等级保护解决方案
体系化防护思路
主动防御:基于业务自身特点,从技术和管理两个方面进行安全设计,建立“可信、可控、可管”的安全防护体系,实现相应等级安全保护能力目标。
沈院士《重启可信革命-夯实网络安全等级保护基础》:
可信: 针对计算资源(软硬件)构建保护环境,以可信计算基(TCB)为基础,层层扩充,对计算资源进行保护,确保系统服务安全
可控: 针对信息资源(数据及应用)构建业务流程控制链,以访问控制为核心,实行主体(用户)按策略规则访问客体(信息资源),确保业务信息安全
可管: 保证资源安全必须实行科学管理,强调最小权限管理,高等级系统实行三权分离管理体制,不许设超级用户
赵勇《 等级保护安全设计技术要求及安全建设总体设计》:信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
可信:以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
可控:以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。
可管:通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于本平台对系统进行更好的管理,从而弥补了我国现在重机制、轻管理的不足,保证信息系统安全可管。
纵深防御:建设“一个中心”管理中下的“三重防护” 体系,分别对计算环境、区域边界、通信网络进行体系化防护和集中管理,通过实施多层隔离和保护,防止某薄弱环节影响整体安全。
动态防御(图待修订):
419讲话:网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。
全面感知——全天候全方位感知安全态势:对网络进行全面持续性安全监控和安全数据采集,综合利用安全知识、专家经验、分析模型、机器算法等进行数据分析挖掘,及时发现网络中存在的安全问题和潜藏的安全威胁。
情报结合——应用威胁情报的检测和防御:利用威胁情报填补安全检测系统对攻击者、攻击方式等情况的了解不足,帮助安全防御系统进行动态策略调整,提高对未知、新型威胁的检测、防御、追踪和预警能力。
联动防护——人机协同联动的响应和处置:通过良好定义的安全运营流程将安全人员、安全集中管控平台及各类安全产品有机地连接起来,协同联动,形成常态化能力,实现对网络攻击的快速响应和对安全事件的有效处置。
安全体系设计思路和总体框架
从现状梳理到方案设计,为用户规划全面的网络安全综合防御体系,通过建设实施、测评检查、运行维护、改进完善等后续工作,形成完整的网络安全工作闭环。
等保2.0基本要求中控制点和要求项的变化举例:
入侵防范:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。(APT监测)
恶意代码防范:应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。(反垃圾邮件)
可信验证:可对通信设备、边界设备、计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。(可信计算)
安全审计:应确保审计记录的留存时间符合法律法规要求;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。(上网行为管理)
集中管控:应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;应对分散在各个设备上的审计数据进行收集汇总和集中分析;应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;应能对网络中发生的各类安全事件进行识别、报警和分析。(SOC&态势感知)
个人信息保护:应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息。(数据安全管控)
二级要求可信验证,三级要求动态可信验证
二级要求个人信息保护
其他均三级
等级保护安全技术设计
国务院办公厅关于印发《政府网站发展指引》的通知(国办发〔2017〕47号)
政府网站是指各级人民政府及其部门、派出机构和承担行政职能的事业单位在互联网上开办的,具备信息发布、解读回应、办事服务、互动交流等功能的网站。
《政府网站系统安全指南》(修订草案)V0.1(20190225)
按照国家有关电子政务发展和实施的顶层设计,政府部门将信息化建设的基本要素(如网络、主机、数据库、中间件等)形成面向服务的具有安全和运行保障的有机整体,为各级各部门建设政府门户网站、政务服务大厅等业务系统准备好所有信息化基础设施资源,集中建设和共享使用共性运行环境和公共应用,支持各级各部门仅通过部署和配置业务应用软件即可开展信息化应用,实现政府网站业务系统建设与承载环境的分离。政府网站系统分层逻辑架构如图1所示。
政府网站
指政府机构在互联网上开办的,实现政府信息公开、在线服务、公众互动等功能的网站。
政府网站系统
指政府网站及支撑其运行的物理环境、网络环境、软硬件及产生和发布的信息等。
网站用户
指网站的访问者,既包括来自外部、访问获取网站资源和使用网站提供服务的前台用户,也包括负责网站系统管理、内容管理的后台用户。
政务移动应用
指在移动智能终端上安装和运行的政务应用系统。
将取代:GB/T 31506-2015《信息安全技术 政府门户网站系统安全技术指南》
政府门户网站
政府机构利用互联网发布政务信息、提供在线服务、开展互动交流等而建立的网站,包括为用户提供展示和交互功能的页面及生成和处理页面的应用程序、中间件等。
政府门户网站系统
