🏆 作者简介，愚公搬代码
🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。
🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。
🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

网络安全应急技术与实践是指在网络安全事件发生时，及时、有效地采取应对措施，限制损失并恢复正常运行的能力。自查技术是指通过对系统进行主动扫描和检测，发现并修复潜在的安全漏洞和风险。

以下内容属于固定流程，来源于书本整理。

🚀一、自查技术

🔎1.网络安全应急响应关键流程自查

🦋1.1 【检查范围】

各业务接口、数据平台业务接口、信息系统接口、主机、防火墙等关键网络设备。

🦋1.2 【检查重点】

通过制定安全应急响应管理实施细则，规范化流程，确保周期性安全应急响应任务得到合理规划和执行，保证工作及时完成，并控制完成质量。此外，安全应急响应管理流程还包括创建、审核、发布、执行4个主要环节，具体的检查内容如下：

1. 安全应急响应流程所属分类
2. 安全应急响应涉及的资产
3. 安全应急响应的执行周期
4. 安全应急响应的执行内容
5. 安全应急响应的执行人（或角色）
6. 安全应急响应的预期目标

🦋1.3 【检查方法】

(1) 安全应急响应管理实施细则应至少包含以下内容：角色与职责、安全作业管理要求及流程。

(2) 主机安全管理应至少包含以下流程： ① 每月获取主机补丁加获信息，与已有补丁库比对，分析需更新补了。 ② 每周检测设备账号是否纳入统一身份认证授权审计平台管理，及时发现异常孤立账号。 ③ 每月对主机进行基线安全配置检查。 ④ 每月对主机进行系统漏洞扫描。 ⑤ 每周检测主机管理和操作日志，根据日志分析规则分析是否存在异常，至少应包括是否存在日志删除行为。 ⑥ Windows操作系统的主机还需每周进行病毒查杀和木马扫描的作业。

(3) 防火墙安全管理应至少包含以下流程： ① 每周检测设备ACL配置变更，及时发现访问控制策略异常变动。 ② 每周检测设备账号是否纳入统一身份认证授权审计平台管理，及时发现孤立账号。 ③ 每周检测设备路由配置变更，及时发现路由异常变动。 ④ 每周检测设备管理和操作日志，根据日志分析规则分析是否存在异常，至少应包括是否存在日志删除行为。

🔎2.网络安全应急响应关键技术点自查

🦋2.1 账号管理自查

☀️2.1.1【检查范围】

各业务系统核心主机、数据库、网络设备、安全设备

☀️2.1.2【检查重点】

(1)超级权限账号的主管领导审批授权书。

(2)主机、数据库、网络设备、安全设备系统账号定期审核记录。

(3)人员及权限变更后系统账号是否得到有效管理。

☀️2.1.3【检查方法】

(1)检查各主机、数据库、网络、安全设备中的超级管理员账号，检查是否有超级管理账号授权表或授权记录。

(2)登录统一身份认证授权审计平台查看所抽查账号与账号所有人的对应关系。

(3)管理员配合登录主机、数据库、网络设备、安全设备，检查在账号审核记录表中是否有相应的审核记录。

(4)从统一身份认证授权审计平台中检查账号变更日志记录，提供对应账号变更审批单。

🦋2.2 口令管理自查

☀️2.2.1【检查范围】

各业务系统核心域、边界域中主机、数据库、网络设备、安全设备

☀️2.2.2【检查重点】

(1)账号口令管理办法。

(2)密码策略要求。

(3)口令不得以明文方式保存或者传输。

☀️2.2.3【检查方法】

(1)需提供账号口令相关管理办法。

(2)检查统一身份认证授权审计平台密码重置策略，需满足以下全部内容①检查密码是否长度超过8位。②是否有大、小写字母，数字，特殊符号至少3种组合的复杂度要求。③多次输错(不能超过10次)自动锁定功能(检查统一身份认证授权审计平台密码策略的管理界面)。④90天以内5次不能使用相同口令(检查统一身份认证授权审计平台内账号的口令修改记录)。

