等保2.0(网络安全等级保护2.0)是银行系统必须通过的安全"驾驶证"——依据系统等级(二级/三级/四级)测评十大安全类目,三级等保是银行最常见的要求等级。
| 类目 | 控制点 | 测试方法 |
|---|---|---|
| 物理安全 | 机房管控、温湿度 | 现场检查 |
| 通信安全 | 网络加密、边界防护 | 抓包分析 |
| 区域边界 | 访问控制、入侵防范 | 渗透测试 |
| 计算环境 | 身份鉴别、访问控制 | 配置核查 |
| 管理中心 | 集中管控、审计 | 日志审查 |
| 管理制度 | 安全策略、操作规程 | 文档审查 |
| 管理机构 | 岗位设置、人员配备 | 访谈 |
| 管理人员 | 安全意识培训 | 访谈+考试 |
| 建设管理 | 定级备案、安全方案 | 文档审查 |
| 运维管理 | 变更管理、漏洞管理 | 记录检查 |
操作:检查密码复杂度策略(长度≥8、含大小写数字特殊字符)、登录失败锁定策略
操作:验证日志是否包含事件时间、用户ID、源IP、操作类型、操作结果五要素