等保级问题清单修复x|

等保二级测评问题修复文档

目录

操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点， 口令应有复杂度要求并定期

更换；

Cen tos操作系统用户口令未有复杂度要求并定期更换

1.1.1提升系统口令复杂度

1.1.2提升密码复杂度

Windows （跳板机）操作系统未根据安全策略配置口令的复杂度和更换周期 9..

1.3数据库系统用户口令未定期更换

应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

Ce ntos操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间

2.1.1修改远程登录用户

2.1.2修改客户端登录用户

Windows操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间

2.3数据库系统登录失败处理功能配置不满足要求，登录失败次数为 100次，未设置非法登录

锁定措施

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； ....

应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

Win dows（跳板机）应启用访问控制功能，依据安全策略控制用户对资源的访问；

应实现操作系统和数据库系统特权用户的权限分离

Centos操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全

审计员等

6.1.1添加不同角色的人员

为sysadmin添力卩sudo权限

Window操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全

审计员等

6.3数据库账户和系统管理员账户的权限一致

应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令

Cen tos操作系统未限制默认账户的访问权限，未重命名默认账户 1.1…

Windows操作系统未限制默认账户的访问权限，未重命名默认账户

7.3数据库系统未限制默认账户的访问权限，未重命名默认账户

应及时删除多余的、过期的帐户，避免共享帐户的存在

Centos操作系统未限制默认账户的访问权限，未删除多余、过期的账户（ adm Ip、sync

shutdown halt、mail、operator、games）

8.1.1注释掉不需要的用户

8.1.2注释掉不需要的组

Windows操作系统未限制默认账户的访问权限

8.3数据库系统未限制默认账户的访问权限，未删除多余、过期和共享的账户

审计范围应覆盖到服务器上的每个操作系统用户和数据库用户

Centos操作系统未开启日志审计功能，审计范围未覆盖到每个用户，未使用第三方安全审

计产品实现审计要求

Windows操作系统审计日志未覆盖到用户所有重要操作

9.3数据库系统未开启审计进程；未使用第三方审计系统对系统进行操作审计，审计范围未覆

盖到抽查的用户

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的

安全相关事件

Centos审计内容未包括重要用户行为，系统资源的异常使用和重要系统命令的使用等系统

内重要的安全相关事件

Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全

相关事件

数据库系统的审计内容未包括：重要用户行为、系统资源的异常使用和重要系统命令的

使用等

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等

Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等

数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等 ..…

12

12 应保护审计记录，避免受到未预期的删除、修改或覆盖等

Cen tos审计记录未受到保护，未能避免受到未预期的删除、修改或覆盖等

数据库系统未对审计记录进行保护

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等

方式保持系统补丁及时得到更新

Ce ntos操作系统未及时更新系统补丁，未禁用多余服务端口： 123

更新 openssJ

更新 openssh

Windows操作系统未遵循最小安装原则，存在多余软件：谷歌浏览器、 notepad++，未及时

更新系统补丁，未禁用多余服务： Print Spooler,未禁用多余端口： 135 137、139 445 123 ....

