首页 > 最新动态 >正文

等保2.0基本要求解读系列(二)

文章来源:威努特工控安全 | 发布时间:2019-09-02
 

在上一期等保2.0基本要求解读系列(一)中,我们围绕等级保护2.0在网络安全部分的条款变化以及由此带来的影响进行了详细的阐述和分析。本篇我们将以等级保护三级为基础,针对等级保护2.0中安全计算环境部分进行解读。

再次回顾等级保护2.0的整体变化,整体结构从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心,其中原等级保护1.0中的主机安全部分整合到安全计算环境中。



1条款对比详解


身份鉴别


在身份鉴别这一小节中首先弱化了系统的概念,提出标识的唯一性,将原等级保护1.0中老旧条款的e)删除。同时对双因子认证进行了加强,强调口令、密码技术、生物技术的组合鉴别,要求其中一种至少应使用密码技术来实现

高风险强调

在身份鉴别这部分要求中,设备存在弱口令,远程管理无防护和缺少双因子认证均是高危风险项。

对企业、安全厂家、系统集成商提出的要求:

1)  集成商进行业务应用软件设计时,应考虑业务应用系统在“用户名”+“口令”的基础上进一步实现通过密码技术对登录用户的身份进行鉴别,同时应避免业务应用系统的弱口令问题;

 

2)  集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制;


3)  企业在业务运营期间不可通过不可控的网络环境进行远程管理,容易被监听,造成数据的泄露,甚至篡改;

 

4)  安全厂家在进行安全产品选用时,应采用具有两种或以上的组合鉴别方式的安全防护软件对登录系统的管理用户进行身份鉴别。满足本地身份认证和第三方远程身份认证双因子验证要求。



访问控制



在访问控制这一小节中,主要是将原等级保护1.0中的条款进行了完善,强调强制访问控制,明确授权主体可以通过配置策略规定对客体的访问规则,控制粒度等。


高风险强调

要求项中,未重命名或删除默认账户,未修改默认账户的默认口令属于高风险项。
对企业、安全厂家、系统集成商提出的要求:


1)  集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制,确保业务应用系统不存在访问控制失效的情况;

 

2)  企业或集成商在进行系统配置时,应为用户分配账户和权限,删除或重命名默认账户及默认口令,删除过期、多余和共享的账户;

  

  3)  安全厂家在进行安全产品选用时,应采用符合强制访问控制要求的安全防护软件对主机、系统进行防护,可以有效的降低高风险项的风险等级。




安全审计


在安全审计这一小节中,主要是将一些过于老旧的条款进行了删除,将原等级保护1.0中的abd)条款删除,整合为启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。审计记录中删除主体标识、客体标识和结果等并改事件是否成功及其他与审计相关的信息,增加对审计记录的定期备份

高风险强调

要求项中,未启用安全审计功能,审计覆盖到每个用户,未对重要的用户行为和重要安全事件未进行审计属于高风险项。对企业、安全厂家、系统集成商提出的要求:

1)  对集成商而言,业务应用系统软件的安全审计能力至关重要,需要能够对重要用户操作、行为进行日志审计,并且审计的范围不仅仅是针对前端用户,也要针对后端用户;


2)  对企业来说,在基础建设时应该在重要核心设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件的审计策略,并在安全运营的过程中对策略的开启定期检查;


3)  安全厂家在进行安全审计产品选用时,应采用可以覆盖到每个用户并可对重要的用户行为和重要安全事件进行审计的产品。可利用日志审计系统实现对日志的审计分析并生产报表,通过堡垒机来实现对第三方运维操作的审计。



剩余信息保护


在剩余信息保护这一小节没有明显的变化,主要是将操作系统和数据库系统用户无论这些信息是存放在硬盘上还是在内存中等限制性条件进行了删除,将系统内的文件、目录和数据库记录等资源所在的存储空间改为存有敏感数据的存储空间


