“护网-2019”网络攻防演习WAF完整检查表
网络安全风险防范自查表
云平台管理
1、所使用云平台或数据中心是否划分单独安全区域。 2、确保不同单位、不同业务系统的服务器间不存在非业务用途的链接。
医院暂未搭建云平台
端口管理
严格控制业务服务器对完服务端口,是否关闭必要的文件共享和端口
业务服务器已逐一对接服务端 口,已关闭必要的文件共享和
端口
正版软件
1、应从正规渠道获取各类工具和软件,服务器不下载,不安装来源不明的工具 院使用各类工具和软件均从正
项目
类别
落实各项制度
网络安全风险防范自查表
自查要点
自查情况
整改措施及完成时间
1.是否明确网络信息系统运行管理岗位职责。 2.日常工作日志是否记录并保存六个月以上。
3.是否对管理制度的执行情况定期巡查。
有专人负责并定期进行巡查, 部分日志信息记录不规范
认真学习相关规章制度,完善 日志记录工作 10月底完成
ห้องสมุดไป่ตู้和软件。
规渠道获取,服务器操作系统
2、服务器操作系统和数据库软件是否为正版。
和数据库软件均为正版
应急预案
网络安全应急预案所需设备、
1、检查网络安全应急预案所需设备、软件是否满足要求,确保应急预案能够有
软件均满足要求,
效执行。
已制定应对勒索病毒的应急预
2、是否制定应对勒索病毒的应急预案,并组织演练。
案,并由总务科组织全院业务
盖章:
人员进行演练
运行 维护 工作
服务外包
自行运维 云平台
1、是否存在外包服务。 2、确认外包运维商运维能力满足要求,运维合同进行审核评估,确保满足法规
标准规定及系统运维要求,必要时签订补充协议。 3、定期开展外包合同执行情况核查,确保运维工作的规范性。
网络安全 检查表
网络安全检查表网络安全检查表1. 确保操作系统和软件更新及补丁安装完整:定期检查系统和软件,确保所有安全更新和补丁都已安装,以修补已发现的漏洞并提高系统的安全性。
2. 有效的网络防火墙:配置和更新网络防火墙,确保它能够阻止潜在威胁和未经授权的访问,同时仔细检查和监控网络流量。
3. 安全的密码策略:确保所有的账户都使用强密码,并建议定期更换密码。
密码应该是至少包含八个字符的混合字母数字符号组成,以提高密码的复杂度。
4. 严格的账户访问控制:检查和管理用户账户的权限,确保只有必要的人员能够访问敏感数据和系统资源。
5. 定期进行数据备份:定期备份重要数据,以防止数据丢失和恶意勒索软件攻击。
同时,确保备份存储在一个安全的位置,并测试恢复过程的有效性。
6. 安全培训和教育:提供针对员工的网络安全培训和教育,包括如何识别和防止网络攻击、恶意链接和电子邮件欺诈等。
7. 安装和更新安全软件:安装和更新有效的安全软件,如防病毒软件、反间谍软件和防火墙,以保护系统免受恶意软件和网络攻击。
8. 监控和记录日志:配置系统和网络设备以监控和记录关键活动和安全事件,以便及时检测和应对潜在威胁。
9. 限制外部访问:限制外部人员的访问权限,确保只有授权人员能够远程访问内部网络,同时使用虚拟专用网络(VPN)等安全协议加密通信。
10. 加密敏感数据:对敏感数据进行加密,以保护数据在传输和存储过程中的安全。
11. 安全审计和漏洞扫描:定期进行安全审计和漏洞扫描,发现并解决系统中的安全漏洞和问题。
12. 应急响应计划:建立和实施应急响应计划,以便在网络安全事故发生时能够快速响应,并恢复和修复网络系统。
总结:网络安全检查表是一个有效的工具,用于提高组织的网络安全性,并确保安全措施和控制机制的有效性。
对于任何组织来说,网络安全是一个持续的挑战,需要定期检查和更新以保持系统安全。
网络安全检查表
网络安全检查表一、基础架构与设备1、服务器和网络设备检查服务器和网络设备的操作系统是否及时更新补丁,以修复已知的安全漏洞。
确认设备的默认用户名和密码是否已更改,避免被攻击者轻易猜测。
