等保测评的10个层面

等保测评分为以下10个层面，这篇就是补充下这10个层面的含义。

技术部分：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。

管理部分：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。

安全物理环境：这个就是用来描述现实世界的物理安全，像是存放服务器的地方防不防地震啊，会不会被水淹掉哈哈 会有一些评级 好像还不适宜放在地下 哈哈哈 点名批评某大学

安全通信网络：

这个我理解就是整个网络资源的拓扑分配，像是不能够放太密集只放在一个地方，会引起资源访问的效率不高，还有就是通信完整和可信，不会泄密之类的，在这里我个人觉得是保证不被任何形式窃听的通信网络。

安全区域边界：

对于计算机资源的管理，和现实资源的管理也是一样的，咱们都是人类想出来的，大差不差。管理的时候要分不同区域不同部门，各个部分之间的信息流通需要做一些防护，也是怕区域之间泄密了。那么这一个个部门也就是一个个区域。当然区域也是有不同的限制，像是之前保密机构各个部门害怕泄密，要审批他们之间的人员流动。在计算机这里就是区域边界保护的活。那边提出了一个一个中心，三层防御的纵深防御思想，安全边界防护就是第二层防护。

安全计算环境：

下面这张图复制的，来源等保2.0基本要求解读之安全计算环境_进行 (sohu.com)这篇写的挺好的 对新旧两版做了对比。不过条例看出是对企业厂商什么要求，并不能看出是个啥。

在2.0版本吧这个好多部分都归纳成安全计算环境，那么这个安全计算环境我的理解是计算机计算资源的一个综合环境，像是数据库、密码、主机之类的抽象化成一个个主体的资源都是属于计算环境的一部分。

安全管理中心：

都说有一中心，这个中心我现在还不清楚，他算是一个实体部门还是一个抽象化的，网上的资料看上去是要求这个中心的职责是管理他们的审计，系统之类的。大致是下面这样的：
安全管理中心要求在系统管理、安全管理、审计管理等三个方面实现集中管控，从被动防护转变到主动防护，从静态防护转变到动态防护，从单点防护转变到整体防护，从粗放防护转变到精准防护。应该是不同的规模有不同的设置，姑且算设置一个部门去专门做这一个事情。

管理部分看字面意思都很好理解，像是安全管理制度、安全管理机构、安全管理人员

安全建设管理大致说的是像是我们在开发的过程中，可能有一些不规范的开发建设，比如说采用什么样子的运营商、服务器。使用什么样子的设备、外包的时候交付需要检查什么。这里再说一下前面的安全管理制度更像是一些条例，需要响应国家号召。安全建设管理更像是实际的行为规范。

安全运维管理的主要内容是：

1. 持续监控：实时监控网络和系统活动，识别和响应安全威胁。
2. 事件管理和响应：处理安全事件，如入侵、恶意软件感染等。
3. 漏洞管理：定期扫描漏洞，评估风险，并进行相应的修复。
4. 配置管理：确保系统和网络设备配置的安全性。
5. 日志管理：收集、存储和分析安全相关日志，以便于进行安全审计和取证。
6. 用户和访问控制：管理用户账户和访问权限，确保合理分配和严格控制。

和安全管理中心区别开的应该是这个是管理层面的，是对人员、流程的考核，安全管理中心是对是否具备这项技术的考核吧。

关于如何考核我再去学习一下，我还没有实际操作过，对这些立即比较片面。