26、27.脆弱性识别表
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
4
3
3 3.6 中
抗DDOS系统 ASSET-10 4
4
3
3 3.6 中
赣服通自安
ASSET-11 4
4
3
3 3.6 中
全交换机
红谷滩赣服
ASSET-12 4
4
4
4
4
高
通业务系统
Apache ASSET-13 3
3
3
3 3.0 中
红谷滩赣服
通业务系统 ASSET-14 4
4
4
4 4.0 高
数据库
账号密码数
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
信息员安全领
导小组-信
息安全领导
ASSET-27 4
4
3
3 3.6 中
小组办公室
-信息系统
负责人
信息安全领
导小组-信
息安全领导 ASSET-28 4
4
3
3 3.6 中
小组办公室
-安全管理
信息员安全领
导小组-信
息安全领导 ASSET-29 4
4
3
3 3.6 中
小组办公室
-网络管理
信息员安全领
导小组-信
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
息安全领导 ASSET-30 4
4
3
3 3.6 中
小组办公室
-系统管理
信息员安全领
导小组-信
息安全领导 ASSET-31 4
4
3
3 3.6 中
小组办公室
-数据管理
信息员安全领
导小组-信
息安全领导 ASSET-32 4
4
3
3 3.6 中
小组办公室
-外部运维
信息人安员全领
导小组-信
息安全领导 ASSET-33 4
没有访问控制措施
没有访问控制措施
没有修改控制措施
没有修改控制措施
没有修改控制措施
没有修改控制措施
没有修改控制措施
缺乏监视机制
缺乏监视机制
安全技能不足
缺乏监视机制
安全技能不足
安全技能不足
安全技能不足
安全技能不足
安全技能不足
安全技能不足
脆弱性 赋值
4 2 4 4 2 2 2 3 3 2 2 2 2 3 4 4 3 3 3
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
3
3
3 3.0 中
系统日志 ASSET-22 3
3
3
3 3.0 中
审计日志 ASSET-23 3
3
3
3 3.0 中
信息安全领
ASSET-24 5
5
4
3 4.5 高
导小组-组
信息长安全领
导小组-副 ASSET-25 5
5
4
3 4.5 高
组长
信息安全领
导小组-专 ASSET-26 4
4
3
3 3.6 中
职安全管理
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
中被窃听 未采取两种以上组合的身
份鉴别技术及措施 未重命名或删除默认账户
,存在admin默认账户 存在共享账户
安全审计功能只开启查询 操作审计记录
未对审计记录进行定期备 份等保护措施
不能及时修复已知漏洞和 高危漏洞存在被攻击和被
非法利用等风险
访问控制力度不够
访问控制力度不够
访问控制力度不够
访问控制力度不够
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
越边界的网络通信 边界设备的访问控制策略 中未设定源地址、目的地 址、源端口、目的端口和
协议等相关配置参数 无法在关键网络节点处检 测、防止或限制从外部及 内部发起的网络攻击行为 未采取技术措施对网络行 为进行分析,实现对网络 攻击特别是新型网络攻击
行为的分析 关键网络节点处无恶意代
码检测和清除措施 关键网络节点处无垃圾邮
ASSET-15 4
4
4
4 4.0 高
据库
后台服务数 ASSET-16 3
3
3
3 3.0 中
据库
技术文档 ASSET-17 3
3
3
3 3.0 中
管理制度 ASSET-18 3
3
3
3 3.0 中
业务数据 ASSET-19 3
3
3
3 3.0 中
财务数据 ASSET-20 3
3
3
3 3.0 中
行政文档 ASSET-21 3
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