政府门户网站及支撑其运行的物理环境、网络环境、服务器操作系统和数据库系统等。
网站用户
网站的访问者,既包括来自外部、访问获取网站资源的前台用户,也包括负责网站系统管理、内容管理的后台用户。
通用安全设计 – 网络区域划分
可信验证:全面覆盖
云计算安全:网站云平台(虚拟化服务器区)
移动应用安全:移动APP(移动终端)
大数据系统安全:网站大数据平台(虚拟化服务器区)
安全通信网络-网络架构:
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
防护等级:属于同一安全域内的系统应互相信任,即保护需求相同。要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。
业务类型:不同业务类型访问对象不同,面临的风险不同,保护需求不同。在保证安全的同时,还要保障业务的正常运行和运行效率。
网络功能:使整个网络变得更加结构化、简单化,便于设计防护体系。
安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。
通用安全设计 - 安全通信网络
安全通信网络建设要点
- 路由器、交换机、防火墙等网络设备的业务处理能力满足业务高峰期需要;
- 网络带宽满足业务高峰期需要;
- 提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性;
- 重要网络区域与其他网络区域之间采取可靠的技术隔离手段;
- 采用密码技术保证通信过程中数据的保密性及完整性。
网络架构
a) 应保证网络设备的业务处理能力满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
通信传输
a) 应采用校验技术或密码技术保证通信过程中数据的完整性;
b) 应采用密码技术保证通信过程中数据的保密性。
通用安全设计 - 安全区域边界
安全区域边界建设要点
- 对非授权设备私自联到内部网络的行为进行控制;
- 对内部用户非授权联到外部网络的行为进行控制;
- 对进出网络的数据流实现基于应用协议和应用内容的访问控制;
- 在关键网络节点处检测和/或防御从外部/内部发起的网络攻击行为;
- 对网络攻击特别是新型网络攻击行为进行检测分析,事件告警;
- 对垃圾邮件进行检测和防护,并及时升级和更新;
- 对用户的远程访问行为、互联网访问行为等进行审计和数据分析。
8.1.3.1 边界防护
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
8.1.3.2 访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
8.1.3.3 入侵防范
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
8.1.3.4 恶意代码和垃圾邮件防范
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
8.1.3.5 安全审计
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
通用安全设计 - 安全计算环境
通用安全设计 - 安全计算环境
- 采用口令或生物技术结合密码技术对用户进行身份鉴别;
- 采用基于角色/属性或安全标记的访问控制技术对操作系统、数据库、应用用户进行权限管理;
- 对重要的用户行为和重要安全事件进行集中审计;
- 采用漏洞检测、终端管理结合补丁管理、终端威胁防御、主动免疫可信验证、主机加固等技术保障终端及服务器等计算资源的安全;
- 采用密码技术、容灾备份技术等保障重要数据的完整性、保密性、可用性;
- 网页防篡改;
- 敏感数据和个人信息保护。
8.1.4.1 身份鉴别
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
8.1.4.2 访问控制
a) 应对登录的用户分配账户和权限;
b) 应重命名或删除默认账户,修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
8.1.4.3 安全审计
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应对审计进程进行保护,防止未经授权的中断。
8.1.4.4 入侵防范
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;
b) 应关闭不需要的系统服务、默认共享和高危端口;
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
8.1.4.5 恶意代码防范
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
8.1.4.6 可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
8.1.4.7 数据完整性
a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
8.1.4.8 数据保密性
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
8.1.4.9 数据备份恢复
a) 应提供重要数据的本地数据备份与恢复功能;
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。
8.1.4.10 剩余信息保护
