等保2.0的核心今年5月，隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GBT22239-2019)的公布，宣告等保2.0時(shí)代正式開(kāi)啟，并將于2019年12月1日正式實(shí)施。

也就意味著，到今年年底，所有的信息系統(tǒng)，只要對(duì)外的，就要做定級(jí)備案，對(duì)于重要系統(tǒng)同時(shí)還要定為關(guān)鍵信息基礎(chǔ)設(shè)施，在等保之上還要滿足《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的要求。

而等保中新增的個(gè)人信息保護(hù)中，也要滿足《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指引》的要求，對(duì)于漏洞也應(yīng)參考《網(wǎng)絡(luò)安全漏洞管理規(guī)定》要求。

標(biāo)準(zhǔn)的東西其實(shí)不是硬性規(guī)定，其具備靈活性，同樣一條標(biāo)準(zhǔn)可以通過(guò)不同方式來(lái)實(shí)現(xiàn)，完全可以結(jié)合企業(yè)自身環(huán)境特點(diǎn)來(lái)應(yīng)對(duì)，我一直以來(lái)的原則是做好安全的過(guò)程中順便將合規(guī)一起做掉，而不是為了應(yīng)付檢查而被動(dòng)的去對(duì)標(biāo)標(biāo)準(zhǔn)做合規(guī)。

而且，做安全也不要太局限于技術(shù)層面，管理其實(shí)更為重要，這就是為何等保中有技術(shù)也有管理的原因。

國(guó)家網(wǎng)絡(luò)安全工作規(guī)劃是：一個(gè)中心，三重防護(hù)。

對(duì)應(yīng)到等2中即安全管理中心、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境(物理環(huán)境安全屬于獨(dú)立科目)，此外網(wǎng)安法中要求系統(tǒng)建設(shè)必須做到三同步，即同步規(guī)劃、同步建設(shè)、同步使用。

網(wǎng)絡(luò)安全三同步《網(wǎng)安法》第三十三條規(guī)定：建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

1. 同步規(guī)劃在業(yè)務(wù)規(guī)劃的階段，應(yīng)當(dāng)同步納入安全要求，引入安全措施。

如同步建立信息資產(chǎn)管理情況檢查機(jī)制，指定專人負(fù)責(zé)信息資產(chǎn)管理，對(duì)信息資產(chǎn)進(jìn)行統(tǒng)一編號(hào)、統(tǒng)一標(biāo)識(shí)、 統(tǒng)一發(fā)放，并及時(shí)記錄信息資產(chǎn)狀態(tài)和使用情況等安全保障措施。

2. 同步建設(shè)在項(xiàng)目建設(shè)階段，通過(guò)合同條款落實(shí)設(shè)備供應(yīng)商、廠商和其他合作方的責(zé)任，保證相關(guān)安全技術(shù)措施的順利準(zhǔn)時(shí)建設(shè)。

保證項(xiàng)目上線時(shí)，安全措施的驗(yàn)收和工程驗(yàn)收同步，外包開(kāi)發(fā)的系統(tǒng)需要進(jìn)行上線前安全檢測(cè)，確保只有符合安全要求的系統(tǒng)才能上線。

3. 同步使用安全驗(yàn)收后的日常運(yùn)營(yíng)維護(hù)中，應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平，且運(yùn)營(yíng)者每年對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施需要進(jìn)行一次安全檢測(cè)評(píng)估。

本文主要針對(duì)“一個(gè)中心，三重防護(hù)”中的中心，聊聊這個(gè)概念以及相應(yīng)的要求。

安全管理中心本控制項(xiàng)為等級(jí)保護(hù)標(biāo)準(zhǔn)技術(shù)部分核心，名稱雖然看著像管理，但實(shí)際歸為技術(shù)部分。

本項(xiàng)主要包括系統(tǒng)管理、審計(jì)管理、安全管理和集中管控四個(gè)控制點(diǎn)，其中的集中管控可以說(shuō)是重中之重，主要都是圍繞它來(lái)展開(kāi)的。

8.1.5 安全管理中心8.1.5.1 系統(tǒng)管理a) 應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì);b) 應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。

8.1.5.2 審計(jì)管理a) 應(yīng)對(duì)審計(jì)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全審計(jì)操作，并對(duì)這些操作進(jìn)行審計(jì);b) 應(yīng)通過(guò)審計(jì)管理員對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。

8.1.5.3 安全管理a) 應(yīng)對(duì)安全管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全管理操作，并對(duì)這些操作進(jìn)行審計(jì);b) 應(yīng)通過(guò)安全管理員對(duì)系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，主體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對(duì)主體進(jìn)行授權(quán)，配置可信驗(yàn)證策略等。

8.1.5.4 集中管控a) 應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控;b) 應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理;c) 應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè);d) 應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求;e) 應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理;f) 應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析。