高风险强调

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除,该项为高风险项。如果身份鉴别信息释放或清除机制存在缺陷,如在清除身份鉴别信息后,仍能进行访问资源的操作,属于高风险。
对企业、安全厂家、系统集成商提出的要求:企业或集成商在服务器上启用基于操作系统本身的剩余信息保护功能。

入侵防范



在入侵防范这一小节中,将a)和b)进行了整合,重要服务器改为重要节点,新增d)和e),要求系统可以对数据进行有效性检验,同时可以发现系统存在的已知漏洞,在验证后可以进行修补。


高风险强调



不必要的服务、端口未关闭;管理终端管控无措施均属于高危风险项目。
对企业、安全厂家、系统集成商提出的要求:

1)  企业或集成商在进行系统安装时,遵循最小安装原则,仅安装业务应用程序及相关的组件;

 

2)  企业或集成商进行应用软件开发时,需要考虑应用软件本身对数据的符合性进行检验,确保通过人机接口或通信接口收到的数据内容符合系统应用的要求;

 

3)  企业或集成商在选择主机安全防护软件时除了要考虑主机安全防护软件的安全功能以外,还要考虑与实际业务场景结合的问题,能够有效的帮助业主解决实际痛点。工业现场大部分现场运维人员对安全知之甚少,很难严格按照等级保护要求将安全配置一一完善,所以选择的主机安全防护软件应可以通过最简单的配置来满足等级保护的要求;

 

4)  解决安全漏洞最直接的办法是更新补丁,但对于工业控制系统而言,打补丁的动作越谨慎越好,避免由于更新补丁而影响到生产业务。该条款需要企业委托第三方工控安全厂家对系统进行漏洞的扫描,发现可能存在的已知漏洞,根据不同的风险等级形成报告,企业或集成商根据报告在离线环境经过测试评估无误后对漏洞进行修补。


恶意代码防范


在恶意代码防范这一小节将a)b)、c)进行了整合,同时提出了主动免疫可信验证机制,即文件加载执行控制白名单技术。

高风险强调

未安装防恶意代码软件,并进行统一管理,无法防止来自于外部的病毒、恶意代码入侵,为高风险项。

对企业、安全厂家、系统集成商提出的要求:
工业现场恶意代码防范一直是用户的痛点,受制于工业现场环境,杀毒软件无法在工业环境内发挥作用。误杀、漏杀、占用资源、无法升级等问题一直被诟病。所以在工业场景中应该选择采用白名单机制的安全防护软件。


资源控制


资源控制这一小节整体进行了删减,将部分内容整合到集中管控章节。


2整合内容详解

将原等级保护1.0数据安全内容整合到安全计算环境中,如下图所示:


高风险强调

数据传输完整性保护和保密性保护,针对不同的业务场景,如业务场景对数据传输的完整性要求高,未采取相应措施,则为高风险;如业务场景对数据传输保密性要求高,未采取相应措施,则为高风险。数据存储完整性保护和保密性保护,针对不同的业务场景,如业务场景对数据存储的完整性要求高,未采取相应措施,则为高风险;如业务场景对数据存储保密性要求高,未采取相应措施,则为高风险。

对企业、安全厂家、系统集成商提出的要求:在工业现场大部分的场景对于数据传输、存储完整性要求要高于数据传输、存储保密性要求。对于系统集成商在应用通过密码技术来保证传输数据的完整性,并在服务器端对数据有效性进行验证。在工业现场关键服务器、工作站内存储的业务软件及配置文件的完整性和可用性是至关重要的,一旦其完整性遭到破坏,直接影响现场生产任务。所以对于安全厂家提出的要求就是其安全防护软件应可以通过访问控制功能,对存储的数据、配置文件进行完整性保护,避免遭到非法破坏。企业应建立异地备份中心,同时形成数据备份制度,定期进行现场的关键数据、配置文件的备份。 (以上信息来源于:威努特工控安全)