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
8.1.4.11 个人信息保护
a) 应仅采集和保存业务必需的用户个人信息;
b) 应禁止未授权访问和非法使用用户个人信息。
通用安全设计 - 安全管理中心
安全管理中心建设要点
划分不同管理角色,并提供集中的身份鉴别、访问授权和操作审计;
对网络和信息基础设施的运行状况进行集中监控;
对分散在网络中的审计数据进行收集汇总和集中分析;
对安全策略、恶意代码、补丁升级等进行集中管理;
部署态势感知和安全运营平台,支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
通用安全设计 - 总结
依据通用安全要求,实现 “一个中心,三重保护”的动态、纵深网络安全综合防御体系;
实现对网络设备、计算设备及安全设备的可信验证,并对验证失败事件进行告警和日志上报;
实现系统管理、审计管理、安全管理的权限分离,并通过IT运维管理、集中日志审计、堡垒机、态势感知和安全运营管理等技术平台支撑管理工作的实际落地。
云计算安全设计
8.2.2 安全通信网络
8.2.2.1 网络架构
a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统;
b) 应实现不同云服务客户虚拟网络之间的隔离; ——vFW
c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;
d) 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;
e) 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。
8.2.3 安全区域边界
8.2.3.1 访问控制
本项要求包括:
a) 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
b) 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。
8.2.3.2 入侵防范
a) 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
b) 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
d) 应在检测到网络攻击行为、异常流量情况时进行告警。
8.2.3.3 安全审计
a) 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;
b) 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
8.2.4 安全计算环境
8.2.4.1 身份鉴别
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。
8.2.4.2 访问控制
a) 应保证当虚拟机迁移时,访问控制策略随其迁移;
b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。
8.2.4.3 入侵防范
a) 应能检测虚拟机之间的资源隔离失效,并进行告警;
b) 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警;
c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。
8.2.4.4 镜像和快照保护
a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务;
b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;
c) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
8.2.4.5 数据完整性和保密性
a) 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定;
b) 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;
c) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施;
d) 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。
8.2.4.6 数据备份恢复
a) 云服务客户应在本地保存其业务数据的备份;
b) 应提供查询云服务客户数据及备份存储位置的能力;
c) 云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致;
d) 应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程。
8.2.4.7 剩余信息保护
a) 应保证虚拟机所使用的内存和存储空间回收时得到完全清除;
b) 云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。
8.2.5 安全管理中心
8.2.5.1 集中管控
a) 应能对物理资源和虚拟资源按照策略做统一管理调度与分配;
b) 应保证云计算平台管理流量与云服务客户业务流量分离;
c) 应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;
