何为等保?等保的定义:
等保即信息安全等级保护,是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护;对信息系统中使用的信息安全产品实行按等级管理;对信息系统中发生的信息安全事件分等级响应、处置。
我们现在列出部分等保一般会遇见的问题做一个汇总。
| 企业网站等保测评问题汇总 | ||||
| 安全层面 | 控制点 | 结果描述 | 结果判断 | 建议项 |
| 安全管理机构 | 人员配备 | 系统管理员和网络管理员配备AB角,互为备份。安全管理员只有一人担任,没有备份角色。 | 部分符合 | 建议配备一定数量的系统管理员、网络管理员、安全管理员等。 |
| 审核和检查 | 安全管理员进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。没有定期进行。 | 部分符合 | 建议安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。 | |
| 人员安全管理 | 人员考核 | 没有对各个岗位的人员进行安全技能及安全认知的考核。 | 不符合 | 建议定期对各个岗位的人员进行安全技能及安全认知的考核。 |
| 系统建设管理 | 安全方案设计 | 根据系统的安全保护等级选择基本安全措施,没有依据风险分析的结果补充和调整安全措施。 | 部分符合 | 建议根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施。 |
| 没有组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定。 | 不符合 | 建议组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。 | ||
| 工程实施 | 没有制定详细的工程实施方案控制实施过程。 | 不符合 | 建议制定详细的工程实施方案, 控制工程实施过程。 | |
| 系统运维管理 | 资产管理 | 没有建立资产安全管理制度。 | 不符合 | 建议建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。 |
| 设备管理 | 基础运维事业部对信息系统相关的各种设备、线路等进行维护管理。但是没有定期进行。 | 部分符合 | 建议对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。 | |
| 没有建立基于申报、审批和专人负责的设备安全管理制度。 | 不符合 | 建议建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 | ||
| 没有建立操作规程或操作手册,对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理。 | 不符合 | 建议对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。 | ||
| 系统安全管理 | 没有安装系统的最新补丁程序。在安装系统补丁前在测试环境中测试通过,并对重要文件进行备份。 | 部分符合 | 建议安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。 | |
| 没有定期对运行日志和审计数据进行分析。 | 不符合 | 建议定期对运行日志和审计数据进行分析,以便及时发现异常行为。 | ||
| 恶意代码防范管理 | 建立《新奥财务有限责任公司信息安全管理规定》。对防恶意代码软件的授权使用、恶意代码库升级等作出明确规定。但是没有对定期汇报等内容作出明确规定。 | 部分符合 | 建议对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。 | |
| 应急预案管理 | 在统一的应急预案框架下制定不同事件的应急预案。没有涉及事后教育和培训等内容 | 部分符合 | 建议在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。 | |
| 没有对系统相关的人员进行应急预案培训。 | 不符合 | 建议对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。 | ||
| 网络设备(防火墙) | 网络设备防护 | 存在5个用户,每个用户都具有唯一标识,存在默认用户 | 部分符合 | 建议删除或禁用默认用户 |
| 存在默认账户,口令采用9位密码,数字、字母、特殊符号组成,90天进行账户密码的更改。 | 部分符合 | 建议删除或禁用默认用户 | ||
| 网络设备(WAF绿盟) | 网络设备防护 | 未对网络设备的管理员登录地址进行限制 | 不符合 | 建议限制管理员的登录地址 |
| 存在5个用户,每个用户都具有唯一标识,存在默认用户 | 部分符合 | 建议禁用或删除默认用户 | ||
| 存在默认账户,口令采用9位密码,数字、字母、特殊符号组成,90天进行账户密码的更改。 | 部分符合 | 建议禁用或删除默认用户 | ||
| 网络设备(负载均衡) | 网络设备防护 | 存在5个用户,每个用户都具有唯一标识,存在默认用户 | 部分符合 | 建议禁用或删除默认用户 |
| 存在默认账户,口令采用9位密码,数字、字母、特殊符号组成,90天进行账户密码的更改。 | 部分符合 | 建议禁用或删除默认用户 | ||
| 网络设备(核心交换机) | 网络设备防护 | 存在5个用户,每个用户都具有唯一标识,存在默认用户 | 部分符合 | 建议禁用或删除默认用户 |
| 存在默认账户,口令采用9位密码,数字、字母、特殊符号组成,90天进行账户密码的更改。 | 部分符合 | 建议禁用或删除默认用户 | ||
| 网络设备(互联网交换机) | 网络设备防护 | 存在5个用户,每个用户都具有唯一标识,存在默认用户 | 部分符合 | 建议禁用或删除默认用户 |
| 存在默认账户,口令采用9位密码,数字、字母、特殊符号组成,90天进行账户密码的更改。 | 部分符合 | 建议禁用或删除默认用户 | ||
| 主机安全SQL (Server2008R2) | 身份鉴别 | 密码为8位密码,满足复杂度,没有定期进行更换密码 | 部分符合 | 建议定期更换密码 |
| 资源控制 | 内网网段都可以登录,没有进行限制 | 不符合 | 建议限制登录地址的网段 | |
| 没有根据安全策略设置登录终端的操作超时锁定 | 不符合 | 建议开启登录超时的功能 | ||
| 未限制单个用户对系统资源的最大或最小使用限度 | 不符合 | 建议限制单个用户对资源的最大或最小的限度 | ||
| 主机安全(Windows2008r2) | 身份鉴别 | 密码为8位密码,但策略没有限制长度,满足复杂度,90天定期更换密码,不存在默认用户 | 部分符合 | 建议更改密码策略的限制 |
| 没有启用登录失败后的处理功能 | 不符合 | 建议开启登录失败处理功能 | ||
| 入侵防范 | Windows2012R2操作系统没有遵循最小安装的原则,没有定期进行补丁的更新 | 部分符合 | 建议定期更新补丁 | |
| 资源控制 | 内网网段都可以登录,没有进行限制 | 不符合 | 建议对登录地址的网段进行限制 | |
| 没有根据安全策略设置登录终端的操作超时锁定 | 不符合 | 建议开启登录超时的功能 | ||
| 未限制单个用户对系统资源的最大或最小使用限度 | 不符合 | 建议限制单个用户对资源的最大或最小的限度 | ||
| 安全应用 | 身份鉴别 | 没有开启登录失败处理功能 | 不符合 | 建议开启登录失败处理功能 |
| 用具有用户身份标识唯一性检查,但无鉴别信息复杂度检查,没有开启登录失败的功能 | 部分符合 | 建议有鉴别复杂度的功能,开启登录失败功能 | ||
| 安全审计 | 没有开启审计功能 | 不符合 | 建议开启审计日志 | |
| 没有开启审计功能 | 不符合 | 建议安全审计日志不能够删除或修改 | ||
| 没有开启审计功能 | 不符合 | 建议安全审计日志应记录日期、操作、用户等信息 | ||
| 通信完整性 | 没有采取任何技术保证通信的完整性 | 不符合 | 建议采取一定措施保证通信的完整性 | |
| 资源控制 | 在一段时间内未作任何相应,没有自动结束会话 | 不符合 | 建议在一段时间内未作任何相应,应自动结束会话连接 | |
| 未对系统的最大并发发会话连接数进行限制 | 不符合 | 建议对系统的最大并发发会话连接数进行限制 | ||
| 未限制单个帐户的多重并发会话进行限制。 | 不符合 | 建议限制单个帐户的多重并发会话进行限制 | ||