审查设备的访问控制列表(ACL),确保只有授权的人员能够访问。
2、防火墙检查防火墙规则是否合理,是否只允许必要的流量通过。
验证防火墙是否具备入侵检测和预防功能,并确保其正常运行。
查看防火墙的日志,是否有异常的连接尝试或攻击行为。
3、路由器检查路由器的配置,确保无线访问点(WAP)启用了加密,如WPA2 或更高级的加密方式。
确认路由器的固件是否是最新版本,以修复可能存在的安全漏洞。
二、用户账号与权限管理1、用户账号审查用户账号的创建和删除流程,确保只有经过授权的人员能够进行操作。
检查是否存在长期未使用的账号,及时进行清理或禁用。
强制用户设置复杂的密码,并定期要求更改密码。
2、权限管理确认用户的权限分配是否基于其工作职责的最小必要原则。
审查管理员账号的权限,是否存在过度授权的情况。
定期审查用户的权限,根据工作变动及时调整。
三、数据保护与备份1、数据加密检查敏感数据(如客户信息、财务数据等)是否在存储和传输过程中进行了加密。
确认加密算法的强度是否符合行业标准。
2、数据备份验证是否有定期的数据备份计划,并且备份数据是否存储在安全的位置。
测试数据恢复流程,确保在发生灾难时能够快速恢复数据。
3、数据访问控制审查谁有权访问特定类型的数据,是否有严格的访问记录。
确保数据的访问遵循“需要知道”的原则,防止数据泄露。
四、应用程序安全1、操作系统和应用软件确保操作系统和应用软件(如办公软件、数据库等)是正版,并及时更新到最新版本。
检查应用软件的配置是否安全,例如关闭不必要的服务和端口。
2、 Web 应用程序对 Web 应用程序进行漏洞扫描,查找常见的漏洞,如 SQL 注入、跨站脚本(XSS)等。
确认 Web 应用程序是否有有效的输入验证机制,防止恶意输入。
网络安全检查表
应急预案
□已制定 本年度修订情况:□修订 □未修订
□未制定
应急演练
□本年度已开展,演练时间:□本年度未开展
灾难备份
1数据备份
□采取备份措施,备份周期:□实时,□日,□周,□月,□不定期
□未采取备份措施
2系统备份
采取实时备份措施的系统数量:
未采取实时备份措施的系统数量:
应急技术
人员管理
1岗位网络安全责任制度:□已建立 □未建立
2重点岗位人员安全保密协议:□全部签订 □部分签订 □均未签订
3人员离岗离职安全管理规定:□已制定 □未制定
4外部人员访问机房等重要区域审批制度:□已建立 □未建立
资产管理
1资产管理制度:□已建立 □未建立
2设备维修维护和报废管理:
□已建立管理制度,且记录完整
□未建立审核制度
7运维方式:□自行运维 □委托第三方运维
8域名解析系统情况:□自行建设 □委托第三方:
电子邮件
安全防护
1建设方式:□自行建设
□使用第三方服务 邮件服务提供商
2账户数量:个
3注册管理:□须经审批 □任意注册
4口令管理:□使用技术措施控制口令强度
□没有采取技术措施控制口令强度
5安全防护:(可多选)
九、本年度技术检测及网络安全事件情况
技术检测情况
渗透测试
进行渗透测试的系统数量:
其中,可以成功控制的系统数量:
恶意代码检测
1进行病毒木马等恶意代码检测的服务器台数:
其中,存在恶意代码的服务器台数:
2进行病毒木马等恶意代码检测的终端计算机台数:
其中,存在恶意代码的终端计算机台数:
安全漏洞
网络安全检查表
2信息销毁:
□已配备信息消除和销毁设备□未配备信息消除和销毁设备
重要漏洞
修复情况
重大漏洞处置率:处置平均时长:
五、网络安全应急工作情况
应急预案
□已制定本年度修订情况:□修订□未修订
□未制定
应急演练
□本年度已开展,演练时间:□本年度未开展
灾难备份
1数据备份
□采取备份措施,备份周期:□实时,□日,□周,□月,□不定期
2网络安全从业人员缺口:
二、信息系统基本情况
信息系统
情况
1信息系统总数:
2网络连接情况
可以通过互联网访问的系统数量:
