#每日三件事，第1437天#

（18个L3，2个L4）

一、安全物理环境

1. 物理访问控制：机房出入口访问控制措施缺失；
2. 防盗窃和防破坏：机房防盗措施缺失；
3. 防火：机房防火措施缺失；（L3）
4. 电力供应：机房短期电力供应措施缺失；
   5.电力供应：机房应急供电措施缺失（L4）；
5. 基础设施位置：云计算平台基础设施位置选择不当；

二、安全通信网络

7. 网络架构：网络设备业务处理能力不足（L3）；
8. 网络架构：网络区域划分不当；
9. 网络架构：网络边界访问控制设备不可控；
   10.网络架构：重要网络区域边界访问控制措施缺失；
   11.网络架构：关键线路和设备冗余措施缺失；（L3）
   12.网络架构：云计算平台安全级别低于承载业务系统安全级别；
   13.通信传输：重要数据明文传输；（L3）
   14.通信传输：重要数据传输完整性保护措施缺失；（L3）

三、安全区域边界

15.边界防范：无线网络管控措施缺失（L3）；
16.访问控制：重要网络区域边界访问控制配置不当；
17.入侵防范：外部入侵防御措施缺失；
18.入侵防范：内部入侵防御措施缺失（L3）；
19.恶意代码和垃圾邮件防范：恶意代码防范措施缺失；
20.安全审计：网络安全审计措施缺失；

四、安全计算环境

21.身份鉴别：设备存在弱口令或相同口令；
22.身份鉴别：应用系统口令策略缺失；
23.身份鉴别：应用系统存在弱口令；
24.身份鉴别：应用系统口令暴力破解防范机制缺失；
25.身份鉴别：设备鉴别信息传输保密性措施缺失；
26.身份鉴别：应用系统鉴别信息明文传输；
27.身份鉴别：设备没有采用多种身份鉴别技术；（L3）
28.身份鉴别：应用系统没有采用多种身份鉴别技术（L3）

29.访问控制：设备默认口令未修改；
30.访问控制：应用系统默认口令未修改；
31.访问控制：应用系统访问控制措施缺失；
32.安全审计：设备安全审计措施缺失；
33.安全审计：应用系统安全审计措施缺失；
34.安全审计：设备审计信息保护不符合要求；
35.安全审计：应用系统设计信息保护不符合要求；

36.入侵防范：设备开启多余的服务、高危端口；
37.入侵防范：设备管理终端限制措施缺失；
38.入侵防范：应用系统数据有效性校验措施缺失；
39.入侵防范：互联网设备存在已知的高危漏洞；
40.入侵防范：内网设备存在可利用的高危漏洞；
41.入侵防范：应用系统存在可利用的高危漏洞；

42.恶意代码防范：恶意代码防范措施缺失；
43.数据完整性：重要数据传输完整性保护措施缺失；L3
44.数据保密性：重要数据明文传输；L3
45.数据保密性：重要数据存储保密性措施缺失；L3

46.数据备份恢复：数据备份措施缺失；
47.数据备份恢复：数据异地备份措施缺失；（L3）
48.数据备份恢复：数据处理系统冗余措施缺失（L3）
49.数据备份恢复：未建立异地灾备中心（L4）

50.剩余信息保护：鉴别信息释放措施失效；
51.剩余信息保护：敏感信息释放措施失效（L3）；

52.个人信息保护：违规采集和存储个人信息；
53.个人信息保护：违规访问和使用个人信息；

54.数据完整性和保密性：云计算客户数据和个人信息违规出境；

五、安全管理中心

55.集中管控：运行监控措施缺失（L3）；
56.集中管控：日志信息存储时间不满足要求（L3）；
57.集中管控：网络安全事件发现和处置措施缺失（L3）；