等保测评和各类安全审计，是很多单位部署网络准入认证系统的直接驱动力之一。但系统部署完之后，能不能顺利通过测评，要看前期有没有把审计所需的数据和流程准备到位。本文梳理了网络准入认证系统面对等保测评和内部外部安全审计时，需要提前准备的几个关键事项。

认证记录的保留和查询能力

等保二级及以上都要求网络接入设备有认证记录和操作日志，并且日志要保存至少 180 天。对于网络准入认证系统来说，这个要求具体体现为：每次终端认证请求（无论成功还是失败）、每次管理员的策略变更操作、每次告警事件，都需要有完整的记录。

系统内置的本地日志存储通常无法满足 180 天的要求——磁盘空间有限，而且一旦系统出现问题需要重启或重装，本地日志就清空了。因此，需要配置 Syslog 转发或者把日志上传到集中的日志平台。

但这个配置有两个容易被忽略的点。第一是 Syslog 转发的完整性：不是所有事件类型都默认转发，有些系统需要勾选事件分类才能启用转发。第二是日志格式的标准化：Syslog 报文需要包含主机名、时间戳、事件类型、源 IP、目标 IP、认证结果、操作人这些字段，如果系统默认格式缺少某些字段，需要联系厂商确认是否能自定义日志格式。

建议在测评前一周，从集中的日志平台里用实际查询场景测试一下：查过去六个月的认证记录是否可读，查特定 IP 或用户的认证历史是否响应速度快，查一次策略变更操作的完整链路能否溯源到具体操作人。

策略变更的审批和留痕

等保对管理操作的可追溯性要求很明显——任何对系统配置的修改都需要有记录，且记录中要能体现出修改人、修改时间、修改前后的内容对比。对于准入系统来说，最敏感的操作就是策略变更——合规检查规则的修改、VLAN 分配策略的调整、白名单的新增或删除。

建议在准入系统交付时就要求厂商开启操作审计功能，并且确认审计日志记录的操作粒度——是只记录"管理员修改了策略"，还是能记录"管理员将 XX 策略从 A 改成了 B"。后者在审计时要管用得多。

如果准入系统没有内置的变更审批流程，需要和单位已有的工单系统或变更管理平台打通。每次策略变更先在工单系统里走审批，审批通过后由授权管理员在准入系统里执行，执行后把变更内容回填到工单里并关闭工单。这个流程在真正的审计现场会被检查。

系统的高可用和故障切换记录

等保不是只检查功能在不在，还会检查系统发生故障时的应对能力。对于准入系统来说，如果出现服务器故障，应该能在多长时间内恢复服务？故障期间有没有录音或告警？如果系统做的是主备模式，有没有定期切换演练的记录？

准备审计材料的时候，这几个文档是必查项：系统高可用架构说明（主备或负载均衡）、最近一次故障切换演练的记录（时间、操作人、切换结果）、故障期间告警通知的截图。

如果系统上线以来一次故障都没有发生过，这反而在审计时不一定是好事——审计人员会问"你们怎么验证切换机制是不是真的能工作"。建议定期做一次切换演练并保留记录，即使只是在非业务高峰期手动切换 5 分钟。

权限分立和最小权限原则

准入系统的管理员账号应该有权限分级，不能所有人都是超级管理员。权限分级至少应该包括系统管理员（最高权限、可以修改一切）、操作员（日常查看和操作、不能删除日志）、审计员（只能查看审计记录和日志、不能做任何修改操作）。

在等保测评现场，测评人员通常会要求现场展示准入管理系统的账号列表，确认是否存在共用账号、账号是否严格对应实名制、是否有账号被授予了超出工作需要之外的权限。

计划部署准入系统的单位，应该从项目启动起就把管理员权限模型设计清楚，按照上述三个角色来划分，并且确保有专人定期审核管理员账号列表。

漏洞管理和合规更新的时效性

准入系统本身也是需要做好安全管理的。系统组件（操作系统、数据库、Web 服务）是否有未修复的高危漏洞？项目上线之前有没有做过一次安全扫描？

这个问题在审计时经常被问到。如果项目承包商没有提供交付前的安全扫描报告，测评时就可能因为"系统本身安全状态不明"而被扣分。

建议在系统正式上线后，把准入系统相关服务器纳入单位既有漏洞管理流程中，定期扫描，并将扫描结果归档。同时定期检查准入系统厂商是否发布了安全更新，确认是否适用并及时升级。

终端合规检查结果与审计点的对应

等保里关于"入侵防范"和"安全审计"的几个测评点，可以对应到准入系统的终端合规检查功能——如果准入系统能证明它确实在检测终端的补丁状态、杀毒软件运行、端口状态等，并且这些检查结果有记录可查，就能在测评中获得相应的评分。

要在测评前做好这些材料的整理：系统合规检查规则列表、最近一次全量合规检查的统计报告、不合规终端的整改记录。这些材料不要等到测评员上门才整理，应该提前一个月就准备好。

准入系统在审计时的价值，不是看它有多少功能，而是看它的运行记录能不能经得起检查。提前把这些材料准备到位，审计现场的体验会完全不一样。