安全计算环境高风险整改建议指南

测试项

测评对象

脆弱点

等保等级

配置建议

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复 杂度要求并定期更换。

安全设备、网络设备、应用系统、主机设备（包括操作系统、数据库等）

1）安全设备、网络设备、应用系统、主机设备（包括操作系统、数据库等）存在可登录的弱口令账户（包括 空口令、无身份鉴别机制）;

2）理员账户口令相同，单台设备口令被破解将导致大量设备被控制。

二级以上（包含二级）

【设备存在弱口令或相同口令】
删除或修改账户口令，重命名默认账户，制定相关管理制度，规范口令的最小长度、复杂度与生命周期，并根据管理制度要求，合理配置账户口令复杂度和定期更换策略；此外，为不同设备配备不同的口令，避免一台设备口令被破解影响所有设备安全。
【应用系统口令策略缺失】
应用系统对用户口令长度、复杂度进行校验，如要求用户口令长度至少8位以上，由数字、字母或特殊字符中2种方式组成；对于PIN码等特殊用途的口令，应设置弱口令库，通过对比方式，提高用户口令质量；通过技术手段要求用户定期修改口令。
【应用系统存在弱口令】
应用系统通过口令长度、复杂度校验、常用/弱口令库比对等方式，提高应用系统口令质量。

当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

安全设备、网络设备、应用系统、主机设备（包括操作系统、数据库等）

1）网络设备、安全设备、主机设备（包括操作系统、数据库等）的鉴别信息以明文方式在不可控网络环境中传输；

2）未采取多种身份鉴别技术、限定管理地址等技术措施，鉴别信息被截获后可成功登录设备。

二级以上（包含二级）

【设备鉴别信息防窃听措施缺失】
尽可能避免通过不可控网络环境对网络设备、安全设备、操作系统、数据库等进行远程管理。如确有需要，则建议采取措施或使用加密机制（如VPN加密通道、开启SSH、HTTPS协议等），防止鉴别信息在网络传输过程中被窃听。
【应用系统鉴别信息明文传输】
互联网可访问的应用系统，建议用户身份鉴别信息采用加密方式传输，防止鉴别信息在网络传输过程中被窃听。

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身 份鉴别，

且其中一种鉴别技术至少应使用密码技术来实现。

关键网络设备、关键安全设备、应用系统、关键主机设备（操作系统）

1）关键网络设备、关键安全设备、关键主机设备（操作系统）通过不可控网络环境进行远程管理；

2）设备未采用两种或两种以上鉴别技术对用户身份进行鉴别。

二级以上（包含二级）

【设备未采用多种身份鉴别技术】
核心设备、操作系统等增加除用户名/口令以外的身份鉴别技术，如基于密码技术的动态口令/令牌等鉴别方式，实现双因素身份鉴别，增强身份鉴别的安全力度；对于使用堡垒机或统一身份认证机制实现双因素认证的场景，建议通过地址绑定等技术措施，确保设备只能通过该机制进行身份认证，无旁路现象存在。
【应用系统未采用多种身份鉴别技术】
应用系统增加除用户名/口令以外的身份鉴别技术，如基于密码技术的动态口令/令牌、生物鉴别方式等，实现双因子身份鉴别，增强身份鉴别的安全力度。

应重命名或删除默认账户，修改默认账户的默认口令。

网络设备、安全设备、主机设备（包括操作系统、数据库等）

网络设备、安全设备、主机设备（包括操作系统、数据库等）默认口令未修改，使用默 认口令可以登录设备。

二级以上（包含二级）

【设备默认口令未修改】
网络设备、安全设备、主机设备（包括操作系统、数据库等）等重命名或删除默认管理员账户，修改默认密码，使其具备一定的安全强度，增强账户安全性。
【应用系统默认口令未修改】
应用系统重命名或删除默认管理员账户，修改默认密码，使其具备一定的强度，增强账户安全性。

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进 行审计。

关键网络设备、关键安全设备、应用系统、关键主机设备（包括操作系统、数据库等）

1）关键网络设备、关键安全设备、关键主机设备（包括操作系统、数据库等）未开启任何审计 功能，无法对重要的用户行为和重要安全事件进行审计；

2）未采用堡垒机、第三方审计工具等技术手段或所采用的辅助审计措施存在漏记、旁路等缺 陷，无法对重要的用户行为和重要安全事件进行溯源。

二级以上（包含二级）

【设备安全审计措施缺失】
在关键网络设备、关键安全设备、关键主机设备（包括操作系统、数据库等）、运维终端性能和存储空间允许的前提下，开启用户操作类和安全事件类审计策略；若性能和存储空间不允许，建议使用第三方日志审计工具，审计范围覆盖到每个用户，实现对相关设备用户标识与鉴别、访问控制等重要用户行为的全面审计记录，保证发生安全问题时能够及时溯源。
【应用系统安全审计措施缺失】
应用系统完善审计模块，实现对每个用户的重要用户行为和重要安全事件进行审计，对重要用户操作、行为进行日志审计，审计范围不仅针对前端用户标识与鉴别、访问控制等重要用户，也包括后台管理员的重要操作。