主要的檢查點(diǎn)包括：系統(tǒng)、審計(jì)、安全管理。

為何將這三部分放到一起來(lái)說(shuō)?從標(biāo)準(zhǔn)的要求項(xiàng)可以看出，描述基本一致，只是針對(duì)三個(gè)崗位來(lái)說(shuō)的，這里的三個(gè)崗位并不是網(wǎng)絡(luò)安全中常說(shuō)的三員，這里沒(méi)有加入網(wǎng)絡(luò)管理員，而是把審計(jì)管理員加了進(jìn)來(lái)，可以看出國(guó)標(biāo)對(duì)審計(jì)的重視程度。

系統(tǒng)管理員身份鑒別(也適用于審計(jì)和安全管理員)，說(shuō)起來(lái)可以是大事也可以是小事，標(biāo)準(zhǔn)沒(méi)具體說(shuō)要如何來(lái)鑒別，按照對(duì)標(biāo)準(zhǔn)的理解來(lái)看，最起碼要做到的就是雙因子驗(yàn)證，這是最基本的，也就是說(shuō)賬戶密碼方式算一種(也可以像手機(jī)這種針對(duì)唯一設(shè)備的隨機(jī)驗(yàn)證碼)、堡壘機(jī)算一種、4A認(rèn)證授權(quán)算一種、指紋和面部等生物識(shí)別算一種、聲控、身份密鑰(可插拔U-Key或是卡片)算一種，諸如此類的選其中兩種組合都可以。

但是跳板機(jī)登陸后再用管理員身份登錄系統(tǒng)，這種不算雙因素，這是同一種鑒別方式用了兩次，不要混淆雙因素的含義。

系統(tǒng)管理員的權(quán)限控制，這里只說(shuō)技術(shù)層面不展開(kāi)講流程管理的內(nèi)容。

要求只允許特定的命令或操作界面來(lái)管理，并對(duì)操作進(jìn)行審計(jì)。

兩點(diǎn)要求，至于特定命令這條，理解有些出入，也許適用一些定制化的自研系統(tǒng)，不過(guò)這里用的是或，也就是說(shuō)只要有后臺(tái)登錄界面供管理員登錄，不要隨便就能進(jìn)入后臺(tái)即可，而且管理員所有操作都要記錄，可以查詢。

此外的一項(xiàng)要求，則是對(duì)于系統(tǒng)的一些關(guān)鍵性操作(參考原文)，都要由系統(tǒng)管理員來(lái)操作，也就是只有管理員有權(quán)限做這些操作，而且管理員一般只有一個(gè)賬戶，其他用戶沒(méi)有相關(guān)權(quán)限進(jìn)行此類操作。

這點(diǎn)要再系統(tǒng)開(kāi)發(fā)時(shí)就針對(duì)性設(shè)計(jì)，尤其對(duì)于外包的系統(tǒng)。

審計(jì)管理員主要職責(zé)在于審計(jì)分析，具體分析什么要根據(jù)企業(yè)實(shí)際情況，不過(guò)重點(diǎn)是記錄的存儲(chǔ)、管理和查詢，即日志留存和保護(hù)工作，這點(diǎn)也是老生常談，6個(gè)月全流量全操作日志，可查詢，有備份，有完整性保護(hù)，避免被修改等等。

安全管理員主要負(fù)責(zé)安全策略的配置，參數(shù)設(shè)置，安全標(biāo)記(非強(qiáng)制要求)，授權(quán)以及安全配置檢查和保存等。

這里指說(shuō)了一部分要求的內(nèi)容，實(shí)際中企業(yè)安全部門要管的事情很多。

總之，這6點(diǎn)主要強(qiáng)調(diào)的是具有權(quán)限的用戶的特權(quán)管理及審計(jì)工作。

為何要強(qiáng)調(diào)特權(quán)賬戶管理?做過(guò)安全的應(yīng)該都了解，黑客利用漏洞進(jìn)來(lái)，搞事情之前首先要提權(quán)，拿到管理員權(quán)限后才可以為所欲為，因此要對(duì)這些賬戶進(jìn)行必要的保護(hù)。

對(duì)此，Gartner給出了一些控制建議：對(duì)特權(quán)賬號(hào)的訪問(wèn)控制功能，包括共享賬號(hào)和應(yīng)急賬號(hào);監(jiān)控、記錄和審計(jì)特權(quán)訪問(wèn)操作、命令和動(dòng)作;自動(dòng)地對(duì)各種管理類、服務(wù)類和應(yīng)用類賬戶的密碼及其它憑據(jù)進(jìn)行隨機(jī)化、管理和保管;為特權(quán)指令的執(zhí)行提供一種安全的單點(diǎn)登錄(SSO)機(jī)制;委派、控制和過(guò)濾管理員所能執(zhí)行的特權(quán)操作;隱藏應(yīng)用和服務(wù)的賬戶，讓使用者不用掌握這些賬戶實(shí)際的密碼;具備或者能夠集成高可信認(rèn)證方式，譬如集成 MFA(Multi-Factor Authentication，多因子認(rèn)證)。

本控制點(diǎn)主要適用于甲方管理員日常工作職責(zé)，也涵蓋系統(tǒng)開(kāi)發(fā)的研發(fā)部門或外包服務(wù)商，做好三同步工作，設(shè)計(jì)階段就把相關(guān)合規(guī)要求涵蓋其中。

