企業(yè)網(wǎng)站等保測評問題匯總參考

2019-10-20 分類：網(wǎng)站建設(shè)

何為等保？等保的定義：

等保即信息安全等級保護，是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護；對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

我們現(xiàn)在列出部分等保一般會遇見的問題做一個匯總。

企業(yè)網(wǎng)站等保測評問題匯總
安全層面	控制點	結(jié)果描述	結(jié)果判斷	建議項
安全管理機構(gòu)	人員配備	系統(tǒng)管理員和網(wǎng)絡(luò)管理員配備AB角，互為備份。安全管理員只有一人擔任，沒有備份角色。	部分符合	建議配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。
安全管理機構(gòu)	審核和檢查	安全管理員進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。沒有定期進行。	部分符合	建議安全管理員應負責定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。
人員安全管理	人員考核	沒有對各個崗位的人員進行安全技能及安全認知的考核。	不符合	建議定期對各個崗位的人員進行安全技能及安全認知的考核。
系統(tǒng)建設(shè)管理	安全方案設(shè)計	根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，沒有依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施。	部分符合	建議根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，并依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施。
	安全方案設(shè)計	沒有組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定。	不符合	建議組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施。
	工程實施	沒有制定詳細的工程實施方案控制實施過程。	不符合	建議制定詳細的工程實施方案，控制工程實施過程。
系統(tǒng)運維管理	資產(chǎn)管理	沒有建立資產(chǎn)安全管理制度。	不符合	建議建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責任人員或責任部門，并規(guī)范資產(chǎn)管理和使用的行為。
	設(shè)備管理	基礎(chǔ)運維事業(yè)部對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等進行維護管理。但是沒有定期進行。	部分符合	建議對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進行維護管理。
		沒有建立基于申報、審批和專人負責的設(shè)備安全管理制度。	不符合	建議建立基于申報、審批和專人負責的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理。
		沒有建立操作規(guī)程或操作手冊，對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理。	不符合	建議對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作。
	系統(tǒng)安全管理	沒有安裝系統(tǒng)的最新補丁程序。在安裝系統(tǒng)補丁前在測試環(huán)境中測試通過，并對重要文件進行備份。	部分符合	建議安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝。
	系統(tǒng)安全管理	沒有定期對運行日志和審計數(shù)據(jù)進行分析。	不符合	建議定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。
	惡意代碼防范管理	建立《新奧財務有限責任公司信息安全管理規(guī)定》。對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級等作出明確規(guī)定。但是沒有對定期匯報等內(nèi)容作出明確規(guī)定。	部分符合	建議對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。
	應急預案管理	在統(tǒng)一的應急預案框架下制定不同事件的應急預案。沒有涉及事后教育和培訓等內(nèi)容	部分符合	建議在統(tǒng)一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容。
	應急預案管理	沒有對系統(tǒng)相關(guān)的人員進行應急預案培訓。	不符合	建議對系統(tǒng)相關(guān)的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次。
網(wǎng)絡(luò)設(shè)備（防火墻）	網(wǎng)絡(luò)設(shè)備防護	存在5個用戶，每個用戶都具有唯一標識，存在默認用戶	部分符合	建議刪除或禁用默認用戶
網(wǎng)絡(luò)設(shè)備（防火墻）	網(wǎng)絡(luò)設(shè)備防護	存在默認賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號組成，90天進行賬戶密碼的更改。	部分符合	建議刪除或禁用默認用戶
