盘点等保测评中那些常见风险项

自从等保2.0政策实施以后，对于测评对象的要求越来越高，很多企业或机构在开展等保测评工作过程中往往会因为一个细节问题而触碰到“雷区”，从而导致等保测评结论为“差”。对此，今天小云针对技术部分要求为大家整理了一些常见的高风险项供大家参考：

1.不要用国外的云计算基础设施

二级及以上对于云计算基础设施的要求就是需要位于国内，因此如果你选择使用国外的云计算基础设施的话，肯定是没办法获得等保认证。

2.无线网络无能随意接入内部网络

对于三级以上系统，如果出现因无线网络和重要内部网络之间接入无法有效控制，能够自由随意访问内部重要资源的话，那会存在很大的风险。

3.内部不要只有一个网段

对于二级以上的系统，无论是重要的网络区域，还是不重要的网络区域，都应该分布在不同网段或子网。生产网络和办公网络，对外和对内的服务器区如果混在一起的话，都会存在非常高的风险。

4.无法检测、抵御外部网络攻击

二级系统按照要求是需要在网络边界部署入侵检测系统的，而三级及以上系统的话，则是需要在网络边界应至少部署一种防护技术措施，如：WAF、入侵防御或APT等。

5.未对重要数据存储保密性设置保护措施

对于三级及以上系统来说，都是需要通过密码技术来保障重要数据（鉴别数据、重要业务数据和重要个人信息等）在存储过程中的保密性。

6.未配备日志审计

对于二级及以上系统，若没有对关键网络节点或网络边界上发生的网络安全事件（网络入侵事件、病毒攻击事件等）进行日志审计，也将会无法通过等保测评。另外，对关键网络设备、关键主机设备以及关键安全设备等没有开启审计功能，且同时未使用堡垒机等技术手段，也是不符合要求的。

7.未设置数据备份措施

按照要求，二级及以上系统需要为重要数据提供本地数据恢复和备份措施，对此，可以通过配备数据备份一体机，及时对重要数据进行备份。除此之外，如果重要数据、源代码等是备份到互联网网盘、代码托管平台等不可控环境的话，也将会无法通过等保测评。

8.违规采集、存储、访问和使用个人信息

二级及以上系统如果在未授权的情况下，是不可以采集、存储、访问和使用个人信息的，只要出现这类问题，也会导致无法通过等保测评。

以上便是在等保测评工作中所常见的风险项，如果您对此有疑问或需要开展等保测评工作的话，欢迎随时咨询小云哦！