等保2.0高風(fēng)險(xiǎn)項(xiàng)判定匯總

1、最新資料推薦等保20高風(fēng)險(xiǎn)項(xiàng)判定匯總等保2.0高風(fēng)險(xiǎn)項(xiàng)判定匯總引言所謂高風(fēng)險(xiǎn)項(xiàng)，就是等保測評 時(shí)可以一票否決的整改項(xiàng)，如果不改，無論你多少分都會被定為不 合格。全文共58頁，寫得比較細(xì)了，但是想到大家基本不會有耐心去 仔細(xì)看的（憑直覺）。這幾天挑里邊相對重點(diǎn)的內(nèi)容列了出來，就是企業(yè)要重點(diǎn) 關(guān)注 的，把這些做好，上70分應(yīng)該不成問題，個(gè)人認(rèn)為這就是所謂的抓 重點(diǎn)了。最近要定級或者明年打算升級等保2.0的可以參考下。說明：文中標(biāo)記（3級）的表示3級及以上系統(tǒng)適用，標(biāo)記（4級） 的表示4級系統(tǒng)適用，為標(biāo)記的表示所有系統(tǒng)適用。物理環(huán)境部分1.無防盜報(bào)警系統(tǒng)、無監(jiān)控系統(tǒng)，可判定為高風(fēng) 險(xiǎn)。2. 機(jī)房未配

2、備冗余或并行電力線路供電來自于同一變電站，可判 咼風(fēng)險(xiǎn)。3. 系統(tǒng)所在的機(jī)房必須配備應(yīng)急供電措施，如未配備，或應(yīng)急供 電措施無法使用，可判高風(fēng)險(xiǎn)。（4級）4.對于涉及大量核心數(shù)據(jù)的系統(tǒng)，如機(jī)房或關(guān)鍵設(shè)備 所在的機(jī)柜未采取電磁屏蔽措施，可判高風(fēng)險(xiǎn)。（4級）網(wǎng)絡(luò)通信部分1. 對可用性要求較高的系統(tǒng)，網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力不足，高峰 時(shí)可能導(dǎo)致設(shè)備宕機(jī)或服務(wù)中斷，影響金融秩序或引發(fā)群體事件， 若無任何技術(shù)應(yīng)對措施。核心網(wǎng)絡(luò)設(shè)備性能無法滿足高峰期需求，存在業(yè)務(wù)中斷隱患，如 業(yè)務(wù)高峰期，核心設(shè)備性能指標(biāo)平均達(dá)到80%以上，可判定為高風(fēng) 險(xiǎn)。2. 應(yīng)按照不同網(wǎng)絡(luò)的功能、重要程度進(jìn)行網(wǎng)絡(luò)區(qū)域劃分，如存在 重

3、要區(qū)域與非重要網(wǎng)絡(luò)在同一子網(wǎng)或網(wǎng)段的，可判定為高風(fēng)險(xiǎn)。3. 互聯(lián)網(wǎng)出口無任何訪問控制措施，或訪問控制措施配置失效， 存在較大安全隱患，可判定為高風(fēng)險(xiǎn)。（區(qū)域邊界要求同樣適用）4.辦公網(wǎng)與生產(chǎn)網(wǎng)之間無訪問控制措 施，辦公環(huán)境任意網(wǎng)絡(luò)接入均可對核心生產(chǎn)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行 管理，可判定為高風(fēng)險(xiǎn)。5. 對可用性要求較高的系統(tǒng)，若網(wǎng)絡(luò)鏈路為單鏈路，核心網(wǎng)絡(luò)節(jié) 點(diǎn)、核心網(wǎng)絡(luò)設(shè)備或關(guān)鍵計(jì)算設(shè)備無冗余設(shè)計(jì)，一旦出現(xiàn)故障，可 能導(dǎo)致業(yè)務(wù)中斷，可判定為高風(fēng) 險(xiǎn)。（3級）6. 對數(shù)據(jù)傳輸完整性要求較高的系統(tǒng)，數(shù)據(jù)在網(wǎng)絡(luò)層傳輸無完整性 保護(hù)措施，一旦數(shù)據(jù)遭到篡改，可能造成財(cái)產(chǎn)損失的，可判定為高 風(fēng)險(xiǎn)。建議采用校驗(yàn)技

