首页 > 最新动态 >正文

等保2.0基本要求解读系列(一)

文章来源:威努特工控安全 | 发布时间:2019-09-02
 

等级保护2.0发布后,市场上铺天盖地的出现了众多解读文章,但大部分文章只停留在总体变化的描述,缺少对等级保护2.0具体条款与等级保护1.0具体基本技术要求的区别分析。

本文以帮助企业理解等级保护2.0基本要求为导向,结合威努特多年的等级保护建设经验,对等级保护2.01.0在基本技术要求存在的区别进行具体分析。

在等级保护2.0合规要求下,满足基本符合等级保护要求从1.060分提高到了2.075分,这无疑对企业、系统集成商和安全厂家提出了更高的要求和挑战:

● 采用何种安全技术手段、何种安全防护体系能够满足等级保护2.0基本要求?

● 如何为企业提供既能解决用户切实的需求,又合法、合规的安全解决方案?

● 如何帮助企业既能合理规划网络安全的费用投入,又能提高自身网络安全防护能力,达到相关等级保护级别测评要求?

下面将结合等级保护1.0(三级)的具体条款和等级保护2.0(三级)的关键条款变化进行详细的解读。(本文主要针对网络安全部分进行详细解读分析)、


1网络安全-关键条款变化

由于等级保护2.0中将整体结构进行调整,从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心,所以原等级保护1.0中的“网络安全”变成“安全通信网络”。


结构安全-详解


在等级保护2.0中,在这一小节没有明显的变化,主要是将一些过于老旧的条款进行了删除,将原等级保护1.0中的cdg)删除。同时增加了“应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性”的条款,并将这一小节中的“子网、网段”都统一更换成了“网络区域”。

对企业、安全厂家、系统集成商提出的要求


1) 企业或集成商进行网络基础建设时,必须要对通信线路、关键网络设备和关键计算设备进行冗余配置,例如关键网络设备应采用主备或负载均衡的部署方式;

2) 安全厂家在进行安全解决方案设计时,也应采用主备或负载均衡的方式进行设计、部署;

3) 强调、突出了网络区域的概念,无论在网络基础建设,还是安全网络规划,都应该根据系统应用的实际情况进行区域划分。


访问控制-详解



在等级保护2.0中,对于访问控制这一节变化较大,首先将等级保护1.0访问控制这一小节从原来网络安全中的条款变更到安全区域边界这一节中,其次删除了等级保护1.0中大部分条款,如上图,将cdefgh)全部删除。同时在上一节网络架构提出网络区域的基础上,进一步强调区域的概念,强调应在网络边界或区域之间部署访问控制设备,并强调了“应对进、出网络的数据流实现基于应用协议和应用内容的访问控制”,对应用协议、数据内容的深度解析提出了更高的要求。


对企业、安全厂家、系统集成商提出的要求

1)  要着重考虑网络边界的访问控制手段,但网络边界不仅仅是业务系统对其他系统的网络边界,还应该包括在业务系统内不同工艺区域的网络边界;



2)  访问控制的颗粒度要进一步的强化,不仅仅要停留在对于HTTP,FTP,TELNET,SMTP等通用协议的命令级控制程度,而是要对进出网络数据流的所有应用协议和应用内容都要进行深度解析;


3)企业用户在进行网络安全防护项目招标时一定要考虑参与投标的安全厂家所采用的边界访问控制设备是否具备对应用协议深度解析的能力,例如在工业控制系统,除了能够对比较常见的OPCModBus TCPDNP3S7等协议进行深度解析外,还需要根据现场业务实际情况,对业务系统中使用的私有协议进行自定义深度解析,否则很难达到测评要求。

安全审计-详解



在等级保护2.0中,将等级保护1.0安全审计这一小节从原来网络安全中的条款变更安全区域边界这一节中,将原条款的c)去掉,并对其他三条都进行了强化,尤其是a)条款,同时增加了“应能对远程访问的用户行为、访问互联网用户行为等都进行行为审计和数据分析”。

对企业、安全厂家、系统集成商提出的要求


1) 重点强调了需要在网络边界、重要网络节点处进行网络行为审计,要求企业在进行网络安全防护项目时要充分考虑网络边界和重要网络节点的行为审计能力,例如在城市轨道交通信号系统中,车站分为一级集中站、二级集中站和非集中站,结合等级保护2.0的要求,需要在一级和二级集中站都要考虑部署具备网络行为审计能力的安全产品。而仅仅在一级集中站内部署具有网络行为审计能力的产品是不够的。


2) 重点强调网络行为审计,即对网络流量进行审计,而这仅仅靠原有的日志审计类产品是不够的,无法满足等级保护2.0的要求。



边界完整性&入侵防范&恶意代码防范-详解


将这三点放到一起是因为彼此之间具备一定的连带关系,将等级保护1.0中的边界完整性检查、入侵防范和恶意代码防范这3节都变更到等级保护2.0中的安全区域边界中。在边界完整性检查的这一节中,原等级保护1.0中要求必须准确定位并有效阻断非法外联、内联的行为,但在等级保护2.0中要求中,提出了“防止或限制”的要求,取消了原等级保护1.0中的“定位”要求;入侵防范这一节中,主要提出了对于网络行为的分析,并且能够实现“已知”和“未知”的攻击行为检测能力。

对企业、安全厂家、系统集成商提出的要求

1) 对于企业和系统集成商,在进行网络安全防护项目招标时要充分考虑对于在等级保护2.0中所提出的对于“已知”和“未知”的检测要求。尤其在进行安全厂家选择时,要重点考虑安全厂家对于“未知”攻击的检测能力;


2) 对于安全厂家,网络安全审计或入侵检测产品不应仅仅局限在采用“特征库”的形式进行攻击检测,因为采用以“特征库”为模板的形式无法对“未知”攻击进行检测;


3) 对于安全厂家,入侵防范的范围变化,需要在网络安全解决方案设计时充分考虑,不应仅仅在网络边界处进行入侵防范,还需要在网络中的关键节点处均需要进行入侵防范。



网络设备防护-详解


威努特依托于多年在工控行业深耕,自主研发的工业防火墙和工业互联防火墙可应用在不同的工业网络安全防护场景内,除具备传统防火墙的访问控制等基础功能外,能够对ABBSiemensEmersonGEOMRONYokogawaHoneywellSchneider等主流厂商的50多种工业协议识别,并支持OPC ClassicModbus TCP/RTUSiemens S7Ethernet/IP(CIP)IEC104MMSDNP3ProfinetOmron Fins等协议的深度报文解析。






同时威努特工业防火墙还提供工业协议解码引擎,支持按标准协议语言描述增加自行定义私有协议,提供开放的平台接口,方便客户自行扩展支持私有协议,支持定制化的二次开发。


“已知”“未知”攻击检测

威努特工控安全监测与审计系统是专门针对工业控制网络的信息安全审计系统,支持多种工控协议的深度解析(DPI),采用“白名单+智能学习”技术建立工控网络安全通信模型,对工控网络中的异常流量进行实时监测和告警,实现对“已知”“未知”攻击防范,详实记录一切网络通信行为,为工业控制网络安全事件调查提供依据。采用旁路部署方式,对生产过程“零影响”。