等保测评最关键的不是测评当天，而是“整改”。尤其在深圳地区，监管会重点核查整改闭环是否完整。下面按 等保 2.0 的六大安全域 给你梳理所有必做整改项。

一、物理环境安全整改（Physical）

二级要求：

• 机房需具备门禁、监控、防火、防雷、防潮。

• 关键设备（服务器、交换机）必须有机柜上架管理。

• 访问机房需登记。

三级新增要求：

• 机房监控录像 ≥ 90 天留存。

• 有独立的消防系统、温湿度监控。

• 核查 UPS 及双路供电情况。

二、网络与通信安全整改（Network）

二级整改项：

• 必须部署防火墙，并开启基本访问控制（ACL）。

• 内外网隔离；禁止办公网直接访问数据库。

• 部署入侵防御（IDS/IPS）或主机防护软件。

• 配置统一出口 NAT 和流量日志。

三级新增：

• DDoS 防护、边界深度检测。

• 网络划分安全域（DMZ、业务区、管理区）。

• VPN 需开启加密、双因子认证。

• 开启路由器/交换机安全配置（SSH 登录、关闭 Telnet）。

三、主机安全整改（Host）

二级整改项：

• 系统必须打补丁，关闭不必要端口（如 23、3389 暴露需整改）。

• 安装主机杀毒、HIDS、日志审计。

• 默认账号禁用、弱口令必须清除。

• 禁止直接以 root/administrator 登录。

三级新增：

• 关键服务器必须加固基线（CIS/等保基线）。

• 数据库必须做访问控制与审计。

• 要求更严格：口令复杂度 ≥12 位、定期更换。

四、应用安全整改（Application）

二级整改项：

• Web 漏洞整改（SQL 注入、XSS、弱口令、敏感信息泄露）。

• HTTPS 全面部署，禁用 HTTP 回退。

• 后台管理需做权限分级，如管理员/运营/客服分权限。

三级新增：

• 需要部署 WAF（Web 应用防火墙）。

• 核心接口必须校验访问来源、Token 安全。

• 日志需追踪用户行为（如修改、删除、支付操作）。

• 重要操作需二次确认/多因子认证。

五、数据安全整改（Data Protection）

二级整改项：

• 数据备份：全量+增量，保留 ≥ 3 版本。

• 数据分类分级（普通/重要/核心）。

• 敏感数据传输需加密（HTTPS、SSL）。

三级新增：

• 数据库加密（字段加密/透明加密）。

• 事务日志、数据访问日志保留 ≥ 180 天。

• 必须具备容灾能力（异地备份/冷备/热备）。

六、运维安全整改（Operations）

二级整改项：

• 统一运维账号管理，禁止共享管理员账号。

• 所有运维动作要留痕（堡垒机或日志系统）。

• 变更管理制度、上线流程制度化。

三级新增：

• 必须使用堡垒机做运维审计。

• 安全事件需有应急预案、演练记录。

• 更严格的账号权限分离（运维/审计/安全分角色）。

📝 七、文档类整改（二级/三级都需要）

企业在深圳做等保，文档是必查项，以下必须补齐：

✔ 1. 网络拓扑图

✔ 2. 系统架构图

✔ 3. 资产清单（IP、设备、服务）

✔ 4. 数据分类分级文档

✔ 5. 安全管理制度 18-22 份（核心）

如：账号管理制度、备份制度、日志制度、应急预案、安全培训制度等。

📌 八、深圳等保测评常见不合格项 TOP10（重点避坑）

1. 服务器弱口令

2. 3389、22、3306 暴露公网

3. 未上 HTTPS

4. 没有入侵检测或防护

5. 数据库无审计

6. 后台无权限分级

7. 防火墙规则混乱

8. 日志留存不足 90 天

9. 没有备份或无法恢复

10. 业务系统没有安全制度支撑