|
范围 |
检测项 |
三级要求 |
二级要求 |
|
安 全 物 理 环 境 |
机房出入口访问控制措施 |
机房需有电子门禁和记录进出人员 |
机房需有电子门禁和记录进出人员 |
|
机房防盗措施 |
应配防盗报警系统或视频监控 |
不要求 |
|
|
机房防火措施 |
应配自动消防系统或视频监控+灭火器 |
应配自动消防系统或视频监控+灭火器 |
|
|
机房短期备用电力供应措施 |
应配UPS或柴油发电机 |
应配UPS或柴油发电机 |
|
|
云计算基础设施物理位置不当 |
所有机房设备应在中国境内 |
所有机房设备应在中国境内 |
|
|
安 全 通 信 网 络 |
网络设备业务处理能力不足 |
设备、带宽处理能力不高于80%,且核心网络(路由器、防火墙)满足高可用 |
不要求 |
|
网络区域划分不当 |
生产和办公网络应该区域隔离 |
生产和办公网络应该区域隔离 |
|
|
网络边界访问控制设备不可控 |
服务器/数据库/设备应配置访问策略 |
服务器/数据库/设备应配置访问策略 |
|
|
重要网络区域边界访问控制措施缺失 |
网络区域划分,如ACL |
网络区域划分,如ACL |
|
|
关键线路和设备冗余措施缺失 |
线路/交换机需双机热备 |
||
|
云计算平台等级低于承载业务系统等级 |
云平台等保不低于业务系统等保 |
云平台等保不低于业务系统等保 |
|
|
重要数据传输完整性保护措施缺失 |
校验或密码保障数据传输完整 |
不要求 |
|
|
重要数据明文传输 |
数据加密传输 |
||
|
安 全 区 域 边 界 |
无线网络管控措施缺失 |
例办公人员接入无线网络时需要使用802.x认证,Office和gest网络隔离 |
不要求 |
|
重要网络区域边界访问控制配置不当 |
区域之间需配置访问策略,如办公网任意终端可访问服务器 |
区域之间需配置访问策略,如办公网任意终端可访问服务器 |
|
|
外部网络攻击防御措施缺失 |
需部署IPS、WAF、态势感知或者DDOS防御 |
需部署IPS、WAF、态势感知或者DDOS防御 |
|
|
内部网络攻击防御措施缺失 |
防止内部服务器发起的网络攻击,需部署态势感知、IPS、HIDS |
不要求 |
|
|
恶意代码防范措施缺失 |
服务器和网络要部署恶意代码检测清除产品 |
服务器和网络要部署恶意代码检测清除产品 |
|
|
网络安全审计措施缺失 |
服务器、网络设备需记录用户行为和安全事件 |
服务器、网络设备需记录用户行为和安全事件 |
|
|
安 全 计 算 环 境 1 |
设备/系统存在弱口令或相同口令 |
设备/主机/数据库不可存在弱口令 |
设备/主机/数据库不可存在弱口令 |
|
设备鉴别信息防窃听措施缺失 |
设备/主机登录信息需在传输中加密 |
设备/主机登录信息需在传输中加密 |
|
|
设备未采用多种身份鉴别技术 |
网络设备/关键主机需实现双因素认证 |
不要求 |
|
|
设备默认口令未更改 |
需删除默认账户和修改默认口令 |
需删除默认账户和修改默认口令 |
|
|
设备安全审计措施缺失 |
对重要用户行为和安全事件进行审计(日志记录) |
对重要用户行为和安全事件进行审计(日志记录) |
|
|
设备审计记录不满足保护要求 |
关键设备/主机审计日志保留不低于6个月 |
关键设备/主机审计日志保留不低于6个月 |
|
|
设备开启多余的服务、高危端口 |
业务使用之外的端口需关闭 |
业务使用之外的端口需关闭 |
|
|
设备终端限制措施缺失 |
终端需vpn登录或者使用ip白名单 |
终端需vpn登录或者使用ip白名单 |
|
|
互联网设备存在已知高危漏洞 |
需修复设备、服务器的高危漏洞 |
需修复设备、服务器的高危漏洞 |
|
|
内网设备存在可被利用的高危漏洞 |
内部设备不能存在提权、远程代码执行漏洞 |
内部设备不能存在提权、远程代码执行漏洞 |
|
|
恶意代码防范措施缺失 |
主机和网络需部署恶意代码检测清除产品 |
主机和网络需部署恶意代码检测清除产品 |
|
|
安 全 计 算 环 境 2 |
应用系统口令策略缺失 |
需满足复杂性密码策略 |
需满足复杂性密码策略 |
|
应用系统存在弱口令 |
不允许出现弱口令 |
不允许出现弱口令 |
|
|
应用系统口令暴力破解防范机制缺失 |
需有图形验证码或者访问频率限制功能 |
需有图形验证码或者访问频率限制功能 |