4、術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。（3級）7. 口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸，可 判定為高風(fēng)險(xiǎn)。（3級）建議相關(guān)設(shè)備開啟SSH或HTTPS協(xié)議或創(chuàng)建加密通道, 通過這些加密方式傳輸敏感信息。區(qū)域邊界部分1.非授權(quán)設(shè)備能夠直接接入重要網(wǎng)絡(luò)區(qū)域，如服 務(wù)器區(qū)、管理網(wǎng)段等，且無任何 告警、限制、阻斷等措施的，可判 定為咼風(fēng)險(xiǎn)。（3級）如接入的區(qū)域有嚴(yán)格的物理訪問控制，采用靜態(tài)IP地 址分配，關(guān)閉不必要的接入端口，IP-MAC地址綁定等措施的，可酌 情降低風(fēng)險(xiǎn)等級。2. 核心重要服務(wù)器設(shè)備、重要核心管理終端，如無法對非授權(quán)聯(lián) 到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制，或內(nèi)部人員可旁路、繞過邊界

5、 訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng)，可判定為高風(fēng)險(xiǎn)。（3級）如機(jī)房、網(wǎng)絡(luò)等環(huán)境可控，非授權(quán)外聯(lián)可能較小，相關(guān)設(shè)備上的USB 接口、無線網(wǎng)卡等有管控措施，對網(wǎng)絡(luò)異常進(jìn)行監(jiān)控及日志審查， 可酌情降低風(fēng)險(xiǎn)等級。3. 內(nèi)部核心網(wǎng)絡(luò)與無線網(wǎng)絡(luò)互聯(lián)，且之間無任何管控措施，一旦 非授權(quán)接入無線網(wǎng)絡(luò)即可訪問內(nèi)部核心網(wǎng)絡(luò)區(qū)域，存在較大安全隱 患，可判定為高風(fēng)險(xiǎn)。（3級）如無特殊需要，內(nèi)部核心網(wǎng)絡(luò)不應(yīng)與無線網(wǎng)絡(luò)互聯(lián)；如 因業(yè)務(wù)需要，則建議加強(qiáng)對 無線網(wǎng)絡(luò)設(shè)備接入的管控，并通過邊界 設(shè)備對無線網(wǎng)絡(luò)的接入設(shè)備對內(nèi)部核心網(wǎng)絡(luò) 的訪問進(jìn)行限制，降低 攻擊者利用無線網(wǎng)絡(luò)入侵內(nèi)部核心網(wǎng)絡(luò)。4. 與互聯(lián)網(wǎng)互連的系統(tǒng)，邊界處如無專用的

6、訪問控制設(shè)備或配置 了全通策略，可判定為高風(fēng)險(xiǎn)。5. 可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未采用通信協(xié) 議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)轉(zhuǎn)換（網(wǎng)閘或前置機(jī)），可判 定為咼風(fēng)險(xiǎn)。（4級）15 / 166. 關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)（如互聯(lián)網(wǎng)邊界處）未采取任何防護(hù)措施，無法檢 測、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為（無入侵防御設(shè)備、云防、 WAF等），可判定為高風(fēng)險(xiǎn)。（3級）7.關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū) 域邊界處）未采取任何防護(hù) 措施，無法檢測、阻止或限制從內(nèi)部發(fā) 起的網(wǎng)絡(luò)攻擊行為（無入侵防御、防火墻等），可判定為高風(fēng)險(xiǎn)。（3級）8.主機(jī)和網(wǎng)絡(luò)層均無任何惡意代碼檢測和清除措施的, 可判定

7、為高風(fēng)險(xiǎn)。9. 在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)無任何安全審計(jì)措施，無法對重要 的用戶行為和重要安全事件進(jìn)行日志審計(jì)，可判定為高風(fēng)險(xiǎn)。計(jì)算環(huán)境部分1.網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等存 在空口令或弱口令帳戶（包括默 認(rèn)口令），并可通過該弱口令帳戶登 錄，可判定為高風(fēng)險(xiǎn)。2. 通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系 統(tǒng)、數(shù)據(jù)庫等，鑒別信息明文傳輸，容易被監(jiān)聽，造成數(shù)據(jù)泄漏， 可判定為高風(fēng)險(xiǎn)。3. 重要核心設(shè)備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術(shù)對 用戶身份進(jìn)行鑒另IJ。例如僅使用用戶名/口令方式進(jìn)行身份驗(yàn)證，削弱了管理員賬戶的 安全性，無法避免賬號的未授權(quán)竊取或違規(guī)使用，4級系

