一个要求达到等级保护三级要求的环境,进行等级保护测评后出具的等级保护测评整改报告,应该如何理解?如何具体操作才能来满足或者达到等级保护三级的相关要求?
在等级保护测评中的漏洞扫描结果中,各厂商的描述并不完全相同,比如在某品牌的漏洞扫描结果中有这样一个描述,漏洞ID为10658 漏洞名称是ORACLE TNSLSNR版本查询,危险等级是紧急的。这个从简单的描述上是一个ORACLE 版本查询问题不应该以属于很重要,而危险等级确是紧急的。因属于紧急的危险等级,咨询过一些应用开发类公司专业人员也不知所以,也许是没有找到真正明白的人员,专家是否可以给予解答?
从等保要求来看。那就只能用两个字来解释所有的结果。就是,规定,
无论这个结果在你认为是否是危险的,或者是否有描述的这样严重,等保规定如此,那就按等保的要求去做。
举个例子,平时我们检车,更换过车灯。或者车灯又一点问题都会告诉你检车不合格,但其实在我们开车过程中,这样的情况我们会觉得并不影响安全。一个道理。