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库

Centos

Windows

应支持防恶意代码软件的统一管理

Centos

Windows

应通过设定终端接入方式、网络地址范围等条件限制终端登录

Cen tos作系统未设定终端接入方式、网络地址范围等条件限制终端登录

数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录

应根据安全策略设置登录终端的操作超时锁定 24

Ce ntos操作系统未根据安全策略设置登录终端的操作超时锁定

17.1.1修改ssh终端用户

17.1.2修改系统用户 23

windows操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间

17.2.1为断开的会话设置时间限制：10分钟

17.2.2屏幕保护

数据库系统未根据安全策略设置终端的操作超时锁定

应限制单个用户对系统资源的最大或最小使用限度

应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份

标识，身份鉴别信息不易被冒用

应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

应由授权主体配置访问控制策略，并严格限制默认账户的访问权限；

应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；

应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计 错误!未定义书

签。

应用系统未启用审计功能

23.1中间件已提供覆盖到抽查用户的安全审计功能，未对增加用户、删除用户、修改用户权

限、系统资源异常等操作进行记录

应采用校验码技术保证通信过程中数据的完整性。

中间件未提供登录超时退出功能，空闲 20分钟，自动退出系统

应用系统未对系统的最大并发会话连接数进行限制

中间件未对系统的最大并发会话连接数进行限制

应用系统同一台机器未对系统单个账号的多重并发会话进行限制，不同机器未对系统单个账

号的多重并发会话进行限制

系统通过SSH1、VPN和HTTP方式进行数据传输，部分管理数据、鉴别数据、重要业务数

据在传输过程中未能检测到完整性遭到破坏，未能够对数据在遭到传输完整性破

建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性

建议系统提供每天至少一次的数据完全备份，并对备份介质进行场外存放

建议提供数据库系统硬件冗余，保证系统的高可用性

操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点， 口令应有复杂度要求并定期 更换；

Cen tos操作系统用户口令未有复杂度要求并定期更换

提升系统口令复杂度

修改登录口令 etc/login.defs

PASS_MAX_DAYS 180

PASS_MIN_DAYS 1

PASS_WARN_AGE 28

PASS_MIN_LEN 8

如下图：

提升密码复杂度

/etc/pam.d/system-auth 文件中配置密码复杂度：

在pam_cracklib.sc后面配置参数

password requisite pam_cracklib.sominlen=8 ucredit=-1 lcredit=-3 dcredit=-3 ocredit=-1

说明：密码最少 minlen =8位，ucredit=-1密码中至少有1个大写字母，icredit=-3密码中至少有3个小

写字母，dredit=3密码中至少有3个数字，oredit=-1密码中至少有1个其它字符 如下图：

Windows （跳板机）操作系统未根据安全策略配置口令的复杂度和更换周期

修改口令复杂度和更换周期如下：

1.3数据库系统用户口令未定期更换

ALTER USER 用户名 PASSWORD EXPIRE INTERVAL 180 DAY;

应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

Cen tos操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间

2.1.1修改远程登录用户

修改为登录三次锁定用户，锁定时间为：一般用户 5分钟,超级用户锁定10分钟配置如下：

修改/etc/pam.d/sshd（ —定要放在第一行，否则即使输入次数超过三次， 再输入密码也是可以进去的）：

auth required pam_tally2.so deny=3 uni ock_time=300 eve n_den y_root root_ uni ock_time=600

如下图：

2.1.2修改客户端登录用户

修改/etc/pam.d/login（ —定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的）：

auth required pam_tally2.so deny=3 uni ock_time=300 eve n_den y_root root_ uni ock_time=600

