等保2.0的核心今年5月，隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(GBT22239-2019)的公布，宣告等保2.0時代正式開啟，并將于2019年12月1日正式實施。

也就意味著，到今年年底，所有的信息系統(tǒng)，只要對外的，就要做定級備案，對于重要系統(tǒng)同時還要定為關(guān)鍵信息基礎(chǔ)設(shè)施，在等保之上還要滿足《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的要求。

而等保中新增的個人信息保護中，也要滿足《互聯(lián)網(wǎng)個人信息安全保護指引》的要求，對于漏洞也應(yīng)參考《網(wǎng)絡(luò)安全漏洞管理規(guī)定》要求。

標準的東西其實不是硬性規(guī)定，其具備靈活性，同樣一條標準可以通過不同方式來實現(xiàn)，完全可以結(jié)合企業(yè)自身環(huán)境特點來應(yīng)對，我一直以來的原則是做好安全的過程中順便將合規(guī)一起做掉，而不是為了應(yīng)付檢查而被動的去對標標準做合規(guī)。

而且，做安全也不要太局限于技術(shù)層面，管理其實更為重要，這就是為何等保中有技術(shù)也有管理的原因。

國家網(wǎng)絡(luò)安全工作規(guī)劃是：一個中心，三重防護。

對應(yīng)到等2中即安全管理中心、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境(物理環(huán)境安全屬于獨立科目)，此外網(wǎng)安法中要求系統(tǒng)建設(shè)必須做到三同步，即同步規(guī)劃、同步建設(shè)、同步使用。

網(wǎng)絡(luò)安全三同步《網(wǎng)安法》第三十三條規(guī)定：建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

1. 同步規(guī)劃在業(yè)務(wù)規(guī)劃的階段，應(yīng)當同步納入安全要求，引入安全措施。

如同步建立信息資產(chǎn)管理情況檢查機制，指定專人負責信息資產(chǎn)管理，對信息資產(chǎn)進行統(tǒng)一編號、統(tǒng)一標識、 統(tǒng)一發(fā)放，并及時記錄信息資產(chǎn)狀態(tài)和使用情況等安全保障措施。

2. 同步建設(shè)在項目建設(shè)階段，通過合同條款落實設(shè)備供應(yīng)商、廠商和其他合作方的責任，保證相關(guān)安全技術(shù)措施的順利準時建設(shè)。

保證項目上線時，安全措施的驗收和工程驗收同步，外包開發(fā)的系統(tǒng)需要進行上線前安全檢測，確保只有符合安全要求的系統(tǒng)才能上線。

3. 同步使用安全驗收后的日常運營維護中，應(yīng)當保持系統(tǒng)處于持續(xù)安全防護水平，且運營者每年對關(guān)鍵信息基礎(chǔ)設(shè)施需要進行一次安全檢測評估。

本文主要針對“一個中心，三重防護”中的中心，聊聊這個概念以及相應(yīng)的要求。

安全管理中心本控制項為等級保護標準技術(shù)部分核心，名稱雖然看著像管理，但實際歸為技術(shù)部分。

本項主要包括系統(tǒng)管理、審計管理、安全管理和集中管控四個控制點，其中的集中管控可以說是重中之重，主要都是圍繞它來展開的。

8.1.5 安全管理中心8.1.5.1 系統(tǒng)管理a) 應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計;b) 應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。

8.1.5.2 審計管理a) 應(yīng)對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計;b) 應(yīng)通過審計管理員對審計記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行處理，包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。

8.1.5.3 安全管理a) 應(yīng)對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并對這些操作進行審計;b) 應(yīng)通過安全管理員對系統(tǒng)中的安全策略進行配置，包括安全參數(shù)的設(shè)置，主體、客體進行統(tǒng)一安全標記，對主體進行授權(quán)，配置可信驗證策略等。

8.1.5.4 集中管控a) 應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控;b) 應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理;c) 應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測;d) 應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求;e) 應(yīng)對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理;f) 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。

