成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

企業(yè)網(wǎng)站等保測評問題匯總參考

2019-10-20    分類: 網(wǎng)站建設(shè)

何為等保?等保的定義:

等保即信息安全等級保護,是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護;對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理;對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

我們現(xiàn)在列出部分等保一般會遇見的問題做一個匯總。

企業(yè)網(wǎng)站等保測評問題匯總參考

企業(yè)網(wǎng)站等保測評問題匯總
安全層面控制點結(jié)果描述結(jié)果判斷建議項
安全管理機構(gòu)人員配備系統(tǒng)管理員和網(wǎng)絡(luò)管理員配備AB角,互為備份。安全管理員只有一人擔(dān)任,沒有備份角色。部分符合建議配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。
審核和檢查安全管理員進行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。沒有定期進行。部分符合建議安全管理員應(yīng)負責(zé)定期進行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。
人員安全管理人員考核沒有對各個崗位的人員進行安全技能及安全認知的考核。不符合建議定期對各個崗位的人員進行安全技能及安全認知的考核。
系統(tǒng)建設(shè)管理安全方案設(shè)計根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施,沒有依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施。部分符合建議根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施,并依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施。
沒有組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定。不符合建議組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實施。
工程實施沒有制定詳細的工程實施方案控制實施過程。不符合建議制定詳細的工程實施方案, 控制工程實施過程。
系統(tǒng)運維管理資產(chǎn)管理沒有建立資產(chǎn)安全管理制度。不符合建議建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門,并規(guī)范資產(chǎn)管理和使用的行為。
設(shè)備管理基礎(chǔ)運維事業(yè)部對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等進行維護管理。但是沒有定期進行。部分符合建議對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進行維護管理。
沒有建立基于申報、審批和專人負責(zé)的設(shè)備安全管理制度。不符合建議建立基于申報、審批和專人負責(zé)的設(shè)備安全管理制度,對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理。
沒有建立操作規(guī)程或操作手冊,對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理。不符合建議對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理,按操作規(guī)程實現(xiàn)主要設(shè)備(包括備份和冗余設(shè)備)的啟動/停止、加電/斷電等操作。
系統(tǒng)安全管理沒有安裝系統(tǒng)的最新補丁程序。在安裝系統(tǒng)補丁前在測試環(huán)境中測試通過,并對重要文件進行備份。部分符合建議安裝系統(tǒng)的最新補丁程序,在安裝系統(tǒng)補丁前,應(yīng)首先在測試環(huán)境中測試通過,并對重要文件進行備份后,方可實施系統(tǒng)補丁程序的安裝。
沒有定期對運行日志和審計數(shù)據(jù)進行分析。不符合建議定期對運行日志和審計數(shù)據(jù)進行分析,以便及時發(fā)現(xiàn)異常行為。
惡意代碼防范管理建立《新奧財務(wù)有限責(zé)任公司信息安全管理規(guī)定》。對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級等作出明確規(guī)定。但是沒有對定期匯報等內(nèi)容作出明確規(guī)定。部分符合建議對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。
應(yīng)急預(yù)案管理在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案。沒有涉及事后教育和培訓(xùn)等內(nèi)容部分符合建議在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。