網(wǎng)絡(luò)設(shè)備（WAF綠盟）	網(wǎng)絡(luò)設(shè)備防護	未對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制	不符合	建議限制管理員的登錄地址
		存在5個用戶，每個用戶都具有唯一標識，存在默認用戶	部分符合	建議禁用或刪除默認用戶
		存在默認賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號組成，90天進行賬戶密碼的更改。	部分符合	建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備（負載均衡）	網(wǎng)絡(luò)設(shè)備防護	存在5個用戶，每個用戶都具有唯一標識，存在默認用戶	部分符合	建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備（負載均衡）	網(wǎng)絡(luò)設(shè)備防護	存在默認賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號組成，90天進行賬戶密碼的更改。	部分符合	建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備（核心交換機）	網(wǎng)絡(luò)設(shè)備防護	存在5個用戶，每個用戶都具有唯一標識，存在默認用戶	部分符合	建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備（核心交換機）	網(wǎng)絡(luò)設(shè)備防護	存在默認賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號組成，90天進行賬戶密碼的更改。	部分符合	建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備（互聯(lián)網(wǎng)交換機）	網(wǎng)絡(luò)設(shè)備防護	存在5個用戶，每個用戶都具有唯一標識，存在默認用戶	部分符合	建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備（互聯(lián)網(wǎng)交換機）	網(wǎng)絡(luò)設(shè)備防護	存在默認賬戶，口令采用9位密碼，數(shù)字、字母、特殊符號組成，90天進行賬戶密碼的更改。	部分符合	建議禁用或刪除默認用戶
主機安全SQL （Server2008R2）	身份鑒別	密碼為8位密碼，滿足復雜度，沒有定期進行更換密碼	部分符合	建議定期更換密碼
	資源控制	內(nèi)網(wǎng)網(wǎng)段都可以登錄，沒有進行限制	不符合	建議限制登錄地址的網(wǎng)段
		沒有根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定	不符合	建議開啟登錄超時的功能
		未限制單個用戶對系統(tǒng)資源的大或最小使用限度	不符合	建議限制單個用戶對資源的大或最小的限度
主機安全（Windows2008r2）	身份鑒別	密碼為8位密碼，但策略沒有限制長度，滿足復雜度，90天定期更換密碼，不存在默認用戶	部分符合	建議更改密碼策略的限制
	身份鑒別	沒有啟用登錄失敗后的處理功能	不符合	建議開啟登錄失敗處理功能
	入侵防范	Windows2012R2操作系統(tǒng)沒有遵循最小安裝的原則，沒有定期進行補丁的更新	部分符合	建議定期更新補丁
	資源控制	內(nèi)網(wǎng)網(wǎng)段都可以登錄，沒有進行限制	不符合	建議對登錄地址的網(wǎng)段進行限制
		沒有根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定	不符合	建議開啟登錄超時的功能
		未限制單個用戶對系統(tǒng)資源的大或最小使用限度	不符合	建議限制單個用戶對資源的大或最小的限度
安全應用	身份鑒別	沒有開啟登錄失敗處理功能	不符合	建議開啟登錄失敗處理功能
	身份鑒別	用具有用戶身份標識唯一性檢查，但無鑒別信息復雜度檢查，沒有開啟登錄失敗的功能	部分符合	建議有鑒別復雜度的功能，開啟登錄失敗功能
	安全審計	沒有開啟審計功能	不符合	建議開啟審計日志
		沒有開啟審計功能	不符合	建議安全審計日志不能夠刪除或修改
		沒有開啟審計功能	不符合	建議安全審計日志應記錄日期、操作、用戶等信息
	通信完整性	沒有采取任何技術(shù)保證通信的完整性	不符合	建議采取一定措施保證通信的完整性
	資源控制	在一段時間內(nèi)未作任何相應，沒有自動結(jié)束會話	不符合	建議在一段時間內(nèi)未作任何相應，應自動結(jié)束會話連接
		未對系統(tǒng)的大并發(fā)發(fā)會話連接數(shù)進行限制	不符合	建議對系統(tǒng)的大并發(fā)發(fā)會話連接數(shù)進行限制
		未限制單個帳戶的多重并發(fā)會話進行限制。	不符合	建議限制單個帳戶的多重并發(fā)會話進行限制

網(wǎng)站名稱：企業(yè)網(wǎng)站等保測評問題匯總參考
網(wǎng)站鏈接：http://www.muchs.cn/news32/80682.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、動態(tài)網(wǎng)站、網(wǎng)站收錄、定制網(wǎng)站、品牌網(wǎng)站設(shè)計、Google

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容