(3)检查统一身份认证授权审计平台中储存的口令字段是否加密存储或哈希。

(4)检查边界设备(外部接口、Interet 接口等)中主机、数据库、网络设备、安全设备的账号口令是否加密存储或哈希。

🦋2.3 病毒木马自查

☀️2.3.1【检查范围】

各系统核心域、边界域中主机、数据库、网络设备、安全设备。

☀️2.3.2【检查重点】

(1)制定病毒木马方面的管理办法或实施细则，加强病毒防护能力,有效降低病毒爆发、木马漏洞带来的风险，确保业务系统的稳定运行。

(2)要求电脑防病毒软件统一升级，统一设置安全策略，强制安装。

(3)及时进行病毒特征库的更新和系统补丁的安装降低感染病毒木马的可能。

(4)通过建立相应安全应急预案,及时响应和处理大规模病毒木马爆发的高风险事件。

☀️2.3.3【检查方法】

(1)提供病毒木马管理办法。

(2)检查病毒服务器升级日志和安全管理策略。

(3)接入终端电脑，检查是否要求安装防病毒软件。

(4)检查运维终端和个人终端，检查病毒特征库日期。

(5)终端扫描系统漏洞，检查补丁安装情况。

(6)提供病毒木马处理应急预案，应包含病毒木马爆发时的处理方法、上报机制、人员组织、联动处理机制。

🦋2.4 日志审计自查

☀️2.4.1【检查范围】

各业务系统边界域中业务接口机、数据平台业务接口机、信息系统接口主机、防火墙。

☀️2.4.2【检查重点】

(1)通过制定日志审计方面的管理办法或实施细则，对所负责的主机系统、数据库系统、网络交换设备、网络安全设备、应用系统、Web服务器产生的日志进行有效控制和分级管理，明确日志保存方式和时间，确保网络与系统的稳定运行和业务的顺利开展。

(2)日志空间的存储容量是否满足在线半年的存储要求(等级保护三级要求)。

(3)检查上述设备日志记录的完整性、正确性、可用性

☀️2.4.3【检查方法】

(1)提供日志审计管理办法。

(2)提供审核后的日志检查记录，应满足以下要求。① 登录日志存储服务器。② 计算日志存储空间总量。③计算最近3个月以来日志的月平均量④ 计算日志存储空间的剩余总量。⑤ 日志存储空间剩余总量/日志月平均量>6。

(3)对主机、防火墙进行登录，通过日志服务器查看有无登录日志记录。

(4)检查日志分析处理记录或报告，日志分析至少需要登录失败、高级别告警等内容。

🦋2.5 远程接入、接入认证自查

☀️2.5.1【检查范围】

远程接入、终端接入的管理制度、审批流程，以及远程接入的权限控制策略。

☀️2.5.2【检查重点】

(1)应制定远程接入管理办法，对远程接入的管理制定细则，制定远程接入管理办法以及远程接入流程；VPN账号申请流程应有详细的审批记录，可用纸质、邮件、电子工单等形式；应有明确的访问权限控制及远程接入的资源范围。

(2)根据终端访问业务系统的不同需求、终端使用对象、终端归属、终端承载网络的不同应分别采取不同的接入防护策略；生产维护终端需要对主机、网络、数据库、存储、应用系统进行日常的维护操作和管理；业务终端需要访问业务系统的各种应用，此类终端访问核心域必须通过内部接口子域接入。

