1
综述
安全计算环境作为“一个中心、三重防护”纵深防御体系的最后一道防线,起着举足轻重的作用,不具备安全防护能力的计算环境,极为容易成为被黑客攻击的对象,从而导致不可预估的安全影响。
因此,本文将针对等保2.0第三级安全防护要求中安全计算环境防护的关键点进行总结,并给出安全控制点应对建议措施,以供各位读者进行查阅。
2
安全计算环境建设关键点总结
2.1安全计算环境建设对象
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》规定了安全计算环境测评对象,包括终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
可得出安全计算环境建设对象一般为主机、服务器、数据库、应用系统、交换机、安全设备等。
2.2安全通用要求
在等保三级的安全通用要求中,安全计算环境防护分11类安全控制点,共34个测评项(包含11个关键测评项,15个重要测评项和8个一般测评项)。
下面我们将对安全计算环境的控制点进行防护建设关键点总结。
注:测评指标分为一般、重要和关键,关键测评指标不符合将扣除3倍基准分,重要测评指标不符合扣除2倍基准分,一般测评指标不符合扣除1倍基准分。
2.2.1 身份鉴别关键点总结
-
标准要求
-
关键点总结
身份鉴别的关键点总结:
(1) 用户登录身份鉴别信息具有复杂度要求并定期更换;
(2) 设置登录失败处理、限制非法登录次数等安全措施;
(3) 远程管理应采用必要措施防止信息窃听;
(4) 采用两种或以上的鉴别技术,且至少一种为密码技术。
-
关键点建设措施
身份鉴别关键点建设措施:
(1) 针对网络设备、安全设备、数据库管理系统、业务应用系统等对象应在系统中设置用户登录密码复杂度要求,设置定期更换的时间;针对主机、服务器的操作系统,如工程师站、操作员站、历史站、上位机、服务器等,可采用主机加固系统开启安全基线加固功能,对账户及账户密码的长度、复杂度、使用期限进行设置;
(2) 针对网络设备、安全设备、数据库管理系统、业务应用系统、主机/服务器操作系统等对象配置结束会话、限制管理员的最大登录失败次数、网络连接超时自动退出等多种措施,如没有相应设置则可采用堡垒机或其他远程工具设置超时自动退出、登陆失败处理等功能,达到部分符合要求效果;
(3) 进行远程管理应当采用SSH、HTTPS、RDP(RDP协议需启用加密功能)等加密方式进行管理,防止远程操作过程被窃听;例如在需要第三方人员进行远程运维、升级维护或不在现场需远程操作时,可采用堡垒机或其他远程工具支持以上加密协议实现远程管理;
(4) 鉴别技术一般包括静态口令(账号密码)、短消息认证、邮件认证、动态口令令牌、USB-KEY、指纹、面部、虹膜、声音等方式,其中静态口令结合USB-KEY由于其技术成熟且操作方便,是目前最常使用的双因子认证方式。针对主机、服务器的操作系统,比如工程师站、操作员站、历史站、上位机、服务器等,可采用账号密码结合USB-KEY方式实现双因子认证;针对网络设备、安全设备、数据库管理系统、业务应用系统等对象,设备及系统自身需支持两种或以上的鉴别技术,无法实现的设备及系统则采用堡垒机实现双因子认证登录,如交换机等网络设备通过堡垒机设置双因子认证、权限划分实现安全登录。
2.2.2 访问控制关键点总结
-
标准要求
-
关键点总结
访问控制的关键点总结:
-
关键点建设措施
访问控制关键点建设措施:
(1) 针对主机、服务器的操作系统,如工程师站、操作员站、历史站、上位机、服务器等,在操作系统中删除默认用户,设置新的用户及权限,定期更改账户密码及删除多余、过期账户。采用主机加固系统提升主客体的安全访问控制能力,设置当前操作系统不同用户对不同目录和文件的访问权限,限制越权访问;
(2) 针对网络设备、安全设备、数据库管理系统、业务应用系统等对象,如交换机、防火墙、入侵检测、数据库、应用系统等,在管理系统中设置三权分立账号,不同账户实现不同管理权限,定期更改账户密码及删除多余、过期账户。
2.2.3 安全审计关键点总结
-
标准要求
-
关键点总结
安全审计的关键点总结:
对安全计算环境的对象启用安全审计功能,对重点的用户行为和安全事件进行审计,并对相应审计记录进行定期备份。
-
关键点建设措施