d) 应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
移动互联安全设计
安全通用要求:
通信网络:采用密码技术保证通信过程中数据的保密性及完整性。
区域边界:对非授权设备私自联到内部网络的行为进行控制;
移动互联安全要求:
8.3.2 安全区域边界
8.3.2.1 边界防护
应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。
8.3.2.2 访问控制
无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。
8.3.2.3 入侵防范
本项要求包括:
a) 应能够检测到非授权无线接入设备和非授权移动终端的接入行为;
b) 应能够检测到针对无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为;
c) 应能够检测到无线接入设备的SSID 广播、WPS 等高风险功能的开启状态;
d) 应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID 广播、WEP 认证等;
e) 应禁止多个AP使用同一个认证密钥;
f) 应能够阻断非授权无线接入设备或非授权移动终端。
8.3.3 安全计算环境
8.3.3.1 移动终端管控
a) 应保证移动终端安装、注册并运行终端管理客户端软件;
b) 移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等。
8.3.3.2 移动应用管控
a) 应具有选择应用软件安装、运行的功能;
b) 应只允许指定证书签名的应用软件安装和运行;
c) 应具有软件白名单功能,应能根据白名单控制应用软件安装、运行。
天融信通过本地沙箱(数据落地加密、防泄漏)与虚拟化沙箱(数据不落地)方式,在客户端对政府移动智能终端产生的业务数据做安全防护
通过移动VPN接入网关,完成对移动智能终端及用户的身份认证;统一授权;安全接入,通过VPN隧道将移动智能终端业务数据接入内网。保证政府移动业务接入的本地业务安全和网络传输业务安全
在政府办公APP开发过程中,对APP安全包进行漏洞扫描;APP安全防逆向加固;渠道仿冒监测工作
APP上架后,通过政府自有应用商店发布到办公手机端的安全工作环境中(沙箱)
用户启动业务时,通过双因子认证身份信息,检测通过的用户可以通过手机的沙箱门户与边界建立安全隧道连接
当终端发生异常违规行为时,通过移动终端管控产品对设备进行远端干预
物联网安全设计
物联网只针对区域边界和计算环境,通信网络和管理中心同通用要求。
针对感知节点、网关节点,重点强调接入控制与入侵防范,天融信通过在感知节点和网关设备中烧制安全标识,保证感知、网关节点的身份认证、网络准入的安全防护
物联网安全网关对物联网异常流量及行为进行过滤、控制,将安全流量与云平台的物联网应用防火墙IAF对接,建立VPN隧道,对通过互联网传输的物联网协议加密传输。
IAF对海量的物联网数据进行数据清洗、过滤,保护、并通过标识技术、时间戳技术保证物联网数据的新鲜性,防御恶意数据重放攻击。
物联网安全中心,负责对物联网安全产品(标识、接入网关、安全网关、应用防火墙)做统一注册、认证、管理;安全信息收集、整理、展示,并对不同数据做融合处理及制约管理梳理、制定安全策略。
部分需要APP对传感器做第二控制台管控的情况下,通过对APP做安全加固,保证第二控制台安全。
根据实际应用场景的组网需求,安全防护痛点,凭借多年的网络安全经验,以及前沿的物联网研究成果,基于“构建物联网安全互联理念”,天形成的可以快速部署,即刻生效,可管可控,安全可视的物联网安全解决方案。
天融信物联网安全解决方案由六个组件组成。自底向上。
第一个组件是国密安全标识。它是为运营商或自运营物联网的行业客户研发的针对物联网身份标识、可信认证、加密传输的安全组件。
再向上包括,物联网接入网关、物联网安全网关和物联网应用防火墙。这些硬件安全网关针对物联网分布式部署的业务特点,网络碎片化的问题,采用SD-WAN技术架构,为物联网提供灵活方便安全的组网方案,进而实现对物联网接入设备的安全访问控制、通信链路加密、感知业务流量,有效降低业务风险,抵御网络攻击。
APP安全,对APP实施防逆向安全加固,保证手机端数据不落地。
再向上是物联网安全中心,他是物联网设备管理、网络连接、数据分析和安全防护的管理平台,实现对各类物联网设备的接入、认证、控制、数据加解密、数据分析,简化设备接入流程,为应用层业务开发提供网络和数据支撑。安全中心包含感知安全子系统、网络安全子系统和业务安全子系统,分别对应物联网的感知层、网络层和应用层。
8.4.2 安全区域边界
8.4.2.1 接入控制
应保证只有授权的感知节点可以接入。
8.4.2.2 入侵防范
本项要求包括:
a) 应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为;
b) 应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为。
8.4.3 安全计算环境
8.4.3.1 感知节点设备安全
本项要求包括:
a) 应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更;
b) 应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力;
c) 应具有对其连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别的能力。
8.4.3.2 网关节点设备安全
本项要求包括:
a) 应具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别的能力;
b) 应具备过滤非法节点和伪造节点所发送的数据的能力;
c) 授权用户应能够在设备使用过程中对关键密钥进行在线更新;
d) 授权用户应能够在设备使用过程中对关键配置参数进行在线更新。
8.4.3.3 抗数据重放
本项要求包括:
a) 应能够鉴别数据的新鲜性,避免历史数据的重放攻击;
b) 应能够鉴别历史数据的非法修改,避免数据的修改重放攻击。
8.4.3.4 数据融合处理
应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。
工业控制系统安全设计
根据等保2.0要求,工业控制系统安全如图所示:
考虑到控制系统的可用性,按照控制系统进行区域划分,即对于一个控制系统包含L0-L2层级,区域间即L2.5层级部署访问控制手段,对于控制系统内部,网络层面采用工业监测审计镜像底层接入交换机流量进行流量内容解析,判断操作内容、访问行为等是否正常,在主机层面采用可信操作系统及主机白名单分别针对操作系统及应用进行管控。在控制区域与非控制区域边界部署工业隔离网闸,实现对于信息网络对工业网络访问的管控,禁用信息网络的全部写操作行为。同时在运维管理区部署集中管理平台或态势感知平台,实现对全网安全设备运行状态或全网安全态势的统一管理。
对于漏洞检测,则可以采用设备或服务的方式进行,具体方式根据用户实际情况确定,即停产周期短的用户如烟草可以采用设备方式,停产周期长的场景,如发电,则采用服务方式,达到经济性的最优。
8.5.2 安全通信网络
8.5.2.1 网络架构
本项要求包括:
a) 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;
b) 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
c) 涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其它数据网及外部公共信息网的安全隔离。
8.5.2.2 通信传输
在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
8.5.3 安全区域边界
8.5.3.1 访问控制
本项要求包括:
a) 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务;
b) 应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。
8.5.3.2 拨号使用控制
本项要求包括:
a) 工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施;
b) 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。
8.5.3.3 无线使用控制
本项要求包括:
a) 应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;
b) 应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制;
c) 应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护;
d) 对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。
8.5.4 安全计算环境
8.5.4.1 控制设备安全
本项要求包括:
a) 控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制;
b) 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作;
c) 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理;
d) 应使用专用设备和专用软件对控制设备进行更新;
e) 应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。
大数据系统安全设计
安全计算环境
1、大数据平台应提供数据分类分级安全管理功能,供大数据应用针对不同类别级别的数据采取不同的安全保护措施;
2、大数据平台应提供静态脱敏和去标识化的工具或服务组件技术;
3、大数据平台应提供设置数据安全标记功能,基于安全标记的授权和访问控制措施,满足细粒度授权访问控制管理能力要求;
本方面控制措施包括:
a) 大数据平台应对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别;
b) 大数据平台应能对不同客户的大数据应用实施标识和鉴别;
c) 大数据平台应为大数据应用提供集中管控其计算和存储资源使用状况的能力;
d) 大数据平台应对其提供的辅助工具或服务组件,实施有效管理;
e) 大数据平台应屏蔽计算、内存、存储资源故障,保障业务正常运行;
f) 大数据平台应提供静态脱敏和去标识化的工具或服务组件技术;
g) 对外提供服务的大数据平台,平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理;
h) 大数据平台应提供数据分类分级安全管理功能,供大数据应用针对不同类别级别的数据采取不同的安全保护措施;
i) 大数据平台应提供设置数据安全标记功能,基于安全标记的授权和访问控制措施,满足细粒度授权访问控制管理能力要求;
