| 安全物理环境 | 机房出入口访问控制机制 | 机房应配电子门禁和记录进出人员 | 机房应配电子门禁和记录进出人员 |
| 机房温湿度监测 | 应配温湿度监控系统 | 应配温湿度监控系统 |
| 机房供电能力缺失 | 机房应配置不间断电源和柴油发电机及双路电源、火灾隔离 | 应配不间断电源和柴油发电机 |
| 机房消防能力 | 机房UPS电源供电时间内 | 机房UPS电源供电时间内 |
| 设备区物理隔离 | 核心设备区应有物理隔离 | 核心设备区应有物理隔离 |
| 安全通信网络 | 网络负载均衡能力不足 | 设备区网络资源占用率应不高于80%,且核心网络(路由器、防火墙等)需有冗余备份 | 核心网络应有冗余备份 |
| 网络间权限控制不当 | 网络应有权限控制 | 业务网络间应有访问控制策略 |
| 网络设备访问控制机制缺失 | 网络设备不允许外部访问,应限制使用管理终端 | 网络设备不允许外部访问,应限制使用管理终端 |
| 网络设备账户控制缺失 | 不同设备应使用不同的管理员账户 | 网络设备应使用管理员账户 |
| 支持端口控制不当 | 网络设备应关闭不必要端口,开启端口应明确记录使用情况 | 网络设备应关闭不必要端口 |
| 支持链路控制不当 | 核心设备应启用链路聚合、双机热备 | 应用设备应启用链路聚合 |
| 无线网络管理缺失 | 无线网络用户认证需具有IEEE 802.X认证,Office和guest网络隔离 | 无线网络用户认证,业务网络和办公网络隔离 |
| 安全区域边界 | 安全区域边界访问控制机制配置不当 | 应定义配置区域间的访问控制策略,如办公网经终端访问到业务服务器 | 区域之间应配置访问控制策略,如办公网经终端访问到业务服务器 |
| 外部网络边界访问机制控制缺失 | 应用IPS、WAF、态势感知及DDoS防御 | 应用IPS、WAF、态势感知及DDoS防御 |
| 内部网络边界访问机制控制缺失 | 服务端和客户端终端边界的访问控制,服务器应有防火墙、IPS、HIDS | 服务端和客户端终端边界的访问控制,服务器应有防火墙、IPS |
| 内部网络设备访问控制 | 服务端和客户端终端边界的访问控制,服务器应有防火墙、IPS、HIDS | 服务端和客户端终端边界的访问控制,服务器应有防火墙、IPS |
| 内部网络数据流量控制 | 设备对流量进行监控和过滤 | 设备对流量进行监控和过滤 |
| 数据内容核查机制缺失 | 数据传输和存储需加密 | 数据传输和存储需加密 |
| 安全计算环境 | 设备及计算性能需求 | 设备/主机/机柜的容量不能有任何的冗余 | 设备/主机/机柜的容量不能有任何的冗余 |
| 设备及计算能力需求 | 设备/主机/机柜的容量不能有任何的冗余 | 设备/主机/机柜的容量不能有任何的冗余 |
| 设备及计算单元需求 | 设备/主机/机柜的容量不能有任何的冗余 | 设备/主机/机柜的容量不能有任何的冗余 |
| 设备及计算资源需求 | 设备/主机/机柜的容量不能有任何的冗余 | 设备/主机/机柜的容量不能有任何的冗余 |
| 设备及计算储存需求 | 设备/主机/机柜的容量不能有任何的冗余 | 设备/主机/机柜的容量不能有任何的冗余 |
| 数据安全 | 数据备份机制 | 数据传输和存储需加密 | 数据传输和存储需加密 |
| 数据访问控制 | 数据传输和存储需加密 | 数据传输和存储需加密 |
| 数据使用控制机制 | 数据传输和存储需加密 | 数据传输和存储需加密 |
| 数据处理控制机制 | 数据传输和存储需加密 | 数据传输和存储需加密 |
| 数据传输控制机制 | 数据传输和存储需加密 | 数据传输和存储需加密 |
| 数据存储控制机制 | 数据传输和存储需加密 | 数据传输和存储需加密 |
| 数据销毁控制机制 | 数据传输和存储需加密 | 数据传输和存储需加密 |
| 安全管理中心 | 安全管理机构应组织定期开展安全审计 | 安全管理机构应组织定期开展安全审计 | 安全管理机构应组织定期开展安全审计 |
| 安全事件管理 | 应急预案 | 安全管理机构应组织定期开展安全审计 | 安全管理机构应组织定期开展安全审计 |
| 安全管理人员 | 安全培训 | 安全管理机构应组织定期开展安全审计 | 安全管理机构应组织定期开展安全审计 |
| 安全管理制度 | 访问控制制度 | 应用IPS、WAF、态势感知及DDoS防御 | 应用IPS、WAF、态势感知及DDoS防御 |
| 安全管理技术 | 安全技术管理措施 | 应用IPS、WAF、态势感知及DDoS防御 | 应用IPS、WAF、态势感知及DDoS防御 |