免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

企業網站等保測評問題匯總參考

2019-10-20    分類: 網站建設

何為等保?等保的定義:

等保即信息安全等級保護,是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護;對信息系統中使用的信息安全產品實行按等級管理;對信息系統中發生的信息安全事件分等級響應、處置。

我們現在列出部分等保一般會遇見的問題做一個匯總。

企業網站等保測評問題匯總參考

企業網站等保測評問題匯總
安全層面控制點結果描述結果判斷建議項
安全管理機構人員配備系統管理員和網絡管理員配備AB角,互為備份。安全管理員只有一人擔任,沒有備份角色。部分符合建議配備一定數量的系統管理員、網絡管理員、安全管理員等。
審核和檢查安全管理員進行安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況。沒有定期進行。部分符合建議安全管理員應負責定期進行安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況。
人員安全管理人員考核沒有對各個崗位的人員進行安全技能及安全認知的考核。不符合建議定期對各個崗位的人員進行安全技能及安全認知的考核。
系統建設管理安全方案設計根據系統的安全保護等級選擇基本安全措施,沒有依據風險分析的結果補充和調整安全措施。部分符合建議根據系統的安全保護等級選擇基本安全措施,并依據風險分析的結果補充和調整安全措施。
沒有組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定。不符合建議組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施。
工程實施沒有制定詳細的工程實施方案控制實施過程。不符合建議制定詳細的工程實施方案, 控制工程實施過程。
系統運維管理資產管理沒有建立資產安全管理制度。不符合建議建立資產安全管理制度,規定信息系統資產管理的責任人員或責任部門,并規范資產管理和使用的行為。
設備管理基礎運維事業部對信息系統相關的各種設備、線路等進行維護管理。但是沒有定期進行。部分符合建議對信息系統相關的各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理。
沒有建立基于申報、審批和專人負責的設備安全管理制度。不符合建議建立基于申報、審批和專人負責的設備安全管理制度,對信息系統的各種軟硬件設備的選型、采購、發放和領用等過程進行規范化管理。
沒有建立操作規程或操作手冊,對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用進行規范化管理。不符合建議對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用進行規范化管理,按操作規程實現主要設備(包括備份和冗余設備)的啟動/停止、加電/斷電等操作。
系統安全管理沒有安裝系統的最新補丁程序。在安裝系統補丁前在測試環境中測試通過,并對重要文件進行備份。部分符合建議安裝系統的最新補丁程序,在安裝系統補丁前,應首先在測試環境中測試通過,并對重要文件進行備份后,方可實施系統補丁程序的安裝。
沒有定期對運行日志和審計數據進行分析。不符合建議定期對運行日志和審計數據進行分析,以便及時發現異常行為。
惡意代碼防范管理建立《新奧財務有限責任公司信息安全管理規定》。對防惡意代碼軟件的授權使用、惡意代碼庫升級等作出明確規定。但是沒有對定期匯報等內容作出明確規定。部分符合建議對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規定。
應急預案管理在統一的應急預案框架下制定不同事件的應急預案。沒有涉及事后教育和培訓等內容部分符合建議在統一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容。
沒有對系統相關的人員進行應急預案培訓。不符合建議對系統相關的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次。
網絡設備(防火墻)網絡設備防護存在5個用戶,每個用戶都具有唯一標識,存在默認用戶部分符合建議刪除或禁用默認用戶
存在默認賬戶,口令采用9位密碼,數字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議刪除或禁用默認用戶
網絡設備(WAF綠盟)網絡設備防護未對網絡設備的管理員登錄地址進行限制不符合建議限制管理員的登錄地址
存在5個用戶,每個用戶都具有唯一標識,存在默認用戶部分符合建議禁用或刪除默認用戶
存在默認賬戶,口令采用9位密碼,數字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議禁用或刪除默認用戶
網絡設備(負載均衡)網絡設備防護存在5個用戶,每個用戶都具有唯一標識,存在默認用戶部分符合建議禁用或刪除默認用戶
存在默認賬戶,口令采用9位密碼,數字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議禁用或刪除默認用戶
網絡設備(核心交換機)網絡設備防護存在5個用戶,每個用戶都具有唯一標識,存在默認用戶部分符合建議禁用或刪除默認用戶
存在默認賬戶,口令采用9位密碼,數字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議禁用或刪除默認用戶
網絡設備(互聯網交換機)網絡設備防護存在5個用戶,每個用戶都具有唯一標識,存在默認用戶部分符合建議禁用或刪除默認用戶
存在默認賬戶,口令采用9位密碼,數字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議禁用或刪除默認用戶
主機安全SQL (Server2008R2)身份鑒別密碼為8位密碼,滿足復雜度,沒有定期進行更換密碼部分符合建議定期更換密碼
資源控制內網網段都可以登錄,沒有進行限制不符合建議限制登錄地址的網段
沒有根據安全策略設置登錄終端的操作超時鎖定不符合建議開啟登錄超時的功能
未限制單個用戶對系統資源的大或最小使用限度不符合建議限制單個用戶對資源的大或最小的限度
主機安全(Windows2008r2)身份鑒別密碼為8位密碼,但策略沒有限制長度,滿足復雜度,90天定期更換密碼,不存在默認用戶部分符合建議更改密碼策略的限制
沒有啟用登錄失敗后的處理功能不符合建議開啟登錄失敗處理功能
入侵防范Windows2012R2操作系統沒有遵循最小安裝的原則,沒有定期進行補丁的更新部分符合建議定期更新補丁
資源控制內網網段都可以登錄,沒有進行限制不符合建議對登錄地址的網段進行限制
沒有根據安全策略設置登錄終端的操作超時鎖定不符合建議開啟登錄超時的功能
未限制單個用戶對系統資源的大或最小使用限度不符合建議限制單個用戶對資源的大或最小的限度
安全應用身份鑒別沒有開啟登錄失敗處理功能不符合建議開啟登錄失敗處理功能
用具有用戶身份標識唯一性檢查,但無鑒別信息復雜度檢查,沒有開啟登錄失敗的功能部分符合建議有鑒別復雜度的功能,開啟登錄失敗功能
安全審計沒有開啟審計功能不符合建議開啟審計日志
沒有開啟審計功能不符合建議安全審計日志不能夠刪除或修改
沒有開啟審計功能不符合建議安全審計日志應記錄日期、操作、用戶等信息
通信完整性沒有采取任何技術保證通信的完整性不符合建議采取一定措施保證通信的完整性
資源控制在一段時間內未作任何相應,沒有自動結束會話不符合建議在一段時間內未作任何相應,應自動結束會話連接
未對系統的大并發發會話連接數進行限制不符合建議對系統的大并發發會話連接數進行限制
未限制單個帳戶的多重并發會話進行限制。不符合建議限制單個帳戶的多重并發會話進行限制

網站名稱:企業網站等保測評問題匯總參考
網站鏈接:http://m.newbst.com/news32/80682.html

成都網站建設公司_創新互聯,為您提供企業網站制作動態網站網站收錄定制網站品牌網站設計Google

廣告

聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯

成都網頁設計公司