网络安全评估和检查表

系统名称承载业务设备数量验收形式验收类型网络拓扑（请在下方直接粘贴图片）维护部门维护人员姓名和联系方式业务厂商主机索引业务平台业务应用类型*被查目标设备IP地址*登录端口号*登录协议*用户名（主机系统/网络设备）12345678密码（主机系统/网络设备）主机操作系统类型超级用户账号（主机系统）超级用户密码（主机系统）网络设备类型管理员帐号（网络设备）管理员密码（网络设备）数据库类型数据库操作系统用户（Oracle，Informix）数据库操作系统用户密码（Oracle，Informix）数据库管理账号（Oracle、SQLServer）数据库管理密码（Oracle、SQLServer）指定数据库实例（SQLServer）中间件类型配置文件路径（可为空）跳转方式（不填为直接登录）跳板设备IP地址（单级跳转）跳板设备登录端口（单级跳转）跳板设备登录协议（单级跳转）跳板设备用户名（单级跳转）跳板设备密码（单级跳转）WEB服务器IP地址WEB域名/URL链接网络WEB服务用途WEB服务使用对象影响范围IP地址列表所属网络（公网/DCN/CN2VPN/内网/其他网络）开放端口作用192.168.10.1私网80HTTP192.168.10.1私网23TELNET注：一行一个IP和端口，请勿添加空格、换行所属安全域/安全子域源IP访问限制范围防火墙映射地址服务域132.63.2.0/24202.128.3.5/132.32.5.3维护域202.97.3.0/24202.97.1.50维护人员姓名维护人员单位维护人员帐号（建议根据规范）口令(用户不填写）xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx主机IP地址主机名称操作系统登录方式xxx.xxx.xxx.xxxxxxxGeneralLinuxSSHxxx.xxx.xxx.xxxxxxxGeneralLinuxSSHxxx.xxx.xxx.xxxxxxxGeneralLinuxSSHxxx.xxx.xxx.xxxxxxxGeneralLinuxSSHxxx.xxx.xxx.xxxxxxxGeneralLinuxSSHxxx.xxx.xxx.xxxxxxxGeneralLinuxSSHxxx.xxx.xxx.xxxxxxxWindows2003RDPxxx.xxx.xxx.xxxxxxxWindows2003RDPxxx.xxx.xxx.xxxxxxxWindows2003RDPxxx.xxx.xxx.xxxxxxxWindows2003RDPxxx.xxx.xxx.xxxxxxxWindows2003RDPxxx.xxx.xxx.xxxxxxxGeneralUNIXHTTPxxx.xxx.xxx.xxxxxxxGeneralUNIXHTTPxxx.xxx.xxx.xxxxxxxGeneralUNIXHTTPxxx.xxx.xxx.xxxxxxxGeneralUNIXHTTPxxx.xxx.xxx.xxxxxxxGeneralUNIXHTTPxxx.xxx.xxx.xxxxxxxGeneralUNIXHTTP附：账号命名规则：总体原则单位缩写_人名缩写，原则上不使用通用账号，采用与人名一一对应的命名方式。(1)单位字母：思科-cisco瞻博-juniper华为-hw中兴-zte阿朗-al系统集成-ctsi中盈-zy智慧科技-cv达科-di其他请自行编写(2)人员姓名缩写规则对中文名：-两个汉字的名字，以全拼作为代码，e.g.张三--zhangsan-三个汉字及以上名字，姓的全拼，名的首字母（遇卷舌音加h）,e.g.王章新-wangzhx,石宝恒-shibh对外籍员工英文名：采用名的首字母和姓的全拼即可。例如michealjordan--mjordan例如cisco_mawj马卫静维护人员手机号码维护人员电子邮箱是否需要开放远程文件传输功能权限xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx登录端口账号账号用途22xxx维护账号80xxxxxx中间件账号22yyyyy数据库账号22yyy其他第三方应用账号22zzzzz系统使用账号（必须）22zzz3389xxx3389xxxxxx3389yyyyy3389yyy3389zzzzz8080xxx8080xxxxxx8080yyyyy8080yyy8080zzzzz8080zzz-三个汉字及以上名字，姓的全拼，名的首字母（遇卷舌音加h）,e.g.