1.中風(fēng)險未實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。建議操作系統(tǒng)與數(shù)據(jù)庫管理員分權(quán)管理，如安排不同的人員擔(dān)任操作系統(tǒng)與數(shù)據(jù)庫管理員，并分配不同的賬號。

2.中風(fēng)險口令強度策略不夠完善牛柒。建議強化服務(wù)器操作系統(tǒng)的密碼策略，加強用戶口令長度與復(fù)雜度要求痊乾，并定期更換皮壁，降低受到口令猜測、非授權(quán)訪問的風(fēng)險哪审。

3.中風(fēng)險操作系統(tǒng)未開啟auditd服務(wù)蛾魄，數(shù)據(jù)庫系統(tǒng)未啟用審計策略。建議開啟操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)安全審計策略协饲，并對重要系統(tǒng)安全事件及用戶操作行為進(jìn)行日志審計畏腕。

4.中風(fēng)險操作系統(tǒng)未開啟Auditd審核守護(hù)進(jìn)程、未配置audit規(guī)則茉稠，數(shù)據(jù)庫系統(tǒng)未啟用審計策略描馅。建議開啟操作系統(tǒng)auditd審核守護(hù)進(jìn)程、配置audit規(guī)則而线，并啟用數(shù)據(jù)庫審計策略铭污，對重要系統(tǒng)安全事件及用戶操作行為進(jìn)行日志審計。

5.中風(fēng)險未安裝防惡意代碼軟件膀篮，建議操作系統(tǒng)上安裝防惡意代碼軟件嘹狞，并及時進(jìn)行病毒庫更新，以保證操作系統(tǒng)運行安全誓竿。

6.中風(fēng)險未鎖定多余或過期的賬戶磅网，建議刪除或禁用服務(wù)器操作系統(tǒng)多余賬戶。

7.中風(fēng)險數(shù)據(jù)庫未開啟審計功能筷屡，開啟數(shù)據(jù)庫審計功能涧偷，并定期對數(shù)據(jù)庫系統(tǒng)的審計日志進(jìn)行結(jié)果分析簸喂，制作相應(yīng)的審計報表，防止一旦發(fā)生安全事件無法有效追溯的情況發(fā)生燎潮。

8.中風(fēng)險為己用登錄失敗處理功能喻鳄，建議開啟失敗登錄處理功能，如限制非法登陸次數(shù)确封，自動退出功能除呵、鎖定時間等。

9.中風(fēng)險未設(shè)置用戶權(quán)限對照表爪喘，建議制定用戶權(quán)限表颜曾，并根據(jù)權(quán)限表進(jìn)行用戶權(quán)限分配。

10.中風(fēng)險未限制終端接入地址腥放，建議合理限制可登錄服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的管理終端地址泛啸，經(jīng)允許特定的地址登錄。

11.中風(fēng)險存在多個用戶使用同一登錄賬戶登錄的情況秃症，建議為不同用戶分配相應(yīng)的權(quán)限的賬戶，并確保用戶名具有唯一性吕粹。

12.中風(fēng)險數(shù)據(jù)庫系統(tǒng)未設(shè)置審計賬戶种柑，未對審計記錄進(jìn)行保護(hù)，建議對數(shù)據(jù)庫系統(tǒng)進(jìn)行相關(guān)配置匹耕，設(shè)置專門的審計賬戶聚请，對審計記錄進(jìn)行保護(hù)。

13.中風(fēng)險防惡意代碼軟件不支持統(tǒng)一管理稳其，建議安裝并使用支持統(tǒng)一管理的防惡意代碼軟件驶赏。

14.中風(fēng)險未重命名默認(rèn)賬戶，建議修改服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)默認(rèn)管理員賬戶名既鞠。

15.低風(fēng)險未啟用登錄終端超時鎖定功能煤傍，建議根據(jù)業(yè)務(wù)需求配置TMOUT值。

16.低風(fēng)險未對系統(tǒng)資源使用進(jìn)行限制嘱蛋，建議限制單個用戶對系統(tǒng)資源的最大或最小使用限度蚯姆。

二、應(yīng)用安全洒敏。

1.高風(fēng)險功能模塊未提供數(shù)據(jù)有效性檢驗功能龄恋。建議對系統(tǒng)部分功能模塊增加數(shù)據(jù)有效性檢驗功能，對人機交互數(shù)據(jù)進(jìn)行嚴(yán)格檢查凶伙，使之符合基本邏輯校驗郭毕，并對sql注入類攻擊用到的特殊字符以及腳本語句等進(jìn)行檢查。

2.中風(fēng)險未授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限函荣，建議系統(tǒng)授予不同用戶為完成各自承擔(dān)的任務(wù)所需的最小權(quán)限显押，將系統(tǒng)管理員和業(yè)務(wù)操作員權(quán)限分離扳肛，并設(shè)置獨立的安全審計員角色，對各類用戶的操作行為進(jìn)行審計監(jiān)督煮落。