应对审计记录进行保护，定期备份，避免其受到非预期的删除、修改或覆盖等。

关键网络设备、关键安全设备、应用系统、关键主机设备（包括操作系统、数据库等）

1）关键网络设备、关键安全设备、关键主机设备（包括操作系统、数据库等）的重要操作、安全 事件日志可被非预期删除、修改或覆盖等；

2 ）关键网络设备、关键安全设备、关键主机设备（包括操作系统、数据库等）的重要操作、安全 事件日志的留存时间不满足法律法规规定的要求（不少于六个月）。

二级以上（包含二级）

【设备审计记录不满足保护要求】
严格控制审计记录的管理和使用权限，对设备的重要操作、安全事件日志进行妥善保存，可部署日志审计系统实时接收设备的审计记录或定期导出审计记录进行备份，避免受到未预期的删除、修改或覆盖等，留存时间不少于六个月，符合法律法规的相关要求。
【应用系统审计记录不满足保护要求失】
严格控制审计记录的管理和使用权限，对应用系统重要操作类、安全类等日志进行妥善保存，可部署日志审计系统实时接收设备的审计记录或定期导出审计记录进行备份，避免受到未预期的删除、修改或覆盖等，留存时间不少于六个月，符合法律法规的相关要求。

应关闭不需要的系统服务、默认共享和高危端口。

网络设备、安全设备、主机设备（操作系统）

1）网络设备、安全设备、主机设备（操作系统）开启多余的系统服务、默认共享、高危端口 ；

2）未采用地址访问限制、安全防护设备等技术手段，减少系统服务、默认共享、高危端口开启 所带来的安全隐患。

二级以上（包含二级）

关闭非必要的系统服务（如操作系统不需要的打印服务等）和默认共享，关闭非必要的高危端口（135、445、139、……），降低安全隐患。端口应关注的是否高危，而非是否多余，开放多余端口相当于“不需要的系统服务”。高危端口判断依据，一是对应的服务是否存在高危漏洞，二是从业务或管理需求上看，这种端口会不会造成较严重的越权访问和数据泄露问题。

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行 限制。

网络设备、安全设备、主机设备（包括操作系统、数据库等）

网络设备、安全设备、主机设备（包括操作系统、数据库等）通过不可控网络环境进行 远程管理,未采取终端接入管控、网络地址范围限制等技术手段对管理终端进行限制。

二级以上（包含二级）

通过地址限制、准入控制等技术手段，对终端接入方式和终端登录地址范围进行限制，仅允许可信任的终端通过可信任的方式登录。注：内网管理终端也应该限定地址范围。

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

网络设备、安全设备、主机设备（包括操作系统、数据库等）

1）网络设备、安全设备、主机设备（包括操作系统、数据库等）可通过互联网管理或访问（包括 服务、管理模块等）;

2）该设备型号、版本存在外界披露的高危安全漏洞；

3）未及时采取修补或其他有效防范措施。

二级以上（包含二级）

【互联网设备存在已知高危漏洞】
订阅安全厂商漏洞推送或本地安装安全软件，定期进行漏洞扫描和渗透测试，及时了解漏洞动态，在充分测试评估的基础上，弥补高危安全漏洞。

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

网络设备、安全设备、主机设备（包括操作系统、数据库等）

1）网络设备、安全设备、主机设备（包括操作系统、数据库等）仅能通过内部网络管理或访问 （包括服务、管理模块等）；

2）通过验证测试或渗透测试确认设备存在缓冲区溢出、提权漏洞、远程代码执行等可能导致 重大安全隐患的漏洞。

二级以上（包含二级）

【内部设备存在可被利用的高危漏洞】
在充分测试的情况下，及时对设备进行补丁更新，修补已知的高风险安全漏洞；此外，还应定期对设备进行漏洞扫描和渗透测试，及时处理发现的风险漏洞，提高设备稳定性与安全性。

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复 杂度要求

并定期更换。

应用系统

应用系统无用户口令长度、复杂度校验机制，例如可设置 6 位以下，单个、相同、连续数字、字母或字符等易猜测的口令。

二级以上（包含二级）

【应用系统口令策略缺失】
应用系统对用户口令长度、复杂度进行校验，如要求用户口令长度至少8位以上，由数字、字母或特殊字符中2种方式组成；对于PIN码等特殊用途的口令，应设置弱口令库，通过对比方式，提高用户口令质量；通过技术手段要求用户定期修改口令。