對(duì)于乙方，涉及到產(chǎn)品的，可以從合規(guī)角度出發(fā)設(shè)計(jì)，滿足網(wǎng)安法三同步的要求，另外Gartner十大安全項(xiàng)目的第一項(xiàng)就是對(duì)于特權(quán)賬戶的管理，同時(shí)涵蓋審計(jì)在內(nèi)，這兩點(diǎn)就將產(chǎn)品設(shè)計(jì)理念提升了一定的高度。

但從實(shí)際角度來(lái)看，更多的還是技術(shù)手段配合管理來(lái)做才有效果。

2. 集中管控針對(duì)安全設(shè)備和安全組件，將其管理接口和數(shù)據(jù)單獨(dú)劃分到一個(gè)區(qū)域中，與生產(chǎn)網(wǎng)分離，實(shí)現(xiàn)獨(dú)立且集中的管理。

大部分安全設(shè)備都有管理接口，其他功能接口不具備管理功能，也不涉及IP地址，這里要求就是將此類管理接口統(tǒng)一匯總到一個(gè)Vlan內(nèi)(比如所有設(shè)備管理口都只能由堡壘機(jī)進(jìn)行登錄，堡壘機(jī)單獨(dú)劃分在一個(gè)管理Vlan中)。

實(shí)際應(yīng)用案例就是帶外管理。

帶外網(wǎng)管是指通過(guò)專門的網(wǎng)管通道實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的管理，將網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分開(kāi)，為網(wǎng)管數(shù)據(jù)建立獨(dú)立通道。

在這個(gè)通道中，只傳輸管理數(shù)據(jù)、統(tǒng)計(jì)信息、計(jì)費(fèi)信息等，網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離，可以提高網(wǎng)管的效率與可靠性，也有利于提高網(wǎng)管數(shù)據(jù)的安全性。

由于帶外網(wǎng)管提供了訪問(wèn)設(shè)備的通道，因此可以把通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備(Telnet等方式)方式進(jìn)行嚴(yán)格限制，可以降低網(wǎng)絡(luò)安全隱患。

比如限定特定的IP地址才可以通過(guò)Telnet訪問(wèn)設(shè)備。

大部分的訪問(wèn)均通過(guò)帶外網(wǎng)管系統(tǒng)進(jìn)行，可以把整個(gè)IT環(huán)境設(shè)備的訪問(wèn)統(tǒng)一到帶外網(wǎng)管系統(tǒng)。

與傳統(tǒng)的設(shè)備管理各自為政不同，通過(guò)帶外網(wǎng)管可以很容易做到不同用戶名登錄對(duì)應(yīng)不同設(shè)備管理權(quán)限，一個(gè)IT TEAM可以根據(jù)各個(gè)人員職責(zé)不同進(jìn)行授權(quán)。

了解了上述集中管控理念之后，對(duì)接下來(lái)的幾點(diǎn)也就比較容易理解和實(shí)現(xiàn)了。

比如安全的信息傳輸路徑(SSH、HTTPS、VPN等);對(duì)鏈路、設(shè)備和服務(wù)器運(yùn)行狀況進(jìn)行監(jiān)控并能夠告警(堡壘機(jī)、網(wǎng)絡(luò)監(jiān)控平臺(tái)等);設(shè)備上的審計(jì)(日志服務(wù)器、日志管理平臺(tái)等)，這里啰嗦一句，不但要有策略配置，而且要合理有效并且為啟用狀態(tài);策略、惡意代碼、補(bǔ)丁升級(jí)集中管理(漏洞統(tǒng)一管理平臺(tái))，至少要包括所述的三者進(jìn)行集中管控;安全事件的識(shí)別、報(bào)警和分析(態(tài)勢(shì)感知平臺(tái)、IDPS、FW等，可以是平臺(tái)也可以是應(yīng)急響應(yīng)團(tuán)隊(duì))。

聽(tīng)起來(lái)都放到一起就是SOC，但官方表示并不是建議廠商去推SOC平臺(tái)，這其中要求的每一項(xiàng)能做到獨(dú)立的集中管控即可，如果有能力集成到一個(gè)大平臺(tái)那更好。

本控制點(diǎn)偏向日常安全運(yùn)維，主要包括集中管理區(qū)域、策略管理、漏洞管理、日志管理、安全事件管理。

單獨(dú)來(lái)看，每項(xiàng)都有對(duì)應(yīng)的產(chǎn)品。

建議一步步來(lái)建設(shè)安全能力，不要一上來(lái)就忙著搭建SOC。

由于是標(biāo)準(zhǔn)中新增要求項(xiàng)，需要一些時(shí)間才會(huì)有比較完善的解決方案或產(chǎn)品。

標(biāo)準(zhǔn)中提到的對(duì)于資產(chǎn)、漏洞的集中管控，中國(guó)市場(chǎng)上也已經(jīng)有很多成熟的解決方案能夠完美契合其中的要求。

轉(zhuǎn)