网络安全：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。而从企业的角度来说，最重要的就是内部信息上的安全加密以及网络防护。

等级保护2.0关键变化 “信息安全”→“网络安全”

等保2.0充分体现了“一个中心三重防御“的思想。一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用。被动防御→主动防御

等级保护2.0解决方案结构设计

1、安全管理中心

①大数据安全

②IT运维管理

③堡垒机

④漏洞扫描

⑤WMS

⑥等保建设咨询服务

建设要点

对安全进行统一管理与把控

集中分析与审计

定期识别漏洞与隐患

2、安全通信网络

①下一代防火墙

②VPN

③路由器

④交换机

建设要点

构建安全的网络通信架构

保障信息传输安全

3、安全区域边界

下一代防火墙

入侵检测/防御

上网行为管理

安全沙箱

动态防御系统

身份认证管理

流量探针

WEB应用防护

建设要点

强化安全边界防护及入侵防护

优化访问控制策略

4、安全计算环境

入侵检测/防御

数据库审计

动态防御系统

网页防篡改

漏洞风险评估

杀毒软件

建设要点

强调系统及应用安全

加强身份鉴别机制与入侵防范

...............................................................................

安全通信网络：建设要点（等保三级）

主干网络链路及设备均采用冗余部署

基于业务管理和安全需求划分出

有明确边界的网络区域

采用VPN或HTTPS等加密手段保护业务应用

安全区域边界：建设要点（等保三级）

区域边界部署必要的应用层安全设备，启用安全过滤策略

建立基于用户的身份认证与准入机制，启用安全审计策略

采用行为模型分析等技术防御

新型未知威胁攻击

采集并留存不少于半年的关键网络、安全及服务器设备日志

安全区域边界：建设要点（等保三级）

安全管理中心：建设要点（等保三级）

系统管理员、审计管理员、安全管理员

权责清晰，三权分立

设置独立安全管理区，采集全网

安全信息，实施分析预警管理

借力专业安服人员，提供渗透测试等

高技术要求安全服务

等级保护2.0解决方案特色总结：1+N 全网安全

等保2.0标准名称《网络安全等级保护》，明确强调了安全体系的建设必须要跟网络架构设计紧密结合

完整的等保安全产品品类

1 提供基于SDN技术的网络安全支撑体系

2 全系列无线产品，形成有线无线全网统一安全体系

3 用户身份+应用鉴权

4 IT运维管理的可靠支撑

5等级保护2.0推荐配置方案

等保2.0安全管理中心解读

1 等保2.0的核心

随着《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）的公布，宣告等保2.0时代正式开启，于2019年12月1日正式实施。

所有的信息系统，只要对外的，就要做定级备案，对于重要系统同时还要定为关键信息基础设施，在等保之上还要满足《关键信息基础设施安全保护条例》的要求。而等保中新增的个人信息保护中，也要满足《互联网个人信息安全保护指引》的要求，对于漏洞也应参考《网络安全漏洞管理规定》要求。

标准的东西其实不是硬性规定，具备灵活性，同样一条标准可以通过不同方式来实现，完全可以结合企业自身环境特点来应对，我一直以来的原则是做好安全的过程中顺便将合规一起做掉，而不是为了应付检查而被动地去对标标准做合规。而且，做安全也不要太局限于技术层面，管理其实更为重要，这就是为何等保中有技术也有管理的原因。

国家网络安全工作规划是：一个中心，三重防护。对应到等2中即安全管理中心、安全通信网络、安全区域边界、安全计算环境（物理环境安全属于独立科目），此外网安法中要求系统建设必须做到三同步，即同步规划、同步建设、同步使用。

2 网络安全三同步

《网安法》第三十三条规定：建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。同步规划在业务规划的阶段，应当同步纳入安全要求，引入安全措施。如同步建立信息资产管理情况检查机制，指定专人负责信息资产管理，对信息资产进行统一编号、统一标识、统一发放，并及时记录信息资产状态和使用情况等安全保障措施。同步建设在项目建设阶段，通过合同条款落实设备供应商、厂商和其他合作方的责任，保证相关安全技术措施的顺利准时建设。保证项目上线时，安全措施的验收和工程验收同步，外包开发的系统需要进行上线前安全检测，确保只有符合安全要求的系统才能上线。同步使用安全验收后的日常运营维护中，应当保持系统处于持续安全防护水平，且运营者每年对关键信息基础设施需要进行一次安全检测评估。本文主要针对“一个中心，三重防护”中的“中心”，聊聊这个概念以及相应的要求。

