2020年1月14日,微软宣布停止对Windows7操作系统的更新服务,并停止技术支持、软件更新和安全问题的修复。这一举措将有效的提升 Windows10及 Windows11操作系统的应用和普及。
2022年5月26日,全国信息安全标准化技术委员会组织编制了《网络安全标准实践指南—Windows 7操作系统安全加固指引》(以下简称:防护指南)发布。该实践指南从安全防护加固和安全配置加固两个方面,给出了Windows 7操作系统本地安全防护和安全策略配置建议,旨在帮助用户降低Windows 7操作系统停服后带来的网络安全风险,详细内容见附件1。
指南的发布对 Windows7系统的安全防护给出了明确的指引和建议,但是考虑设备系统的可用性,部分加固项内容在实际项目中无法进行配置(例如:超5成以上的主机无法开启Windows防火墙),很多老旧主机,配置资源有限,也无法对已知漏洞完成全部更新。如何在现有的主机资源和条件基础上,通过合适的手段和措施,实现主机的安全加固和安全防护,满足等保要求,是我们需要共同研究的课题。
下文将结合防护指南、测评标准以及多年上以万计的主机安全防护实施实际防护经验,从测评标准要求角度,将等保测评中涉及主机加固项相关内容摘取出来,总结相关适用于工控系统、满足等保要求的安全加固措施清单,供各位读者学习和参考,有不正之处,还请私信反馈。
控制点:表示此项测评主要涉及主机层面网络安全的方向。
测评项:表示等保测评的重点检查内容。
权重:是指该项测评指标的重要程度权重占比,权重值为1-3,权重数值越高表示该项的重要程度越高,权重为1时为一般测评指标,权重为2时为重要测评指标,权重为3时为关键测评指标。单个测评项的基础分为S分,一般测评指标不符合扣1倍S分,重要测试指标不符合扣2倍S分,关键测评指标不符合扣3倍S分。
适用范围:等保测评的等级分析一到五级,实际进行等保测评的系统一般为二级至四级系统。随着等保防护等级提升,网络安全防护要求也逐步加强。适用范围表示该测评项是从哪一级测评要求被提出的。
Windows7加固项措施:具体的主机加固及安全配置内容。
主机卫士安全对应手段:关于要求主机卫士如何进行配置策略,满足要求。
操作步骤:详细的主机加固及安全配置的操作步骤和配置方法。
【一键检测】安全基线功能基于等保、电力等标准和行业要求结合工控系统主机安全加固需求形成了八大类49项主机安全加固项,通过一键检测功能,实现主机加固前的安全配置检查,快速了解主机安全加固状态,帮助制定有效安全策略。
【一键加固】安全基线功能基于等保、电力等标准和行业要求结合工控系统主机安全加固需求形成了八大类49项主机安全加固项,通过内置的“电力标准级”、“等保标准级”、“自定义”模板,根据实际场景需求,实现“主机一键安全加固”功能。并且支持将当前的自定义加固项形成“定制化”加固模板导出,在其他主机上部署应用。
【一键恢复】在工控系统现场,业务系统的可用性、连续性是必须保障的。在以往的实施经验中经常出现部署网络安全防护以后,业务系统异常情况,该异常不确定是否和网络安全防护相关,为减少对系统和业务影响,尽快定位原因,快速恢复业务,除了做好实施规范的应急响应之外,主机卫士自身设计了“多控制模式”和安全基线的“一键恢复”功能。该通过在部署主机卫士之前记录主机安全基线正常运转状态策略,在出现异常时,快速恢复策略配置,实现安全基线策略影响的快速排除和恢复。
主机的安全防护不仅仅靠主机安全加固就能够保障安全,还需建立主机的纵深安全防御体系,威努特工控主机卫士通过程序白名单、网络白名单、安全基线、外设管控、非法外联、双因子认证、访问控制、漏洞防护八大核心功能构建构建工业主机安全计算环境的“四重锁定,两个中心”。
外设锁定:通过对于无线网卡、RD-ROM、U盘、蓝牙、串口、并口的管控,保障主机仅能够通过安全U盘进行安全数据摆渡。同时固化外部通信接口,保障仅能够通过网口进行通信。
网络锁定:通过对于系统防火墙的接管,实现对于主机的通信出入站规则进行固化和限制,并通过智能自学习方式,快速确认和建立最小化的出入站规则,实现通信关系的锁定。
系统锁定:通过操作系统自身的安全属性配置内置进工控主机卫士的安全基线中,通过检测和执行,保障操作系统自身安全策略的有效,避免未授权的更改。从而实现工业主机自身系统运行环境和资源的锁定。
应用锁定:通过白名单自学习,建立主机的最小化的程序运行环境,阻止非法程序执行,避免恶意代、非法程序的运行。通过强制访问控制策略,实现操作系统用户或进程对应用等访问关系的控制,实现了应用锁定。
统一安全管理中心:通过部署网络版主机卫士,实现主机卫士策略的集中管理、状态集中监控、统一的维护升级。
安全状态监测中心:通过部署网络版主机卫士上传的主机操作系统日志、安全告警日志、安全检测信息,进行日志范化和关联分析,形成主机资产的安全画像,实现主机的资产集中监控、漏洞集中管理、威胁综合分析、安全状态动态评估。
01
安全计算环境
02
安全管理中心
03
其他安全
除了等保合规的检查项,工控主机卫士根据实际主机的应用场景、加固需求,形成了49项安全基线加固项,内置了电力标准级、等保标准级、自定义三类安全加固模板,可根据情况选择合适的安全加固措施,提升Windows7主机的自身安全防护。下文补充了除了等保的相关条目其他的主机卫士安全基线策略,供学习和参考。
附件1:《网络安全标准实践指南——Windows 7操作系统安全加固指引》
附件2: Windows 7 IP安全策略批处理脚本(封445端口为例)。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!
原文始发于微信公众号(威努特工控安全):工控系统Windows7主机等保合规看这个就够了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论