b10d9的博客

等保，即网络安全等级保护制度，在网络安全法中明确要求网络运营者需要按照网络安全等级保护制度，履行相关安全保护义务，保护网络安全。等保在2019年迎来了等保2.0，从等保标准到测评方法都有了较大的升级。等保的升级个人总结主要是两方面原因：1）国家对网络安全重视程度的提升；2）新兴技术的不断发展和应用。 以下几个是相对重要的等保2.0相关的标准。GB/T 22239标准主要包含了等保2.0测评相关指标项。GB/T 28448标准包含对GB/T 22239中的指标内容具体的测评要求和测评流程，相当于

指标内容如图：指标理解：a）明确责任人或责任部门，相关制度文件中明确指定具体部门或人员负责机房安全，对进出机房管理，定期对机房设施维护管理。b）有相关制度文件中明确对物理访问、物品带进出和环境安全等方面的管理要求。如机房可进出的时间范围、机房进出审批及登记、进入机房需要相关人员陪同、机房巡检及问题反馈等。c）有相关制度文件中明确对重要区域的管理要求，如进入办公区需要授权及人员陪同、敏感信息的文档不允许随意摆放、人员离开要求电脑锁屏等。指标内容如图：指标理解：a）有资产清单文档，记录资产责任部门、重要程度等信

指标内容如图：指标理解：a）编制相关文档说明系统定级方法及定级理由。b）定级方法和理由经过专家评审。“相关部门和有关安全技术专家”个人理解可以向监管部门、上级单位以及测评单位邀请一些专家，开会评审，并形成评审记录材料。c）通常在评审过程中有最终定级结论，也就经过了批准，最终需要在相关材料中体现“批准”。d）提交备案材料，在公安机关完成备案，获得备案证书和编号。指标内容如图：指标理解：a）基于等保要求进行差距分析，根据差距分析结果，进行补充和调整安全措施。过程中需要有相关记录文档，如差距分析问题汇总文档、整改

指标内容如图：指标理解：a）通常都能满足，如人力资源部门负责人员录用。通过访谈形式，询问网络安全主管。b）企业对招聘录用有相关制度流程，测评时会检查相关制度文件。核心目的是确保招聘的人员是能够胜任关键安全岗位职能要求。c）测评时检查保密协议和岗位责任协议相关文档。指标内容如图：指标理解：a）通过访谈询问安全主管是否具备人员离岗的管理措施，做到及时回收权限，并检查历史人员离岗相关证件、设备等返还记录文件。b）检查是否具备人员离职管理制度，检查历史离职人员的离职流程记录文件，检查历史离职人员是否签署了保密协议。

指标内容如图：指标理解：a）在相关制度文件中，要明确规定具体网络安全岗位责任人是谁，以及他的主要职责。通常网络安全领导小组或委员会，需要公司大领导作为组长，后续工作开展会更容易些（参考国家网络安全领导小组^^）。b）公司组织架构中有安全部门，在相关制度文件中，要明确规定具体网络安全建设负责人、系统负责人、应用负责人等，并明确具体岗位职责。个人理解，在实际测评中，如果企业规模小，没有专门的安全职能部门，应该问题不大，但一定要有具体的责任人。c）在相关制度文件中，明确系统管理员、审计管理员和安全管理员岗位及人员

指标内容如图：指标理解： 制定网络安全方针及安全策略相关制度文件，高层级的、总体性的描述网络安全工作的目标、范围、原则及框架等信息，内容上通常不需要很复杂。指标内容如图：指标理解： 在测评工程中会基于制度、机构、人员、建设、运维等维度判断管理制度制定是否完整。安全策略、管理制度、操作规程、记录表单是有递进关系的四级文档机构，和ISO 27001相似可以复用的。安全策略指导安全方向，管理制度明确安全流程，操作规程是流程中人员具体操作规范及要求，记录表单记录过程中关键信息。指标内容如

指标内容如图：指标理解：a）启用登录认证对系统管理员的访问进行身份鉴别。系统管理员不能直接操作安全管理中心的系统后台，需要使用特定工具或命令访问安全管理中心。安全管理中心需要具备日志记录功能，能够审计所有系统管理行为。常见的安全管理中心有：云平台控制中心、安全运营中心等。这里和以下两项指标是形成三权分立的，所有对于权限的分配应该是相互独立且不同的。指标涉及的外部产品：1）安全运营中心/态势感知指标内容如图：指标理解：a）启用登录认证对审计管理员的访问进行身份鉴别。同理，审计管理员也不可直接操作系统后台。对审

指标内容如图：指标理解：a）用户需要有唯一性标识，如不可重复的用户名、用户SID；密码启用一定复杂性要求，如大小写字母+数字+特殊字符四选三，长度10位以上，90天定期更换；c）启用加密的访问方式，如https、ssh等。d）启用双因素认证，如密码+动态口令、密码+短信验证、密码+指纹识别等指标涉及的外部产品：无指标内容如图：指标理解：a）根据用户岗位或职级建立不同的账号，账号根据工作所需分配必要的最小化权限，启用三权分立。常见的账号角色有：超级管理员账户、系统管理员账户、系统用户账户、审计管理员账户、审计

指标内容如图：指标理解：a）启用访问控制策略，限制可访问的端口，仅开放必要的端口。常见技术措施有：1）云主机开启安全组策略限制访问源IP、端口及协议；2）负载均衡设备限制可访问的服务器端口；3）通过路由器/交换机/防火墙配置ACL。b）常见的场景：1）私接无线路由或PC开启热点供外部PC连接到内部网络。通过部署上网行为管理等设备检测和限制私接WIFI及热点的情况。2）通过有线网口连接内部网络。对不必要的接入网口进行关闭，通过启用终端接入认证来检测和限制非法终端的接入，如启用802.1x接入认证、终端准入产品

指标内容如图：指标理解：c）网络架构需要划分不同的安全域，并为安全域分配合理的IP地址段。安全域如DMZ区、内网服务器区、用户办公区等。合理的IP段划分也可以在事后快速定位。不应出现单个IP地址段在多个安全域中重复使用，不同安全等级安全域使用相同IP地址段或子网等情况。场景举例：1）重要系统与办公网不使用相同网段；2）互联网系统与内部系统不使用相同网段；d）高安全等级的安全域不应规划在边界处，常见边界有互联网边界、分支单位专网边界等。高安全等级的安全域与其他安全域之间应部署防火墙等设备进行边界隔离。如内网数