再次回顾等级保护2.0的整体变化,整体结构从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心,其中原等级保护1.0中的“主机安全”部分整合到“安全计算环境”中。
在身份鉴别这一小节中首先弱化了系统的概念,提出标识的唯一性,将原等级保护1.0中老旧条款的e)删除。同时对双因子认证进行了加强,强调“口令、密码技术、生物技术的组合鉴别,要求其中一种至少应使用密码技术来实现”。在身份鉴别这部分要求中,设备存在弱口令,远程管理无防护和缺少双因子认证均是高危风险项。对企业、安全厂家、系统集成商提出的要求:
1) 集成商进行业务应用软件设计时,应考虑业务应用系统在“用户名”+“口令”的基础上进一步实现通过密码技术对登录用户的身份进行鉴别,同时应避免业务应用系统的弱口令问题;
2) 集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制;
3) 企业在业务运营期间不可通过不可控的网络环境进行远程管理,容易被监听,造成数据的泄露,甚至篡改;
4) 安全厂家在进行安全产品选用时,应采用具有两种或以上的组合鉴别方式的安全防护软件对登录系统的管理用户进行身份鉴别。满足本地身份认证和第三方远程身份认证双因子验证要求。
在访问控制这一小节中,主要是将原等级保护1.0中的条款进行了完善,强调“强制访问控制”,明确授权主体可以通过配置策略规定对客体的访问规则,控制粒度等。要求项中,未重命名或删除默认账户,未修改默认账户的默认口令属于高风险项。
1) 集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制,确保业务应用系统不存在访问控制失效的情况;
2) 企业或集成商在进行系统配置时,应为用户分配账户和权限,删除或重命名默认账户及默认口令,删除过期、多余和共享的账户;
3) 安全厂家在进行安全产品选用时,应采用符合强制访问控制要求的安全防护软件对主机、系统进行防护,可以有效的降低高风险项的风险等级。
在安全审计这一小节中,主要是将一些过于老旧的条款进行了删除,将原等级保护1.0中的a)b)d)条款删除,整合为“启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计”。审计记录中删除“主体标识、客体标识和结果等”并改为“事件是否成功及其他与审计相关的信息”,增加对审计记录的“定期备份”。
要求项中,未启用安全审计功能,审计覆盖到每个用户,未对重要的用户行为和重要安全事件未进行审计属于高风险项。1) 对集成商而言,业务应用系统软件的安全审计能力至关重要,需要能够对重要用户操作、行为进行日志审计,并且审计的范围不仅仅是针对前端用户,也要针对后端用户;
2) 对企业来说,在基础建设时应该在重要核心设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件的审计策略,并在安全运营的过程中对策略的开启定期检查;
3) 安全厂家在进行安全审计产品选用时,应采用可以覆盖到每个用户并可对重要的用户行为和重要安全事件进行审计的产品。可利用日志审计系统实现对日志的审计分析并生产报表,通过堡垒机来实现对第三方运维操作的审计。
在剩余信息保护这一小节没有明显的变化,主要是将“操作系统和数据库系统用户”和“无论这些信息是存放在硬盘上还是在内存中”等限制性条件进行了删除,将“系统内的文件、目录和数据库记录等资源所在的存储空间”改为“存有敏感数据的存储空间”。应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除,该项为高风险项。如果身份鉴别信息释放或清除机制存在缺陷,如在清除身份鉴别信息后,仍能进行访问资源的操作,属于高风险。
企业或集成商在服务器上启用基于操作系统本身的剩余信息保护功能。
在入侵防范这一小节中,将a)和b)进行了整合,“重要服务器”改为“重要节点”,新增d)和e),要求系统可以对数据进行有效性检验,同时可以发现系统存在的已知漏洞,在验证后可以进行修补。不必要的服务、端口未关闭;管理终端管控无措施均属于高危风险项目。1) 企业或集成商在进行系统安装时,遵循最小安装原则,仅安装业务应用程序及相关的组件;
2) 企业或集成商进行应用软件开发时,需要考虑应用软件本身对数据的符合性进行检验,确保通过人机接口或通信接口收到的数据内容符合系统应用的要求;
3) 企业或集成商在选择主机安全防护软件时除了要考虑主机安全防护软件的安全功能以外,还要考虑与实际业务场景结合的问题,能够有效的帮助业主解决实际痛点。工业现场大部分现场运维人员对安全知之甚少,很难严格按照等级保护要求将安全配置一一完善,所以选择的主机安全防护软件应可以通过最简单的配置来满足等级保护的要求;