不能通过互联网访问的系统数量:
3面向社会公众提供服务的系统数量:
4本年度经过安全测评的系统数量:
互联网接入
情况
互联网接入口总数:
□接入中入口数量:接入带宽:MB
□其他:中国移动接入口数量:1接入带宽:8MB
系统等级
保护情况
第一级:个第二级:个
第三级:个已开展年度测评个测评通过率
第四级:个已开展年度测评个测评通过率
第五级:个已开展年度测评个测评通过率
未定级:个
三、网络安全日常管理情况
人员管理
1岗位网络安全责任制度:□已建立□未建立
2重点岗位人员安全保密协议:□全部签订□部分签订□均未签订
(如有2个以上外包机构,每个机构均应填写,可另附页)
经费保障
1上一年度网络安全预算:万元,实际到位情况:万元
2本年度信息化建设总预算(含网络安全预算):万元,其中网络安全预算:万元
九、本年度技术检测及网络安全事件情况
技术检测情况
渗透测试
进行渗透测试的系统数量:
“护网-2019”网络攻防演习WAF完整检查表
入侵防御系统标准检查表
评估操作示例
检查情况
结果
整改建议
访谈管理员
整改建议
几种
访问控制
应在会话处于非活跃一定时 间或会话结束后终止网络连
接
配置了会话超时管理策略,自动终止 超时的网络会话
应限制网络最大流量数及网 络连接数
配置了网络最大流量数及网络连接数
重要网段应采取技术手段防 防火墙开启IP/MAC地址绑定方式,防
止地址欺骗
止重要网段的地址欺骗
防火墙应对网络系统中的网 络设备运行状况、网络流量 、用户行为等进行日志记录
对运行状况,网络流量,用户行为等 都进行了记录
安全审计
审计内容应包括重要用户行
为、系统资源的异常使用和 审计记录包括:事件的日期和时间、
重要系统命令的使用等系统 用户、事件类型、事件是否成功及其
内重要的安全相关事件
他与审计相关的信息
安全审计
应能够根据记录数据进行分 能够根据记录数据进行分析,并生成
WAF入侵防御系统标准检
分类
测评项
预期结果
应能根据会话状态信息为数 据流提供明确的允许/拒绝 配置了合理的安全策略,只允许授权 访问的能力,控制粒度为端 的IP地址、协议、端口通过
口级
应对进出网络的信息内容进 行过滤
过滤的内容包括java Applet, cookie,script,object这4种中的
主要网络设备应对同一用户 选择两种或两种以上组合的 鉴别技术来进行身份鉴别
尽量都采用两种鉴别技术进行身份鉴 别,如动态密码,CA证书等方式
网络设备防护
身份鉴别信息应具有不易被 口令长度至少为10位,包含数字,字
冒用的特点,口令应有复杂 母(大小写),特殊字符三种形式,
2019年网络安全检查自查表(参考模板)
制定了电子政务网络与信息安全管理制度和日常信息安全监测和预警制度等相关制度, 并严格按要求贯彻落实,明确事件报告和处置以及通报流程,直属单位日常开展信息安全监 测,发现问题及时报告厅信息中心。
一是信息安全等级保护工作已纳入省政府效能考核,同时我厅加强了对厅直属单位网络 信息安全检查和指导,帮助厅直属单位提升网络信息安全水平;二是将购买安全服务纳入每 年信息安全工作预算,并在信息化建设的可行性研究中专门列出信息安全测评经费,今年以 来,预算专项列出信息安全经费 xx 用于开展网络安全服务,同时日常列出网络和信息安全 维护经费用于日常运维,总体占厅信息化经费 5%以上;三是召开厅长办公会议,并根据省政 府电子政务云平台的要求,进一步对迁移往云平台的信息系统开展信息系统安全测评工作, 并专门列出测评费用 xx 万元
12、行业新技术、新应用安全保护情况 (重点包括:行业大数据、云计算、物联网、工业控制系统等应用情况;是否开展等级保护 工作情况;新技术、新应用网络安全保护等情况。) 今年以来,针对我厅迁移至省政府电子政务云平台的信息系统,邀请省网络安全测评中心对 云平台信息系统开展安全测评工作。
-6-