☀️2.5.3【检查方法】

(1)提供远程接入管理办法。

(2)针对VPN账号需提供相关授权审批记录。

(3)抽取一个VPN账号登录，登录成功后telnet、SSH连接生产系统或业务系统服务器看是否连接不成功。

(4)提供终端接入管理办法，应明确生产维护终端、业务终端和办公终端接入安全要求。

(5)在生产维护终端网中用一台测试终端接入网络，判断是否可分配到P地址，对该终端单独设置地址，连接主机应不能连通。

(6)在业务终端域中以一台测试终端接入网络，判断是否可分配到正地址，对该终端单独设置地址，连接主机应不能连通。

🦋2.6 网络互联、安全域管理自查

☀️2.6.1【检查范围】

网络互联申请及审批流程、设备资源统计情况、安全域管理办法及拓扑划分情况。

☀️2.6.2【检查重点】

(1)网络互联涉及防火墙策略变更申请流程应有详细的审批记录，可用纸质、邮件、电子工单等形式;应对网内的设备资源(如端口、P地址)情况进行统计、及时更新。

(2)安全域逻辑拓扑图以及安全域划分说明文档。

☀️2.6.3【检查方法】

(1)检查申请审批记录，应明确记录申请人、源地址和目的地址、业务使用端口等内容。

(2)登录并查看设备在用服务端口状态，检查是否与所提供清单一致。

(3)查阅安全域拓扑，架构部署是否合理且与实际一致。

(4)检查安全域划分情况，是否划分合理且与实际一致。

🦋2.7 信息资产清理自查

☀️2.7.1【检查范围】

信息资产清单，信息资产的入网、退网的流程。

☀️2.7.2【检查重点】

(1)资产清单和实物是否一一对应。

(2)应制定信息资产管理办法，入网和退网应有明确的流程规范，并严格执行审批制度。

☀️2.7.3【检查方法】

(1)依据资产清单中设备明细(防火墙、主机、交换机等)，到机房检查核实该设备，查验现场与清单是否一致。

(2)在网络中扫描，将扫描发现的与资产清单核对，是否有不符的设备，确定I与登记资产清单核对符合度。

(3)检查设备入网审批记录、设备退网审批记录,检查该设备是否还在网,在同网段 ping该P地址，检查是否有没退网的。

🦋2.8 安全验收自查

☀️2.8.1【检查范围】

新系统上线前安全漏洞扫描、风险评估等报告、新系统上线前安全审批记录.

☀️2.8.2【检查重点】

(1)新系统上线前扫描报告。

(2)上线审批流程。

☀️2.8.3【检查方法】

(1)检查漏洞评估报告。

(2)检查上线申请的审批记录。

🔎3.物理安全自查

🦋3.1 物理位置选择

☀️3.1.1【检查重点】

(1)检查机房和办公场地所在建筑物及周边环境情况，是否存在安全隐患。如果某些环境条件不能满足，是否及时采取了补救措施。

(2)检查机房场地是否不在建筑物的高层或地下室，以及用水设备的下层或隔壁。

(3)检查部署了哪些控制人员进出机房的保护措施，机房出入口是否有专人值守。

(4)检查机房是否有进出机房的人员出入管理制度。

(5)检查是否认真执行有关机房出入的管理规定，是否对进入机房的人员记录在案。

☀️3.1.2【检查方法】

(1)访谈物理安全负责人，询问机房和办公场所在建筑物是否具有防震、防风和防雨等能力。

(2)检查是否有机房和办公场地所在建筑物抗震设防审批文档。

(3)检查机房和办公场地所在建筑物是否具有防风和防雨等能力

(4)检查是否有来访人员进入机房的登记记录。

(5)检查是否有来访人员进入机房的申请、审批记录，查看申请、审批记录是否包括来访人员的访问范围。

(6)检查来访人员进入机房时是否对其行为进行限制和监控

🦋3.2 物理访问控制

☀️3.2.1【检查重点】

(1)检查是否对机房进行了划分区域管理

(2)检查重要区域配置的电子门禁系统。

☀️3.2.2【检查方法】

(1)应检查机房是否合理划分区域，是否在机房重要区域前设置交付或安装等过渡区域:;是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置。