件检测和防护措施 未在网络边界、重要网络 节点进行审计覆盖到每个 用户的安全审计,审计重 要的用户行为和重要安全 事件;未对网络日志进行
管理,定期分析 未对审计记录进行保护, 定期备份,部分日志无法
留存六个月 未对远程访问用户及互相 联网访问用户行为单独进
行审计分析 未配备安全管理中心 无线网络通过受控的边界 设备接入内部网络,但未
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
资产名称
脆弱性识别记录表
资产重要性
资产赋 资产级
资产编号
业务相
保密性 完整性 可用性 关性
值
别
中心机房 ASSET34 5
5
5
5
5 很高
网络全局 ASSET35 5
5
5
5
5 很高
赣服通前置
ASSET-01 4
4
4
4 3.6 中
服务器
赣服通业务
ASSET-02 4
4
4
4
4
高
服务器
数据共享交
ASSET-03 4
资产 分类 其他 其他
硬件
软件 数据 人员
资产 清单
物理 机房
网络 全局
计算 机设 备
计算 机设 备
计算 机设 备
计算 机设 备
计算 机设 备
安全 设备
安全 设备
安全 设备
安全 设备
安全 设备
网络 设备
系统 软件
应用 软件 数据 库数 据 数据 库数 据 数据 库数 据 业务 数据 业务 数据 业务 数据 业务 数据 业务 数据 系统 文档 系统 文档 管理 人员 管理 人员 操作 人员 管理 人员 操作 人员 操作 人员 操作 人员 操作 人员 操作 人员 操作 人员
隔离; 未对服务器等重点区域采 取有效的访问控制及安全 未设置通信防线护路、关键网 络设备和关键计算设备的
硬件冗余 系统网络内存在双宿主机
使用情况 无法对非授权设备私自联 到内部网络的行为进行检
查或限制 无法对内部用户非授权联 到外部网络的行为进行检
查或限制 系统网络未部署网络安全 监测设备;重要系统设备 前端未部署具备协议深度 包检测功能的防护设备 边界设备未设置有效的网 络出入访问控制策略,配 置信息未指定端口进行跨
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
4
4
4
4
高
换平台1
数据共享交
ASSET-04 4
4
4
4
4
高
换平台2
数据共享交
ASSET-05 4
4
4
4
4
高
换平台3
互联网边界
防火墙 ASSET-06 4
5
5
4 4.6 高
WEB应用防
ASSET-07 4
5
4 4.6 高
火墙
数据库审计 ASSET-08 4
3
3
3 3.3 中
日志审计 ASSET-09 4
4
3
3 3.6 中
小组办公室
-资产管理
员
脆弱性识别
机房未配置电子门禁系统 ,未鉴别和记录进入的人 未对机房划员分。区域进行管
理。 未设置机房访问权限人员
名单。 部分设备或主要部件未进 行固定,未设置统一的设
备标识 部分电源线和通信线缆未
隔离铺设 机房设置了手动灭火器, 但无火情自动灭火措施 未对机房划分区域并设置
3
3
4
3
3
3
3 3
3
3
2 3 3
2 2 3
2
3 3 3 3 3 2
2
2 3 2 3
防火隔离 未采取静电消除器、佩戴
防静电手环等措施 机房无水敏感的检测仪表
或元件 机房未启用湿度调节功能 未设置冗余或并行的电力 电缆线路为计算机系统供 未对关键设电备实施电磁屏 未对关键设蔽备或存储介质 携带出工作环境时采取行
为审计 网络出口带宽无法满足业
务高峰期需要 信息系统与互联网及其他 公共信息网络未实行逻辑
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 身份标识不具有唯一性, 身份鉴别信息无复杂度要
求并定期更换 无登录失败处理功能,未 配置并启用结束会话、限 制非法登录次数和当登录 连接超时自动退出等相关 系统使用h策tt略p协议登录访 问,未采取必要措施防止 鉴别信息在网络传输过程
设置控制策略 未采用校验技术或密码技 术保证通信过程中数据的
完整性 未采用密码技术保证通信
过程中数据的保密性 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
4
3
3 3.6 中
抗DDOS系统 ASSET-10 4
4
3
3 3.6 中
赣服通自安