表二:信息系统运营使用单位填写
8、行业网络安全应急预案和演练情况 (重点包括:是否制定了行业网络安全预案?行业网络安全预案是否进行了演练?是否根据 演练情况对预案进行了修改完善等情况) (已/未)制定了行业网络安全预案,(半年/一年)一次按照预案进行演练,并根据演练实 际情况不断进行修改完善 我厅制定了《厅网络和信息安全事件应急处置预案》,并特别针对网站和信息系统分别制定 了应急处置预案。针对厅技术人员开展了以信息系统攻防为主题的培训,并组织了针对信息 系统被木马(SHELL)注入攻击及防范为内容的信息安全演练,通过培训和演练,锻炼了厅 技术人员面对应急事件的处置能力和技术水平。
“护网-2019”网络攻防演习IDS(入侵检测)完整检查表
根据实际需求,建议尽量都选 用两种或两种以上的组合鉴别
技术进行身份鉴别
登录到系统中>系统管理>管理员 >登录参数设置
登录到系统中>系统管理>管理员 >登录参数设置
使用https+IP登录到管理后台, 能成功登录就是采用了SSL
建议整改为口令长度至少为10 位,包含数字,字母(大小 写),特殊字符三种形式,更
网络设备防护
身份鉴别信息应具有不易被 口令长度至少为10位,包含数字,字
冒用的特点,口令应有复杂 母(大小写),特殊字符三种形式,
度要求并定期更换
更换周期为90天
应具有登录失败处理功能,
可采取结束会话、限制非法 限制非法登录次数为5次,登录超时
登录次数和当网络登录连接
退出时间为300秒
超时自动退出等措施
析,并生成审计报表
析,生成审计报表
应对登录网络设备的用户进 每个账户都有对应的口令,不存在空
行身份鉴别
口令和弱口令
应对网络设备的管理员登录 只有固定的IP地址才能以管理员的权
地址进行限制
限登录到系统中
网络设备防护
主要网络设备应对同一用户 选择两种或两种以上组合的 鉴别技术来进行身份鉴别
采用了两种及两种以上组合鉴别技术 进行身份鉴别
每个用户都要设置口令,不能 存在空口令
登录到系统中>系统管理>管理 员>管理员设置中将允许登录IP
设置为固定的IP地址 根据实际需求,建议尽量都选 用两种或两种以上的组合鉴别
技术进行身份鉴别
建议整改为口令长度至少为10 位,包含数字,字母(大小 写),特殊字符三种形式,更
换周期为90天
“护网-2019”网络攻防演习-Linux主机基线检查表-初表
3.应检查防恶意代码产品是否实现了统一管理;
4.应检查网络防恶意代码产品,查看其厂家名称、产品版本号和恶意代码库名称等,查看其是否与主机防恶意代码产品有不同的恶意代码库。
测试记录:
1.主机系统是否安装了防病毒软件?
□否□是
□否□是
9.如何划分敏感标记分类?
_____________________________
备注:
测 试 项
安全审计
测试内容:
1.系统日志服务和安全审计服务:
#service syslog status
#service audit status
#service --status-all |grep running
5.操作系统管理员和数据库管理员是否为同一自然人?
□否□是
6.系统是否存在多余的、过期的或共享账户名?
□否□是,帐户名为___________
7.是否存在无用的默认帐户?
□否□是,包括:_________________
(如:mail、news、ftp、uucp、games、gopher等)
8.操作系统是否具备能对信息资源设置敏感标记功能?
group -rw-r-r- root□是□否
shadow -r------ root□是□否
2.根据业务需求,是否加强对重要文件的访问权限限制?
□否□是
3.是否根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限?
□否□是
4.系统是否存在多人共用一个账户的情况?
