0114.1437:高风险72项(一)
#每日三件事,第1437天#
(18个L3,2个L4)
一、安全物理环境
- 物理访问控制:机房出入口访问控制措施缺失;
- 防盗窃和防破坏:机房防盗措施缺失;
- 防火:机房防火措施缺失;(L3)
- 电力供应:机房短期电力供应措施缺失;
5.电力供应:机房应急供电措施缺失(L4); - 基础设施位置:云计算平台基础设施位置选择不当;
二、安全通信网络
- 网络架构:网络设备业务处理能力不足(L3);
- 网络架构:网络区域划分不当;
- 网络架构:网络边界访问控制设备不可控;
10.网络架构:重要网络区域边界访问控制措施缺失;
11.网络架构:关键线路和设备冗余措施缺失;(L3)
12.网络架构:云计算平台安全级别低于承载业务系统安全级别;
13.通信传输:重要数据明文传输;(L3)
14.通信传输:重要数据传输完整性保护措施缺失;(L3)
三、安全区域边界
15.边界防范:无线网络管控措施缺失(L3);
16.访问控制:重要网络区域边界访问控制配置不当;
17.入侵防范:外部入侵防御措施缺失;
18.入侵防范:内部入侵防御措施缺失(L3);
19.恶意代码和垃圾邮件防范:恶意代码防范措施缺失;
20.安全审计:网络安全审计措施缺失;
四、安全计算环境
21.身份鉴别:设备存在弱口令或相同口令;
22.身份鉴别:应用系统口令策略缺失;
23.身份鉴别:应用系统存在弱口令;
24.身份鉴别:应用系统口令暴力破解防范机制缺失;
25.身份鉴别:设备鉴别信息传输保密性措施缺失;
26.身份鉴别:应用系统鉴别信息明文传输;
27.身份鉴别:设备没有采用多种身份鉴别技术;(L3)
28.身份鉴别:应用系统没有采用多种身份鉴别技术(L3)
29.访问控制:设备默认口令未修改;
30.访问控制:应用系统默认口令未修改;
31.访问控制:应用系统访问控制措施缺失;
32.安全审计:设备安全审计措施缺失;
33.安全审计:应用系统安全审计措施缺失;
34.安全审计:设备审计信息保护不符合要求;
35.安全审计:应用系统设计信息保护不符合要求;
36.入侵防范:设备开启多余的服务、高危端口;
37.入侵防范:设备管理终端限制措施缺失;
38.入侵防范:应用系统数据有效性校验措施缺失;
39.入侵防范:互联网设备存在已知的高危漏洞;
40.入侵防范:内网设备存在可利用的高危漏洞;
41.入侵防范:应用系统存在可利用的高危漏洞;
42.恶意代码防范:恶意代码防范措施缺失;
43.数据完整性:重要数据传输完整性保护措施缺失;L3
44.数据保密性:重要数据明文传输;L3
45.数据保密性:重要数据存储保密性措施缺失;L3
46.数据备份恢复:数据备份措施缺失;
47.数据备份恢复:数据异地备份措施缺失;(L3)
48.数据备份恢复:数据处理系统冗余措施缺失(L3)
49.数据备份恢复:未建立异地灾备中心(L4)
50.剩余信息保护:鉴别信息释放措施失效;
51.剩余信息保护:敏感信息释放措施失效(L3);
52.个人信息保护:违规采集和存储个人信息;
53.个人信息保护:违规访问和使用个人信息;
54.数据完整性和保密性:云计算客户数据和个人信息违规出境;
五、安全管理中心
55.集中管控:运行监控措施缺失(L3);
56.集中管控:日志信息存储时间不满足要求(L3);
57.集中管控:网络安全事件发现和处置措施缺失(L3);