3 安全管理中心

本控制项为等级保护标准技术部分核心，名称虽然看着像管理，但实际归为技术部分。本项主要包括系统管理、审计管理、安全管理和集中管控四个控制点，其中的集中管控可以说是重中之重，主要都是围绕它来展开的。标准原文

8.1.5 安全管理中心

8.1.5.1 系统管理

a) 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；

b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

8.1.5.2 审计管理

a) 应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；

b) 应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

8.1.5.3 安全管理

a) 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计；

b) 应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。

8.1.5.4 集中管控

a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；

b) 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；

c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；

d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；

e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；

f) 应能对网络中发生的各类安全事件进行识别、报警和分析。

审计管理员主要职责在于审计分析，具体分析什么要根据企业实际情况，不过重点是记录的存储、管理和查询，即日志留存和保护工作，这点也是老生常谈，6个月全流量全操作日志，可查询，有备份，有完整性保护，避免被修改等等。

安全管理员主要负责安全策略的配置，参数设置，安全标记（非强制要求），授权以及安全配置检查和保存等。这里指说了一部分要求的内容，实际中企业安全部门要管的事情很多。

总之，这6点主要强调的是具有权限的用户的特权管理及审计工作。为何要强调特权账户管理？做过安全的应该都了解，黑客利用漏洞进来，搞事情之前首先要提权，拿到管理员权限后才可以为所欲为，因此要对这些账户进行必要的保护。

控制建议：

· 对特权账号的访问控制功能，包括共享账号和应急账号；

· 监控、记录和审计特权访问操作、命令和动作；

· 自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管；

· 为特权指令的执行提供一种安全的单点登录（SSO）机制；

· 委派、控制和过滤管理员所能执行的特权操作；

· 隐藏应用和服务的账户，让使用者不用掌握这些账户实际的密码；

· 具备或者能够集成高可信认证方式，譬如集成 MFA（Multi-Factor Authentication，多因子认证）。

    集中管控针对安全设备和安全组件，将其管理接口和数据单独划分到一个区域中，与生产网分离，实现独立且集中的管理。大部分安全设备都有管理接口，其他功能接口不具备管理功能，也不涉及IP地址，这里要求就是将此类管理接口统一汇总到一个VLAN内（比如所有设备管理口都只能由堡垒机进行登录，堡垒机单独划分在一个管理VLAN中）。实际应用案例就是带外管理。带外网管是指通过专门的网管通道实现对网络的管理，将网管数据与业务数据分开，为网管数据建立独立通道。在这个通道中，只传输管理数据、统计信息、计费信息等，网管数据与业务数据分离，可以提高网管的效率与可靠性，也有利于提高网管数据的安全性。由于带外网管提供了访问设备的通道，因此可以把通过网络访问设备（Telnet等方式）方式进行严格限制，可以降低网络安全隐患。比如限定特定的IP地址才可以通过Telnet访问设备。大部分的访问均通过带外网管系统进行，可以把整个IT环境设备的访问统一到带外网管系统。与传统的设备管理各自为政不同，通过带外网管可以很容易做到不同用户名登录对应不同设备管理权限，一个IT TEAM可以根据各个人员职责不同进行授权。了解了上述集中管控理念之后，对接下来的几点也就比较容易理解和实现了。比如安全的信息传输路径（SSH、HTTPS、VPN等）；对链路、设备和服务器运行状况进行监控并能够告警（堡垒机、网络监控平台等）；设备上的审计（日志服务器、日志管理平台等），不但要有策略配置，而且要合理有效并且为启用状态；策略、恶意代码、补丁升级集中管理（漏洞统一管理平台），至少要包括所述的三者进行集中管控；安全事件的识别、报警和分析（态势感知平台、IDPS、FW等，可以是平台也可以是应急响应团队）。要求的每一项能做到独立的集中管控即可，集成到一个大平台那更好。日常安全运维，主要包括集中管理区域、策略管理、漏洞管理、日志管理、安全事件管理。单独来看，每项都有对应的产品。