安全資訊

云計算平臺不在國內的不能選

二級及以上云計算平臺其云計算基礎設施需位于中國境內。如果你選擇了一個(gè)境外的云平臺，那么等?？隙ㄟ^(guò)不了。云平臺的選擇請咨詢(xún)安徽靈狐科技。

內部只有一個(gè)網(wǎng)段的不符合

二級及以上系統，應將重要網(wǎng)絡(luò )區域和非重要網(wǎng)絡(luò )區域劃分在不同網(wǎng)段或子網(wǎng)。生產(chǎn)網(wǎng)絡(luò )和辦公網(wǎng)絡(luò )，對外和對內的服務(wù)器區混在一起的都是高危風(fēng)險。

不受控的無(wú)線(xiàn)網(wǎng)絡(luò )隨意接入內部網(wǎng)絡(luò )

三級及以上系統，無(wú)線(xiàn)網(wǎng)絡(luò )和重要內部網(wǎng)絡(luò )互聯(lián)不受控制，或控制不當，通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò )接入后可以訪(fǎng)問(wèn)內部重要資源，這是高風(fēng)險項，所以在三級及以上系統中要對非法接入行為進(jìn)行管控，建議大家上安全準入設備，不僅僅只針對無(wú)線(xiàn)網(wǎng)絡(luò )管控。

無(wú)法對外部網(wǎng)絡(luò )攻擊行為進(jìn)行檢測、防止或限制

二級系統在網(wǎng)絡(luò )邊界至少部署入侵檢測系統，三級及以上系統在網(wǎng)絡(luò )邊界應至少部署以下一種防護技術(shù)措施：入侵防御、waf、反垃圾郵件系統或APT等。

未配備日志審計的不符合

二級及以上系統無(wú)法在網(wǎng)絡(luò )邊界或關(guān)鍵網(wǎng)絡(luò )節點(diǎn)對發(fā)生的網(wǎng)絡(luò )安全事件進(jìn)行日志審計，包括網(wǎng)絡(luò )入侵事件、病毒攻擊事件等。對關(guān)鍵網(wǎng)絡(luò )設備、關(guān)鍵主機設備、關(guān)鍵安全設備等未開(kāi)啟審計功能同時(shí)也沒(méi)有使用堡壘機等技術(shù)手段的也是不符合要求的。也就是以后只要做等保，日志審計將是一個(gè)標配，否則就是不符合。

重要數據存儲保密性沒(méi)有保護措施的不符合

三級及以上系統應采用密碼技術(shù)保證重要數據（如鑒別數據、重要業(yè)務(wù)數據和重要個(gè)人信息）在存儲過(guò)程中的保密性。如果這些重要數據是明文方式存儲又沒(méi)有部署數據庫防火墻、數據庫防泄漏等產(chǎn)品的是高風(fēng)險項。

沒(méi)有數據備份措施的不符合

二級及以上系統應提供重要數據的本地數據備份和恢復措施，建議大家配備數據備份一體機，及時(shí)對自己的重要數據進(jìn)行備份。另外重要數據、源代碼等備份到互聯(lián)網(wǎng)網(wǎng)盤(pán)、代碼托管平臺等不可控環(huán)境的也可以直接判為不符合，所以大家注意了，不要隨便把自己的數據備份到不可控的外部環(huán)境。

違規采集、存儲、訪(fǎng)問(wèn)和使用個(gè)人信息的不符合

二級及以上系統在未授權的情況下采集、存儲用戶(hù)個(gè)人隱私信息或采集、保存法律法規、主管部門(mén)嚴令靜止采集、存儲的個(gè)人隱私信息。未授權使用或非法使用個(gè)人信息都是高風(fēng)險。

以上是我們針對技術(shù)部分要求整理出來(lái)一部分常見(jiàn)的高風(fēng)險項，僅供大家參考。還有其他一些高風(fēng)險項目大家在日常工作中也是需要注意的，在此就不一一闡述了。