1.无机房设计文档，无机房抗震等级证明。建议提供机房所在建筑抗震等级证明文件或聘请第三方机构进行检测。

2.机房未配备自动消防系统，机房内仅配置了手持灭火器。建议为机房安装自动气体灭火系统。

3.未见机房装饰建筑材料的耐火等级证明材料。建议聘请第三方消防检测机构对机房建筑材料进行检测。

4.机房未采取区域隔离防火措施，配电柜、网络设备、UPS电池柜等在同一区域内。建议根据设备重要性程度等原则，对机房采取区域隔离防火措施。

5.漏水防护措施不完善，无积水转移或排水措施，未安装水敏感检测设施。建议在可能出现漏水隐患的区域周边增设积水转移或排水措施，安装漏水检测及报警设施。

6.机房无静电消除器等设置。建议根据相关要求使用静电消除器等设置，避免机房中有静电隐患。

7.机房未配备双路以上供电。建议为机房配备双路供电通道。

8.机房未采取电磁屏蔽措施。建议为关键设备和磁介质实施电磁屏蔽。

1.整体网络架构未采用冗余设计，不能保证系统的高可用性，网络结构存在单点故障风险。建议在网络关键节点处采用冗余设计。

2.应用系统未采用校验技术或密码技术保证通信过程中数据的完整性。建议对重要数据采用经国家密码管理局认可的校验技术或密码技术保证通信过程中数据的完整性。

3.应用系统未采用密码技术进行加密传输。建议对系统管理数据、鉴别信息及重要业务数据采用经国家密码主管部门认可的密码技术，保证其在通信过程中数据的机密性。

4.未基于可信根对网络通信设备的系统引导程序、系统程序、等进行可信验证，无相关可信验证措施。  建议基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

1.不能对应用层协议和内容进行访问策略控制。建议在网络边界处部署应用防火墙等网络控制设备，并根据系统应用需求最小化原则设置访问控制策略。

2.入侵检测系统可对内部不同区域发起的攻击行为进行检测，但无法阻断内部的网络攻击行为。建议在系统中部署网络入侵防御设备，对可能潜在的攻击行为进行检测并阻断。

3.入侵检测系统能够对网络行为进行分析，但不能对新型网络攻击行为进行分析。建议部署抗APT、威胁情报检测等系统，使其可以对网络中新型攻击行为进行检测记录并及时向管理员进行报警。

4.系统中部署的入侵检测系统能对入侵事件进行检测记录，但未设置报警功能。建议对入侵检测系统配置进行调整，并设置报警功能。

5.无可信验证措施，无法对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。  建议在网络边界处部署可信验证设备。

1. 应用系统未启用登录失败处理功能，未启用登录连接超时自动退出功能。建议对应用系统登录失败采取必要的安全措施，如登录失败5次锁定账户、登录30分钟无操作自动结束会话等。

2.应用系统、服务器等未采用两种或两种以上组合的鉴别技术。建议对系统采用两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证书、令牌等。

3.堡垒机、应用系统、操作系统、数据库等未设置敏感标记功能。建议对系统重要资源增加敏感标记的功能，并控制用户对已标记的敏感信息的操作。

4.堡垒机、服务器、数据库和终端未基于可信根对计算设备的系统引导程序、系统程序、等进行可信验证，无相关可信验证措施。建议基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

5.应用系统使用非安全协议进行鉴别数据的传输，被测系统不能检测到完整性受到破坏，不具有完整性保护措施。建议对重要数据采用经国家密码管理局认可的密码技术保证通信过程中数据的完整性。

6.应用系统、操作系统和数据库未采用校验技术或密码措施保证业务数据、配置信息等存储完整性。建议对重要数据采用经国家密码主管部门认可的密码技术，保证其在存储过程中数据的完整性。

7.应用系统、数据库和重要数据未提供数据异地备份功能，但系统不属于容灾性较高的系统。建议将关键数据实时批量传送至备用场地，实现数据异地备份。

1．制度中明确了每年对安全管理制度进行检查和审定，但暂无修订记录。建议每年对安全管理制度进行检查和审定，对需要完善的安全管理制度进行修订，并保留修订记录。

2.未根据系统安全等级进行安全方案设计，未包含密码设计的相关要求。建议组织相关部门和有关安全技术专家根据对象的安全保护等级进行安全整体规划和安全方案设计，设计内容应包括密码相关内容，并形成配套文件。

3.未提供总体安全规划和安全设计方案的专家评审意见。建议组织相关部门和有关安全技术专家对总体安全策略、安全技术框架等相关配套文件的合理性进行论证和审定。

4.被测单位未对外包开发公司的源代码进行代码审查，但定期对系统进行安全检测。建议对开发单位提供软件源代码通过国家认可的第三方机构出具的源代码安全审查报告/证明，全面地审查源代码中可能存在的后门等。

5.系统上线前进行了安全性测试，但未包含密码应用安全性测试内容。建议在系统建设验收阶段委托第三方进行安全测试，对系统进行密码应用安全的相关内容检查，形成安全测试报告。

6.管理制度对密码产品与服务的采购和使用进行了规定，该系统暂未使用密码产品。建议密码管理遵循密码相关的国家标准和行业标准要求。

7.未使用国家密码管理主管部门认证核准的密码产品。建议采购和使用符合国家密码主管部门的要求的密码产品。