等級保護2.0發布後,市場上鋪天蓋地的出現了衆多(duō)解讀文(wén)章,但大部分(fēn)文(wén)章隻停留在總體(tǐ)變化的描述,缺少對等級保護2.0具(jù)體(tǐ)條款與等級保護1.0具(jù)體(tǐ)基本技(jì )術要求的區(qū)别分(fēn)析。
本文(wén)以幫助企業理(lǐ)解等級保護2.0基本要求為(wèi)導向,結合威努特多(duō)年的等級保護建設經驗,對等級保護2.0和1.0在基本技(jì )術要求存在的區(qū)别進行具(jù)體(tǐ)分(fēn)析。
在等級保護2.0合規要求下,滿足基本符合等級保護要求從1.0的60分(fēn)提高到了2.0的75分(fēn),這無疑對企業、系統集成商(shāng)和安(ān)全廠家提出了更高的要求和挑戰:
● 采用(yòng)何種安(ān)全技(jì )術手段、何種安(ān)全防護體(tǐ)系能(néng)夠滿足等級保護2.0基本要求?
● 如何為(wèi)企業提供既能(néng)解決用(yòng)戶切實的需求,又(yòu)合法、合規的安(ān)全解決方案?
● 如何幫助企業既能(néng)合理(lǐ)規劃網絡安(ān)全的費用(yòng)投入,又(yòu)能(néng)提高自身網絡安(ān)全防護能(néng)力,達到相關等級保護級别測評要求?
下面将結合等級保護1.0(三級)的具(jù)體(tǐ)條款和等級保護2.0(三級)的關鍵條款變化進行詳細的解讀。(本文(wén)主要針對網絡安(ān)全部分(fēn)進行詳細解讀分(fēn)析)、
1網絡安(ān)全-關鍵條款變化
由于等級保護2.0中(zhōng)将整體(tǐ)結構進行調整,從物(wù)理(lǐ)安(ān)全、網絡安(ān)全、主機安(ān)全、應用(yòng)安(ān)全、數據安(ān)全變成安(ān)全物(wù)理(lǐ)環境、安(ān)全通信網絡、安(ān)全區(qū)域邊界、安(ān)全計算環境和安(ān)全管理(lǐ)中(zhōng)心,所以原等級保護1.0中(zhōng)的“網絡安(ān)全”變成“安(ān)全通信網絡”。
結構安(ān)全-詳解
在等級保護2.0中(zhōng),在這一小(xiǎo)節沒有(yǒu)明顯的變化,主要是将一些過于老舊的條款進行了删除,将原等級保護1.0中(zhōng)的c)d)g)删除。同時增加了“應提供通信線(xiàn)路、關鍵網絡設備和關鍵計算設備的硬件冗餘,保證系統的可(kě)用(yòng)性”的條款,并将這一小(xiǎo)節中(zhōng)的“子網、網段”都統一更換成了“網絡區(qū)域”。
對企業、安(ān)全廠家、系統集成商(shāng)提出的要求
1) 企業或集成商(shāng)進行網絡基礎建設時,必須要對通信線(xiàn)路、關鍵網絡設備和關鍵計算設備進行冗餘配置,例如關鍵網絡設備應采用(yòng)主備或負載均衡的部署方式;
2) 安(ān)全廠家在進行安(ān)全解決方案設計時,也應采用(yòng)主備或負載均衡的方式進行設計、部署;
3) 強調、突出了網絡區(qū)域的概念,無論在網絡基礎建設,還是安(ān)全網絡規劃,都應該根據系統應用(yòng)的實際情況進行區(qū)域劃分(fēn)。
訪問控制-詳解
在等級保護2.0中(zhōng),對于訪問控制這一節變化較大,首先将等級保護1.0訪問控制這一小(xiǎo)節從原來網絡安(ān)全中(zhōng)的條款變更到安(ān)全區(qū)域邊界這一節中(zhōng),其次删除了等級保護1.0中(zhōng)大部分(fēn)條款,如上圖,将c)d)e)f)g)h)全部删除。同時在上一節網絡架構提出網絡區(qū)域的基礎上,進一步強調區(qū)域的概念,強調應在網絡邊界或區(qū)域之間部署訪問控制設備,并強調了“應對進、出網絡的數據流實現基于應用(yòng)協議和應用(yòng)内容的訪問控制”,對應用(yòng)協議、數據内容的深度解析提出了更高的要求。
對企業、安(ān)全廠家、系統集成商(shāng)提出的要求
1) 要着重考慮網絡邊界的訪問控制手段,但網絡邊界不僅僅是業務(wù)系統對其他(tā)系統的網絡邊界,還應該包括在業務(wù)系統内不同工(gōng)藝區(qū)域的網絡邊界;
2) 訪問控制的顆粒度要進一步的強化,不僅僅要停留在對于HTTP,FTP,TELNET,SMTP等通用(yòng)協議的命令級控制程度,而是要對進出網絡數據流的所有(yǒu)應用(yòng)協議和應用(yòng)内容都要進行深度解析;
3)企業用(yòng)戶在進行網絡安(ān)全防護項目招标時一定要考慮參與投标的安(ān)全廠家所采用(yòng)的邊界訪問控制設備是否具(jù)備對應用(yòng)協議深度解析的能(néng)力,例如在工(gōng)業控制系統,除了能(néng)夠對比較常見的OPC、ModBus TCP、DNP3、S7等協議進行深度解析外,還需要根據現場業務(wù)實際情況,對業務(wù)系統中(zhōng)使用(yòng)的私有(yǒu)協議進行自定義深度解析,否則很(hěn)難達到測評要求。