j) 大数据平台应在数据采集、存储、处理、分析等各个环节,支持对数据进行分类分级处置,并保证安全保护策略保持一致;
k) 涉及重要数据接口、重要服务接口的调用,应实施访问控制,包括但不限于数据处理、使用、分析、导出、共享、交换等相关操作;
l) 应在数据清洗和转换过程中对重要数据进行保护,以保证重要数据清洗和转换后的一致性,避免数据失真,并在产生问题时能有效还原和恢复;
m) 应跟踪和记录数据采集、处理、分析和挖掘等过程,保证溯源数据能重现相应过程,溯源数据满足合规审计要求;
n) 大数据平台应保证不同客户大数据应用的审计数据隔离存放,并提供不同客户审计数据收集汇总和集中分析的能力。
满足等保要求的安全产品
等保一体机
基于等级保护建设生命周期的服务过程
提供覆盖全流程、综合全面的等保服务
在标准动作基础上增加自测评,自查
定级咨询服务
协助备案服务
风险评估服务
规划设计服务 - 等级保护方案设计框架
核心思想:1、合规是基础;2、业务保障和风险防范是目的。
主要内容:五个级别,分技术方案、管理方案。
技术方案:按照“一个中心,三重防护”的框架,不涉及安全物理环境,把安全域划分单独列出来。
管理方案:可以参考27001最佳实践(对应GB/T 22080--信息技术安全技术信息安全管理体系要求)。
第一步(立项):制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;
第二步(需求分析):开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;
第三步(方案设计):确定安全保护策略,制定信息系统安全建设整改方案;
第四步(方案实施):开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;
第五步(工程验收和等级测评验收):开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。
安全运维保障服务
等级保护能力
等级保护第三级通用安全产品推荐
|
等保三级基本要求与对应产品 |
||
|
使用范围 |
基本要求 |
产品类型举例 |
|
安全通信网络 |
网络架构 |
NGFW(下一代防火墙)、TopRules(安全隔离与信息交换系统)、TopApp(负载均衡系统)等 |
|
通信传输 |
网络加密机(IPSEC/SSLVPN综合安全网关系统)或NGFW内置VPN功能模块(国密) |
|
|
安全区域边界 |
边界防护 |
NGFW(下一代防火墙)、TopNAC(网络准入系统)、TopDesk(终端管理系统)、无线接入网关等 |
|
访问控制 |
NGFW(下一代防火墙)、TopRules(安全隔离与信息交换系统)、TopGate(应用安全网关)等 |
|
|
入侵防范 |
TopWAF(web应用安全防护系统/网页防篡改系统)、TopIDP(入侵防御系统)、TopSentry(入侵检测系统)、TopADS(异常流量管理与抗拒绝服务系统)、TopFilter(防毒墙)、TopAPT(高级威胁监测系统)、TopSA(网络安全态势感知系统)等 |
|
|
恶意代码和垃圾邮件防范 |
TopFilter(防毒墙)、TopSMG(安全邮件网关系统)等 |
|
|
安全审计 |
TA-NET(网络审计系统)、TopNTA(网络流量分析系统)、TA-DB(数据库审计系统)、TopACM(上网行为管理系统)、大数据分析平台等 |
|
|
等保三级基本要求与对应产品 |
||
|
使用范围 |
基本要求 |
产品类型举例 |
|
安全计算环境
|
身份鉴别 |
TopUTS(集中身份管理系统)、数字证书系统、TDSM-DBGW(数据库安全网关系统)、TopSAG(运维安全审计系统)等 |
|
访问控制 |
TopSAG(运维安全审计系统)、TDSM-DBFW(数据库安全网关)、TopScanner(脆弱性扫描与管理系统)、主机核心加固系统等 |
|
|
安全审计 |
TopDesk(主机监控与审计系统)、TA-DB(数据库审计系统)、TopSAG(运维安全审计系统)等 |
|
|
入侵防范 |
TopNAC(网络准入系统)、TopScanner(脆弱性扫描与管理系统)、TopWAF(web应用安全防护系统)、TopSentry(入侵检测系统)、主机核心加固系统等 |
|
|
恶意代码防范 |
TopEDR(终端威胁防御系统) |
|
|
数据完整性、保密性 |
VPN系统(IPSECVPN/SSLVPN)、TDSM-DBGW(数据库安全网关系统)、 TDSM-DSM(文档安全管理系统)等 |
|
|
数据备份恢复 |
TDSM-SBU(存储备份一体机)、TDSM-SBU(容灾一体机) |
|
|
个人信息保护 |
TopDLP(数据防泄漏系统)、TopDM(数据脱敏系统)、TDSM-DBS(数据库透明加密系统)等 |
|
|
等保三级基本要求与对应产品 |
||
|
使用范围 |
基本要求 |
产品类型举例 |
|
安全管理中心 |
系统管理 |
TA-L(日志收集和分析系统)、TopSAG(运维安全审计系统)、TopUTS(集中身份管理系统)、数字证书系统、网络管理系统等 |
|
审计管理 |
||
|
安全管理 |
||
|
集中管控 |
TA-L(日志收集和分析系统)、TSM-TopPolicy(安全策略管理系统)、TSM-TopAnalyzer(安全管理系统)、TopSA(网络安全态势感知系统)、TopDesk(主机监控与审计系统)等 |
|
|
可信验证 |
可信芯片、可信UKey、可信插卡、可信主板、可信验证系统、基于可信计算的应用程序白名单管理系统等 |
|