□否□是
Grep “@system-ops”/etc/audit/filter.conf
网络安全检查表格
网络安全检查表格(总24页)--本页仅作为文档封面,使用时请直接删除即可----内页可以根据需求调整合适字体及大小--附件1网络安全检查表1本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
2本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
附件2网络安全管理工作自评估表9101112131415附件3重点行业网络安全检查结果统计表3网络安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)附件4重点网络与信息系统商用密码检查情况汇总表统计密码设备时,国内指取得国家密码管理局型号的产品,国外指未取得国家密码管理局型号的产品(包括国外的产品)。
附件5重点网络与信息系统商用密码检查情况表备注:1. 表中的“密码机类”主要包括以下产品:IPSec/SSL VPN密码机、网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。
2. 表中的“密码系统”主要包括以下系统:动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。
3. 表中的“网络通信”主要包括以下产品:无线接入点、无线上网卡、加密电话机、加密传真机、加密VOIP终端等。
4. 表中“密码设备使用情况”的“产品型号”栏,应填写国家密码行政主管部门审批的商用密码产品型号,若产品无商用密码产品型号,可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。
网络安全检查表完整优秀版
附件1
XXXXXXX网络安全检查表
1本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
2本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
长春市第一五七中学网络与信息安全检查表
1.1.1 3本表所称国产,是指具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件。
1.1.2 4本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
1.1.3 5本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
1.1.4 6信息安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2021〕168号)
(春节放假)车间现场安全卫生检查表。
“护网-2019”网络攻防演习针对定向网络攻击主要风险分析访谈检查表
是否
全面排查网络内设备的口令,对同一口令进行修改,要求开启口令策略,口令须满足复杂度要求并定期更换。
是否开启口令复杂度要求
是否
操作系统、中间件安全漏洞
操作系统或中间件存在高风险漏洞,如weblogic反序列化、struts2漏洞、永恒之蓝漏洞等,攻击者可以从跳板机直接发起攻击,获得操作系统控制权限。在安全域划分完善、访问控制严格的网络中,中间件漏洞可能成为攻击者横向扩散的一个有效利用点,攻击者利用漏洞通过业务端口控制其它网段服务器,绕过网络访问控制。
服务器是否针对互联网开放访问权限
是否
对所有服务器关闭互联网访问权限,如因业务需要开放,应按照最小化原则,只针对特定ip开放特定端口
若对外开放,是否开启严格的访问控制,限制特定IP进行访问。
是否
内部网络横向攻击
弱口令、默认口令
内部网络资产如使用弱口令、默认口令,极易被攻击者利用跳板机攻击控制,进而扩大攻击面,特别是运维使用的管理系统,包括堡垒机、网管系统、域控等,其权限很大并包含了大量的管理数据,被攻击者控制会造成重大风险。
相关集成监控维护系统及服务器权限较大,若被攻击者攻击并获得管理权限后,会造成极大影响,修改相关系统权限,获得服务器口令,甚至是控制全部监控维护系统下服务器权限。
是否针对重要集成监控维护服务器配置严格ACL进行严格控制
是否
严格ACL访问控制,细化ACL规则,不同服务器采用不同的复杂且随机的密码,密码位数不低于16位的密码。严格限制以上系统后台/控制台对外开放,建议仅开放特定用户、特定IP访问以上系统后台/控制台。
针对系统是否定期安装安全补丁
是否
定时更新系统补丁、强制定时更改域控管理员及krbtgt账号密码,且采用大小写数字特殊字符混合,密码位数不低于16位(三个月强制修改一次,不能采用历史密码)。
“护网-2019”网络攻防演习2-防火墙
3.应检查边界和主要网络设备,查看事件审计记录是否包括:事件的日期和时间、用户、事件类型、事件成功情况,及其他与审计相关的信息;
4.应检查边界和主要网络设备,查看是否为授权用户浏览和分析审计数据提供专门的审计工具,并能根据需要生成审计报表;
5.应检查设计或验收文档,查看其是否有关于主要主机操作系统、网络设备操作系统、数据库管理系统和应用系统配置有本地和异地数据备份和恢复功能及策略的描述;