主要的檢查點包括：系統(tǒng)、審計、安全管理。

為何將這三部分放到一起來說?從標準的要求項可以看出，描述基本一致，只是針對三個崗位來說的，這里的三個崗位并不是網(wǎng)絡(luò)安全中常說的三員，這里沒有加入網(wǎng)絡(luò)管理員，而是把審計管理員加了進來，可以看出國標對審計的重視程度。

系統(tǒng)管理員身份鑒別(也適用于審計和安全管理員)，說起來可以是大事也可以是小事，標準沒具體說要如何來鑒別，按照對標準的理解來看，最起碼要做到的就是雙因子驗證，這是最基本的，也就是說賬戶密碼方式算一種(也可以像手機這種針對唯一設(shè)備的隨機驗證碼)、堡壘機算一種、4A認證授權(quán)算一種、指紋和面部等生物識別算一種、聲控、身份密鑰(可插拔U-Key或是卡片)算一種，諸如此類的選其中兩種組合都可以。

但是跳板機登陸后再用管理員身份登錄系統(tǒng)，這種不算雙因素，這是同一種鑒別方式用了兩次，不要混淆雙因素的含義。

系統(tǒng)管理員的權(quán)限控制，這里只說技術(shù)層面不展開講流程管理的內(nèi)容。

要求只允許特定的命令或操作界面來管理，并對操作進行審計。

兩點要求，至于特定命令這條，理解有些出入，也許適用一些定制化的自研系統(tǒng)，不過這里用的是或，也就是說只要有后臺登錄界面供管理員登錄，不要隨便就能進入后臺即可，而且管理員所有操作都要記錄，可以查詢。

此外的一項要求，則是對于系統(tǒng)的一些關(guān)鍵性操作(參考原文)，都要由系統(tǒng)管理員來操作，也就是只有管理員有權(quán)限做這些操作，而且管理員一般只有一個賬戶，其他用戶沒有相關(guān)權(quán)限進行此類操作。

這點要再系統(tǒng)開發(fā)時就針對性設(shè)計，尤其對于外包的系統(tǒng)。

審計管理員主要職責在于審計分析，具體分析什么要根據(jù)企業(yè)實際情況，不過重點是記錄的存儲、管理和查詢，即日志留存和保護工作，這點也是老生常談，6個月全流量全操作日志，可查詢，有備份，有完整性保護，避免被修改等等。

安全管理員主要負責安全策略的配置，參數(shù)設(shè)置，安全標記(非強制要求)，授權(quán)以及安全配置檢查和保存等。

這里指說了一部分要求的內(nèi)容，實際中企業(yè)安全部門要管的事情很多。

總之，這6點主要強調(diào)的是具有權(quán)限的用戶的特權(quán)管理及審計工作。

為何要強調(diào)特權(quán)賬戶管理?做過安全的應(yīng)該都了解，黑客利用漏洞進來，搞事情之前首先要提權(quán)，拿到管理員權(quán)限后才可以為所欲為，因此要對這些賬戶進行必要的保護。

對此，Gartner給出了一些控制建議：對特權(quán)賬號的訪問控制功能，包括共享賬號和應(yīng)急賬號;監(jiān)控、記錄和審計特權(quán)訪問操作、命令和動作;自動地對各種管理類、服務(wù)類和應(yīng)用類賬戶的密碼及其它憑據(jù)進行隨機化、管理和保管;為特權(quán)指令的執(zhí)行提供一種安全的單點登錄(SSO)機制;委派、控制和過濾管理員所能執(zhí)行的特權(quán)操作;隱藏應(yīng)用和服務(wù)的賬戶，讓使用者不用掌握這些賬戶實際的密碼;具備或者能夠集成高可信認證方式，譬如集成 MFA(Multi-Factor Authentication，多因子認證)。

本控制點主要適用于甲方管理員日常工作職責，也涵蓋系統(tǒng)開發(fā)的研發(fā)部門或外包服務(wù)商，做好三同步工作，設(shè)計階段就把相關(guān)合規(guī)要求涵蓋其中。

