|
范围
|
检测项
|
三级要求
|
二级要求
|
|
安
全
物
理
环
境
|
机房出入口访问控制措施
|
机房需有电子门禁和记录进出人员
|
机房需有电子门禁和记录进出人员
|
|
机房防盗措施
|
应配防盗报警系统或视频监控
|
不要求
|
|
机房防火措施
|
应配自动消防系统或视频监控+灭火器
|
应配自动消防系统或视频监控+灭火器
|
|
机房短期备用电力供应措施
|
应配UPS或柴油发电机
|
应配UPS或柴油发电机
|
|
云计算基础设施物理位置不当
|
所有机房设备应在中国境内
|
所有机房设备应在中国境内
|
|
安
全
通
信
网
络
|
网络设备业务处理能力不足
|
设备、带宽处理能力不高于80%,且核心网络(路由器、防火墙)满足高可用
|
不要求
|
|
网络区域划分不当
|
生产和办公网络应该区域隔离
|
生产和办公网络应该区域隔离
|
|
网络边界访问控制设备不可控
|
服务器/数据库/设备应配置访问策略
|
服务器/数据库/设备应配置访问策略
|
|
重要网络区域边界访问控制措施缺失
|
网络区域划分,如ACL
|
网络区域划分,如ACL
|
|
关键线路和设备冗余措施缺失
|
线路/交换机需双机热备
|
|
|
云计算平台等级低于承载业务系统等级
|
云平台等保不低于业务系统等保
|
云平台等保不低于业务系统等保
|
|
重要数据传输完整性保护措施缺失
|
校验或密码保障数据传输完整
|
不要求
|
|
重要数据明文传输
|
数据加密传输
|
|
|
安
全
区
域
边
界
|
无线网络管控措施缺失
|
例办公人员接入无线网络时需要使用802.x认证,Office和gest网络隔离
|
不要求
|
|
重要网络区域边界访问控制配置不当
|
区域之间需配置访问策略,如办公网任意终端可访问服务器
|
区域之间需配置访问策略,如办公网任意终端可访问服务器
|
|
外部网络攻击防御措施缺失
|
需部署IPS、WAF、态势感知或者DDOS防御
|
需部署IPS、WAF、态势感知或者DDOS防御
|
|
内部网络攻击防御措施缺失
|
防止内部服务器发起的网络攻击,需部署态势感知、IPS、HIDS
|
不要求
|
|
恶意代码防范措施缺失
|
服务器和网络要部署恶意代码检测清除产品
|
服务器和网络要部署恶意代码检测清除产品
|
|
网络安全审计措施缺失
|
服务器、网络设备需记录用户行为和安全事件
|
服务器、网络设备需记录用户行为和安全事件
|
|
安
全
计
算
环
境
1
|
设备/系统存在弱口令或相同口令
|
设备/主机/数据库不可存在弱口令
|
设备/主机/数据库不可存在弱口令
|
|
设备鉴别信息防窃听措施缺失
|
设备/主机登录信息需在传输中加密
|
设备/主机登录信息需在传输中加密
|
|
设备未采用多种身份鉴别技术
|
网络设备/关键主机需实现双因素认证
|
不要求
|
|
设备默认口令未更改
|
需删除默认账户和修改默认口令
|
需删除默认账户和修改默认口令
|
|
设备安全审计措施缺失
|
对重要用户行为和安全事件进行审计(日志记录)
|
对重要用户行为和安全事件进行审计(日志记录)
|
|
设备审计记录不满足保护要求
|
关键设备/主机审计日志保留不低于6个月
|
关键设备/主机审计日志保留不低于6个月
|
|
设备开启多余的服务、高危端口
|
业务使用之外的端口需关闭
|
业务使用之外的端口需关闭
|
|
设备终端限制措施缺失
|
终端需vpn登录或者使用ip白名单
|
终端需vpn登录或者使用ip白名单
|
|
互联网设备存在已知高危漏洞
|
需修复设备、服务器的高危漏洞
|
需修复设备、服务器的高危漏洞
|
|
内网设备存在可被利用的高危漏洞