6.应检查主要主机操作系统、主要网络设备、主要数据库管理系统和主要应用系统,查看其是否提供备份和恢复功能,其配置是否正确,并且查看其备份结果是否与备份策略一致;
2.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3.应能够根据记录数据进行分析,并生成审计报表;
4.应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
测试内容:
1.应访谈安全审计员,询问边界和主要网络设备是否开启安全审计功能,审计内容包括哪些项;询问审计内容是什么;对审计记录的处理方式有哪些;
安全设备现场检测表
被测单位名称:
被测系统名称:
测试对象名称:
配合人员签字:
测试人员签字:
核实人员签字:
测试日期:
测试对象
服务器域边界防火墙
测试类
网络安全
测试项
访问控制
测试要求:
1.应在网络边界部署访问控制设备,启用访问控制功能;
2.应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
3.应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
网络安全防护措施检查表
网络安全防护措施检查表第一章网络安全基础检查 (3)1.1 安全策略与制度检查 (3)1.1.1 安全策略制定与执行 (3)1.1.2 安全制度建立与执行 (3)1.2 网络设备检查 (3)1.2.1 网络设备配置与维护 (3)1.2.2 网络设备访问控制 (4)1.2.3 网络设备安全审计 (4)第二章系统安全检查 (4)2.1 操作系统安全检查 (4)2.1.1 登录安全检查 (4)2.1.2 权限控制检查 (4)2.1.3 系统更新与补丁检查 (4)2.1.4 防火墙与安全策略检查 (5)2.2 数据库安全检查 (5)2.2.1 数据库账户与权限检查 (5)2.2.2 数据库安全配置检查 (5)2.2.3 数据库漏洞与补丁检查 (5)2.2.4 数据库访问控制检查 (5)第三章应用安全检查 (5)3.1 应用系统安全检查 (5)3.1.1 安全策略检查 (5)3.1.2 身份验证与访问控制 (5)3.1.3 数据安全 (6)3.1.4 安全编码与漏洞修复 (6)3.1.5 日志审计与异常监测 (6)3.2 应用服务器安全检查 (6)3.2.1 系统安全配置 (6)3.2.2 应用服务器软件安全 (6)3.2.3 网络安全防护 (6)3.2.4 数据安全保护 (6)3.2.5 安全监控与报警 (7)第四章数据安全检查 (7)4.1 数据备份与恢复检查 (7)4.1.1 备份策略检查 (7)4.1.2 备份执行检查 (7)4.1.3 恢复策略检查 (7)4.2 数据加密与访问控制检查 (7)4.2.1 数据加密检查 (8)4.2.2 访问控制检查 (8)第五章网络边界安全检查 (8)5.1 防火墙安全检查 (8)5.1.1 防火墙配置检查 (8)5.1.2 防火墙功能检查 (8)5.1.3 防火墙日志检查 (8)5.2 入侵检测与防御检查 (8)5.2.1 入侵检测系统(IDS)检查 (8)5.2.2 入侵防御系统(IPS)检查 (9)5.2.3 安全事件响应检查 (9)第六章网络监控与审计 (9)6.1 安全事件监控检查 (9)6.1.1 监控策略制定与实施 (9)6.1.2 监控系统部署与维护 (9)6.1.3 安全事件响应 (9)6.1.4 安全事件记录与分析 (9)6.2 安全审计检查 (10)6.2.1 审计策略制定与实施 (10)6.2.2 审计系统部署与维护 (10)6.2.3 审计数据分析 (10)6.2.4 审计报告与跟踪 (10)第七章漏洞管理与补丁更新 (10)7.1 漏洞扫描与评估 (10)7.1.1 扫描策略制定 (10)7.1.2 漏洞扫描实施 (10)7.1.3 漏洞评估与风险分析 (11)7.2 补丁更新与部署 (11)7.2.1 补丁获取与验证 (11)7.2.2 补丁更新策略制定 (11)7.2.3 补丁部署与监控 (11)第八章安全培训与意识提升 (11)8.1 员工安全培训检查 (11)8.1.1 培训计划及内容 (11)8.1.2 培训实施与记录 (12)8.1.3 培训效果评估 (12)8.2 安全意识提升活动检查 (12)8.2.1 安全意识提升活动策划 (12)8.2.2 安全意识提升活动实施 (12)8.2.3 安全意识提升活动效果评估 (12)第九章应急响应与灾难恢复 (12)9.1 应急预案制定与演练 (13)9.1.1 制定应急预案 (13)9.1.2 应急预案演练 (13)9.2 灾难恢复计划与实施 (13)9.2.1 灾难恢复计划 (13)9.2.2 灾难恢复实施 (14)第十章法律法规与合规检查 (14)10.1 法律法规遵守检查 (14)10.1.1 检查内容 (14)10.1.2 检查方法 (14)10.2 合规性评估与改进 (15)10.2.1 合规性评估 (15)10.2.2 改进措施 (15)第一章网络安全基础检查1.1 安全策略与制度检查1.1.1 安全策略制定与执行检查组织是否制定了明确的网络安全策略,并保证策略的制定符合国家和行业的相关法律法规要求。
