企業(yè)網(wǎng)絡(luò)運(yùn)維需要遵循哪些國(guó)家標(biāo)準(zhǔn)

企業(yè)網(wǎng)絡(luò)運(yùn)維需要遵循哪些國(guó)家標(biāo)準(zhǔn)

某金融機(jī)構(gòu)在等保三級(jí)測(cè)評(píng)中因未按GB/T 22239-2019實(shí)施運(yùn)維審計(jì)，被監(jiān)管通報(bào)要求整改。這個(gè)案例暴露出許多企業(yè)對(duì)網(wǎng)絡(luò)運(yùn)維標(biāo)準(zhǔn)的認(rèn)知仍停留在基礎(chǔ)層面。

國(guó)內(nèi)現(xiàn)行核心標(biāo)準(zhǔn)體系

網(wǎng)絡(luò)運(yùn)維領(lǐng)域主要受三類(lèi)國(guó)家標(biāo)準(zhǔn)約束：GB/T 22239《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》規(guī)定了等保2.0框架下的運(yùn)維安全控制點(diǎn)；GB/T 34960《信息技術(shù)服務(wù) 運(yùn)行維護(hù)》對(duì)服務(wù)臺(tái)、事件管理等流程作出規(guī)范；GB/T 36627《云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》則針對(duì)云環(huán)境提出特殊要求。這些標(biāo)準(zhǔn)共同構(gòu)成從基礎(chǔ)設(shè)施到上層應(yīng)用的完整約束鏈。

運(yùn)維流程的關(guān)鍵控制項(xiàng)

在GB/T 22239中，身份鑒別（三級(jí)系統(tǒng)要求雙因素認(rèn)證）、訪問(wèn)控制（最小權(quán)限原則）、安全審計(jì)（日志留存6個(gè)月以上）被列為強(qiáng)制性條款。實(shí)際操作中，企業(yè)常忽視審計(jì)日志的完整性校驗(yàn)，這會(huì)導(dǎo)致在等保測(cè)評(píng)時(shí)因無(wú)法證明日志未被篡改而扣分。某省級(jí)政務(wù)云平臺(tái)就曾因缺少日志哈希校驗(yàn)記錄被判定為部分不符合。

云環(huán)境帶來(lái)的新挑戰(zhàn)

隨著混合云架構(gòu)普及，GB/T 36627要求的跨云運(yùn)維權(quán)限隔離成為新難點(diǎn)。標(biāo)準(zhǔn)明確要求管理平面與業(yè)務(wù)平面隔離，但許多企業(yè)仍在使用同一套賬號(hào)體系管理公有云和本地?cái)?shù)據(jù)中心。某制造業(yè)客戶曾因AWS根賬戶未啟用MFA導(dǎo)致橫向滲透事件，直接違反了標(biāo)準(zhǔn)中關(guān)于特權(quán)賬戶保護(hù)的條款。

落地實(shí)施的技術(shù)路徑

符合性建設(shè)需要分階段推進(jìn)：先通過(guò)NetFlow/sFlow實(shí)現(xiàn)GB/T 34960要求的流量監(jiān)控，再部署SIEM系統(tǒng)滿足審計(jì)條款，最后用自動(dòng)化編排工具達(dá)成標(biāo)準(zhǔn)中"變更回滾"要求。值得注意的是，標(biāo)準(zhǔn)未強(qiáng)制規(guī)定具體技術(shù)方案，企業(yè)可結(jié)合現(xiàn)有架構(gòu)選擇OpenTelemetry或商業(yè)探針等不同實(shí)現(xiàn)方式。

某科技公司已協(xié)助金融、醫(yī)療等行業(yè)客戶完成上述標(biāo)準(zhǔn)合規(guī)改造，其部署的運(yùn)維審計(jì)系統(tǒng)目前管理著超過(guò)5000臺(tái)網(wǎng)絡(luò)設(shè)備。