去年帮一家高校准备等保测评，对方网络中心的老师拿着一份"整改清单"来找我，说测评中心反馈"认证计费系统的日志审计功能不符合要求"，要我们协助整改。我问他具体不符合哪条，他说"测评师没细说，就给了个结论"。这种情况在等保测评里很常见——测评师指出问题，但不告诉你具体怎么改。你得自己对着等保标准一条一条对，找出差距。

先搞清楚你要过的是什么"合规"

认证计费系统涉及的合规要求，常见的有这几个：网络安全等级保护（等保2.0）、网络安全法、数据安全法、个人信息保护法，以及行业-specific 的规定（比如高校要符合教育部关于加强校园网络安全管理的通知）。不同合规要求，关注点不一样。

等保2.0关注的是"系统自身的安全防护能力"：有没有做身份鉴别、有没有做访问控制、有没有安全审计功能、有没有数据备份和恢复机制等。网络安全法和数据安全法关注的是"你采集了用户哪些数据、怎么存储的、怎么保护的、有没有泄露风险"。个人信息保护法关注的是"你处理的个人信息是否合法、正当、必要，有没有告知用户并取得同意"。

所以准备合规审计，第一步是明确"我要过的是哪个合规"，然后把对应的标准文档找来，一条一条对标。不要抱着"我系统功能很强，应该没问题"的侥幸心理，等保测评是对着标准逐条核查的，功能强不代表就符合标准。

日志审计功能的"三个关键要素"

等保2.0对"安全审计"有明确要求，认证计费系统作为网络安全设备，日志审计是必查项。哪些日志必须记？记多久？怎么查？这三个问题，准备审计前一定要自查一遍。

必须记的日志一般包括：用户登录/注销日志（谁、什么时间、从哪里登录、登录是否成功）、用户上网行为日志（谁、什么时间、访问了什么地址、用了多少流量）、管理员操作日志（哪个管理员、什么时间、做了什么操作、操作是否成功）、系统运行日志（系统自身有没有异常、有没有被攻击尝试）。

记多久？等保2.0一般要求"至少保存六个月"。但有些行业（比如金融、医疗）要求更长，一年甚至三年。而且"保存"不是"存下来就行"，还要能"快速检索"——测评师可能会现场抽查："请找出某用户某天的上网记录"，如果你五分钟还没查出来，那就不符合要求了。

怎么查？系统要能提供图形化的日志查询界面，支持按时间、按用户、按地址等多种条件组合查询。有些老系统，日志只能导出到文本文件，然后用grep命令查——这种在测评师眼里是要扣分的，因为"不便于管理"。我一般会建议客户：如果系统日志查询功能不够强，可以对接到专业的日志审计平台（比如Splunk、ELK），既满足合规要求，又提升运维效率。

身份鉴别和访问控制的"配置核查"

等保2.0要求"对登录用户进行身份鉴别"，具体到认证计费系统，就是：用户上网要不要认证、管理员登录系统要不要认证、认证失败有没有处理机制（比如锁定账号）、口令复杂度有没有要求。

测评师核查的时候，一般会做几个测试：试试连续输错密码，看系统会不会锁定；试试弱密码（比如123456），看系统让不让设；试试直接访问管理界面URL，看需不需要先登录。这些测试，系统如果没配置好，直接就不符合。

访问控制方面，等保要求"对系统管理员、审计管理员、安全管理员进行三权分立"。翻译成人话就是：不能让一个人既有"改系统配置"的权限，又有"查审计日志"的权限，还得有"改安全策略"的权限。三权要分给不同的人。这个要求在很多单位都没做到，因为"人手不够，一个人兼多个角色"。但等保测评是硬性要求，兼 role 可以，但要在系统里配置不同的账号，不能共用一个账号。

数据安全：用户隐私信息怎么保护

认证计费系统会采集用户的网络使用数据，这些数据里可能包含个人信息（比如上网行为能推测出个人兴趣）。根据个人信息保护法，处理个人信息要"合法、正当、必要"，而且要"告知用户并取得同意"。

准备合规审计的时候，你要自查：系统采集了哪些用户数据？这些数据的采集是否"必要"（比如，为了计费，你需要记用户用了多少流量，这个是必要的；但为了"用户画像"，你记用户访问了哪些具体网页内容，这个可能就不必要了）。数据采集后，怎么存储的？有没有加密？谁能访问这些数据？访问有没有记录？

我见过一个案例，系统默认配置是"记录用户访问的完整URL"，包括URL里的参数（可能包含用户提交的表单内容）。这个配置在等保测评里被指出"可能泄露用户隐私"，后来改成了"只记录域名，不记录完整URL"。这个改动降低了系统的"可追溯性"，但符合了隐私保护的要求。有时候，合规和业务需求之间有 trade-off，要权衡。

系统自身安全的"补丁和加固"

等保2.0要求"及时修补已知的安全漏洞"。认证计费系统如果跑在Linux上，那Linux的版本是不是最新的？系统上开放了哪些端口？有没有不必要的服务在运行？管理系统有没有用HTTPS？这些"系统加固"的工作，测评师都会查。

我一般会建议客户：在测评前，先做一次"系统安全扫描"，用Nessus或者OpenVAS扫一遍，看有没有高危漏洞。如果有，先修补。还有，管理界面的访问要能限制IP地址——不能让管理界面从公网直接访问，至少要VPN或者专线接入。

另外一个点：系统的备份和恢复机制。等保要求"重要数据要备份"，而且要能"定期恢复测试"。你要能证明：你的备份是有效的，真出问题的时候能恢复。我见过有些单位，备份是每天在做，但从没试过恢复，等到真要恢复的时候，发现备份文件已经损坏了。

合规性文档的"准备工作"

合规审计不全是技术检查，还有文档检查。你需要准备的系统文档一般包括：系统建设方案、系统拓扑图、安全管理制度、应急预案、运维记录、培训记录等。

这些文档，有些是系统厂商要提供的（比如系统建设方案、系统功能说明书），有些是客户自己要准备的（比如安全管理制度、应急预案）。我一般会帮客户列一个"文档清单"，然后一项一项对着准备。缺的文档要补，过期的文档要更新。

还有一个重要的文档是"用户信息处理告知同意书"之类的东西。根据个人信息保护法，你处理用户个人信息前，要告知用户并取得同意。这个告知，可以是"上网认证页面上弹出一个隐私政策链接"，用户点"同意"后再认证。这个功能，系统要支持。

测评过程中的"配合技巧"

材料准备得再好，测评过程中的配合也很重要。测评师一般会做"现场测评"：一边操作你的系统，一边记录发现的问题。这时候，你要能解释清楚：为什么这么配置？这个功能是干什么的？如果测评师提出一个问题，你回答不上来，或者回答得模棱两可，那就可能被记录为"不符合"。

我一般会建议客户：测评前，先做一次"内部预测评"，自己人模拟测评师的问题，看能不能答上来。答不上来的，要么补知识，要么提前准备好书面说明。有些问题，系统确实做不到（比如等保三级要求"入侵防范"，但系统本身不是入侵检测系统），那就要准备"通过其他措施弥补"的说明——比如"系统自身不提供入侵防范功能，但网络边界部署了防火墙和IDS，弥补了这个能力"。

合规审计，不是一次性的工作，是持续的过程。系统上线的时候符合了，后面运维过程中如果配置改了、功能升级了，可能又不符合了。所以做好合规，除了通过测评，更重要的是建立"持续合规"的机制：定期自查、定期培训、定期更新文档。