8、統(tǒng)多種鑒 別技術(shù)中未用到密碼技術(shù)或生物技術(shù)?？膳卸楦唢L(fēng)險(xiǎn)。（3級）4. 網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等存在多余系統(tǒng)服務(wù)/默認(rèn)共享/ 高危端口存在，且存在可被利用的高危漏洞或重大安全隱患，可判 定為高風(fēng)險(xiǎn)。（注意不只系統(tǒng)和 應(yīng)用，還有設(shè)備也要關(guān)閉多余端口）5.通過 不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫 等，未采取技術(shù)手段對管理終端進(jìn)行限制，可判定為高風(fēng)險(xiǎn)。（3級）6.對于一些互聯(lián)網(wǎng)直接能夠訪問到的網(wǎng)絡(luò)設(shè)備、安全設(shè) 備、操作系統(tǒng)、數(shù)據(jù)庫等，如存在外界披露的重大漏洞，未及時(shí)修 補(bǔ)更新，無需考慮是否有POC攻擊代碼，可判定為高風(fēng)險(xiǎn)。（不要說影響業(yè)務(wù)，某大型企業(yè)HW期間N年不能

9、打的補(bǔ)丁 2 天全搞定了）7.通過驗(yàn)證測試或滲透測試能夠確認(rèn)并利用的，可對 網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等造成重大安全隱患的漏 洞（包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠(yuǎn)程代碼執(zhí)行、嚴(yán)重邏 輯缺陷、敏感數(shù)據(jù)泄露等），可判定為高風(fēng)險(xiǎn)。8. Windows操作系統(tǒng)未安裝防惡意代碼軟件，并進(jìn)行統(tǒng)一管理 （這里覺得官方描述有問題，并未進(jìn)行可能更準(zhǔn)確），無法防止來自 外部的惡意攻擊或系統(tǒng)漏洞帶來的危害，可判定為高風(fēng)險(xiǎn)。9. 應(yīng)用系統(tǒng)無任何用戶口令復(fù)雜度校驗(yàn)機(jī)制，校驗(yàn)機(jī)制包括口令的 長度、復(fù)雜度 等，可判定為高風(fēng)險(xiǎn)。10. 應(yīng)用系統(tǒng)存在易被猜測的常用/弱口令帳戶，可判定為高風(fēng) 險(xiǎn)。11. 可通過互聯(lián)

10、網(wǎng)登錄的應(yīng)用系統(tǒng)未提供任何登錄失敗處理措施， 攻擊者可進(jìn)行口令猜測，可判定為高風(fēng)險(xiǎn)。（3級）12.通過互聯(lián)網(wǎng)方式訪問，且涉及大額資金交易、核心業(yè) 務(wù)等操作的系統(tǒng)，在進(jìn)行重要操作前應(yīng)采用兩種或兩種以上方式進(jìn) 行身份鑒別，如只采用一種驗(yàn)證方式進(jìn)行鑒別，可判定為高風(fēng)險(xiǎn)。（3級）13. 應(yīng)用系統(tǒng)訪問控制功能存在缺失，無法按照設(shè)計(jì)策略控制用戶對 系統(tǒng)功能、數(shù)據(jù)的訪問；可通過直接訪問URL等方式，在不登錄系 統(tǒng)的情況下，非授權(quán)訪問系統(tǒng)功能模塊，可判定為高風(fēng)險(xiǎn)。14. 應(yīng)用系統(tǒng)訪問控制策略存在缺陷，可越權(quán)訪問系統(tǒng)功能模塊 或查看、操作其他用戶的數(shù)據(jù)。如存在平行權(quán)限漏洞，低權(quán)限用戶越權(quán)訪問高權(quán)限功能模塊等，

11、可判定為高風(fēng)險(xiǎn)。15. 應(yīng)用系統(tǒng)（包括前端系統(tǒng)和后臺管理系統(tǒng)）無任何日志審計(jì) 功能，無法對用戶的重要行為進(jìn)行審計(jì)，也無法對事件進(jìn)行溯源， 可判定為高風(fēng)險(xiǎn)。（3級）16.由于校驗(yàn)機(jī)制缺失導(dǎo)致的應(yīng)用系統(tǒng)存在如SQL注 入、跨站腳木、上傳漏洞等高風(fēng)險(xiǎn)漏洞，可判定為高風(fēng)險(xiǎn)。17. 應(yīng)用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的高風(fēng) 險(xiǎn)漏洞，導(dǎo)致敏感數(shù)據(jù)泄露、網(wǎng)頁篡改、服務(wù)器被入侵等安全事件 的發(fā)生，可能造成嚴(yán)重后果的，可判定為高風(fēng)險(xiǎn)。18. 通過測試，發(fā)現(xiàn)應(yīng)用系統(tǒng)的業(yè)務(wù)功能（如密碼找回功能等） 存在高風(fēng)險(xiǎn)安全漏洞或嚴(yán)重邏輯缺陷，可能導(dǎo)致修改任意用戶密碼、 繞過安全驗(yàn)證機(jī)制非授權(quán)訪問等情況?？膳卸楦?/p>

