企業(yè)網(wǎng)站等保測(cè)評(píng)問(wèn)題匯總參考

2019-10-20 分類：網(wǎng)站建設(shè)

何為等保？等保的定義：

等保即信息安全等級(jí)保護(hù)，是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開(kāi)信息在存儲(chǔ)、傳輸、處理這些信息時(shí)分等級(jí)實(shí)行安全保護(hù)；對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理；對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

我們現(xiàn)在列出部分等保一般會(huì)遇見(jiàn)的問(wèn)題做一個(gè)匯總。

企業(yè)網(wǎng)站等保測(cè)評(píng)問(wèn)題匯總
安全層面	控制點(diǎn)	結(jié)果描述	結(jié)果判斷	建議項(xiàng)
安全管理機(jī)構(gòu)	人員配備	系統(tǒng)管理員和網(wǎng)絡(luò)管理員配備AB角，互為備份。安全管理員只有一人擔(dān)任，沒(méi)有備份角色。	部分符合	建議配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。
安全管理機(jī)構(gòu)	審核和檢查	安全管理員進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。沒(méi)有定期進(jìn)行。	部分符合	建議安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。
人員安全管理	人員考核	沒(méi)有對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。	不符合	建議定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。
系統(tǒng)建設(shè)管理	安全方案設(shè)計(jì)	根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，沒(méi)有依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。	部分符合	建議根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。
	安全方案設(shè)計(jì)	沒(méi)有組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定。	不符合	建議組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施。
	工程實(shí)施	沒(méi)有制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程。	不符合	建議制定詳細(xì)的工程實(shí)施方案，控制工程實(shí)施過(guò)程。
系統(tǒng)運(yùn)維管理	資產(chǎn)管理	沒(méi)有建立資產(chǎn)安全管理制度。	不符合	建議建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)管理和使用的行為。
	設(shè)備管理	基礎(chǔ)運(yùn)維事業(yè)部對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等進(jìn)行維護(hù)管理。但是沒(méi)有定期進(jìn)行。	部分符合	建議對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理。
		沒(méi)有建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度。	不符合	建議建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理。
		沒(méi)有建立操作規(guī)程或操作手冊(cè)，對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理。	不符合	建議對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作。
	系統(tǒng)安全管理	沒(méi)有安裝系統(tǒng)的最新補(bǔ)丁程序。在安裝系統(tǒng)補(bǔ)丁前在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份。	部分符合	建議安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝。
	系統(tǒng)安全管理	沒(méi)有定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析。	不符合	建議定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。
	惡意代碼防范管理	建立《新奧財(cái)務(wù)有限責(zé)任公司信息安全管理規(guī)定》。對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)等作出明確規(guī)定。但是沒(méi)有對(duì)定期匯報(bào)等內(nèi)容作出明確規(guī)定。	部分符合	建議對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定。
	應(yīng)急預(yù)案管理	在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案。沒(méi)有涉及事后教育和培訓(xùn)等內(nèi)容	部分符合	建議在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。
	應(yīng)急預(yù)案管理	沒(méi)有對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)。	不符合	建議對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。
網(wǎng)絡(luò)設(shè)備（防火墻）	網(wǎng)絡(luò)設(shè)備防護(hù)	存在5個(gè)用戶，每個(gè)用戶都具有唯一標(biāo)識(shí)，存在默認(rèn)用戶	部分符合	建議刪除或禁用默認(rèn)用戶
網(wǎng)絡(luò)設(shè)備（防火墻）	網(wǎng)絡(luò)設(shè)備防護(hù)	存在默認(rèn)賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號(hào)組成，90天進(jìn)行賬戶密碼的更改。	部分符合	建議刪除或禁用默認(rèn)用戶
網(wǎng)絡(luò)設(shè)備（WAF綠盟）	網(wǎng)絡(luò)設(shè)備防護(hù)	未對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制	不符合	建議限制管理員的登錄地址
