等保2.0安全管理中心要求解读

等保2.0的核心

今年5月，随着《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)的公布，宣告等保2.0时代正式开启，并将于2019年12月1日正式实施。也就意味着，到今年年底，所有的信息系统，只要对外的，就要做定级备案，对于重要系统同时还要定为关键信息基础设施，在等保之上还要满足《关键信息基础设施安全保护条例》的要求。而等保中新增的个人信息保护中，也要满足《互联网个人信息安全保护指引》的要求，对于漏洞也应参考《网络安全漏洞管理规定》要求。

标准的东西其实不是硬性规定，其具备灵活性，同样一条标准可以通过不同方式来实现，完全可以结合企业自身环境特点来应对，我一直以来的原则是做好安全的过程中顺便将合规一起做掉，而不是为了应付检查而被动的去对标标准做合规。而且，做安全也不要太局限于技术层面，管理其实更为重要，这就是为何等保中有技术也有管理的原因。

国家网络安全工作规划是：一个中心，三重防护。对应到等2中即安全管理中心、安全通信网络、安全区域边界、安全计算环境(物理环境安全属于独立科目)，此外网安法中要求系统建设必须做到三同步，即同步规划、同步建设、同步使用。

网络安全三同步

《网安法》第三十三条规定：

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

1. 同步规划

在业务规划的阶段，应当同步纳入安全要求，引入安全措施。如同步建立信息资产管理情况检查机制，指定专人负责信息资产管理，对信息资产进行统一编号、统一标识、 统一发放，并及时记录信息资产状态和使用情况等安全保障措施。

2. 同步建设

在项目建设阶段，通过合同条款落实设备供应商、厂商和其他合作方的责任，保证相关安全技术措施的顺利准时建设。保证项目上线时，安全措施的验收和工程验收同步，外包开发的系统需要进行上线前安全检测，确保只有符合安全要求的系统才能上线。

3. 同步使用

安全验收后的日常运营维护中，应当保持系统处于持续安全防护水平，且运营者每年对关键信息基础设施需要进行一次安全检测评估。

本文主要针对“一个中心，三重防护”中的中心，聊聊这个概念以及相应的要求。

安全管理中心

本控制项为等级保护标准技术部分核心，名称虽然看着像管理，但实际归为技术部分。本项主要包括系统管理、审计管理、安全管理和集中管控四个控制点，其中的集中管控可以说是重中之重，主要都是围绕它来展开的。

主要的检查点包括：系统、审计、安全管理。

为何将这三部分放到一起来说?从标准的要求项可以看出，描述基本一致，只是针对三个岗位来说的，这里的三个岗位并不是网络安全中常说的三员，这里没有加入网络管理员，而是把审计管理员加了进来，可以看出国标对审计的重视程度。

系统管理员身份鉴别(也适用于审计和安全管理员)，说起来可以是大事也可以是小事，标准没具体说要如何来鉴别，按照对标准的理解来看，最起码要做到的就是双因子验证，这是最基本的，也就是说账户密码方式算一种(也可以像手机这种针对唯一设备的随机验证码)、堡垒机算一种、4A认证授权算一种、指纹和面部等生物识别算一种、声控、身份密钥(可插拔U-Key或是卡片)算一种，诸如此类的选其中两种组合都可以。但是跳板机登陆后再用管理员身份登录系统，这种不算双因素，这是同一种鉴别方式用了两次，不要混淆双因素的含义。

系统管理员的权限控制，这里只说技术层面不展开讲流程管理的内容。要求只允许特定的命令或操作界面来管理，并对操作进行审计。两点要求，至于特定命令这条，理解有些出入，也许适用一些定制化的自研系统，不过这里用的是或，也就是说只要有后台登录界面供管理员登录，不要随便就能进入后台即可，而且管理员所有操作都要记录，可以查询。

此外的一项要求，则是对于系统的一些关键性操作(参考原文)，都要由系统管理员来操作，也就是只有管理员有权限做这些操作，而且管理员一般只有一个账户，其他用户没有相关权限进行此类操作。这点要再系统开发时就针对性设计，尤其对于外包的系统。

审计管理员主要职责在于审计分析，具体分析什么要根据企业实际情况，不过重点是记录的存储、管理和查询，即日志留存和保护工作，这点也是老生常谈，6个月全流量全操作日志，可查询，有备份，有完整性保护，避免被修改等等。

安全管理员主要负责安全策略的配置，参数设置，安全标记(非强制要求)，授权以及安全配置检查和保存等。这里指说了一部分要求的内容，实际中企业安全部门要管的事情很多。

总之，这6点主要强调的是具有权限的用户的特权管理及审计工作。为何要强调特权账户管理?做过安全的应该都了解，黑客利用漏洞进来，搞事情之前首先要提权，拿到管理员权限后才可以为所欲为，因此要对这些账户进行必要的保护。对此，Gartner给出了一些控制建议：

• 对特权账号的访问控制功能，包括共享账号和应急账号;
• 监控、记录和审计特权访问操作、命令和动作;
• 自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管;
• 为特权指令的执行提供一种安全的单点登录(SSO)机制;
• 委派、控制和过滤管理员所能执行的特权操作;
• 隐藏应用和服务的账户，让使用者不用掌握这些账户实际的密码;
• 具备或者能够集成高可信认证方式，譬如集成 MFA(Multi-Factor Authentication，多因子认证)。

本控制点主要适用于甲方管理员日常工作职责，也涵盖系统开发的研发部门或外包服务商，做好三同步工作，设计阶段就把相关合规要求涵盖其中。

对于乙方，涉及到产品的，可以从合规角度出发设计，满足网安法三同步的要求，另外Gartner十大安全项目的第一项就是对于特权账户的管理，同时涵盖审计在内，这两点就将产品设计理念提升了一定的高度。但从实际角度来看，更多的还是技术手段配合管理来做才有效果。

2. 集中管控

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!