(2)检查重要区域是否配置了电子门禁系统,查看电子门禁是否有验收文档或产品安全认证资质。

(3)检查电子门禁系统是否正常工作(应考虑断电后的工作情况；门禁控制电缆是否在可控区域内;查看是否有电子门禁系统运行和维护记录;查看监控进入机房重要区域的电子门禁系统记录，是否能够鉴别和记录进入人员的身份。

🦋3.3 防盗窃和防破坏

☀️3.3.1【检查重点】

(1)检查主要设备是否不易被盗窃和破坏。

(2)检查主要设备放置位置是否做到安全可控。

(3)检查采取了哪些防止设备、介质等丢失的保护措施。

(4)检查介质是否进行了分类标识管理。

(5)检查介质的管理情况。

(6)检查是否有机房防盗报警设施，并查看是否有运行和报警记录。

☀️3.3.2【检查方法】

(1)检查主要设备或设备主要部件的固定情况，查看其是否不易被移动或被搬走。

(2)是否设置明显的不易除去的标记。

(3)访谈机房维护人员，询问主要设备放置位置是否做到安全可控，设备或主要部件是否进行了固定和标记，通信线缆是否铺设在隐蔽处。

(4)访谈物理安全负责人，采取了哪些防止设备、介质等丢失的保护措施

(5)访谈资产管理员，介质是否进行了分类标识管理，介质是否存放在介质库或档案室内进行管理。

(6)检查介质的管理情况，查看介质是否有正确的分类标识，是否存放介质库或档案室中，并且进行分类存放(满足磁介质、纸介质等的存放要求

(7)检查机房是否安装防盗报警设施，防盗报警设施是否正常运行，并香看是否有防盗报警设施的运行记录、定期检查和维护记录。

(8)检查是否有机房防盗报警设施和监控报警设施的安全资质材料、安装测试和验收报告。

(9)检查机房是否安装摄像、传感等监控报警系统，监控报警系统是否正常运行，查看是否有监控报警系统的监控记录、定期检查和维护记录。

🦋3.4 防雷击

☀️3.4.1【检查重点】

检查为防止雷击事件采取了哪些防护措施。

☀️3.4.2【检查方法】

(1)访谈物理安全负责人，询问机房所在建筑物是否设置了避雷装置，是否通过验收或国家有关部门的技术检测。

(2)检查机房是否安装防止感应雷的防雷装置，防雷装置是否通过了具有防雷检查资质的检测部门的测试。

(3)访谈物理安全负责人，询问机房建筑是否设置有交流地线。

(4)检查机房所在建筑物的防雷验收文档中是否有交流电源地线的说明。

🦋3.5 防火

☀️3.5.1【检查重点】

检查机房是否采取防火措施，查看是否具有定期检查和维护记录。

☀️3.5.2【检查方法】

(1)检查机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统,自动消防系统是否是经消防检测部门检测合格的产品,其有效期是否合格

(2)检查自动消防系统是否处于正常运行状态，查看是否具有运行记录定期检查和维护记录。

(3)检查机房设计或验收文档,查看是否说明机房及相关的工作房间和助房采用具有耐火等级的建筑材料。

(4)检查机房是否采取区域隔离防火措施，将重要设备与其他设备隔离开

🦋3.6 防水和防潮

☀️3.6.1【检查重点】

检查机房是否部署了防水和防潮措施，是否有定期检查和维护记录。

☀️3.6.2【检查方法】

(1)检查机房屋顶或活动地板下是否安装水管;如果机房内有上下水管安装，是否避免穿过屋顶和活动地板下，穿过墙壁和楼板的水管是否采取了防渗漏和防结露等防水保护措施;在湿度较高地区或季节是否有人负责机房防水和防潮事宜，配备除湿装置。

