行分析和管控,設定安全審計策略;
3) 安全廠家在進行產品選用和開發時,應採用管理權限模塊化設計且符合審計管理要求的管理系統對審計記錄和審計策略等進行控制,確保系統審計管控過程安全性。
安全管理
在“安全管理”這一小節中,要求安全管理中心內的管理系統應具備對安全管理員的身份鑑別、特定命令和操作界面控制和操作審計等功能,並要求安全管理員作爲系統安全參數設定、主客體標記、授權和可信驗證策略配置的唯一主體。
>>>
對企業、安全廠家、系統集成商提出的要求:
1) 集成商進行整體架構設計時,應合理設置安全管理中心,且安全管理中心內的管理系統應具備安全管理員配置和管控的相應功能;
2) 企業或集成商在進行系統安全參數設定、主客體安全標記和安全策略配置時,應確保安全管理員作爲唯一主體進行配置;
3) 安全廠家在進行產品選用和開發時,應採用管理權限模塊化設計且符合安全管理要求的管理系統對安全管理員管控過程、系統安全策略配置等進行控制,確保系統安全管理過程安全性。
集中管控
“集中管控”這一小節中,在原等級保護1.0“應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理”要求的基礎上增加“a)應劃分出特定的管理區域,對分佈在網絡中的安全設備或安全組件進行管控”、“b)應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理”、“f)應能對網絡中發生的各類安全事件進行識別、報警和分析”三個要求,明確安全管理中心在系統網絡架構上的獨立地位,對管理傳輸鏈路通信安全性提出要求,同時要求具備對網絡安全事件的分析和告警能力。
>>>
高風險強調:
要求項中,對各類設備運行狀況的集中監測、各類設備審計數據彙總分析和留存時間要求屬於高風險項。
>>>
對企業、安全廠家、系統集成商提出的要求:
1) 對集成商而言,應在整體網絡架構設計中考量安全管理中心區域設立位置,能夠實現對各安全設備/組件的集中監控,且安全管理中心各組件應能夠滿足集中管控的各項要求;
2) 對企業來說,在系統建設時應充分考慮安全管理中心建設相關預算經費,並在日常運維過程中採用集中管控的方式進行安全設備/組件管控、設備狀態監控、日誌分析、安全策略管控和安全事件分析;
3) 安全廠家在進行安全管理中心內管理系統產品開發和選用時,應採用符合集中管控各項技術要求的安全產品,在設備通信加密、日誌存儲、策略集中管控和安全事件分析等各方面滿足相關管控要求。