4) 解决安全漏洞最直接的办法是更新补丁,但对于工业控制系统而言,打补丁的动作越谨慎越好,避免由于更新补丁而影响到生产业务。该条款需要企业委托第三方工控安全厂家对系统进行漏洞的扫描,发现可能存在的已知漏洞,根据不同的风险等级形成报告,企业或集成商根据报告在离线环境经过测试评估无误后对漏洞进行修补。
在恶意代码防范这一小节将a)、b)、c)进行了整合,同时提出了主动免疫可信验证机制,即“文件加载执行控制”的“白名单”技术。未安装防恶意代码软件,并进行统一管理,无法防止来自于外部的病毒、恶意代码入侵,为高风险项。工业现场恶意代码防范一直是用户的痛点,受制于工业现场环境,杀毒软件无法在工业环境内发挥作用。误杀、漏杀、占用资源、无法升级等问题一直被诟病。所以在工业场景中应该选择采用白名单机制的安全防护软件。 资源控制这一小节整体进行了删减,将部分内容整合到集中管控章节。
将原等级保护1.0数据安全内容整合到安全计算环境中,如下图所示:
数据传输完整性保护和保密性保护,针对不同的业务场景,如业务场景对数据传输的完整性要求高,未采取相应措施,则为高风险;如业务场景对数据传输保密性要求高,未采取相应措施,则为高风险。数据存储完整性保护和保密性保护,针对不同的业务场景,如业务场景对数据存储的完整性要求高,未采取相应措施,则为高风险;如业务场景对数据存储保密性要求高,未采取相应措施,则为高风险。在工业现场大部分的场景对于数据传输、存储完整性要求要高于数据传输、存储保密性要求。对于系统集成商在应用通过密码技术来保证传输数据的完整性,并在服务器端对数据有效性进行验证。在工业现场关键服务器、工作站内存储的业务软件及配置文件的完整性和可用性是至关重要的,一旦其完整性遭到破坏,直接影响现场生产任务。所以对于安全厂家提出的要求就是其安全防护软件应可以通过访问控制功能,对存储的数据、配置文件进行完整性保护,避免遭到非法破坏。企业应建立异地备份中心,同时形成数据备份制度,定期进行现场的关键数据、配置文件的备份。
威努特工控主机卫士产品是针对操作员站、工程师站、服务器等工业现场主机类设备进行安全加固的软件产品。结合工业控制系统特点产品,颠覆传统防病毒软件的“黑名单”思想,采用与其相反的轻量级“白名单”机制,可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。 满足等保合规要求,业内独家“一证双标准”即文件加载执行控制和主机安全加固
采用“白名单”防护机制,解决恶意代码问题,有效阻止非法程序运行• 提供文件级白名单功能,可自动生成或手动添加白名单,禁止白名单外的恶意程序和操作的执行,覆盖操作系统所有可执行程序文件类型及脚本;
• 基于白名单的主机端防火墙功能,只有添加到规则中的程序才允许与外部网络建立连接,关闭不必要的服务、端口。
实时非法外联检查,提供及时的告警提示和详细的日志记录• 针对自定义的ip或者域名进行网络检查,针对非法的网络状态提供了详细的日志记录和告警信息。
系统资源占用小,无需更新病毒库,解决杀毒软件不适用工业现场的问题• 系统开机时间的延迟小于20秒,对系统内存的占用小于20%,对CPU占用的增加不超过5%;
• 对工控系统的监控软件和组态软件的正常使用不会造成影响。
支持基于BLP模型和BIBA模型的强制访问控制策略,提升操作系统安全等级,解决访问控制问题,保证关键业务文件完整性
提供注册表、系统文件、关键进程的保护功能,防止系统被篡改,保证系统级安全
一键式安全基线和加固配置功能,提升操作系统安全等级,减少现场运维工作量,降低人员成本
USB存储设备、光驱、软件等外设设备严格控制,切断外网恶意代码通过摆渡的方式进入工业内网
• 经过认证的特定安全USB存储设备可以在工业内网的主机上运行;
• 对用户进程执行、用户操作、移动存储设备、Windows防火墙、访问控制以及非法外联等日志进行审计分析;• 满足网络安全法及等级保护2.0中对于审计日志的相关要求。
• 支持windows2000及以32位/64位操作系统;• 支持Redhat、Centos、麒麟、凝思等主流Linux操作系统。威努特简介北京威努特技术有限公司(以下简称“威努特”),成立于2014年,是国内专注于工控安全领域的国家高新技术企业,全球仅六家荣获国际自动化协会安全合规学会安全认证的企业之一。
威努特以率先独创的“白环境”整体解决方案为核心,研发了覆盖工控网络安全的5大类20款自主可控产品,拥有领先的核心技术及市场优势,成功为电力、轨道交通、烟草、石油石化、市政、智能制造、冶金及军工等国家重点行业五百余家客户提供了全面有效的安全保障,多次受邀为中共十九大、两会、“一带一路”、G20等重大活动进行网络安保工作,广泛参与工控安全领域的国家和行业标准制定,得到了国家多个政府部门和客户的高度认可。
威努特始终以保护我国关键信息基础设施网络空间安全为己任,为建设网络强国添砖加瓦!
渠道合作咨询 赵女士 18611234765
稿件合作 微信:Luo_xiaoran