安(ān)全審計-詳解
在等級保護2.0中(zhōng),将等級保護1.0安(ān)全審計這一小(xiǎo)節從原來網絡安(ān)全中(zhōng)的條款變更安(ān)全區(qū)域邊界這一節中(zhōng),将原條款的c)去掉,并對其他(tā)三條都進行了強化,尤其是a)條款,同時增加了“應能(néng)對遠(yuǎn)程訪問的用(yòng)戶行為(wèi)、訪問互聯網用(yòng)戶行為(wèi)等都進行行為(wèi)審計和數據分(fēn)析”。
對企業、安(ān)全廠家、系統集成商(shāng)提出的要求
1) 重點強調了需要在網絡邊界、重要網絡節點處進行網絡行為(wèi)審計,要求企業在進行網絡安(ān)全防護項目時要充分(fēn)考慮網絡邊界和重要網絡節點的行為(wèi)審計能(néng)力,例如在城市軌道交通信号系統中(zhōng),車(chē)站分(fēn)為(wèi)一級集中(zhōng)站、二級集中(zhōng)站和非集中(zhōng)站,結合等級保護2.0的要求,需要在一級和二級集中(zhōng)站都要考慮部署具(jù)備網絡行為(wèi)審計能(néng)力的安(ān)全産(chǎn)品。而僅僅在一級集中(zhōng)站内部署具(jù)有(yǒu)網絡行為(wèi)審計能(néng)力的産(chǎn)品是不夠的。
2)
重點強調網絡行為(wèi)審計,即對網絡流量進行審計,而這僅僅靠原有(yǒu)的日志(zhì)審計類産(chǎn)品是不夠的,無法滿足等級保護2.0的要求。
邊界完整性&入侵防範&惡意代碼防範-詳解
将這三點放到一起是因為(wèi)彼此之間具(jù)備一定的連帶關系,将等級保護1.0中(zhōng)的邊界完整性檢查、入侵防範和惡意代碼防範這3節都變更到等級保護2.0中(zhōng)的安(ān)全區(qū)域邊界中(zhōng)。在邊界完整性檢查的這一節中(zhōng),原等級保護1.0中(zhōng)要求必須準确定位并有(yǒu)效阻斷非法外聯、内聯的行為(wèi),但在等級保護2.0中(zhōng)要求中(zhōng),提出了“防止或限制”的要求,取消了原等級保護1.0中(zhōng)的“定位”要求;入侵防範這一節中(zhōng),主要提出了對于網絡行為(wèi)的分(fēn)析,并且能(néng)夠實現“已知”和“未知”的攻擊行為(wèi)檢測能(néng)力。
對企業、安(ān)全廠家、系統集成商(shāng)提出的要求
1) 對于企業和系統集成商(shāng),在進行網絡安(ān)全防護項目招标時要充分(fēn)考慮對于在等級保護2.0中(zhōng)所提出的對于“已知”和“未知”的檢測要求。尤其在進行安(ān)全廠家選擇時,要重點考慮安(ān)全廠家對于“未知”攻擊的檢測能(néng)力;
2) 對于安(ān)全廠家,網絡安(ān)全審計或入侵檢測産(chǎn)品不應僅僅局限在采用(yòng)“特征庫”的形式進行攻擊檢測,因為(wèi)采用(yòng)以“特征庫”為(wèi)模闆的形式無法對“未知”攻擊進行檢測;
3) 對于安(ān)全廠家,入侵防範的範圍變化,需要在網絡安(ān)全解決方案設計時充分(fēn)考慮,不應僅僅在網絡邊界處進行入侵防範,還需要在網絡中(zhōng)的關鍵節點處均需要進行入侵防範。
網絡設備防護-詳解
威努特依托于多(duō)年在工(gōng)控行業深耕,自主研發的工(gōng)業防火牆和工(gōng)業互聯防火牆可(kě)應用(yòng)在不同的工(gōng)業網絡安(ān)全防護場景内,除具(jù)備傳統防火牆的訪問控制等基礎功能(néng)外,能(néng)夠對ABB、Siemens、Emerson、GE、OMRON、Yokogawa、Honeywell、Schneider等主流廠商(shāng)的50多(duō)種工(gōng)業協議識别,并支持OPC Classic、Modbus TCP/RTU、Siemens S7、Ethernet/IP(CIP)、IEC104、MMS、DNP3、Profinet、Omron Fins等協議的深度報文(wén)解析。
同時威努特工(gōng)業防火牆還提供工(gōng)業協議解碼引擎,支持按标準協議語言描述增加自行定義私有(yǒu)協議,提供開放的平台接口,方便客戶自行擴展支持私有(yǒu)協議,支持定制化的二次開發。
“已知”“未知”攻擊檢測
威努特工(gōng)控安(ān)全監測與審計系統是專門針對工(gōng)業控制網絡的信息安(ān)全審計系統,支持多(duō)種工(gōng)控協議的深度解析(DPI),采用(yòng)“白名(míng)單+智能(néng)學(xué)習”技(jì )術建立工(gōng)控網絡安(ān)全通信模型,對工(gōng)控網絡中(zhōng)的異常流量進行實時監測和告警,實現對“已知”“未知”攻擊防範,詳實記錄一切網絡通信行為(wèi),為(wèi)工(gōng)業控制網絡安(ān)全事件調查提供依據。采用(yòng)旁路部署方式,對生産(chǎn)過程“零影響”。