ASSET-11 4
4
3
3 3.6 中
全交换机
红谷滩赣服
ASSET-12 4
4
4
4
4
高
通业务系统
Apache ASSET-13 3
3
3
3 3.0 中
红谷滩赣服
通业务系统 ASSET-14 4
4
4
4 4.0 高
数据库
账号密码数
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
信息员安全领
导小组-信
息安全领导
ASSET-27 4
4
3
3 3.6 中
小组办公室
-信息系统
负责人
信息安全领
导小组-信
息安全领导 ASSET-28 4
4
3
3 3.6 中
小组办公室
-安全管理
信息员安全领
导小组-信
息安全领导 ASSET-29 4
4
3
3 3.6 中
小组办公室
-网络管理
信息员安全领
导小组-信
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
息安全领导 ASSET-30 4
4
3
3 3.6 中
小组办公室
-系统管理
信息员安全领
导小组-信
息安全领导 ASSET-31 4
4
3
3 3.6 中
小组办公室
-数据管理
信息员安全领
导小组-信
息安全领导 ASSET-32 4
4
3
3 3.6 中
小组办公室
-外部运维
信息人安员全领
导小组-信
息安全领导 ASSET-33 4
没有访问控制措施
没有访问控制措施
没有修改控制措施
没有修改控制措施
没有修改控制措施
没有修改控制措施
没有修改控制措施
缺乏监视机制
缺乏监视机制
安全技能不足
缺乏监视机制
安全技能不足
安全技能不足
安全技能不足
安全技能不足
安全技能不足
安全技能不足
脆弱性 赋值
4 2 4 4 2 2 2 3 3 2 2 2 2 3 4 4 3 3 3
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
3
3
3 3.0 中
系统日志 ASSET-22 3
3
3
3 3.0 中
审计日志 ASSET-23 3
3
3
3 3.0 中
信息安全领
ASSET-24 5
5
4
3 4.5 高
导小组-组
信息长安全领
导小组-副 ASSET-25 5
5
4
3 4.5 高
组长
信息安全领
导小组-专 ASSET-26 4
4
3
3 3.6 中
职安全管理
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
中被窃听 未采取两种以上组合的身
份鉴别技术及措施 未重命名或删除默认账户
,存在admin默认账户 存在共享账户
安全审计功能只开启查询 操作审计记录
未对审计记录进行定期备 份等保护措施
不能及时修复已知漏洞和 高危漏洞存在被攻击和被
非法利用等风险
访问控制力度不够
访问控制力度不够
访问控制力度不够
访问控制力度不够
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
越边界的网络通信 边界设备的访问控制策略 中未设定源地址、目的地 址、源端口、目的端口和
协议等相关配置参数 无法在关键网络节点处检 测、防止或限制从外部及 内部发起的网络攻击行为 未采取技术措施对网络行 为进行分析,实现对网络 攻击特别是新型网络攻击
行为的分析 关键网络节点处无恶意代
码检测和清除措施 关键网络节点处无垃圾邮
ASSET-15 4
4
4
4 4.0 高
据库
后台服务数 ASSET-16 3
3
3
3 3.0 中
据库
技术文档 ASSET-17 3
3
3
3 3.0 中
管理制度 ASSET-18 3
3
3
3 3.0 中
业务数据 ASSET-19 3
3
3
3 3.0 中
财务数据 ASSET-20 3
3
3
3 3.0 中
行政文档 ASSET-21 3
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
件检测和防护措施 未在网络边界、重要网络 节点进行审计覆盖到每个 用户的安全审计,审计重 要的用户行为和重要安全 事件;未对网络日志进行
管理,定期分析 未对审计记录进行保护, 定期备份,部分日志无法
留存六个月 未对远程访问用户及互相 联网访问用户行为单独进
