等保2.0来了：这些基本要求建议你都搞明白

等保2.0的这些要求，建议你掌握。

本文关键字：等保2.0,基本要求

出自公众号：工程师江湖

请点击上面　　一键关注！

内容来源：威努特工控安全

【干货】最详细的等保2.0基本要求解读系列

等级保护2.0发布后，市场上铺天盖地的出现了众多解读文章，但大部分文章只停留在总体变化的描述，缺少对等级保护2.0具体条款与等级保护1.0具体基本技术要求的区别分析。

本文以帮助企业理解等级保护2.0基本要求为导向，对等级保护2.0和1.0在基本技术要求存在的区别进行具体分析。在等级保护2.0合规要求下，满足基本符合等级保护要求从1.0的60分提高到了2.0的75分，这无疑对企业、系统集成商和安全厂家提出了更高的要求和挑战：

下面将结合等级保护1.0（三级）的具体条款和等级保护2.0（三级）的关键条款变化进行详细的解读。（本文主要针对网络安全部分进行详细解读分析）

• 网络安全-关键条款变化

• 条款对比详解

• 整合内容详解

• 新增条款详解

由于等级保护2.0中将整体结构进行调整，从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心，所以原等级保护1.0中的“网络安全”变成“安全通信网络”。

在等级保护2.0中，在这一小节没有明显的变化，主要是将一些过于老旧的条款进行了删除，将原等级保护1.0中的c）d）g）删除。同时增加了“应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性”的条款，并将这一小节中的“子网、网段”都统一更换成了“网络区域”。

1) 企业或集成商进行网络基础建设时，必须要对通信线路、关键网络设备和关键计算设备进行冗余配置，例如关键网络设备应采用主备或负载均衡的部署方式；

2) 安全厂家在进行安全解决方案设计时，也应采用主备或负载均衡的方式进行设计、部署；

3) 强调、突出了网络区域的概念，无论在网络基础建设，还是安全网络规划，都应该根据系统应用的实际情况进行区域划分。

在等级保护2.0中，对于访问控制这一节变化较大，首先将等级保护1.0访问控制这一小节从原来网络安全中的条款变更到安全区域边界这一节中，其次删除了等级保护1.0中大部分条款，如上图，将c）d）e）f）g）h）全部删除。同时在上一节网络架构提出网络区域的基础上，进一步强调区域的概念，强调应在网络边界或区域之间部署访问控制设备，并强调了“应对进、出网络的数据流实现基于应用协议和应用内容的访问控制”，对应用协议、数据内容的深度解析提出了更高的要求。

1)  要着重考虑网络边界的访问控制手段，但网络边界不仅仅是业务系统对其他系统的网络边界，还应该包括在业务系统内不同工艺区域的网络边界；

2)  访问控制的颗粒度要进一步的强化，不仅仅要停留在对于HTTP,FTP,TELNET,SMTP等通用协议的命令级控制程度，而是要对进出网络数据流的所有应用协议和应用内容都要进行深度解析；

3）企业用户在进行网络安全防护项目招标时一定要考虑参与投标的安全厂家所采用的边界访问控制设备是否具备对应用协议深度解析的能力，例如在工业控制系统，除了能够对比较常见的OPC、ModBus TCP、DNP3、S7等协议进行深度解析外，还需要根据现场业务实际情况，对业务系统中使用的私有协议进行自定义深度解析，否则很难达到测评要求。

在等级保护2.0中，将等级保护1.0安全审计这一小节从原来网络安全中的条款变更安全区域边界这一节中，将原条款的c）去掉，并对其他三条都进行了强化，尤其是a）条款，同时增加了“应能对远程访问的用户行为、访问互联网用户行为等都进行行为审计和数据分析”。

1) 重点强调了需要在网络边界、重要网络节点处进行网络行为审计，要求企业在进行网络安全防护项目时要充分考虑网络边界和重要网络节点的行为审计能力，例如在城市轨道交通信号系统中，车站分为一级集中站、二级集中站和非集中站，结合等级保护2.0的要求，需要在一级和二级集中站都要考虑部署具备网络行为审计能力的安全产品。而仅仅在一级集中站内部署具有网络行为审计能力的产品是不够的。