|
|
应用系统鉴别信息明文传输 |
登录信息传输过程需加密 |
登录信息传输过程需加密 |
|
|
应用系统未采用多种身份鉴别技术 |
需具备口令、密码、生物技术等两种身份鉴别登录(双因素认证) |
不要求 |
|
|
应用系统默认口令未更改 |
重命名或删除默认账户,修改默认口令 |
重命名或删除默认账户,修改默认口令 |
|
|
应用系统访问控制机制存在缺陷 |
避免未授权、越权访问系统 |
避免未授权、越权访问系统 |
|
|
应用系统安全审计措施缺失 |
可审计到每个用户的操作行为 |
可审计到每个用户的操作行为 |
|
|
应用系统审计记录不满足保护要求 |
业务操作、安全类日志不低于6个月留存 |
业务操作、安全类日志不低于6个月留存 |
|
|
应用系统数据有效性检验功能缺失 |
应使用WEB防火墙防止SQL注入、跨站漏洞 |
应使用WEB防火墙防止SQL注入、跨站漏洞 |
|
|
应用系统存在可被利用的高危漏洞 |
不能存在已知高危漏洞 |
不能存在已知高危漏洞 |
|
|
数 据 安 全 |
重要数据传输完整性保护措施缺失 |
应用采用密码或校验技术保证数据通信完整 |
应用采用密码或校验技术保证数据通信完整 |
|
重要数据明文传输 |
数据加密传输 |
数据加密传输 |
|
|
重要数据存储保密性保护措施缺失 |
数据存储时加密 |
不要求 |
|
|
缺少数据备份措施 |
需定期本地数据备份和恢复 |
需定期本地数据备份和恢复 |
|
|
缺少异地数据备份措施 |
需异地实时数据备份 |
||
|
数据处理系统冗余措施缺失 |
服务器/数据库需满足双机热备 |
不要求 |
|
|
鉴别信息释放措施失效 |
确保已删除的用户不存在未授权访问数据 |
确保已删除的用户不存在未授权访问数据 |
|
|
敏感数据释放措施失效 |
确保敏感数据删除有效,防止数据泄露 |
不要求 |
|
|
违规采集和存储个人信息 |
禁止在未授权情况下违规采集存储个人信息 |
禁止在未授权情况下违规采集存储个人信息 |
|
|
违规访问和使用个人信息 |
禁止未授权访问和非法使用个人信息 |
禁止未授权访问和非法使用个人信息 |
|
|
云服务客户数据和用户个人信息违规出境 |
数据需存储中国境内 |
数据需存储中国境内 |
|
|
安 全 管 理 中 心 |
运行监控措施缺失 |
需对设备/链路/服务器/业务进行状态监控 |
不要求 |
|
审计记录存储时间不满足要求 |
审计日志集中存储且不低于6个月 |
不要求 |
|
|
安全事件发现处置措施缺失 |
确保网络攻击、恶意代码入侵做到自动安全监控报警 |
不要求 |
|
|
安 全 管 理 制 度 和 机 构 |
管理制度缺失 |
需建立各类安全管理制度 |
需建立各类安全管理制度 |
|
未建立网络安全领导小组 |
需成立网络安全小组 |
不要求 |
|
|
安 全 管 理 人 员 |
未开展安全意识和安全技能培训 |
需定期开展安全教育和培训 |
需定期开展安全教育和培训 |
|
外部人员接入网络管理措施缺失 |
外部人员接入受控网络需书面申请 |
外部人员接入受控网络需书面申请 |
|
|
安 全 建 设 管 理 |
违规采购和使用网络安全产品 |
采购安全产品需符合国家规定 |
不要求 |
|
外包开发代码审计措施缺失 |
需做代码安全审查 |
不要求 |
|
|
上线前未开展安全测试 |
上线前需做渗透测试 |
不要求 |
|
|
安 全 运 维 管 理 |
运维工具管控措施缺失 |
需要对运维工具进行病毒、漏洞扫描 |
不要求 |
|
设备外联管控措施缺失 |
定期检查违反无线上网及网络安全策略的行为 |
不要求 |
|
|
外来接入设备恶意代码检查措施缺失 |
外来接入设备/存储需做安全扫描 |
外来接入设备/存储需做安全扫描 |
|
|
变更管理制度缺失 |
需明确方案流程、分析、论证 |
需明确方案流程、分析、论证 |
|
|
数据备份策略缺失 |
需有备份和恢复管理制度 |
需有备份和恢复管理制度 |
|
|
重要事件应急预案缺失 |
需有重要事件应急预案 |
需有重要事件应急预案 |
|
|
未对应急预案进行培训演练 |
定期安全事件演练,每年不低于1次 |
不要求 |
|
|
云计算平台运维方式不当 |
运维地点在中国境内 |
运维地点在中国境内 |
原文始发于微信公众号(土夫安全学院):等保自评估指南,一文发现系统差距