如下图：

Win dows操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间

账户锁定策略：复位帐户锁定计数器->3分钟 帐户锁定时间->5分钟 帐户锁定阀值->5次无效登录,

设置设备登录失败超时时间（不大于 10 分钟）

数据库系统登录失败处理功能配置不满足要求，登录失败次数为 100 次，未设置非法登录 锁定措施

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；

应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

已删除数据库 root 账号，数据库中每个需要连接的主机对应一个账号

Win dows（跳板机）应启用访问控制功能，依据安全策略控制用户对资源的访问；

禁用Print Spooler,禁用默认共享路径：C$

如下图：

应实现操作系统和数据库系统特权用户的权限分离

Ce ntos操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全 审计员等

在系统下分别添加不同较色的管理员：系统管理员、安全管理员、安全审计员

添加不同角色的人员

Useradd sysadmin

Useradd safeadmin

Useradd safecheck

为 sysadmin添加 sudo权限 chmod 740 /etc/sudoers

vi /etc/sudoers

sysadmin ALL=(ALL) ALL

chmod 440 /etc/sudoers

Window 操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安

全审计员等

添加：系统管理员、安全管理员和安全审计员

权限分配：

数据库账户和系统管理员账户的权限一致

数据库 root 账号已删除，数据库管理员账号为 hqwnm 和 manager

应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令

Cen tos操作系统未限制默认账户的访问权限，未重命名默认账户

删除多余的账号，只保留 root 默认账号

Win dows操作系统未限制默认账户的访问权限，未重命名默认账户

重命名administrator和guest默认用户名 如下图：

数据库系统未限制默认账户的访问权限，未重命名默认账户 已删除 root 账号。无其他默认账号

应及时删除多余的、过期的帐户，避免共享帐户的存在

Centos操作系统未限制默认账户的访问权限，未删除多余、过期的账户（ adm、Ip、sync

shutdown、 halt、 mail、 operator、 games ）

注释掉不需要的用户

修改： /etc/passwd 如下：

adm、 Ip、 sync、 shutdown、 haIt、 maiI、 operator、 games 分别注释掉

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/noIogin

daemon:x:2:2:daemon:/sbin:/sbin/noIogin

#adm:x:3:4:adm:/var/adm:/sbin/noIogin

#Ip:x:4:7:Ip:/var/spooI/Ipd:/sbin/noIogin

#sync:x:5:0:sync:/sbin:/bin/sync

#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

#haIt:x:7:0:haIt:/sbin:/sbin/haIt #maiI:x:8:12:maiI:/var/spooI/maiI:/sbin/noIogin

#operator:x:11:0:operator:/root:/sbin/nologin #games:x:12:100:games:/usr/games:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin polkitd:x:999:998:User for polkitd:/:/sbin/nologin avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin libstoragemgmt:x:998:997:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin ntp:x:38:38::/etc/ntp:/sbin/nologin abrt:x:173:173::/etc/abrt:/sbin/nologin postfix:x:89:89::/var/spool/postfix:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin chrony:x:997:996::/var/lib/chrony:/sbin/nologin nscd:x:28:28:NSCD Daemon:/:/sbin/nologin tcpdump:x:72:72::/:/sbin/nologin nginx:x:996:995:nginx user:/var/cache/nginx:/sbin/nologin

sysadmin:x:1000:1000::/home/sysadmin:/bin/bash safeadmin:x:1001:1001::/home/safeadmin:/bin/bash

safecheck:x:1002:1002::/home/safecheck:/bin/bash

如下图：

注释掉不需要的组

[root@iZ886zdnu5gZ ~]# cat /etc/group

root:x:0:

bin:x:1:

daemon:x:2:

sys:x:3:

#adm:x:4:

tty:x:5:

disk:x:6:

#lp:x:7:

mem:x:8:

kmem:x:9: wheel:x:10:

cdrom:x:11:

#mail:x:12:postfix

man:x:15:

dialout:x:18:

floppy:x:19:

#games:x:20:

tape:x:30:

video:x:39:

ftp:x:50:

lock:x:54:

audio:x:63:

nobody:x:99:

users:x:100:

utmp:x:22:

utempter:x:35:

ssh_keys:x:999:

systemd-journal:x:190:

dbus:x:81:

polkitd:x:998:

avahi:x:70:

avahi-autoipd:x:170:

libstoragemgmt:x:997:

ntp:x:38:

dip:x:40:

abrt:x:173:

stapusr:x:156:

stapsys:x:157:

stapdev:x:158:

slocate:x:21:

postdrop:x:90:

postfix:x:89:

sshd:x:74:

chrony:x:996:

nscd:x:28:

数据库安装了第三方的审计插件。

数据库安装了第三方的审计插件。 macfee公司基于percona开发的mysql?audit插件

tcpdump:x:72: ngin x:x:995:

sysadmi n:x:1000:

safeadmi n:x:1001:

safecheck:x:1002:

Win dows操作系统未限制默认账户的访问权限

对重要文件夹进行访问限制，没有权限的系统默认账号是无法访问的，例如：

8.3数据库系统未限制默认账户的访问权限，未删除多余、过期和共享的账户

数据库已限制用户的访问，每个IP对应一个用户名

审计范围应覆盖到服务器上的每个操作系统用户和数据库用户

Centos操作系统未开启日志审计功能，审计范围未覆盖到每个用户，未使用第三方安全审

计产品实现审计要求

开启日志日记进程（audit）,审计覆盖到每个用户

Win dows操作系统审计日志未覆盖到用户所有重要操作

开启系统审计日志，如下图：

9.3数据库系统未开启审计进程；未使用第三方审计系统对系统进行操作审计，审计范围未覆

盖到抽查的用户

-w /usr/sbin/stunnel -p x

-w /usr/sbin/stunnel -p x

审计内容应包括重要用户行为、 系统资源的异常使用和重要系统命令的使用等系统内重要的安全

相关事件

Centos 审计内容未包括重要用户行为，系统资源的异常使用和重要系统命令的使用等系统

内重要的安全相关事件

修改audit.rules使审计内容包括：用户重要行为、系统资源调用、文件访问和用户登录等

-w /var/log/audit/ -k LOG_audit

-w /etc/audit/ -p wa -k CFG_audit

-w /etc/sysconfig/auditd -p wa -k CFG_auditd.conf

-w /etc/libaudit.conf -p wa -k CFG_libaudit.conf

-w /etc/audisp/ -p wa -k CFG_audisp

-w /etc/cups/ -p wa -k CFG_cups

-w /etc/init.d/cups -p wa -k CFG_initd_cups

-w /etc/netlabel.rules -p wa -k CFG_netlabel.rules

-w /etc/selinux/mls/ -p wa -k CFG_MAC_policy

-w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy

-w /etc/selinux/semanage.conf -p wa -k CFG_MAC_policy

-w /etc/security/rbac-self-test.conf -p wa -k CFG_RBAC_self_test

-w /etc/postfix/ -p wa -k CFG_postfix

-w /etc/postfix/ -p wa -k CFG_postfix

-w /etc/securetty -p wa -k CFG_securetty

-w /etc/securetty -p wa -k CFG_securetty

-w /etc/aide.conf -p wa -k CFG_aide.conf -w /etc/cron.allow -p wa -k CFG_cron.allow -w /etc/cron.deny -p wa -k CFG_cron.deny -w /etc/cron.d/ -p wa -k CFG_cron.d -w /etc/cron.daily/ -p wa -k CFG_cron.daily -w /etc/cron.hourly/ -p wa -k CFG_cron.hourly -w /etc/cron.monthly/ -p wa -k CFG_cron.monthly -w /etc/cron.weekly/ -p wa -k CFG_cron.weekly -w /etc/crontab -p wa -k CFG_crontab -w /var/spool/cron/root -k CFG_crontab_root -w /etc/group -p wa -k CFG_group -w /etc/passwd -p wa -k CFG_passwd -w /etc/gshadow -k CFG_gshadow -w /etc/shadow -k CFG_shadow -w /etc/security/opasswd -k CFG_opasswd -w /etc/login.defs -p wa -k CFG_login.defs

-w /var/log/faillog -p wa -k LOG_faillog -w /var/log/lastlog -p wa -k LOG_lastlog -w /var/log/tallylog -p wa -k LOG_tallylog -w /etc/hosts -p wa -k CFG_hosts -w /etc/sysconfig/network-scripts/ -p wa -k CFG_network -w /etc/inittab -p wa -k CFG_inittab -w /etc/rc.d/init.d/ -p wa -k CFG_initscripts -w /etc/localtime -p wa -k CFG_localtime -w /etc/sysctl.conf -p wa -k CFG_sysctl.conf -w /etc/modprobe.conf -p wa -k CFG_modprobe.conf -w /etc/pam.d/ -p wa -k CFG_pam -w /etc/security/limits.conf -p wa -k CFG_pam -w /etc/security/pam_env.conf -p wa -k CFG_pam -w /etc/security/namespace.conf -p wa -k CFG_pam -w /etc/security/namespace.init -p wa -k CFG_pam -w /etc/aliases -p wa -k CFG_aliases

-w /etc/ssh/sshd_config -k CFG_sshd_config -w /etc/vsftpd.ftpusers -k CFG_vsftpd.ftpusers