行审计分析 未配备安全管理中心 无线网络通过受控的边界 设备接入内部网络,但未
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
资产名称
脆弱性识别记录表
资产重要性
资产赋 资产级
资产编号
业务相
保密性 完整性 可用性 关性
值
别
中心机房 ASSET34 5
5
5
5
5 很高
网络全局 ASSET35 5
5
5
5
5 很高
赣服通前置
ASSET-01 4
4
4
4 3.6 中
服务器
赣服通业务
ASSET-02 4
4
4
4
4
高
服务器
数据共享交
ASSET-03 4
资产 分类 其他 其他
硬件
软件 数据 人员
资产 清单
物理 机房
网络 全局
计算 机设 备
计算 机设 备
计算 机设 备
计算 机设 备
计算 机设 备
安全 设备
安全 设备
安全 设备
安全 设备
安全 设备
网络 设备
系统 软件
应用 软件 数据 库数 据 数据 库数 据 数据 库数 据 业务 数据 业务 数据 业务 数据 业务 数据 业务 数据 系统 文档 系统 文档 管理 人员 管理 人员 操作 人员 管理 人员 操作 人员 操作 人员 操作 人员 操作 人员 操作 人员 操作 人员
隔离; 未对服务器等重点区域采 取有效的访问控制及安全 未设置通信防线护路、关键网 络设备和关键计算设备的
硬件冗余 系统网络内存在双宿主机
使用情况 无法对非授权设备私自联 到内部网络的行为进行检
查或限制 无法对内部用户非授权联 到外部网络的行为进行检
查或限制 系统网络未部署网络安全 监测设备;重要系统设备 前端未部署具备协议深度 包检测功能的防护设备 边界设备未设置有效的网 络出入访问控制策略,配 置信息未指定端口进行跨
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
4
4
4
4
高
换平台1
数据共享交
ASSET-04 4
4
4
4
4
高
换平台2
数据共享交
ASSET-05 4
4
4
4
4
高
换平台3
互联网边界
防火墙 ASSET-06 4
5
5
4 4.6 高
WEB应用防
ASSET-07 4
5
4 4.6 高
火墙
数据库审计 ASSET-08 4
3
3
3 3.3 中
日志审计 ASSET-09 4
4
3
3 3.6 中
小组办公室
-资产管理
员
脆弱性识别
机房未配置电子门禁系统 ,未鉴别和记录进入的人 未对机房划员分。区域进行管
理。 未设置机房访问权限人员
名单。 部分设备或主要部件未进 行固定,未设置统一的设
备标识 部分电源线和通信线缆未
隔离铺设 机房设置了手动灭火器, 但无火情自动灭火措施 未对机房划分区域并设置
3
3
4
3
3
3
3 3
3
3
2 3 3
2 2 3
2
3 3 3 3 3 2
2
2 3 2 3
防火隔离 未采取静电消除器、佩戴
防静电手环等措施 机房无水敏感的检测仪表
或元件 机房未启用湿度调节功能 未设置冗余或并行的电力 电缆线路为计算机系统供 未对关键设电备实施电磁屏 未对关键设蔽备或存储介质 携带出工作环境时采取行
为审计 网络出口带宽无法满足业
务高峰期需要 信息系统与互联网及其他 公共信息网络未实行逻辑
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 身份标识不具有唯一性, 身份鉴别信息无复杂度要
求并定期更换 无登录失败处理功能,未 配置并启用结束会话、限 制非法登录次数和当登录 连接超时自动退出等相关 系统使用h策tt略p协议登录访 问,未采取必要措施防止 鉴别信息在网络传输过程
设置控制策略 未采用校验技术或密码技 术保证通信过程中数据的
完整性 未采用密码技术保证通信
过程中数据的保密性 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
合的身份鉴别技术 未对登录用户分配账户和 权限,仅通过密码认证 未重命名或删除默认账户
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未采用两种或两种以上组
合的身份鉴别技术 未重命名或删除默认账户
设备存在共享账户 未限制用户最小权限,实
现用户的权限分离 未限制设备网络管理地址