失分点1:访问控制——权限管理漏洞
常见问题:
- 测试账号长期存在,权限过大
- 默认端口未修改(SSH 22、数据库 3306)
- 关键系统没有多因素认证
整改方案:
最小权限原则:定期审计账号,删除不必要的账号和权限。
# 关闭不必要的默认端口
# 修改 SSH 端口
sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config
# 使用反向代理保护数据库端口,不直接对外暴露
关键系统强制 MFA:密码长度 ≥ 12 位,包含大小写字母、数字、特殊字符。
失分点2:日志审计——证据链缺失
常见问题:
- 日志保留时间不足(等保要求:最少 180 天)
- 日志分散在各台服务器,没有集中管理
- 关键操作没有审计记录
整改方案:
部署 SIEM 系统集中收集日志,日志加密存储并做异地备份。
使用堡垒机创建不可篡改的操作审计记录:
所有运维操作 → 堡垒机 → 目标服务器
↓
操作录像 + 命令记录(保留 180 天以上)
失分点3:漏洞管理——从被动到主动
常见问题:
- 漏洞扫描频率不足(等保要求:至少每季度一次)
- 高危漏洞修复不及时
- 修复后没有验证
整改方案:
自动化扫描:使用 OpenVAS 或 Nessus 定期扫描,按 CVSS 评分优先处理高危漏洞(RCE、SQL 注入优先)。
修复后通过渗透测试验证效果,形成闭环。
失分点4:备份容灾——隐藏的合规门槛
常见问题:
- 只做全量备份,没有增量备份
- 备份从未验证过是否可以恢复
- 没有异地备份
整改方案:
遵循 3-2-1 原则:
- 3 份数据副本
- 2 种不同存储介质
- 1 份异地存储
每季度进行恢复演练,确认备份数据真正可用。
失分点5:安全策略配置——细节决定成败
常见问题:
- 防火墙规则过于宽松(
0.0.0.0/0全放行) - 使用过时的加密协议(SSL 3.0、TLS 1.0)
- 安全基线没有固化
整改方案:
防火墙按最小必要原则配置,只开放业务必需的端口和 IP 段。
强制使用现代协议:
# Nginx 配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512;
add_header Strict-Transport-Security "max-age=31536000" always;
总结
等保测评是对企业安全体系的全面检验,不是走形式。这 5 个配置项系统性地整改,不仅能通过测评,更能真正提升企业的安全防护能力。