對于乙方，涉及到產(chǎn)品的，可以從合規(guī)角度出發(fā)設(shè)計，滿足網(wǎng)安法三同步的要求，另外Gartner十大安全項目的第一項就是對于特權(quán)賬戶的管理，同時涵蓋審計在內(nèi)，這兩點就將產(chǎn)品設(shè)計理念提升了一定的高度。

但從實際角度來看，更多的還是技術(shù)手段配合管理來做才有效果。

2. 集中管控針對安全設(shè)備和安全組件，將其管理接口和數(shù)據(jù)單獨劃分到一個區(qū)域中，與生產(chǎn)網(wǎng)分離，實現(xiàn)獨立且集中的管理。

大部分安全設(shè)備都有管理接口，其他功能接口不具備管理功能，也不涉及IP地址，這里要求就是將此類管理接口統(tǒng)一匯總到一個Vlan內(nèi)(比如所有設(shè)備管理口都只能由堡壘機進行登錄，堡壘機單獨劃分在一個管理Vlan中)。

實際應(yīng)用案例就是帶外管理。

帶外網(wǎng)管是指通過專門的網(wǎng)管通道實現(xiàn)對網(wǎng)絡(luò)的管理，將網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分開，為網(wǎng)管數(shù)據(jù)建立獨立通道。

在這個通道中，只傳輸管理數(shù)據(jù)、統(tǒng)計信息、計費信息等，網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離，可以提高網(wǎng)管的效率與可靠性，也有利于提高網(wǎng)管數(shù)據(jù)的安全性。

由于帶外網(wǎng)管提供了訪問設(shè)備的通道，因此可以把通過網(wǎng)絡(luò)訪問設(shè)備(Telnet等方式)方式進行嚴格限制，可以降低網(wǎng)絡(luò)安全隱患。

比如限定特定的IP地址才可以通過Telnet訪問設(shè)備。

大部分的訪問均通過帶外網(wǎng)管系統(tǒng)進行，可以把整個IT環(huán)境設(shè)備的訪問統(tǒng)一到帶外網(wǎng)管系統(tǒng)。

與傳統(tǒng)的設(shè)備管理各自為政不同，通過帶外網(wǎng)管可以很容易做到不同用戶名登錄對應(yīng)不同設(shè)備管理權(quán)限，一個IT TEAM可以根據(jù)各個人員職責不同進行授權(quán)。

了解了上述集中管控理念之后，對接下來的幾點也就比較容易理解和實現(xiàn)了。

比如安全的信息傳輸路徑(SSH、HTTPS、VPN等);對鏈路、設(shè)備和服務(wù)器運行狀況進行監(jiān)控并能夠告警(堡壘機、網(wǎng)絡(luò)監(jiān)控平臺等);設(shè)備上的審計(日志服務(wù)器、日志管理平臺等)，這里啰嗦一句，不但要有策略配置，而且要合理有效并且為啟用狀態(tài);策略、惡意代碼、補丁升級集中管理(漏洞統(tǒng)一管理平臺)，至少要包括所述的三者進行集中管控;安全事件的識別、報警和分析(態(tài)勢感知平臺、IDPS、FW等，可以是平臺也可以是應(yīng)急響應(yīng)團隊)。

聽起來都放到一起就是SOC，但官方表示并不是建議廠商去推SOC平臺，這其中要求的每一項能做到獨立的集中管控即可，如果有能力集成到一個大平臺那更好。

本控制點偏向日常安全運維，主要包括集中管理區(qū)域、策略管理、漏洞管理、日志管理、安全事件管理。

單獨來看，每項都有對應(yīng)的產(chǎn)品。

建議一步步來建設(shè)安全能力，不要一上來就忙著搭建SOC。

由于是標準中新增要求項，需要一些時間才會有比較完善的解決方案或產(chǎn)品。

標準中提到的對于資產(chǎn)、漏洞的集中管控，中國市場上也已經(jīng)有很多成熟的解決方案能夠完美契合其中的要求。

轉(zhuǎn)