本文目录导读:
网络安全巡检是一项系统性、持续性的工作,目的是主动发现资产、漏洞、配置、风险及合规方面的问题,以下是一套标准、可落地的网络安全巡检执行指南,分为准备、检查项、执行、报告与改进四个阶段。
第一阶段:巡检准备
-
明确目标与范围
- 确定巡检对象:是全网、某个数据中心、特定业务系统(如OA、ERP),还是针对某类设备(如防火墙、服务器)?
- 确定巡检周期:日常(每日/每周)、月度、季度、年度,高频检查关键业务,低频检查非核心资产。
- 确定标准依据:遵循《网络安全法》、等级保护2.0(等保)、ISO 27001或企业内部安全基线。
-
组建团队与工具准备
- 人员:需要网络管理员、系统管理员、安全工程师及业务负责人参与或配合。
- 工具:扫描器(Nessus、绿盟、OpenVAS)、基线核查工具(如安骑士、自研脚本)、日志分析工具(如Splunk、ELK)、漏洞管理平台、网络抓包工具(Wireshark)。
-
获取基线文档
- 准备好上次巡检的报告、拓扑图、资产清单、配置基线(如:密码策略、补丁版本、防火墙策略白名单)。
第二阶段:核心检查维度(内容)
巡检通常覆盖以下五个关键维度:
物理与环境安全
- 机房巡检:温湿度是否达标(温度18-25℃,湿度40-70%),空调、UPS(不间断电源)运行状态。
- 物理访问:门禁系统日志是否正常,监控录像是否完整,机柜是否上锁。
- 防火防水:消防设备(气体灭火)有效期,机房是否存在漏水隐患。
网络设备安全
- 配置备份:核心交换机、路由器、防火墙的配置文件是否已按日/周自动备份到远端服务器。
- 远程管理:是否启用了SSH(安全外壳协议)而非Telnet(不安全);管理IP是否限制在特定网段。
- 访问控制:防火墙策略是否有冗余(长期未命中)或过度开放(如0.0.0.0/0 -> 内网高危端口)。
- 边界防护:入侵防御系统(IPS)/入侵检测系统(IDS)特征库是否为最新,是否产生过高危告警。
- 链路状态:端口状态(异常CRC错误、大量丢包)、链路负载(是否超过70%阈值)。
主机(服务器与终端)安全
- 漏洞补丁:操作系统(Windows/Linux)关键安全补丁是否在发布30天内完成安装。
- 账户密码:弱口令检查(如admin/123456)、默认账户是否禁用、闲置账户是否清理。
- 基线配置:关闭高危端口(如139/445)、禁用不必要的服务、设置登录失败锁定策略。
- 恶意软件:杀毒软件/EDR(端点检测与响应)是否在线,病毒库版本及最新查杀结果。
- 日志完整性:系统日志(/var/log/messages, Windows Event Log)是否正常记录,且未被篡改。
应用与数据安全
- Web应用:中间件(Nginx/Apache)目录权限是否严格,管理后台是否暴露于公网,SQL注入/跨站脚本(XSS)攻击防护是否开启。
- 数据库:是否配置了最小权限账户,数据库审计日志是否开启,远程访问是否受限。
- 数据备份:备份任务是否成功(RPO/RTO达标),异地/离线备份是否存在。务必尝试一次文件级恢复验证。
- 敏感信息:代码或配置文件中是否存在硬编码密码、AK/SK密钥。
管理与合规检查
- 组织人员:入离职流程是否合规(账户是否及时注销),安全意识培训记录。
- 制度执行:审计日志是否保存6个月以上(等保要求),应急预案是否经过演练。
- 外部暴露面:利用搜索引擎(如Shodan、Fofa)检查是否有非预期的服务暴露在公网(如Elasticsearch、Redis)。
第三阶段:执行与操作流程
建议按以下时间线推进,避免影响业务:
-
数据采集(非侵入式):
- 通过堡垒机或只读账户登录设备,导出配置、审计日志、系统状态(CPU/内存/磁盘)。
- 运行漏洞扫描器(注意控制并发数,设置扫描策为“缓慢”或避开业务高峰期)。
-
现场确认:
检查机房设备指示灯(告警灯)、线缆标签(清晰易读)、接线是否规范(强弱电分离)。
-
异常验证:
- 对扫描器发现的高危漏洞(如永恒之蓝、Apache Log4j),手动确认是否真实存在。
- 检查未关闭的异常会话、异常登录IP。
第四阶段:报告输出与闭环
巡检完成后,必须形成可落地的报告,而非流水账。
报告核心结构
- 巡检概览:时间、范围、参与人员、总体评价(优/良/差)。
- 发现详情:按高危/中危/低危/提示分级列出问题。
- 示例:高危 - 核心交换机防火墙未限制管理源地址;中危 - 某台服务器存在弱口令“test123”。
- 健康度评分:可以量化打分(如:网络边界95分,主机基线80分)。
- 整改建议:给出具体的操作命令、配置步骤、责任人及截止日期。
整改闭环(最重要一步)
- 负责人:指定给对应的网络、系统或业务负责人。
- 优先级:高危漏洞(如暴露在公网的弱密码)要求24小时内修复;低危问题(如日志未轮转)纳入下月计划。
- 复审:下一次巡检时,首要检查上次报告中问题的修复情况。
常用工具体系(供参考)
| 目标 | 推荐工具(开源/商业) | 用途 |
|---|---|---|
| 资产发现 | Nmap、Lansweeper | 发现网络中存活的主机及开放端口 |
| 漏洞扫描 | OpenVAS(开源)、Nessus | 扫描已知CVE漏洞和错误配置 |
| 基线核查 | OpenSCAP、安骑士 | 检查是否满足CIS(互联网安全中心)或等保基线 |
| 日志分析 | ELK(Elasticsearch, Logstash, Kibana)、Splunk | 集中分析异常登录、暴力破解、恶意软件活动 |
| 弱口令检测 | Hydra、John the Ripper、NTScan | 测试SSH、RDP、MySQL等服务的账号安全性 |
特别提醒(风险规避)
- 千万不要在生产业务高峰直接进行扫性扫描或在线修改配置(如重启防火墙)。
- 权限最小化:巡检账户只给予“只读”权限(如
shell限权,DB_reader角色),避免误操作。 - 保留证据:巡检过程中的截图、配置文件、告警日志需打包存档,备查与溯源。
一句话总结:网络安全巡检不是一次性的“查杀病毒”,而是一个建立资产台账 -> 基线扫描 -> 漏洞发现 -> 整改确认 -> 持续监控的闭环管理流程。