王章新-wangzhx,石宝恒-shibh检查大类检查子类检查类说明检查要求安全域划分是否合理子网划分是否合理边界划分是否清晰是否具备冗余能力或机制带宽是否满足业务高峰期需要是否有详细拓扑图检查是否在网络边界部署访问控制设备否在访问控制设备或网络设备上启用相关访问控制功能按照系统整体安全策略以及业务流程需求配置访问规则是否拒绝不经认证的便携式或移动式设备的接入是否在防火墙或者业务平台上对来访IP地址网段进行地址隔离控制是否部署入侵检测设备或相关检测机制是否部署流量监控和流量清洗设备或有相关检测、防护机制是否部署网络安全事件监控设备或相关检测机制是否对网络设备与安全设备的运行状况进行日志记录是否对网络系统中的用户行为进行日志记录是否包括事件的时间、用户以及事件类型等内容关键信息加密存放维护账号密码及其他重要信息应加密存放关键信息应加密存放个人信息具有个人信息的相关数据访问需要授权个人隐私需授权访问WEB页面是否为HTTPS应为HTTPS较安全登录有无图片型验证码登录时应具备图片验证码不必要的服务诸如TFTP等系统不常用且不安全的服务无高危漏洞远程信息泄露攻击者通过远程的方式获取服务器的各项信息无高危漏洞访谈评估WEB及登录漏洞扫描访问控制有严格的访问控制入侵防护具备入侵检测和防护能力结构安全系统和网络结构安全合理安全审计对重要事件和关键操作有日志记录远程执行命令系统管理员通过命令行交互使用脚本方实现远程执行任务操作，实现在浏览界面远程控制和管理。无高危漏洞远程数据修改通过远程登陆的方式在客户端数据库中添加、删除或更改信息的操作无高危漏洞远程拒绝服务通过远程的方式向服务器发送大量垃圾信息或干扰信息的方式，导致服务器无法向正常用户提供服务的现象无高危漏洞本地权限提升本地提权漏洞就是一个本来非常低权限、受限制的用户，可以提升到系统至高无上的权限无高危漏洞逻辑攻击类型拒绝服务（DOS）、逻辑验证不充分等漏洞无高危漏洞客户端攻击类型通过客户端发起的攻击，包括内容欺骗等无高危漏洞命令执行类型可执行数据库、系统等命令的漏洞无高危漏洞其他其他应扫描的漏洞无高危漏洞攻击痕迹类是否存在暗链、网页木马、恶意Java脚本等可能已被攻击的痕迹无高等风险弱点主动攻击类是否存在SQL注入、Xwork缺陷、弱口令、WEBINPUT、上传等漏洞无高等风险弱点被动攻击类是否存在跨站、CSRF等漏洞无高等风险弱点辅助攻击类是否存在目录泄露、源码泄露、备份页面、危险路径、登录页面等漏洞无高等风险弱点信息收集类是否泄露email地址、log日志、测试页面、SQL错误等信息无高等风险弱点第三方攻击类是否存在EWebEditor、FCKEditor、TOMCAT、WebLogic等常见可被利用的第三方系统无高等风险弱点其他其他涉及WEB应用的漏洞无高等风险弱点账号、口令账号使用情况检查,删除与工作无关账号,用户组检查,静态口令强度检查,静态口令生存期检查,静态口令不能连续重复使用,连续登录失败账号锁定等无高风险问题权限使用PAM禁止任何人su为root,按照用户业务需求配置设备权限,用户缺省权限检查,FTP进程权限检查,用户远程登录限制检查,日志文件权限检查等无高风险问题日志远程日志功能配置检查,启用syslog系统日志审计功能,日志功能配置检查,安全事件日志功能检查,启用记录cron行为日志功能无高风险问题其他安全配置配置账户定时自动登出,设备应使用加密协议,安装最新的OS补丁,关闭不必要的服务,系统banner检查,删除具有潜在的危险的文件,禁止root登陆FTP,FTPbanner检查,禁用ctrl+alt+del功能无高风险问题注：附件中应包括检查报告、未检查地址及其他相关资料。针对例行安全风险评估，初查一次即可；针对安全验收，原则上安全验收检查不超过三次，初查、复查和终查。漏洞扫描WEB应用配置核查检查结果初查中危及以上问题数量初查需整改问题复查中危及以上问题数量复查情况说明终查中危及以上问题数量终查情况说明附件是是是是是是是是是是是是是是是是是是是是合格合格合格0合格合格0合格合格合格合格合格合格合格合格0合格合格合格合格否否否否针对例行安全风险评估，初查一次即可；针对安全验收，原则上安全验收检查不超过三次，初查、复查和终查。是否合格不合格