一、密码策略合规：强化身份鉴别基础强度

等保二级要求密码需满足“长度≥8位、包含大小写字母/数字/特殊字符、每90天更换”的复杂性要求。安全基线核查通过自动化工具对操作系统、数据库等设备进行密码策略扫描，重点检查以下内容：

1. 密码复杂度：核查系统是否强制启用密码复杂度规则，禁止使用“123456”“admin”等弱口令；
2. 生存周期管理：验证密码最长使用期限是否设置为90天，最短使用期限是否≥7天，防止频繁修改导致用户记录困难；
3. 历史密码复用限制：检查系统是否禁止重复使用最近5次历史密码，避免攻击者通过历史密码破解账户。

二、账户管理合规：构建最小权限访问模型

等保二级强调“一人一账户、最小权限分配”原则，安全基线核查从账户创建、锁定、权限分配三方面实现闭环管控：

1. 账户唯一性验证：核查系统是否禁用默认账户（如Guest、Administrator），确保每个用户拥有唯一标识符；
2. 登录失败锁定：检查系统是否配置“连续5次登录失败锁定账户30分钟”策略，防止暴力破解；
3. 权限分级管理：验证用户权限是否按角色划分（如普通用户、审计员、管理员），禁止越权访问核心数据。

三、传输安全合规：保障鉴别信息防窃听

等保二级要求远程管理时采用加密传输协议，安全基线核查通过协议审计与配置加固实现双重防护：

1. 协议加密验证：核查远程桌面服务（RDP）、SSH等协议是否启用SSL/TLS加密，禁用明文传输的Telnet、FTP协议；
2. 双因素认证补充：针对高风险场景（如数据库运维），建议企业部署动态令牌或短信验证码，提升身份核验强度。

四、审计追溯合规：实现操作行为全留痕

等保二级要求审计记录留存≥6个月，安全基线核查通过日志集中管理与分析技术满足合规要求：

1. 日志完整性保护：核查系统是否开启安全审计功能，记录用户登录、权限变更、数据访问等关键操作；
2. 日志存储与备份：验证日志是否集中存储至独立服务器，并定期备份至异地介质，防止日志被篡改或删除。

陆陆科技安全技术服务