-a exit,always -F arch=b32 -S sethostname

-w /etc/issue -p wa -k CFG_issue

-w /etc/issue .net -p wa -k CFG_issue .ne如：用户登录信息：

用户重要行为信息：

Windows 审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全

相关事件

修改如下图：

数据库系统的审计内容未包括：重要用户行为、系统资源的异常使用和重要系统命令的使

用等

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等

Cen tos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等

开启日志监控：

Audit

数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等

应保护审计记录，避免受到未预期的删除、修改或覆盖等

Cen tos审计记录未受到保护，未能避免受到未预期的删除、修改或覆盖等

在系统下修改日志保存文件 /etc/logrotate.conf 文件如下：

#keep 10 weeks worth of backlogs

rotate 10

保存日志文件 10 周

数据库系统未对审计记录进行保护

数据库审计日志存储在 /var/lib/mysql/ mysql-audit.json

定期 1 个月人工将该文件备份

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式 保持系统补丁及时得到更新

Cen tos操作系统未及时更新系统补丁，未禁用多余服务端口： 123

已关闭123端口对应的服务ntpd。启用firewalld。各主机只开放对应端口。包括 80,7008,9200,930及

3306

13.1.1更新 openssl

[root@iZ886zdnu5gZ ~]# openssl version

更新后的版本为：

13.1.2更新 openssh [root@iZ886zdnu5gZ ~]# ssh -V

更新后的版本为：

[root@iZ886zdnu5gZ openssh-7.5p1]# ssh -V

13.2 Windows操作系统未遵循最小安装原则，存在多余软件：谷歌浏览器、 notepad++，未及时

更新系统补丁，未禁用多余服务：

Print Spooler,未禁用多余端口： 135、137 139、445

123

删除多余的软件：如谷歌浏览器、n otepad++、禁止多余服务：Prin tSpooler

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库

Centos

由阿里云盾提供保护

Windows

由阿里云提供：

应支持防恶意代码软件的统一管理

Centos

由阿里云盾提供

Windows

由阿里云提供：

应通过设定终端接入方式、网络地址范围等条件限制终端登录

Cen tos作系统未设定终端接入方式、网络地址范围等条件限制终端登录

在系统的/etc/hosts.deny和/etc/hosts.allow添加网络拒绝和允许地址

在/etc/hosts.deny中禁止TCP类型所有联系

数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录

每个账号对应一个 IP 地址。限制用户 %类型的无限制连接

应根据安全策略设置登录终端的操作超时锁定

Cen tos操作系统未根据安全策略设置登录终端的操作超时锁定

17.1.1修改ssh终端用户

添加： /etc/ssh/sshd_conf 内容：

ClientAliveInterval 600 //超过 1 0分钟后退出

ClientAliveCountMax 0

如下：

[root@iZ886zdnu5gZ ~]# cat /etc/ssh/sshd_config |grep ClientA

ClientAliveInterval 600

ClientAliveCountMax 0

17.1.2修改系统用户

在 /etc/profile 中添加如下内容：

TMOUT=600

如下：

[root@iZ886zdnu5gZ ~]# cat /etc/profile |grep TMOUT

TMOUT=600

windows 操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间

17.2.1为断开的会话设置时间限制 :10分钟

17.2.2屏幕保护

数据库系统未根据安全策略设置终端的操作超时锁定

已设置超时时间 10 分钟

set global wait_timeout=600;

set global interactive_timeout=600;

应限制单个用户对系统资源的最大或最小使用限度 已限制单个用户的最大连接数和查询

应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标

识，身份鉴别信息不易被冒用

应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 已在单点登录上配置失败 3 次处理锁定 3分钟

应由授权主体配置访问控制策略，并严格限制默认账户的访问权限； 有已删除多余的应用测试账号 admin

应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；

应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计

应用系统未启用审计功能

已启用应用系统的审计日志功能

23.1中间件已提供覆盖到抽查用户的安全审计功能， 未对增加用户、 删除用户、 修改用户权限、 系统资源异常等操作进行记录

应采用校验码技术保证通信过程中数据的完整性。

启用https。由于申请的公网IP的443端口未开通，测试时使用 80端口作为https端口

中间件未提供登录超时退出功能，空闲 20分钟，自动退出系统

已设置，在anyonedev.cfg^配置sessionTimeou空闲20分钟退出

应用系统未对系统的最大并发会话连接数进行限制 已设置，在 anyonedev.cfg^配置 maxConcurrentCount属性

中间件未对系统的最大并发会话连接数进行限制

已设置，在 anyonedev.cfg^配置 maxSessionCoun属性

应用系统同一台机器未对系统单个账号的多重并发会话进行限制， 不同机器未对系统单个账号的

多重并发会话进行限制

在nginx中启用连接会话限制。每个IP只能有20个连接，

系统通过 SSH1、VPN 和 HTTP 方式进行数据传输，部分管理数据、鉴别数据、重要业务数据在

传输过程中未能检测到完整性遭到破坏，未能够对数据在遭到传输完整性破

数据库启用 SSL

建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性

数据库启用 SSL

建议系统提供每天至少一次的数据完全备份，并对备份介质进行场外存放

建议提供数据库系统硬件冗余，保证系统的高可用性

s 数据库集群或热备