|
内部设备不能存在提权、远程代码执行漏洞
|
内部设备不能存在提权、远程代码执行漏洞
|
|
恶意代码防范措施缺失
|
主机和网络需部署恶意代码检测清除产品
|
主机和网络需部署恶意代码检测清除产品
|
|
安
全
计
算
环
境
2
|
应用系统口令策略缺失
|
需满足复杂性密码策略
|
需满足复杂性密码策略
|
|
应用系统存在弱口令
|
不允许出现弱口令
|
不允许出现弱口令
|
|
应用系统口令暴力破解防范机制缺失
|
需有图形验证码或者访问频率限制功能
|
需有图形验证码或者访问频率限制功能
|
|
应用系统鉴别信息明文传输
|
登录信息传输过程需加密
|
登录信息传输过程需加密
|
|
应用系统未采用多种身份鉴别技术
|
需具备口令、密码、生物技术等两种身份鉴别登录(双因素认证)
|
不要求
|
|
应用系统默认口令未更改
|
重命名或删除默认账户,修改默认口令
|
重命名或删除默认账户,修改默认口令
|
|
应用系统访问控制机制存在缺陷
|
避免未授权、越权访问系统
|
避免未授权、越权访问系统
|
|
应用系统安全审计措施缺失
|
可审计到每个用户的操作行为
|
可审计到每个用户的操作行为
|
|
应用系统审计记录不满足保护要求
|
业务操作、安全类日志不低于6个月留存
|
业务操作、安全类日志不低于6个月留存
|
|
应用系统数据有效性检验功能缺失
|
应使用WEB防火墙防止SQL注入、跨站漏洞
|
应使用WEB防火墙防止SQL注入、跨站漏洞
|
|
应用系统存在可被利用的高危漏洞
|
不能存在已知高危漏洞
|
不能存在已知高危漏洞
|
|
数
据
安
全
|
重要数据传输完整性保护措施缺失
|
应用采用密码或校验技术保证数据通信完整
|
应用采用密码或校验技术保证数据通信完整
|
|
重要数据明文传输
|
数据加密传输
|
数据加密传输
|
|
重要数据存储保密性保护措施缺失
|
数据存储时加密
|
不要求
|
|
缺少数据备份措施
|
需定期本地数据备份和恢复
|
需定期本地数据备份和恢复
|
|
缺少异地数据备份措施
|
需异地实时数据备份
|
|
|
数据处理系统冗余措施缺失
|
服务器/数据库需满足双机热备
|
不要求
|
|
鉴别信息释放措施失效
|
确保已删除的用户不存在未授权访问数据
|
确保已删除的用户不存在未授权访问数据
|
|
敏感数据释放措施失效
|
确保敏感数据删除有效,防止数据泄露
|
不要求
|
|
违规采集和存储个人信息
|
禁止在未授权情况下违规采集存储个人信息
|
禁止在未授权情况下违规采集存储个人信息
|
|
违规访问和使用个人信息
|
禁止未授权访问和非法使用个人信息
|
禁止未授权访问和非法使用个人信息
|
|
云服务客户数据和用户个人信息违规出境
|
数据需存储中国境内
|
数据需存储中国境内
|
|
安
全
管
理
中
心
|
运行监控措施缺失
|
需对设备/链路/服务器/业务进行状态监控
|
不要求
|
|
审计记录存储时间不满足要求
|
审计日志集中存储且不低于6个月
|
不要求
|
|
安全事件发现处置措施缺失
|
确保网络攻击、恶意代码入侵做到自动安全监控报警
|
不要求
|
|
安
全
管
理
制
度
和
机
构
|
管理制度缺失
|
需建立各类安全管理制度
|
需建立各类安全管理制度
|
|
未建立网络安全领导小组
|
需成立网络安全小组
|
不要求
|
|
安
全
管
理
人
员
|
未开展安全意识和安全技能培训
|
需定期开展安全教育和培训
|
需定期开展安全教育和培训
|
|
外部人员接入网络管理措施缺失
|
外部人员接入受控网络需书面申请
|
外部人员接入受控网络需书面申请
|
|
安
全
建
设
管
理
|