2) 重点强调网络行为审计，即对网络流量进行审计，而这仅仅靠原有的日志审计类产品是不够的，无法满足等级保护2.0的要求。

将这三点放到一起是因为彼此之间具备一定的连带关系，将等级保护1.0中的边界完整性检查、入侵防范和恶意代码防范这3节都变更到等级保护2.0中的安全区域边界中。在边界完整性检查的这一节中，原等级保护1.0中要求必须准确定位并有效阻断非法外联、内联的行为，但在等级保护2.0中要求中，提出了“防止或限制”的要求，取消了原等级保护1.0中的“定位”要求；入侵防范这一节中，主要提出了对于网络行为的分析，并且能够实现“已知”和“未知”的攻击行为检测能力。

1) 对于企业和系统集成商，在进行网络安全防护项目招标时要充分考虑对于在等级保护2.0中所提出的对于“已知”和“未知”的检测要求。尤其在进行安全厂家选择时，要重点考虑安全厂家对于“未知”攻击的检测能力；

2) 对于安全厂家，网络安全审计或入侵检测产品不应仅仅局限在采用“特征库”的形式进行攻击检测，因为采用以“特征库”为模板的形式无法对“未知”攻击进行检测；

3) 对于安全厂家，入侵防范的范围变化，需要在网络安全解决方案设计时充分考虑，不应仅仅在网络边界处进行入侵防范，还需要在网络中的关键节点处均需要进行入侵防范。

该小节在等级保护2.0全部被删除，并整合到“安全计算环境”中。

对企业、安全厂家、系统集成商提出的要求：

1)  集成商进行业务应用软件设计时，应考虑业务应用系统在“用户名”+“口令”的基础上进一步实现通过密码技术对登录用户的身份进行鉴别，同时应避免业务应用系统的弱口令问题；

2)  集成商进行业务应用软件设计时，应充分考虑用户权限的控制以及用户在登录失败后的处理机制；

3)  企业在业务运营期间不可通过不可控的网络环境进行远程管理，容易被监听，造成数据的泄露，甚至篡改；

4)  安全厂家在进行安全产品选用时，应采用具有两种或以上的组合鉴别方式的安全防护软件对登录系统的管理用户进行身份鉴别。满足本地身份认证和第三方远程身份认证双因子验证要求。

1)  集成商进行业务应用软件设计时，应充分考虑用户权限的控制以及用户在登录失败后的处理机制，确保业务应用系统不存在访问控制失效的情况；

2)  企业或集成商在进行系统配置时，应为用户分配账户和权限，删除或重命名默认账户及默认口令，删除过期、多余和共享的账户；

3)  安全厂家在进行安全产品选用时，应采用符合强制访问控制要求的安全防护软件对主机、系统进行防护，可以有效的降低高风险项的风险等级。

1)  对集成商而言，业务应用系统软件的安全审计能力至关重要，需要能够对重要用户操作、行为进行日志审计，并且审计的范围不仅仅是针对前端用户，也要针对后端用户；

2)  对企业来说，在基础建设时应该在重要核心设备、操作系统、数据库性能允许的前提下，开启用户操作类和安全事件的审计策略，并在安全运营的过程中对策略的开启定期检查；

3)  安全厂家在进行安全审计产品选用时，应采用可以覆盖到每个用户并可对重要的用户行为和重要安全事件进行审计的产品。可利用日志审计系统实现对日志的审计分析并生产报表，通过堡垒机来实现对第三方运维操作的审计。

1)  企业或集成商在进行系统安装时，遵循最小安装原则，仅安装业务应用程序及相关的组件；

2)  企业或集成商进行应用软件开发时，需要考虑应用软件本身对数据的符合性进行检验，确保通过人机接口或通信接口收到的数据内容符合系统应用的要求；

3)  企业或集成商在选择主机安全防护软件时除了要考虑主机安全防护软件的安全功能以外，还要考虑与实际业务场景结合的问题，能够有效的帮助业主解决实际痛点。工业现场大部分现场运维人员对安全知之甚少，很难严格按照等级保护要求将安全配置一一完善，所以选择的主机安全防护软件应可以通过最简单的配置来满足等级保护的要求；

4)  解决安全漏洞最直接的办法是更新补丁，但对于工业控制系统而言，打补丁的动作越谨慎越好，避免由于更新补丁而影响到生产业务。该条款需要企业委托第三方工控安全厂家对系统进行漏洞的扫描，发现可能存在的已知漏洞，根据不同的风险等级形成报告，企业或集成商根据报告在离线环境经过测试评估无误后对漏洞进行修补。

1) 集成商进行整体架构设计时，应合理设置安全管理中心，且安全管理中心内的管理系统应具备系统管理员配置和管控的相应功能；