		存在5個(gè)用戶，每個(gè)用戶都具有唯一標(biāo)識(shí)，存在默認(rèn)用戶	部分符合	建議禁用或刪除默認(rèn)用戶
		存在默認(rèn)賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號(hào)組成，90天進(jìn)行賬戶密碼的更改。	部分符合	建議禁用或刪除默認(rèn)用戶
網(wǎng)絡(luò)設(shè)備（負(fù)載均衡）	網(wǎng)絡(luò)設(shè)備防護(hù)	存在5個(gè)用戶，每個(gè)用戶都具有唯一標(biāo)識(shí)，存在默認(rèn)用戶	部分符合	建議禁用或刪除默認(rèn)用戶
網(wǎng)絡(luò)設(shè)備（負(fù)載均衡）	網(wǎng)絡(luò)設(shè)備防護(hù)	存在默認(rèn)賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號(hào)組成，90天進(jìn)行賬戶密碼的更改。	部分符合	建議禁用或刪除默認(rèn)用戶
網(wǎng)絡(luò)設(shè)備（核心交換機(jī)）	網(wǎng)絡(luò)設(shè)備防護(hù)	存在5個(gè)用戶，每個(gè)用戶都具有唯一標(biāo)識(shí)，存在默認(rèn)用戶	部分符合	建議禁用或刪除默認(rèn)用戶
網(wǎng)絡(luò)設(shè)備（核心交換機(jī)）	網(wǎng)絡(luò)設(shè)備防護(hù)	存在默認(rèn)賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號(hào)組成，90天進(jìn)行賬戶密碼的更改。	部分符合	建議禁用或刪除默認(rèn)用戶
網(wǎng)絡(luò)設(shè)備（互聯(lián)網(wǎng)交換機(jī)）	網(wǎng)絡(luò)設(shè)備防護(hù)	存在5個(gè)用戶，每個(gè)用戶都具有唯一標(biāo)識(shí)，存在默認(rèn)用戶	部分符合	建議禁用或刪除默認(rèn)用戶
網(wǎng)絡(luò)設(shè)備（互聯(lián)網(wǎng)交換機(jī)）	網(wǎng)絡(luò)設(shè)備防護(hù)	存在默認(rèn)賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號(hào)組成，90天進(jìn)行賬戶密碼的更改。	部分符合	建議禁用或刪除默認(rèn)用戶
主機(jī)安全SQL （Server2008R2）	身份鑒別	密碼為8位密碼，滿足復(fù)雜度，沒(méi)有定期進(jìn)行更換密碼	部分符合	建議定期更換密碼
	資源控制	內(nèi)網(wǎng)網(wǎng)段都可以登錄，沒(méi)有進(jìn)行限制	不符合	建議限制登錄地址的網(wǎng)段
		沒(méi)有根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定	不符合	建議開(kāi)啟登錄超時(shí)的功能
		未限制單個(gè)用戶對(duì)系統(tǒng)資源的大或最小使用限度	不符合	建議限制單個(gè)用戶對(duì)資源的大或最小的限度
主機(jī)安全（Windows2008r2）	身份鑒別	密碼為8位密碼，但策略沒(méi)有限制長(zhǎng)度，滿足復(fù)雜度，90天定期更換密碼，不存在默認(rèn)用戶	部分符合	建議更改密碼策略的限制
	身份鑒別	沒(méi)有啟用登錄失敗后的處理功能	不符合	建議開(kāi)啟登錄失敗處理功能
	入侵防范	Windows2012R2操作系統(tǒng)沒(méi)有遵循最小安裝的原則，沒(méi)有定期進(jìn)行補(bǔ)丁的更新	部分符合	建議定期更新補(bǔ)丁
	資源控制	內(nèi)網(wǎng)網(wǎng)段都可以登錄，沒(méi)有進(jìn)行限制	不符合	建議對(duì)登錄地址的網(wǎng)段進(jìn)行限制
		沒(méi)有根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定	不符合	建議開(kāi)啟登錄超時(shí)的功能
		未限制單個(gè)用戶對(duì)系統(tǒng)資源的大或最小使用限度	不符合	建議限制單個(gè)用戶對(duì)資源的大或最小的限度
安全應(yīng)用	身份鑒別	沒(méi)有開(kāi)啟登錄失敗處理功能	不符合	建議開(kāi)啟登錄失敗處理功能
	身份鑒別	用具有用戶身份標(biāo)識(shí)唯一性檢查，但無(wú)鑒別信息復(fù)雜度檢查，沒(méi)有開(kāi)啟登錄失敗的功能	部分符合	建議有鑒別復(fù)雜度的功能，開(kāi)啟登錄失敗功能
	安全審計(jì)	沒(méi)有開(kāi)啟審計(jì)功能	不符合	建議開(kāi)啟審計(jì)日志
		沒(méi)有開(kāi)啟審計(jì)功能	不符合	建議安全審計(jì)日志不能夠刪除或修改
		沒(méi)有開(kāi)啟審計(jì)功能	不符合	建議安全審計(jì)日志應(yīng)記錄日期、操作、用戶等信息
	通信完整性	沒(méi)有采取任何技術(shù)保證通信的完整性	不符合	建議采取一定措施保證通信的完整性
	資源控制	在一段時(shí)間內(nèi)未作任何相應(yīng)，沒(méi)有自動(dòng)結(jié)束會(huì)話	不符合	建議在一段時(shí)間內(nèi)未作任何相應(yīng)，應(yīng)自動(dòng)結(jié)束會(huì)話連接
		未對(duì)系統(tǒng)的大并發(fā)發(fā)會(huì)話連接數(shù)進(jìn)行限制	不符合	建議對(duì)系統(tǒng)的大并發(fā)發(fā)會(huì)話連接數(shù)進(jìn)行限制
		未限制單個(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。	不符合	建議限制單個(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制

當(dāng)前題目：企業(yè)網(wǎng)站等保測(cè)評(píng)問(wèn)題匯總參考
網(wǎng)站網(wǎng)址：http://www.rwnh.cn/news/80682.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、軟件開(kāi)發(fā)、面包屑導(dǎo)航、靜態(tài)網(wǎng)站、虛擬主機(jī)、營(yíng)銷型網(wǎng)站建設(shè)

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

找公司建網(wǎng)站需要多少錢(qián)？我來(lái)告訴你。 2019-10-19
什么是SSL證書(shū)？ 2019-10-19
人才培訓(xùn)考核網(wǎng)站功能需求描述 2019-10-18
如何提高企業(yè)郵箱的安全及設(shè)置方法。 2019-10-18
房地產(chǎn)網(wǎng)重建方案（需求） 2019-10-16

中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

企業(yè)網(wǎng)站等保測(cè)評(píng)問(wèn)題匯總參考