安全审计关键点建设措施:
主机、服务器、数据库、应用系统、交换机、安全设备日常运行时会产生大量的系统日志、操作日志、安全日志,采用日志审计类设备对其进行日志收集及安全审计,对重点的用户行为和安全事件进行审计,并对相应审计记录进行定期备份。
2.2.4 入侵防范关键点总结
-
标准要求 ![【等保专题】等保三级网络安全计算环境建设关键点总结]( "【等保专题】等保三级网络安全计算环境建设关键点总结")
-
关键点总结
入侵防范的关键点总结:
(1) 围绕业务进行组件和应用程序的安装,关闭不需要的系统服务、高危端口;
(2) 对通过网络进行管理的终端进行限制,允许可信的接入方式或网络地址范围进行管理;
(3) 提供数据有效性检验,保障输入的内容符合系统设定要求,主动对于系统进行漏洞扫描,及时进行修复;
(4) 具备入侵防护能力,能够实现检测及报警。
-
关键点建设措施
入侵防范关键点建设措施:
(1) 最小安装原则主要对应主机和服务器,如工程师站、操作员站、历史站、上位机、服务器等,需要根据业务应用所需的组件和应用程序进行界定,在满足业务需求下实现,避免其他不必要的软件引入新的安全威胁,可采用主机加固系统进行白名单建设,且对于不必要使用的系统服务、端口进行关闭;
(2) 针对主机、服务器、数据库、应用系统、交换机、安全设备等,建议系统设定终端接入方式、网络地址范围等条件限制终端登录,如Windows防火墙启用,设置相应的入站规则来限制终端登录;或从网络方面对登录终端的接入方式和地址范围进行限制,通过网络设备、堡垒机或硬件防火墙对终端接入方式、网络地址范围等条件实现限制;
(3) 数据有效性校验功能主要针对SQL注入和XSS注入等方式。应对SQL注入,在开发设计时需要规定变量数据类型和格式,过滤特殊符号或者进行转义,使用预编译绑定变量的SQL语句,对于数据库的账号进行权限划分和管理;对于XSS注入防护,可采用转义HTML特殊字符,清除HTML标签,或结合实际情况进行防护;部署漏洞扫描类设备主动去寻找风险点,漏洞进行验证确定,确认利用的可能性以及损失程度进行及时修复,同时也能实现对于SQL注入漏洞的及时检测及修复;
(4) 实现全网络的入侵检测能力,无论是网络边界还是主机层面,能够覆盖到每一个设备、操作系统、应用系统及终端,采用主机加固系统实现主机层面的安全防护,实现对于入侵行为的检测并阻断。
2.2.5 恶意代码防范关键点总结
-
标准要求
-
关键点总结
恶意代码防范的关键点总结:
需对于恶意代码攻击及时进行防御且阻断。
-
关键点建设措施
恶意代码防范关键点建设措施:
恶意代码防范主要对应主机和服务器,对于工业控制场景,如工程师站、操作员站、历史站、上位机、服务器等,采用主机加固系统进行白名单建设,恶意代码无法在主机和服务器上执行,从而保障业务及系统的正常运行;对于日常办公场景,则采用杀毒软件进行防护,及时更新病毒库,对恶意代码进行检测及清除。
2.2.6 数据完整性、保密性关键点总结
-
标准要求
-
关键点总结
数据完整性、保密性的关键点总结:
(1)传输数据的完整性与保密性;
(2)存储数据的完整性和保密性。
-
关键点建设措施
数据完整性、保密性关键点建设措施:
(1)重要数据在传输过程中可采用加密通信的方式对数据进行加密处理,例如采用SSH、VPN、TLS、HTTPS方式,例如网页采用HTTPS进行数据传输,业务数据经过加密再进行传输;关于传输的完整性,也可通过协议来实现,通过SSH、TLS、SSL协议采用消息校验码进行完整性校验,因此在传输过程中采用SSH、TLS、SSL协议,符合传输过程中的完整性和保密性要求;
(2)重要数据在存储过程中实现完整性有多种措施,第一种方式为采用RAID、备份、复制和CDP等数据保护技术可实现数据的完整性保护,比如存储服务器采用RAID进行存储或定期进行备份;也可以采用MD5、CRC、HMAC等完整性校验方式实现保护,数据在存储和应用前利用算法进行校验,以鉴别数据是否完整或经过纂改;或者采用数据防泄漏DLP方式预防数据泄露,来保障数据的完整性。而存储数据保密性则通过加密方式实现,可通过自带的加密功能或者外置的加密设备,如采用数据加密系统实现加密。
2.2.7 数据备份恢复关键点总结
-
标准要求
-
关键点总结
数据备份恢复的关键点总结:
重要数据本地备份和恢复能力,实时异地备份,重要数据处理系统的热冗余,保证系统的高可用性。
-
关键点建设措施
数据备份恢复关键点建设措施:
对于重要数据要实现备份及恢复能力,可采用备份一体机或其他备份设备进行重要数据的定期备份,在数据异常时能够提供快速恢复的能力,必要时进行异地备份,如采用数据上云方式或者异地机房存储方式;重要的业务系统、数据系统要实现双活方式,采用两套信息基础设施保障业务及系统的高可用性,故障时可以及时切换业务及系统。
2.2.8 剩余信息保护关键点总结
-
标准要求
-
关键点总结
剩余信息保护的关键点总结:
鉴别信息、敏感数据的存储空间被释放或重新分配前得到完全清除。
-
关键点建设措施
剩余信息保护关键点建设措施:
鉴别信息是指用户身份鉴别的相关信息,鉴别信息可以在系统中进行相应设置,定期进行数据清理;敏感数据是指个人信息或企业重要信息,需从业务系统的设计角度出发,设计前应该设置相应的清除机制。
2.2.9 个人信息保护关键点总结
-
标准要求
-
关键点总结
个人信息保护的关键点总结:
仅采集、保存业务所需的用户个人信息,并对此进行访问限制、使用限制。
-
关键点建设措施
个人信息保护关键点建设措施:
涉及用户个人信息,参照《互联网个人信息安全保护指南》、《互联网个人信息安全保护指引》(征求意见稿)等要求,在业务系统中仅采集、保存业务所需的用户个人信息,并对此进行访问限制、使用限制,设置相应的管理制度及执行,有效保护用户个人信息。
2.3 工业控制系统安全扩展要求
在工业控制系统安全扩展要求中,安全计算环境防护分1类安全控制点,共5个测评项(包含1个关键测评项,4个重要测评项)。
下面我们将对工控系统扩展要求中安全计算环境的控制点进行防护建设关键点总结。
2.3.1 控制设备安全关键点总结
-
标准要求
-
关键点总结
控制设备安全的关键点总结:
(1)控制设备或其上位的控制/管理设备满足安全通用要求提出的各项安全要求;
(2)控制设备保障稳定前提下进行补丁更新、固件更新等工作;
(3)对于外设接口进行严格的监控管理,不需要的可进行拆除;
(4)使用专用设备和专用软件对控制设备进行更新;
(5)保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。
-
关键点建设措施
控制设备安全关键点建设措施:
(1)由于工业控制系统中专用软件较多,所以相关应用软件和补丁可能存在兼容性问题。考虑到工业控制系统需长期稳定运行,在对控制设备进行补丁更新、固件更新时,需要对控制系统进行充分的测试验证、兼容性测试及严格的安全评估,在停产维修阶段对离线系统进行更新升级,以保证控制系统的可用性;
(2)软盘驱动、光盘驱动、USB接口、串行口或多余网口等控制设备/外设,为病毒、木马、蠕虫等恶意代码入侵提供了途径。关闭或拆除控制设备上不需要的外设接口,可以控制设备被病毒、木马、蠕虫等感染的风险,避免不需要的外设接口对工业控制系统造成破坏。如果不具备拆除条件或确需保留,可采用主机加固系统对外设进行管控、隔离存放有外设接口的工业主机/控制设备等安全管理技术手段进行严格管控;
(3)对控制设备,应使用专用硬件设备和专用软件进行更新,以确保专用设备和专用软件的独立性,防止交叉感染,可通过主机加固系统结合管理平台实现更新的闭环流程,实现软件的安全更新;
(4)控制设备上线前需要进行脆弱性检测以及恶意代码检测,可以采用漏洞扫描类设备或相关工具进行检测,以确保控制设备固件中不存在恶意代码程序。
3
结语
安全计算环境作为在技术部分中安全控制点最多的安全建设对象,涉及到主机层面、应用层面、数据层面、备份恢复层面等,是测评过程中最容易出现扣分的部分,因此,在安全计算环境防护建设的过程中应当足够重视,针对安全控制点结合单位、企业的具体情况进行分析及防护,才能有效保障主机、应用、数据的安全。
附:等级保护第三级安全计算环境防护建议
等保专题
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!
原文始发于微信公众号(威努特工控安全):【等保专题】等保三级网络安全计算环境建设关键点总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论