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复 杂度要求

并定期更换。

应用系统

通过渗透测试或使用常用口令尝试登录，发现应用系统中存在可被登录的空口令、 弱口令账户。

二级以上（包含二级）

【应用系统存在弱口令】
应用系统通过口令长度、复杂度校验、常用/弱口令库比对等方式，提高应用系统口令质量。

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连 接超时自动退出等相关措施。

应用系统

通过互联网登录的应用系统登录模块未提供有效的口令暴力破解防范机制。

二级以上（包含二级）

配置并启用登录失败处理功能（如账户/登录地址锁定等），可采取结束会话、限制非法登录次数等措施限制非法登录，防止攻击者进行口令暴力破解；启用登录连接超时及自动退出功能。

当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

应用系统

应用系统的用户鉴别信息以明文方式在不可控网络环境中传输。

二级以上（包含二级）

【应用系统鉴别信息明文传输】
互联网可访问的应用系统，建议用户身份鉴别信息采用加密方式传输，防止鉴别信息在网络传输过程中被窃听。

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。

应用系统

应用系统访问控制策略存在缺陷，可越权访问系统功能模块或查看、操作其他用户 的数据，例如存在非授权访问系统功能模块、平行权限漏洞、低权限用户越权访问高权限功能 模块等。

二级以上（包含二级）

完善访问控制措施，由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则，避免用户越权访问，对系统重要页面、功能模块重新进行身份鉴别、权限校验，确保应用系统不存在访问控制失效情况。

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进 行审计。

应用系统

1）应用系统无任何日志审计功能，无法对重要的用户行为和重要安全事件进行审计；

2）未采取其他审计措施或其他审计措施存在漏记、旁路等缺陷，无法对应用系统重要的用户 行为和重要安全事件进行溯源。

二级以上（包含二级）

【应用系统安全审计措施缺失】
应用系统完善审计模块，实现对每个用户的重要用户行为和重要安全事件进行审计，对重要用户操作、行为进行日志审计，审计范围不仅针对前端用户标识与鉴别、访问控制等重要用户，也包括后台管理员的重要操作。

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

应用系统

1）应用系统业务操作类、安全类等重要日志可被恶意删除、修改或覆盖等；

2）应用系统业务操作类、安全类等重要日志的留存时间不满足法律法规规定的相关要求（不 少于六个月）。

二级以上（包含二级）

【应用系统审计记录不满足保护要求失】
严格控制审计记录的管理和使用权限，对应用系统重要操作类、安全类等日志进行妥善保存，可部署日志审计系统实时接收设备的审计记录或定期导出审计记录进行备份，避免受到未预期的删除、修改或覆盖等，留存时间不少于六个月，符合法律法规的相关要求。

应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符 合系统

设定要求。

应用系统

1）应用系统存在 SQL 注入、跨站脚本、上传漏洞等可能导致敏感数据泄露、网页篡改、服务 器被入侵等安全事件的发生，造成严重后果的高危漏洞；

2）未采取 WEB 应用防火墙、云盾等技术防护手段对高危漏洞进行防范。

二级以上（包含二级）

修改应用系统代码，对输入数据的格式、长度、特殊字符进行校验和必要的过滤，提高应用系统的安全性，防止相关漏洞的出现。比如针对B/S系统，在所有的内容输入区域对特殊符号（如引号、分号）进行过滤，对HTML标签进行过滤或编码，对上传文件的入口进行文件类型与内容的检验。

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

应用系统

1）应用系统所使用的环境、框架、组件或业务功能等存在可被利用的高危漏洞或严重逻辑缺 陷，可能

导致敏感数据泄露、网页篡改、服务器被入侵、绕过安全验证机制非授权访问等安 全事件的发生；

2）未采取其他有效技术手段对高危漏洞或逻辑缺陷进行防范。

二级以上（包含二级）

【应用系统存在可被利用的高危漏洞】
定期对应用系统进行漏洞扫描、渗透测试等技术检测，对可能存在的已知漏洞、逻辑漏洞，在充分测试评估后及时进行修补，降低安全隐患。

应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重 要业务数据和重要个人信息等。

应用系统

网络层或应用层无任何重要数据（如交易类数据、操作指令数据等）传输完整性保护措施，一旦数据遭到篡改，将对系统或个人造成重大影响。

三级以上（包含三级）

对传输的重要数据（业务数据、配置数据、审计数据、鉴别数据、个人信息），采用基于SM2和SM3的密码技术的设备或模块为通信过程中数据的完整性提供保障，相关密码技术应符合国家密码管理主管部门的规定。

