新聞資訊 News information

等保2.0之工控安全一紙禪

發布時間:2019-04-10

近日,朋友圈被“等級保護將步入一個新的階段,等級保護2.0標準有望在4月出臺“的消息刷屏,筆者作為工控網絡安全領域的工作者,對等保2.0的發布亦是望眼欲穿,本次的官宣,被普遍認為“第二只靴子”終于要落地了。

image001.jpg

image002.jpg

等保2.0標準是一系列文件,最基本的應包含如下三個文件,經了解,如4月發布,以下三個標準會同期發布:

《信息安全技術網絡安全等級保護安全設計技術要求》

《信息安全技術網絡安全等級保護基本要求》

《信息安全技術網絡安全等級保護測評要求》

一般提及等保2.0標準,多代指《信息安全技術網絡安全等級保護基本要求》,簡稱《基本要求》

image003.jpg

眾所周知,與“等保1.0”相比,“等保2.0”擴大了保護對象的范圍、豐富了保護方法、增加了技術標準,其中工業控制系統也在等級保護的對象中,并將風險評估、安全監測、通報預警、數據防護、應急處置、自主可控等工作措施全部納入等保制度,這也將充分調動評測機構、服務機構、科研院所等共同推動整個等保制度的落實,在閱讀《基本要求》過程中,筆者對于標準中部分要求在工業控制系統領域的應用、實施總結了些思考,與大家探討。

等級保護兩次被《中國人民共和國網絡安全法》(下稱:《網絡安全法》)“點名”,第一次明確國家實行網絡安全等級保護制度,第二次就明確了關鍵信息基礎設施要在網絡安全等級保護制度的基礎上,實行重點保護。官方材料“關鍵信息基礎設施的安全保護等級不低于第三級”的論斷也符合網絡安全從業者的基本判斷。能源、交通、水利、金融、公共服務作為關鍵信息基礎設施的主力軍,在其生產網絡開展安全建設勢在必行

image005.jpg


對于企業組織、人員的要求

無論是《網絡安全法》還是《基本要求》均要求企業設置專門安全管理機構和安全管理負責人。建議組織形式上應按三級開展架構設置,以總經理或分管副總牽頭的決策層,以IT或生產主管為主的監督指導層,以專職和兼職的技術人員任職的執行層。在人員管理上從錄用、離崗、培訓教育等方面開展工作,要求在崗人員能力滿足、保密協議已簽、離崗人員權限清零;調離手續嚴格,外部人員全程陪同、最小權限、調離保密協議已簽。做到企業網絡安全方針策略明確,安全要求下達通暢、安全問題上送無阻,安全管理制度流程健全、監督嚴格,安全管理、技術措施執行到位。

image006.jpg

對安全方案、技術產品的選擇

在介紹本部分之前,我們花一點時間再介紹一下當前《基本要求》,近期依然看到不少文章還在用舊版本做解讀和引用。如上文所述,《基本要求》在整體架構上有兩次大幅修訂,用下表對比一下這兩次變化。(以第三級安全要求為例)

image007.jpg

從上表中不難看出,《基本要求》編制專家組在文檔整體架構描述邏輯上一直在尋求工控安全業務和網絡安全技術相融合、協調,最終選定的方案在筆者看來具備良好的可閱讀性和可操作性,也同時解決了設計要求和基本要求脫節的問題,早在GB/T25070-2010 《信息安全技術信息系統等級保護安全設計技術要求》中就已經提出“一個中心、三重防護”即:

“……通過第三級的安全計算環境、安全區域邊界、安全通信網絡以及安全管理中心的設計加以實現。”

網絡安全最高頻詞匯“縱深防御”在基本要求標準上終于落地。

可信機制成為優選項

1.png

2000年初,可信的概念就在中國落地發芽,經過近20年的積累、發展終于在《基本要求》中明確體現。尤其是在惡意代碼防護要求中提到的主動免疫可信驗證機制在工業控制系統安全領域非常適合,已經成為工控安全病毒防護的主流技術選擇,AWL(ApplicationWhiteListing)經過近幾年工控安全產業實踐,基于應用程序啟動控制的“白名單”技術由于其資源占用小、兼容性好、可抵御“0day”,尤其是不存在升級且規避了殺毒軟件誤殺的問題已經被廣泛接受和應用。公安部計算機信息系統安全產品質量監督檢驗中心對應AWL的檢測標準“文件加載執行控制”已經有40家企業通過檢測,幾乎是所有工控安全從業廠商不二的選擇。面對越來越復雜難纏的惡意程序,如載體為“腳本”、“宏”,傳播通過“遠程溢出”等方式,對于企業業主來說市面產品過于“琳瑯滿目”,不少產品還停留在針對exe、bat、dll文件甚至進程級的控制,面對越來越高級的病毒傳播方式顯得束手無策,自身都漏洞百出。考察一款AWL產品是要特別注意以下三點:

1、AWL產品支持的PE文件類型種類是否豐富。

2、AWL產品自身強壯性是否可靠。

3、AWL產品工程實施是否具備可行性。(上來就安裝程序而不做先期查毒清毒工作,對工業主機病毒防護簡直是災難)

除了工業主機惡意代碼防范采用可信機制,目前工業防火墻、工業流量監測審計等產品也都普遍采用“白名單”機制,可信思想的核心機制“認證”、“度量”在工業控制系統的特殊環境下得到了充分的發揮和應用。

