等保核查内容

物理安全

1)建筑具备防震、防风和防雨能力。

2)机房出入口已设置电子门禁系统，能够控制、鉴别和记录进入的人员，并设有专人值守，进入机房需在访客登记系统进行身份认证及登记，登记内容包括：姓名、身份证号、手机号、进入时间、离开时间等信息。

3)机房内设备均固定在机架上，机柜固定在地面上，主要设备和网络线缆上设置了明显的且不易除去的标识；机房内通信线缆部署在机柜上方桥架中，电源线缆等部署在地板下。

4)机房内已安装LPS 雷电防护装置，并已提供防雷装置检测报告。

5)机房内部署精密空调对温湿度进行控制，防止水蒸气结露，机房地下设有防水坝，防止地下积水转移。

6)机房地面采用防静电地板铺设，各机柜及主要设备均采用了接地防静电措施，并且机房内配备了防静电手环，运维人员现场运维时，需携带并佩戴防静电手环进行相关操作，可以有效消除静电。

7)机房内安装视频监控。

安全通信网络

1.与实际情况相符的网络拓扑图

2.网络结构划分区域：

  通过核心交换机划分不同VLAN，分配了不同的网段；当前重要网络区域未部署在网络边界处，并通过核心防火墙与内网防火墙设置详细的访问控制策略实现网络边界及各区域间的安全隔离。

  边界防护区：WAF、边界防火墙

  业务服务区：业务服务器，业务系统的支撑区域，共2台应用服务器，3台数据库服务器用于数据接入、查询和存储。

  安全管理区：通过部署杀毒、堡垒机、日志分析平台来实现对病毒的查杀、系统日常的运行维护和日志分析。

  运维管理区：运维人员可以通过SSLVPN和堡垒机远程访问服务器。对系统进行日常的运行维护，实现对系统安全和虚拟服务器的远程管理。 zabbix

3.网络设备、安全设备、主机操作系统分别采用加密的RDP 协议、SSH 协议或HTTPS 协议进行远程管理，NC 财务系统采用HTTPS 协议进行数据通信，均能保证数据在通信过程中的完整性。

安全区域边界

1.边界防护区与核心交换区分别部署了核心防火墙与内网防火墙，设置了详细的访问控制策略，仅放行了业务所需端口访问业务系统，并设置了默认全拒绝策略。

2.核心防火墙能够根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；且核心防火墙具有入侵防御功能和防病毒功能，可对攻击行为进行检测、报警、阻断，能够对恶意代码进行检测和清除，  并开启了自动更新规则库和恶意代码库

  策略；同时，网络内所有网络设备、安全设备均已开启日志审计功能，网络内已部署日志分析平台对网络安全设备日志进行统一收集、存储，日志保留周期满足180 天。能够对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

3.网络设备定期每年进行漏洞扫描，经过充分测试评估后，及时修复高风险漏洞。

1.密码控制

  1）复杂度：设置口令长度大于8位，至少由大小写字母、数字和特殊字符中的三种组合。

  2）有效期：更换周期进行合理设置（30-90天），不允许新设定的口令与前次旧口令相同。

2.管理员账户权限控制

  1）超级管理员：拥有全部权限，一般禁用

  2）系统管理员：账号分配和功能分配

  3）安全管理员：口令复杂度设置、访问控制策略配置和登录地址限制等

  4）审计管理员：审计日志查看与管理，并限制默认账户的管理权限，以实现管理员的权限分离。

3.访问控制

  1）登录源地址限制

  2）登录失败5次锁定账户5-10分钟

备份：月度备份、定期恢复性测试  异地备份

   对安全审计记录保存时间进行合理设置，并定期对审计记录进行备份，使备份文件存储时间不少于六个月，满足《中华人民共和国网络安全法》第二十一条的相关要求。

安全管理制度：