1）WAF

如果是云環(huán)境的業(yè)務(wù)，云基礎(chǔ)防御中存在抗DDoS功能的，直接把這個(gè)模塊展示給等保的檢查人員即可。物理機(jī)房建議購(gòu)買一臺(tái)，因?yàn)殚_源市場(chǎng)上成型的抗DDoS產(chǎn)品確實(shí)很少。在這里會(huì)看你的閥值設(shè)置，日志查詢和存儲(chǔ)情況。

關(guān)于堡壘機(jī)在等保中會(huì)問到的具體問題如下：

（1）有沒有登錄界面

（2）登錄用戶有沒有身份限制

（3）登錄次數(shù)有沒有做控制

（4）登錄是否有失敗鎖定

（5）角色是否分為：管理員、普通用戶、審計(jì)管理員

（6）每個(gè)角色是否存在越權(quán)行為

（7）每個(gè)角色是否開啟雙因素認(rèn)證

（8）審計(jì)日志是否保留3個(gè)月以上

（9）審計(jì)工作是否被執(zhí)行（執(zhí)行記錄）

（10）堡壘機(jī)后臺(tái)是否為分段密碼

（11）是否采用HTTPS登錄，版本是什么

一般采用syslog就足夠了，當(dāng)然如果是為了運(yùn)營(yíng)安全著想，要時(shí)常做日志分析，對(duì)于廠商設(shè)備來(lái)說(shuō)分析工作會(huì)相對(duì)簡(jiǎn)單一些，采用syslog自行分析日志開發(fā)工作量會(huì)增大。這里會(huì)問的問題就相對(duì)比較少：

（1）是否集中了所有日志

（2）日志分析工作是否開展（證據(jù)）

（3）是否保留6個(gè)月以上日志

對(duì)于數(shù)據(jù)庫(kù)審計(jì)，建議采用廠商設(shè)備，開源的數(shù)審大多以插件為主。會(huì)問到的問題與WAF大同小異。

這塊主要看是否存在即可，沒有問太細(xì)的東西，推薦是使用開源的IDS就足夠了。

這塊主要的問題如下：

（1）是否存在殺軟

（2）是否定時(shí)查殺

（3）是否審查與修復(fù)（證據(jù)）

1）基線安全

基線安全是服務(wù)器基礎(chǔ)配置安全，包括SSH配置文件的配置，/etc/passwd是否存在不唯一的為0的UID，密碼周期是否為90天等等。關(guān)于基線安全的掃描，如果是云環(huán)境，存在基線安全檢測(cè)，但是我個(gè)人更推薦是基線檢測(cè)腳本，因?yàn)槿绻褂迷茝S商的，需要投入資金。

2）應(yīng)用安全

包括所有應(yīng)用和網(wǎng)絡(luò)方面的滲透測(cè)試，這部分只能看平時(shí)工作的效果了，沒有什么建議，最大的建議是當(dāng)時(shí)過檢人員測(cè)出有什么漏洞及時(shí)修正就好了。

等保測(cè)試記住一個(gè)原則，誰(shuí)都是需要體現(xiàn)工作量的，他們不可能給你評(píng)100，差不多就行。