capetron/network-security-checklist

# 网络安全检查清单 这是一份面向IT专业人士、安全审计员和合规团队的网络安全审计清单。该清单涵盖防火墙配置、网络分段、访问控制、无线安全、VPN加固、监控和端点保护——并根据适用情况映射到CIS控制v8。 请将此清单用于内部审计、客户评估、合规准备（CMMC、HIPAA、PCI DSS、SOC 2）或作为组织安全计划的基线。 ## 目录 - [如何使用此清单](#how-to-use-this-checklist) - [1. 防火墙和边界安全](#1-firewall-and-perimeter-security) - [2. 网络分段](#2-network-segmentation) - [3. 访问控制](#3-access-control) - [4. 无线安全](#4-wireless-security) - [5. VPN和远程访问](#5-vpn-and-remote-access) - [6. 监控与日志](#6-monitoring-and-logging) - [7. DNS安全](#7-dns-security) - [8. 电子邮件安全](#8-email-security) - [9. 端点保护](#9-endpoint-protection) - [10. 补丁管理](#10-patch-management) - [11. 物理网络安全](#11-physical-network-security) - [12. 事件响应准备](#12-incident-response-readiness) - [审计摘要模板](#audit-summary-template) ## 如何使用此清单 1. **为每个部分分配一名审计员**（或自行完成所有部分） 2. **逐项检查**——标记为“符合”、“不符合”、“不适用”或“部分” 3. **记录每项发现的证据**（截图、配置、政策） 4. **使用提供的风险评级优先安排修复**（严重、高、中、低） 5. **修复后重新审计**以验证修复效果 6. **安排定期审计**——关键基础设施每季度一次，全表每年一次 **状态说明：** - `[x]` = 符合 - `[ ]` = 未检查 / 不符合 - `[N/A]` = 不适用 - `[P]` = 部分——需要修复 ## 1. 防火墙和边界安全 *CIS控制4：企业资产和软件的安全配置* *CIS控制13：网络监控与防御* ### 1.1 防火墙配置 - [ ] 所有防火墙均已部署默认拒绝（隐式拒绝所有）规则 - [ ] 入站规则仅允许明确需要的流量 - [ ] 出站规则限制不必要的出站流量 - [ ] 规则库中不存在“任意/任意”规则 - [ ] 规则附有业务理由、所有者和过期日期 - [ ] 已移除未使用和过期的规则（最近90天内审查） - [ ] 规则顺序已优化（命中最多的规则优先，否定规则放置适当） - [ ] 防火墙固件为最新版本且仍在供应商支持周期内 ### 1.2 边界防御 - [ ] 已在边界部署入侵检测/防御系统（IDS/IPS） - [ ] IDS/IPS签名至少每周更新一次 - [ ] 已部署DDoS缓解措施（硬件、云或ISP提供） - [ ] 所有面向公网的服务均已编目并获授权 - [ ] 最近30天内完成外部漏洞扫描 - [ ] 公网IP地址上未开放不必要的端口 - [ ] 管理接口不可从互联网访问 - [ ] 已对无业务需求的国家启用GeoIP阻断 ### 1.3 防火墙管理 - [ ] 防火墙管理界面仅使用HTTPS/SSH（禁用HTTP/Telnet） - [ ] 管理访问限制在特定IP地址/子网 - [ ] 防火墙管理员账户使用MFA - [ ] 防火墙配置至少每周自动备份 - [ ] 配置变更需经过变更管理流程 - [ ] 防火墙日志已转发至集中式SIEM/日志管理系统 **风险评级：严重**——防火墙配置错误是大多数漏洞事件的关键因素。 ## 2. 网络分段 *CIS控制12：网络基础设施管理* ### 2.1 VLAN架构 - [ ] 生产与开发/测试环境位于不同的VLAN - [ ] 持卡人数据环境（CDE）在PCI范围内独立分段 - [ ] 访客网络与内部资源完全隔离 - [ ] IoT设备位于独立且受限制的VLAN - [ ] 管理/管理网络（iLO、IPMI、交换机管理）已隔离 - [ ] 已部署VLAN跳跃缓解措施（禁用DTP，将本征VLAN设为未使用） ### 2.2 微分段与零信任 - [ ] 服务器间通信仅限于所需流量 - [ ] 数据库服务器不接受来自终端工作站的直接连接 - [ ] 跨分段访问需经过身份验证 - [ ] 东西向流量受到监控和记录 - [ ] 关键资产（域控制器、备份服务器）具有额外访问控制 ### 2.3 网络架构文档 - [ ] 当前网络图存在且在最近90天内更新 - [ ] 所有网络分段均已记录用途和访问要求 - [ ] IP地址管理（IPAM）记录准确 - [ ] 跨VLAN路由规则已记录并每季度审查 **风险评级：高**——扁平网络允许攻击者以最小努力横向移动。 ## 3. 