应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重 要业务数据和重要个人信息等。

应用系统

网络层或应用层无任何重要数据（如交易类数据、操作指令数据等）传输保密性保护措施，一旦数据遭到篡改，将对系统或个人造成重大影响。

三级以上（包含三级）

采用基于SM4或SM9算法的校验技术或密码技术的设备或模块（如VPN、加密机、加密模块）对重要敏感数据在传输过程中的保密性提供保障，相关密码技术应符合国家密码管理主管部门的规定。

应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重 要业务数据和重要个人信息等。

应用系统

1）鉴别信息、个人敏感信息、行业主管部门规定需加密存储的数据等以明文方式存储；

2）未采取数据访问限制、部署数据库防火墙、使用数据防泄露产品等其他有效保护措施。

三级以上（包含三级）

对存储的鉴别数据、个人信息，采用基于SM4等算法的密码技术提供保密性保障，且相关密码技术符合国家密码管理部门的规定。注：应用系统或操作系统通常采用哈希算法生成摘要值存储鉴别信息，注意核查如依然采用MD5、SHA1哈希算法应视为存在风险，判定为部分符合，因为如果在明文不够复杂的情况下，采用这两种算法将无法抵抗彩虹表攻击。对于数据保密存储相关的判定：明文存储0分，低强度算法（DES、RSA1024、MD5、SHA1）0.5分（毕竟区别于明文存储，毕竟还有攻击成本），高强度算法（3DES、AES、RSA2048、SHA256、SM系列）1分。

应提供重要数据的本地数据备份与恢复功能。

应用系统

1）应用系统未提供任何重要数据备份措施，一旦遭受数据破坏，将无法进行数据恢复；

2）重要数据、源代码等备份到互联网网盘、代码托管平台等不可控环境，可能造成重要信息 泄露。

二级以上（包含二级）

建立备份恢复机制，定期对网络设备的配置文件、数据库数据文件与日志文件、应用系统程序文件和数据文件等重要数据进行备份以及恢复测试，确保在出现数据破坏时，可利用备份数据进行恢复。此外，应对备份文件妥善保存，不要放在互联网网盘、开源代码平台等不可控环境中，避免重要信息泄露。

应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。

应用系统

数据容灾要求较高的定级对象，无异地数据灾备措施，或异地备份机制无法满足业 务或行业主管部门要求。

三级以上（包含三级）

提供异地数据备份功能或设置异地灾备机房，并通过通信网络将重要配置数据、重要业务数据实时批量传送至备份场地。灾备机房的距离应满足行业主管部门的相关要求。

应提供重要数据处理系统的热冗余，保证系统的高可用性。

应用系统

对于数据处理可用性要求较高的定级对象，处理重要数据的设备，例如服务器、数据库等未采用热冗余技术，发生故障后可能导致系统停止运行。

三级以上（包含三级）

对重要数据处理系统，如应用服务器和数据库服务器等配置热冗余，为系统的高可用性提供保障。

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

应用系统

1）身份鉴别信息释放或清除机制存在缺陷，利用剩余鉴别信息，可非授权访问系统资源或进 行操作；

2）无其他技术措施，消除或降低非授权访问系统资源或进行操作所带来的影响。

二级以上（包含二级）

完善鉴别信息释放/清除机制，确保在执行释放/清除相关操作后，鉴别信息得到完全释放/清除。临时的用户鉴别信息存储空间在用户注销或空闲超时失效后，应彻底清除。

应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

应用系统

个人敏感信息、业务敏感信息等敏感数据释放或清除机制存在缺陷，可造成敏感数 据泄露。

三级以上（包含三级）

完善敏感数据释放/清除机制，确保在执行释放/清除相关操作后，敏感数据得到完全释放/清除。通过专门磁盘或内存清理工具对磁盘空间、内存空间进行定期清除。

应仅采集和保存业务必需的用户个人信息。

应用系统

1）在未授权情况下，采集、存储用户个人隐私信息；

2）采集、保存法律法规、主管部门严令禁止采集、保存的用户隐私信息。

二级以上（包含二级）

根据国家、行业主管部门以及标准的相关规定（如《信息安全技术 个人信息安全规范》），明确向用户表明采集信息的内容、用途以及相关的安全责任，并在用户同意、授权的情况下采集、保存业务必需的用户个人信息。

应禁止未授权访问和非法使用用户个人信息。

应用系统

1）未按国家、行业主管部门以及标准的相关规定使用个人信息，例如在未授权情况下将用户 信息提

交给第三方处理，未脱敏的个人信息用于其他非核心业务系统或测试环境，非法买 卖、泄露用户

个人信息等情况；

2）个人信息可非授权访问，例如未严格控制个人信息查询以及导出权限等。

二级以上（包含二级）

根据国家、行业主管部门以及标准的相关规定（如《信息安全技术 个人信息安全规范》），通过技术和管理手段，防止未授权访问和非法使用用户个人信息。