12、風(fēng)險(xiǎn)。19. 對傳輸完整性要求較高的系統(tǒng)，如未采取任何措施保障重要 數(shù)據(jù)傳輸完整性，重要數(shù)據(jù)在傳輸過程中被篡改可能造成嚴(yán)重后果的，可判定為高風(fēng)險(xiǎn)。（3級）20.用戶鑒別信息、公民敏感信息數(shù)據(jù)或重要業(yè)務(wù)數(shù)據(jù)等以明文方式在不可控網(wǎng)絡(luò)中傳輸，可判定為高風(fēng)險(xiǎn)。（3級）21.用戶身份認(rèn)證信息、個(gè)人敏感信息數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、行業(yè)主 管部門定義的非明文存儲類數(shù)據(jù)等以明文方式存儲，且無其他有效 保護(hù)措施，可判定為高風(fēng)險(xiǎn)。（3級）22.應(yīng)用系統(tǒng)未提供任何數(shù)據(jù)備份措施，一旦遭受數(shù)據(jù) 破壞，無法進(jìn)行數(shù)據(jù)恢復(fù)的，可判定為高風(fēng)險(xiǎn)。23. 對系統(tǒng)、數(shù)據(jù)容災(zāi)要求較高的系統(tǒng)，如金融、醫(yī)療衛(wèi)生、社 會保障等行業(yè)系統(tǒng)，如無異地

13、數(shù)據(jù)災(zāi)備措施，或異地備份機(jī)制無法 滿足業(yè)務(wù)需要，可判定為高風(fēng)險(xiǎn)。24. 對數(shù)據(jù)處理可用性要求較高系統(tǒng)（如金融行業(yè)系統(tǒng)、競拍系 統(tǒng)、大數(shù)據(jù)平臺等），應(yīng)采用熱冗余技術(shù)提高系統(tǒng)的可用性，若核心 處理節(jié)點(diǎn)（如服務(wù)器、DB等）存在單點(diǎn)故障，可判定為高風(fēng)險(xiǎn)。（3級）25.對容災(zāi)、可用性要求較高的系統(tǒng)，如金融行業(yè)系統(tǒng), 如未設(shè)立異地應(yīng)用級容災(zāi)中心，或異地應(yīng)用級容災(zāi)中心無法實(shí)現(xiàn)業(yè) 務(wù)切換，可判定為高風(fēng)險(xiǎn)。（4級）26. 身份鑒別信息釋放或清除機(jī)制存在缺陷，如在正常進(jìn)行釋放或清 除身份鑒別信息操作后，仍可非授權(quán)訪問系統(tǒng)資源或進(jìn)行操作（同 樣適用于敏感信息），可判定為高風(fēng)險(xiǎn)。27. 在采集和保存用戶個(gè)人信息時(shí)，應(yīng)

14、通過正式渠道獲得用戶同 意、授權(quán)，如在未授權(quán)情況下，采取、存儲用戶個(gè)人隱私信息，可 判定為高風(fēng)險(xiǎn)。28. 未授權(quán)訪問和非法使用個(gè)人信息，如在未授權(quán)情況下將用戶 信息提交給第三方處理，未脫敏的情況下用于其他業(yè)務(wù)用途，未嚴(yán) 格控制個(gè)人信息查詢以及導(dǎo)岀權(quán)限，非法買賣、泄露用戶個(gè)人信息 等，可判定為高風(fēng)險(xiǎn)。管理中心部分1.網(wǎng)絡(luò)安全法要求“采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn) 行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日 志不少于六個(gè)月”；因此，如相關(guān)設(shè)備日志留存不滿足法律法規(guī)相 關(guān)要求，可判定為高風(fēng)險(xiǎn)。（3級）2.未部署相關(guān)安全設(shè)備，識別網(wǎng)絡(luò)中發(fā)生的安全事件, 并對重要安全事件進(jìn)行報(bào)警的，可判定為高風(fēng)險(xiǎn)