(2)检查机房的窗户、屋顶和墙壁等是否出现过漏水、渗透和返潮现象,机房的窗户、屋顶和墙壁是否进行过防水、防渗处理。

(3)访谈机房维护人员，询问机房是否出现过漏水和返潮事件;如果机房内有上/下水管安装，是否经常检查其漏水情况;如果出现机房水蒸汽结露和地下积水的转移与渗透现象是否及时采取防范措施。

(4)对湿度较高的地区，检查机房是否有湿度记录，是否有除湿装置并能够正常运行，是否有防止出现机房地下积水的转移与渗透的措施，是否有防水、防潮处理记录和除湿装置运行记录。

(5)检查是否设置对水敏感的检测仪表或元件，对机房进行防水检测和报警，查看该仪表或元件是否正常运行，是否有运行记录、定期检查和维护记录

🦋3.7 防电静电

☀️3.7.1【检查重点】

检查机房主要设备是否采取必要的防静电措施，是否存在静电问题或因静电引发的安全事件。

☀️3.7.2【检查方法】

(1)检查主要设备是否有安全接地或其他静电泄放措施。

(2)检查机房是否采用了防静电地板或铺设防静电地面:

🦋3.8 温湿度控制

☀️3.8.1【检查重点】

检查机房是否配备了温湿度自动调节设施，保证温湿度能够满足计算机设备运行的要求。

☀️3.8.2【检查方法】

(1)检查机房内是否配备了温湿度自动调节设施，温湿度自动调节设施是否能够正常运行，机房温度、相对湿度是否满足电子信息设备的使用要求。

(2)是否在机房管理制度中规定了温湿度控制的要求，是否有人负责此项工作，是否定期检查和维护机房的温湿度自动调节设施，询问是否出现过温湿度影响系统运行的事件。

(3)检查温湿度自动调节设施是否能够正常运行，查看是否有温湿度记录、运行记录和维护记录。查看机房温湿度是否满足计算机场地的技术条件要求.

🦋3.9 电力供应

☀️3.9.1【检查重点】

检查供电线路上是否设置了稳压器和过电压防护设备。是否设置了短期备用电源设备，供电时间是否满足系统最低电力供应需求。是否安装了冗余或并行的电力电缆线路。是否建立备用供电系统。

☀️3.9.2【检查方法】

(1)检查机房的计算机系统供电线路上是否设置了稳压器和过电压力防护设备，这些设备是否正常运行，查看供电电压是否正常。

(2)检查机房计算机系统是否配备了短期备用电源设备，短期备用电源设备是否正常运行。

(3)访谈物理安全负责人,询问是否采用冗余或并行的电力电缆线路为计算机系统供电。

(4)检查是否为计算机系统建立了备用供电系统,备用供电系统的基本容量是否能够满足主要设备的正常运行。

(5)测试备用供电系统是否能够在规定时间内正常启动和正常供电

🦋3.10 电磁防护

☀️3.10.1【检查重点】

检查是否有防止外界电磁干扰和设备寄生耦合干扰的措施(包括设备外壳有良好的接地，电源线和通信线缆隔离等)。是否对处理敏感信息的设备和介质采取了防止电磁泄漏的措施。

☀️3.10.2【检查方法】

(1)检查机房布线，查看是否做到电源线和通信线缆隔离。

(2)设备外壳是否有安全接地。

(3)介质和处理秘密级以上信息的设备是否存放在具有电磁屏蔽功能的容器中。

🚀感谢：给读者的一封信

亲爱的读者，

我在这篇文章中投入了大量的心血和时间，希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验，我相信这些信息对您非常有帮助。

如果您觉得这篇文章对您有所帮助，我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担，但它会对我继续创作高质量的内容产生积极的影响。

我之所以写这篇文章，是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命，也鼓励我花更多的时间和精力创作更多有价值的内容。

如果您愿意支持我的创作，请扫描下面二维码，您的支持将不胜感激。同时，如果您有任何反馈或建议，也欢迎与我分享。

再次感谢您的阅读和支持！

最诚挚的问候， “愚公搬代码”