“护网-2019”网络攻防演习Web日志失陷检测分析工作说明
Web日志失陷检测分析工作说明
为深度分析Web日志,进一步发现存在的安全隐患:Web攻击信息、疑似Webshell后门文件、攻击者IP、攻击者IP威胁情报等,及时开展攻击IP封禁、清除后门文件等工作,保障目标系统稳定运行。
因此,需要每天上午9:00提供昨日(17:00-09:00)应用系统中间件(IIS/Apache/Nginx/Tomcat/Jboss/Weblogic)访问日志(例如:apache:访问日志文件:/var/log/httpd/access_log)。
例如:
apache的默认重要配置信息如下:
配置文件:/etc/httpd/conf/http.conf
服务器的根目录:/var/www/html
访问日志文件:/var/log/httpd/access_log
错误日志文件:/var/log/httpd/error_log
运行apache的用户:apache
运行apache的组:apache端口:80模块存放路径:/usr/lib/httpd/modules。
“护网-2019”网络攻防演习应用系统访谈表
互联网端是否有登陆模块
是否
是否允许注册
是否
HW期间停止注册功能
是否有密码找回功能
是否
备份文件
网站备份文件路径是否可以互联网访问
是否
禁止互联网访问网站备份目录
安装文件
网站安装文件目录是否可以互联网访问(如果有的话)
是否
安装完后移除安装文件
上传目录
上传目录是否具有运行权限
是否
去掉上传目录运行权限
重要补丁是否安装(反序列化)
是否
存在中间件反序列化漏洞的打补丁或者停用有漏洞服务或组件
管理后台是否能互联网访问
是否
禁止互联网访问中间件管理后台后台
是否是默认密码
是否
修改中间件管理后台默认密码,(10位字母大小写+数字+特殊符号)
是否做了登陆限制
是否
设置后台访问白名单
是否开启了任意目录浏览功能
是否
关闭中间件任意目录浏览功能
安全检测
最近是否做过渗透测试(高危漏洞是否整改完成)
是否
最近是否做过代码审计(高危问题源自否整改完成)是否应用系统常规检测表
应用系统
WEB应用系统调研表
加固建议
管理后台
管理后台是否开放在外网
是否
管理后台禁止互联网访问,
是否做了登陆限制
是否
设置后台访问白名单
后台用户名密码是否为默认密码或弱口令
是否
加强后台登陆口令,(10位字母大小写+数字+特殊符号)
中间件
是否能查看用户登陆操作日志
是否
开启中间件访问和错误日志功能
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主要网络设备应对同一用户 选择两种或两种以上组合的 鉴别技术来进行身份鉴别
尽量都采用两种鉴别技术进行身份鉴 别,如动态密码,CA证书等方式
网络设备防护
身份鉴别信息应具有不易被 口令长度至少为10位,包含数字,字
冒用的特点,口令应有复杂 母(大小写),特殊字符三种形式,
度要求并定期更换
更换周期为90天
析,并生成审计报表
审计报表
应对审计记录进行保护,避 免受到未预期的删除、修改
或覆盖
提供用户日志的完整性检查,防止用 户删除操作记录
应对登录网络设备的用户进 行身份鉴别
通过web界面登录和通过console登录 都需要账号和口令,并不存在空口令
和弱口令
应对网络设备的管理员登录 地址进行限制
控制中心远程登录时对登录地址进行 限制,避免未授权访问
应具有登录失败处理功能,
可采取结束会话、限制非法 限制非法登录次数为5次,登录超时
登录次数和当网络登录连接
退出时间为300秒
超时自动退出等措施
当对网络设备进行远程管理 时,应采取必要措施防止鉴 通过web界面登录防火墙时使用了ssl 别信息在网络传输过程中被 协议进行加密处理,即https登录
窃听
几种
访问控制
应在会话处于非活跃一定时 间或会话结束后终止网络连
接
配置了会话超时管理策略,自动终止 超时的网络会话
应限制网络最大流量数及网 络连接数
配置了网络最大流量数及网络连接数
重要网段应采取技术手段防 防火墙开启IP/MAC地址绑定方式,防
止地址欺骗
止重要网段的地址欺骗
防火墙应对网络系统中的网 络设备运行状况、网络流量 、用户行为等进行日志记录
对运行状况,网络流量,用户行为等 都进行了记录
安全审计
审计内容应包括重要用户行
为、系统资源的异常使用和 审计记录包括:事件的日期和时间、
重要系统命令的使用等系统 用户、事件类型、事件是否成功及其
内重要的安全相关事件
他与审计相关的信息
安全审计
应能够根据记录数据进行分 能够根据记录数据进行分析,并生成
WAF入侵防御系统标准检
分类
测评项
预期结果
应能根据会话状态信息为数 据流提供明确的允许/拒绝 配置了合理的安全策略,只允许授权 访问的能力,控制粒度为端 的IP地址、协议、端口通过
口级
应对进出网络的信息内容进 行过滤
过滤的内容包括java Applet, cookie,script,object这4种中的
入侵防御系统标准检查表
评估操作示例
检查情况
结果
整改建议
访谈管理员
整改建议