沒有對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)。不符合建議對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。
網(wǎng)絡(luò)設(shè)備(防火墻)網(wǎng)絡(luò)設(shè)備防護存在5個用戶,每個用戶都具有唯一標(biāo)識,存在默認用戶部分符合建議刪除或禁用默認用戶
存在默認賬戶,口令采用9位密碼,數(shù)字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議刪除或禁用默認用戶
網(wǎng)絡(luò)設(shè)備(WAF綠盟)網(wǎng)絡(luò)設(shè)備防護未對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制不符合建議限制管理員的登錄地址
存在5個用戶,每個用戶都具有唯一標(biāo)識,存在默認用戶部分符合建議禁用或刪除默認用戶
存在默認賬戶,口令采用9位密碼,數(shù)字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備(負載均衡)網(wǎng)絡(luò)設(shè)備防護存在5個用戶,每個用戶都具有唯一標(biāo)識,存在默認用戶部分符合建議禁用或刪除默認用戶
存在默認賬戶,口令采用9位密碼,數(shù)字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備(核心交換機)網(wǎng)絡(luò)設(shè)備防護存在5個用戶,每個用戶都具有唯一標(biāo)識,存在默認用戶部分符合建議禁用或刪除默認用戶
存在默認賬戶,口令采用9位密碼,數(shù)字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議禁用或刪除默認用戶
網(wǎng)絡(luò)設(shè)備(互聯(lián)網(wǎng)交換機)網(wǎng)絡(luò)設(shè)備防護存在5個用戶,每個用戶都具有唯一標(biāo)識,存在默認用戶部分符合建議禁用或刪除默認用戶
存在默認賬戶,口令采用9位密碼,數(shù)字、字母、特殊符號組成,90天進行賬戶密碼的更改。部分符合建議禁用或刪除默認用戶
主機安全SQL (Server2008R2)身份鑒別密碼為8位密碼,滿足復(fù)雜度,沒有定期進行更換密碼部分符合建議定期更換密碼
資源控制內(nèi)網(wǎng)網(wǎng)段都可以登錄,沒有進行限制不符合建議限制登錄地址的網(wǎng)段
沒有根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定不符合建議開啟登錄超時的功能
未限制單個用戶對系統(tǒng)資源的大或最小使用限度不符合建議限制單個用戶對資源的大或最小的限度
主機安全(Windows2008r2)身份鑒別密碼為8位密碼,但策略沒有限制長度,滿足復(fù)雜度,90天定期更換密碼,不存在默認用戶部分符合建議更改密碼策略的限制
沒有啟用登錄失敗后的處理功能不符合建議開啟登錄失敗處理功能
入侵防范Windows2012R2操作系統(tǒng)沒有遵循最小安裝的原則,沒有定期進行補丁的更新部分符合建議定期更新補丁
資源控制內(nèi)網(wǎng)網(wǎng)段都可以登錄,沒有進行限制不符合建議對登錄地址的網(wǎng)段進行限制
沒有根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定不符合建議開啟登錄超時的功能
未限制單個用戶對系統(tǒng)資源的大或最小使用限度不符合建議限制單個用戶對資源的大或最小的限度
安全應(yīng)用身份鑒別沒有開啟登錄失敗處理功能不符合建議開啟登錄失敗處理功能
用具有用戶身份標(biāo)識唯一性檢查,但無鑒別信息復(fù)雜度檢查,沒有開啟登錄失敗的功能部分符合建議有鑒別復(fù)雜度的功能,開啟登錄失敗功能
安全審計沒有開啟審計功能不符合建議開啟審計日志
沒有開啟審計功能不符合建議安全審計日志不能夠刪除或修改
沒有開啟審計功能不符合建議安全審計日志應(yīng)記錄日期、操作、用戶等信息
通信完整性沒有采取任何技術(shù)保證通信的完整性不符合建議采取一定措施保證通信的完整性
資源控制在一段時間內(nèi)未作任何相應(yīng),沒有自動結(jié)束會話不符合建議在一段時間內(nèi)未作任何相應(yīng),應(yīng)自動結(jié)束會話連接
未對系統(tǒng)的大并發(fā)發(fā)會話連接數(shù)進行限制不符合建議對系統(tǒng)的大并發(fā)發(fā)會話連接數(shù)進行限制
未限制單個帳戶的多重并發(fā)會話進行限制。不符合建議限制單個帳戶的多重并發(fā)會話進行限制

當(dāng)前題目:企業(yè)網(wǎng)站等保測評問題匯總參考
網(wǎng)站網(wǎng)址:http://jinyejixie.com/news/80682.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、軟件開發(fā)面包屑導(dǎo)航、靜態(tài)網(wǎng)站、虛擬主機、營銷型網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站
岳池县| 深泽县| 镇雄县| 扶余县| 兴山县| 周宁县| 宕昌县| 阜新| 廉江市| 寿光市| 女性| 团风县| 岢岚县| 开远市| 友谊县| 崇左市| 丹东市| 金溪县| 丁青县| 昌江| 阿拉善左旗| 怀远县| 荔浦县| 冀州市| 灵山县| 双柏县| 鄯善县| 玛曲县| 平阴县| 文成县| 高唐县| 宜兴市| 霞浦县| 屏东市| 渭南市| 南川市| 阳信县| 慈溪市| 玉树县| 垫江县| 克什克腾旗|