PS:(主机层和网络层都没有措施的)对于二级非windows的可根据情况降低风险,但三级系统不管是否linux、windows都属于高风险
PS:日志审计这个没什么好说的,网络安全法里21条明确规定的,网络运营者必须做到的,没有就是高风险
PS:1、部分工控PLC软件无法设置强口令的可以从其他层面降风险;2、大量设备相同口令的
PS:已经适当降低了要求,针对互联网登陆访问的系统!!如果是老的系统,整改麻烦的可以通过其他
PS:注意标红的情况
PS:注意是否有漏记/旁路的情况
PS:只要是通过互联网可以直接访问的服务器、数据库、网络、安全设备等,有高危漏洞的都是高风险,如果是内部访问的可根据情况去判定风险
PS:明文存储重要数据、行业主管明确规定的判高风险
PS:违规采集的(主管部门明令禁止的),未经用户许可的
哪些个人信息的分类等,具体可以参考35273标准
PS:关基系统要求12个月以上(事件稿里的);二级系统在安全计算环境-日志审计里有要求6个月
PS:被测系统单位未建立任何管理制度的,或者拿来的制度无法适用当前被测系统环境的
PS:第二个点---最高小组领导不是由单位主管领导担任的(表示单位不重视网络安全的)
PS:使用开源的、自研的(未公开销售的产品)的,根据表述情况和要求判定。