邊界明確要求單向隔離

2.png

相信大部分業主看到這條要求,第一反應就是不可能,“生產網和辦公網還混在一起呢”、“生產網里面還有視頻呢”、“生產網給辦公網送數據,兩邊通信還是TCP協議呢”、“辦公網和生產網還共用一個三層核心呢”種種種種……。筆者在看到這條要求的時候,站在網安從業者角度我認為沒錯,確實物理上保證了不會有惡意流量從邊界進入生產網,但站在業主角度,業務完整性和安全性確實難以兩全。基于此建議如下:

1、著手開始“兩改”工作,一是逐步開始雙網改造,如生產控制網和視頻網的分離,暫時做不到物理隔離的,就先做到邏輯隔離如劃分vLan;二是生產辦公隔離措施兩邊的應用做單向通信改造,如UDP。

2、在“兩改”完成前,利用防火墻或雙向隔離網閘完成安全隔離,安全策略要嚴格,通常在隔離措施兩邊的通信不會是多對多,ACL要仔細設置;隔離措施應能檢測工業控制協議并阻斷,在生產和辦公之間通常不會有控制協議,最多會出現數采協議如OPC。

3、在邊界處部署基于流量的惡意代碼檢測和漏洞利用監測措施。

4、對于新建網絡,初期就應在網絡架構設計和應用的選取上就考慮此問題。電力生產企業是非常好的范例,所有電力生產企業的生產控制大區和管理信息大區之間必須實施專用正反向隔離裝置,效果良好。

設立安全管理中心

3.png

在GB/T22239—2008中,在技術要求部分沒有明確要求設置管理中心,在其“管理要求—>系統運維管理下—>監控管理和安全管理中心c)應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。”,然而這里的安全管理中心與當前《基本要求》的安全管理中心從內涵和外延上都有顯著差異,當前的安全管理中心一是承擔著對現網安全設備、安全軟件策略管理、告警收集、日志分析的基礎任務,二是承擔對當前網絡開展脆弱性評估、威脅行為識別、設備狀態采集、安全事件溯源、安全指數量化等進階任務。

在工控網絡下,工控網絡通常物理范圍較大,廠房較多,對于安全設備僅提供就地管理顯然不合適,更不要說SCADA一類的工控系統了,安全管理中心大幅提高了運維管理效率,同時更關鍵的一點也充當了安全管理員的“眼睛”,網絡安全的價值不再是“Nonews is good news”,價值通過可視化的角度以豐富的樣式、統計、分析得以展現。

時下,“網絡安全態勢感知”是圈里最時髦的詞,《基本要求》對于安全管理中心的強調剛好為整體態勢感知提供了基礎條件。尤其對生產企業集團層面,基于生產側的安全管理中心構建的中心級平臺既能對集團生產網絡安全做宏觀掌控,亦能對具體企業做安全建設指導,在安全管理上實現閉環。

強調基于業務需求“最小化”

4.png

最小化權限是網絡安全策略設計的一般概念和常規措施,無論是業務人員、IT運維管理人員此類的實體用戶,還是操作系統用戶、數據庫用戶此類的虛擬主體,在為其分配操作權限、范圍邊界時都要按照“所需即所得”的原則來處理。這里收縮權限、框定范圍并不是對實體用戶或虛擬主體的完全不信任,而是在最小化權限下一旦出現事故,其范圍、程度也是最小的,是一種典型風險控制的機制。

在這里對“最小化”做一點延伸,目前公認的工控安全防護技術路線“白名單”也是在做一種“最小化”,通過對工控業務的學習建立最小化行為模型,這個模型越逼近真實業務輪廓,安全防護、異常檢測的效果就越好。在工業控制系統環境下,業務相對清晰,允許用技術語言描述業務行為,無論是權限管理上的最小化還是基于業務的“白名單”都是為生產提供“充分必要”的安全保障。

威努特擁有ISCCC信息安全服務風險評估資質,是信息安全等級保護安全建設服務機構和公安部工控等保工具箱研制單位,根據對國家等級保護規范的深度解析,研發了覆蓋工控安全的5大類20款自主可控安全產品,可為開展等保2.0檢查工作提供有力支撐,促使檢查評估工作高效執行。同時,為工業用戶提供工控安全咨詢、安全評估、安全建設、安全應急、安全培訓、安全檢查的全生命周期工控安全服務,幫助用戶通過評測獲得等保測評報告。

等保2.0的發布勢必會釋放不少處于觀望的市場空間,如何更好的為生產企業提供更優秀的解決方案與產品是我們必須要回答的問題。工控安全無論是市場還是技術都還有很大的成長空間,對于關鍵信息基礎設施的安全保護是網安人的責任與榮耀,希望借本文拋磚引玉,共同推進工控安全市場與技術的蓬勃發展。


威努特官方二維碼

掃一掃關注我們威努特官方網站 來了解我們更多資訊

地址:北京市海淀區上地三街9號嘉華大廈F座901室
郵箱:support@winicssec.com
微信公眾號:winicssec_bj
4000-680-620 24小時服務熱線
Copyright ? 2016 Winicssec All Rights Reserved 版權所有 京ICP備14062383號-1