1）WAF

如果是云環(huán)境的業(yè)務，云基礎防御中存在抗DDoS功能的，直接把這個模塊展示給等保的檢查人員即可。物理機房建議購買一臺，因為開源市場上成型的抗DDoS產(chǎn)品確實很少。在這里會看你的閥值設置，日志查詢和存儲情況。

關于堡壘機在等保中會問到的具體問題如下：

（1）有沒有登錄界面

（2）登錄用戶有沒有身份限制

（3）登錄次數(shù)有沒有做控制

（4）登錄是否有失敗鎖定

（5）角色是否分為：管理員、普通用戶、審計管理員

（6）每個角色是否存在越權(quán)行為

（7）每個角色是否開啟雙因素認證

（8）審計日志是否保留3個月以上

（9）審計工作是否被執(zhí)行（執(zhí)行記錄）

（10）堡壘機后臺是否為分段密碼

（11）是否采用HTTPS登錄，版本是什么

一般采用syslog就足夠了，當然如果是為了運營安全著想，要時常做日志分析，對于廠商設備來說分析工作會相對簡單一些，采用syslog自行分析日志開發(fā)工作量會增大。這里會問的問題就相對比較少：

（1）是否集中了所有日志

（2）日志分析工作是否開展（證據(jù)）

（3）是否保留6個月以上日志

對于數(shù)據(jù)庫審計，建議采用廠商設備，開源的數(shù)審大多以插件為主。會問到的問題與WAF大同小異。

這塊主要看是否存在即可，沒有問太細的東西，推薦是使用開源的IDS就足夠了。

這塊主要的問題如下：

（1）是否存在殺軟

（2）是否定時查殺

（3）是否審查與修復（證據(jù)）

1）基線安全

基線安全是服務器基礎配置安全，包括SSH配置文件的配置，/etc/passwd是否存在不唯一的為0的UID，密碼周期是否為90天等等。關于基線安全的掃描，如果是云環(huán)境，存在基線安全檢測，但是我個人更推薦是基線檢測腳本，因為如果使用云廠商的，需要投入資金。

2）應用安全

包括所有應用和網(wǎng)絡方面的滲透測試，這部分只能看平時工作的效果了，沒有什么建議，最大的建議是當時過檢人員測出有什么漏洞及時修正就好了。

等保測試記住一個原則，誰都是需要體現(xiàn)工作量的，他們不可能給你評100，差不多就行。