3.中風(fēng)險敞峭。系統(tǒng)未提供安全審計功能，建議為系統(tǒng)增加對系統(tǒng)后臺重要操作（如用戶新增蝉仇、刪除等）旋讹、系統(tǒng)管理員和運維管理員的登錄、登出轿衔、鑒別失敗等事件的日志記錄功能沉迹。

4.中風(fēng)險。后臺系統(tǒng)現(xiàn)場測試新增用戶功能報錯害驹，系統(tǒng)不能保證用戶微信無口令復(fù)雜度要求鞭呕，建議根據(jù)需要對系統(tǒng)用戶口令設(shè)置復(fù)雜度限制，并確保用戶唯一性宛官。

5.中風(fēng)險葫松。未對整個報文或會話過程進(jìn)行加密，建議采用經(jīng)國家密碼管理局認(rèn)可的密碼技術(shù)底洗，保證通信雙方會話初始化驗證與整個報文或會話過程的保密性腋么。

6.中風(fēng)險。未采用密碼技術(shù)進(jìn)行會話初始化驗證亥揖，建議采用經(jīng)國家密碼管理局認(rèn)可的密碼技術(shù)珊擂，保證通信雙方會話初始化驗證與整個報文或會話過程的保密性。

7.中風(fēng)險费变。無登錄失敗處理功能摧扇，建議對登陸失敗采取必要的安全措施，如登錄失敗五次鎖定賬戶等挚歧。

8.中風(fēng)險扛稽。后臺系統(tǒng)現(xiàn)場測試新增用戶功能報錯未提供用戶身份標(biāo)識唯一性校驗、身份鑒別信息復(fù)雜度校驗以及登錄失敗處理功能昼激，建議對登陸失敗采取必要的安全措施庇绽，如登錄失敗五次鎖定賬戶等，并對用戶身份唯一性和鑒別信息復(fù)雜度進(jìn)行設(shè)置橙困。

9.中風(fēng)險瞧掺。系統(tǒng)無審計功能，無審計日志凡傅，建議為系統(tǒng)增加對系統(tǒng)后臺重要操作（如用戶新增辟狈、刪除等）、系統(tǒng)管理員和運維管理員的登錄、登出哼转、鑒別失敗等事件的日志記錄功能明未，并對日志記錄進(jìn)行保護(hù)，保障日志無法被預(yù)期刪除壹蔓、修改趟妥。

10.中風(fēng)險。無審計記錄內(nèi)容佣蓉，建議為系統(tǒng)增加對系統(tǒng)后臺重要操作（如用戶新增披摄、刪除等）、系統(tǒng)管理員和運維管理員的登錄勇凭、登出疚膊、鑒別失敗等事件的日志記錄功能，且審計內(nèi)容應(yīng)至少包括事件的日期虾标、時間寓盗、發(fā)起者信息、類型璧函、描述和結(jié)果等傀蚌。

11.中風(fēng)險。系統(tǒng)未提供自動保護(hù)功能蘸吓，建議系統(tǒng)采用使用負(fù)載均衡喳张、集群、熱備等方式對系統(tǒng)進(jìn)行自動保護(hù)美澳。

12.中風(fēng)險。未設(shè)置最大并發(fā)連接數(shù)摸航，根據(jù)業(yè)務(wù)需要對系統(tǒng)允許的最大并發(fā)會話數(shù)進(jìn)行限制制跟。

13.中風(fēng)險。未限制單個賬號并發(fā)會話酱虎，建議對單個賬戶的多重并發(fā)會話進(jìn)行限制雨膨，禁止同一用戶的多次重復(fù)登錄操作。

14.中風(fēng)險读串。未采用密碼技術(shù)進(jìn)行通信完整性驗證聊记，建議對重要數(shù)據(jù)采用經(jīng)國家密碼管理局認(rèn)可的密碼技術(shù)，保證通信過程中數(shù)據(jù)的完整性恢暖。

三排监、數(shù)據(jù)安全及備份恢復(fù)。

1.中風(fēng)險杰捂。網(wǎng)絡(luò)拓?fù)溆叽病⒎?wù)器存在單點故障，建議核心網(wǎng)絡(luò)設(shè)備、關(guān)鍵鏈路挨队、核心服務(wù)器均采用冗余設(shè)計谷暮。

2.中風(fēng)險。未采用密碼技術(shù)進(jìn)行通信完整性驗證盛垦，建議對重要數(shù)據(jù)采用經(jīng)國家密碼管理局認(rèn)可的密碼技術(shù)湿弦，保證通信過程中數(shù)據(jù)的完整性。

3.中風(fēng)險腾夯。未定期對數(shù)據(jù)進(jìn)行恢復(fù)測試颊埃，建議定期對備份文件進(jìn)行恢復(fù)測試，確保備份文件有效俯在。