访问控制 *CIS控制5：账户管理* *CIS控制6：访问控制管理* ### 3.1 网络认证 - [ ] 所有交换机端口已启用802.1X端口认证 - [ ] 使用RADIUS/TACACS+进行集中式网络设备认证 - [ ] 所有网络设备上的默认凭据已更改 - [ ] 已消除网络设备上的共享/通用账户 - [ ] 网络设备账户使用基于角色的访问控制（RBAC） - [ ] 服务账户仅拥有最低必要权限 ### 3.2 网络访问控制（NAC） - [ ] 已部署NAC解决方案，在授权前验证设备 - [ ] 未知/未授权设备被隔离或阻止 - [ ] 已定义并执行访客设备注册流程 - [ ] 连接时执行设备健康检查（补丁级别、防病毒状态） - [ ] MAC地址过滤作为补充控制（非唯一控制） ### 3.3 特权访问 - [ ] 网络管理员访问需要MFA - [ ] 特权会话被记录且可审计 - [ ] 特权访问有时效限制（尽可能使用即时访问） - [ ] 存在紧急访问（“破玻璃”）账户并受监控 - [ ] 所有网络设备账户每季度进行访问审查 **风险评级：严重**——网络设备凭据泄露将使攻击者完全控制基础设施。 ## 4. 无线安全 *CIS控制12：网络基础设施管理* - [ ] 所有公司SSID强制使用WPA3-Enterprise（至少WPA2-Enterprise） - [ ] 开放网络和WEP已完全禁用 - [ ] 公司SSID使用802.1X和RADIUS认证 - [ ] 访客无线位于隔离VLAN并设置带宽限制 - [ ] 管理网络使用隐藏SSID（纵深防御，非唯一控制） - [ ] 无线接入点运行最新固件 - [ ] 已启用流氓AP检测并持续监控 - [ ] AP物理安全可防止未经授权的重置或移除 - [ ] 无线控制器/管理界面不可从无线客户端访问 - [ ] 无线网络包含在定期漏洞扫描中 - [ ] RF覆盖范围已管理以最小化设施外的信号泄漏 **风险评级：高**——无线网络将攻击面扩展到物理边界之外。 ## 5. VPN和远程访问 *CIS控制12：网络基础设施管理* *CIS控制13：网络监控与防御* ### 5.1 VPN配置 - [ ] VPN使用现代协议（IKEv2/IPSec、WireGuard或OpenVPN） - [ ] 已禁用旧协议（PPTP、无IPSec的L2TP） - [ ] 所有VPN连接均需MFA - [ ] 已禁用分裂隧道（或经过风险评估并记录） - [ ] VPN集中器固件为最新版本并已打补丁 - [ ] VPN日志包含源IP、用户身份、连接时间和传输字节数 - [ ] 空闲VPN会话在定义时间后超时（例如30分钟） - [ ] VPN使用强加密套件（AES-256、SHA-2或更高） ### 5.2 远程桌面与跳转服务器 - [ ] RDP未直接暴露于互联网（3389/TCP） - [ ] 远程访问通过跳转服务器或堡垒主机进行 - [ ] 跳转服务器访问被记录、监控并需要MFA - [ ] 启用关键远程会话的会话录制 - [ ] 所有RDP连接要求NLA（网络级身份验证） **风险评级：严重**——暴露的RDP和弱VPN配置是勒索软件的主要入口点。 ## 6. 监控与日志 *CIS控制8：审计日志管理* *CIS控制13：网络监控与防御* ### 6.1 日志收集 - [ ] 所有网络设备将日志转发至集中式SIEM或日志管理平台 - [ ] 防火墙日志包含允许和拒绝的流量 - [ ] 收集VPN认证日志 - [ ] 收集DNS查询日志 - [ ] 收集DHCP租约日志 - [ ] 交换机端口认证事件（802.1X）已记录 - [ ] 无线AP日志（关联、取消关联、流氓检测）已收集 - [ ] 所有设备日志时间戳通过NTP同步 ### 6.2 日志保留与保护 - [ ] 日志保留至少90天在线，1年归档（或按监管要求） - [ ] 日志存储空间充足以避免过早轮换 - [ ] 日志受到防篡改保护（写一次存储、独立日志服务器） - [ ] 日志完整性监控可检测未授权修改 ### 6.3 告警与响应 - [ ] 已配置以下告警：失败登录尝试（阈值）、防火墙规则变更、新增管理员账户、VPN异常 - [ ] 已管理告警疲劳——告警经过调优以减少误报 - [ ] 非工作时间告警路由至值班响应人员 - [ ] 存在网络流量基线用于异常检测 - [ ] 收集NetFlow或sFlow数据用于流量分析 **风险评级：高**——缺乏监控会使漏洞持续数月未被发现（行业平均204天）。 ## 7. DNS安全 - [ ] 内部DNS服务器与外部DNS分离 - [ ] 对出口查询配置DNS over HTTPS（DoH）或DNS over TLS（DoT） - [ ] 为自有域名启用DNSSEC - [ ] DNS黑洞路由阻止已知恶意域名 - [ ] 启用DNS查询日志并转发至SIEM - [ ] 阻止未授权的DNS解析器（仅允许批准的DNS服务器） - [ ] 已部署DNS缓存投毒防护（随机源端口、DNSSEC验证） **风险评级：中**——DNS是常见的数据外泄和C2通道。 ## 8. 