15、。管理制度部分1.判例內(nèi)容：未建立任何與安全管理活動(dòng)相關(guān)的 管理制度或相關(guān)管理制度無法適用于當(dāng)前被測系統(tǒng)的，可判定為高 風(fēng)險(xiǎn)。管理機(jī)構(gòu)部分1.未成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，或其最高 領(lǐng)導(dǎo)不是由單位主管領(lǐng)導(dǎo)委任或授權(quán)，可判定為高風(fēng)險(xiǎn)。（3級）建設(shè)管理部分1.網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的 使用違反國家有關(guān)規(guī)定，可判定為高風(fēng)險(xiǎn)。（其實(shí)就是盡可能使用國產(chǎn)品牌）建議依據(jù)國家有關(guān)規(guī)定，采購 和使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品。（網(wǎng)絡(luò)安全法第二十三條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用 產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全 認(rèn)證合格或者安全檢測符合要求后，方可銷售或者

16、提供。國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng) 絡(luò)安全專用產(chǎn)品目錄，并推動(dòng)安全認(rèn)證和安全檢測結(jié)果互認(rèn)，避免 重復(fù)認(rèn)證、檢測。）2.對于涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系 統(tǒng)由外包公司開發(fā)，上線前未對外包公司開發(fā)的系統(tǒng)進(jìn)行源代碼審 查，外包商也無法提供相關(guān)安全檢測證明，可判定為高風(fēng)險(xiǎn)。（3級）3.系統(tǒng)上線前未通過安全性測試，或未對相關(guān)高風(fēng)險(xiǎn) 問題進(jìn)行安全評估仍舊“帶病”上線的，可判定為高風(fēng)險(xiǎn)。安全檢查內(nèi)容可以包括但不限于掃描滲透測試、安全功能驗(yàn)證、 源代碼安全審核（國家逐步開始推廣SDL的落地）。（3級）運(yùn)維管理部分1.未對發(fā)現(xiàn)的安全漏洞和隱患及時(shí)修補(bǔ)，會導(dǎo)致系統(tǒng)存在

17、較大的安 全隱患，黑客有可能利用安全漏洞對系統(tǒng)實(shí)施惡意攻擊，如果安全 漏洞和隱患能夠構(gòu)成高危風(fēng)險(xiǎn)，可判定為高風(fēng)險(xiǎn)（對應(yīng)前邊漏洞管 理的內(nèi)容，要求相同）。（3級）2.未對運(yùn)維過程中改變連接、安裝系統(tǒng)組件或調(diào)整配置 參數(shù)進(jìn)行變更審批，且未進(jìn)行變更性測試，一旦安裝系統(tǒng)組件或調(diào) 整配置參數(shù)對系統(tǒng)造成影響，有可能導(dǎo)致系統(tǒng)無法正常訪問，出現(xiàn) 異常，可判定為高風(fēng)險(xiǎn)（系統(tǒng)變更管理上升為高危風(fēng)險(xiǎn)點(diǎn)）。（3級）3.未明確變更管理流程，未對需要變更的內(nèi)容進(jìn)行分析 與論證，未制定詳細(xì)的變更方案，無法明確變更的需求與必要性； 變更的同時(shí)也伴隨著可能導(dǎo)致系統(tǒng)無法正常訪問的風(fēng)險(xiǎn)，可判定為 高風(fēng)險(xiǎn)（變更流程無完善，缺乏理論驗(yàn)證和分析）。（3級）4.未對各類運(yùn)維工具（特別是未商業(yè)化的運(yùn)維工具）進(jìn) 行有效性檢查，未對運(yùn)維工具的接入進(jìn)行嚴(yán)格的控制和審批，運(yùn)維 工具中可能存在漏洞或后門，一旦被黑客利用有可能造成數(shù)據(jù)泄漏, 可判定為高風(fēng)險(xiǎn)（使用盜版工具的可能會被判定為高風(fēng)險(xiǎn)）。（3級）5.制度上服務(wù)器及終端與外部連接的授權(quán)和批準(zhǔn)制度（此處原文描述可能不準(zhǔn) 確），也未定期對相關(guān)違反網(wǎng)絡(luò)安全策略的 行為進(jìn)行檢查，存在違規(guī)外聯(lián)的安全隱患，一旦內(nèi)網(wǎng)服務(wù)器或終端 違規(guī)外聯(lián)，可能造成涉密信息（商密信息）的泄露，同時(shí)增加了感 染病毒的可能性，可判定為高風(fēng)險(xiǎn)（管理層而的違規(guī)外聯(lián)管理，要有 制度還要有