电子邮件安全 *CIS控制9：电子邮件与Web浏览器保护* - [ ] 已发布并强制执行SPF记录（`-all` 或 `~all`） - [ ] 已启用DKIM签名用于外发邮件 - [ ] DMARC策略设置为 `p=quarantine` 或 `p=reject` - [ ] 邮件网关扫描附件和URL - [ ] 禁止或沙箱化启用宏的Office文档 - [ ] 外部邮件带有视觉警告横幅 - [ ] 记录并监控电子邮件认证失败 - [ ] 至少每季度进行反钓鱼培训 **风险评级：严重**——钓鱼仍是首要初始访问向量。 ## 9. 端点保护 *CIS控制10：恶意软件防御* - [ ] 所有端点部署EDR（端点检测与响应） - [ ] 防病毒/反恶意软件定义至少每日更新 - [ ] 所有工作站和服务器启用主机防火墙 - [ ] 禁止未经授权的USB可移动介质 - [ ] 在关键系统上实施应用程序白名单 - [ ] 端点已加密（BitLocker、FileVault、LUKS） **风险评级：高**——端点是最常见的初始妥协点。 ## 10. 补丁管理 *CIS控制7：持续漏洞管理* - [ ] 关键操作系统补丁在发布后14天内应用 - [ ] 网络设备固件在关键漏洞发布后30天内修补 - [ ] 第三方应用程序补丁纳入补丁周期 - [ ] 每月跟踪并报告补丁合规性 - [ ] 存在针对零日漏洞的紧急补丁流程 - [ ] 已记录并规划生命周期结束系统（风险接受或迁移计划） **风险评级：严重**——未打补丁的系统是攻击者最容易的目标。 ## 11. 物理网络安全 - [ ] 数据中心/服务器机房需要门禁卡 - [ ] 网络配线间和布线柜已上锁 - [ ] 关键基础设施区域安装安全摄像头 - [ ] 交换机上的未使用端口已禁用 - [ ] 访客访问网络区域需陪同 - [ ] 监控并报警环境控制（温度、湿度、水泄漏） **风险评级：中**——物理访问可绕过大多数逻辑安全控制。 ## 12. 事件响应准备 - [ ] 已记录网络事件响应流程 - [ ] 网络团队已演练事件场景（桌面推演） - [ ] 可在15分钟内执行网络隔离流程 - [ ] 存在带外管理访问以应对紧急情况 - [ ] 具备用于数据包捕获和分析的取证工具 - [ ] 存档ISP滥用团队和执法部门联系人信息 **风险评级：高**——响应时间直接影响漏洞事件的损失和成本。 ## 审计摘要模板 完成检查清单后填写以下内容： | 部分 | 总项目数 | 符合 | 不符合 | 部分 | 不适用 | 得分 | |------|----------|------|--------|------|--------|------| | 1. 防火墙/边界 | | | | | | % | | 2. 分段 | | | | | | % | | 3. 访问控制 | | | | | | % | | 4. 无线 | | | | | | % | | 5. VPN/远程访问 | | | | | | % | | 6. 监控/日志 | | | | | | % | | 7. DNS安全 | | | | | | % | | 8. 电子邮件安全 | | | | | | % | | 9. 端点保护 | | | | | | % | | 10. 补丁管理 | | | | | | % | | 11. 物理安全 | | | | | | % | | 12. 事件响应 | | | | | | % | | **总计** | | | | | | **%** | **审计员：** `[姓名]` **日期：** `[日期]` **下次审计截止日期：** `[日期]` ### 修复优先级 | 问题 | 部分 | 风险 | 修复措施 | 负责人 | 截止日期 | 状态 | |------|------|------|----------|--------|----------|------| | `[问题]` | `[#]` | 严重 | `[操作]` | `[姓名]` | `[日期]` | 进行中 | | `[问题]` | `[#]` | 高 | `[操作]` | `[姓名]` | `[日期]` | 进行中 | ## 关于 由 [Petronella Technology Group](https://petronellatech.com) 创建和维护——一家位于北卡罗来纳州罗利的网络安全和托管IT服务公司。拥有23年以上经验且零客户漏洞，我们帮助企业保护基础设施并达成合规。 - **官网：** [petronellatech.com](https://petronellatech.com) - **电话：** (919) 348-4912 - **免费评估：** [预约咨询](https://book.petronella.ai/blake) ## 许可证 MIT 许可证 - 详见 [LICENSE](LICENSE)。

标签：CIS控制映射, CMMC, DNS安全, HIPAA, IT审计, PCI DSS, SOC 2, Streamlit, VPN加固, VPN远程访问, 事件响应就绪, 合规准备, 安全基线, 审计检查表, 教学环境, 无线网络安全, 物理网络安全, 电子邮件安全, 监控与日志, 端点保护, 端点安全, 网络分段, 网络安全清单, 网络审计, 补丁管理, 访问控制, 访问控制列表, 防御加固, 防火墙规则, 防火墙配置