安全巡检清单-落地版

安全巡检落地执行用例

引言

本用例文档基于《安全巡检报告清单》提炼而成，旨在为安全运维人员提供具体、可操作的执行指引。每个用例都力求清晰地描述巡检操作、预期结果及注意事项，以便于在实际工作中高效、规范地开展安全巡检工作，及时发现并处置安全风险。

一、设备硬件状态巡检用例

用例1.1：电源系统检查

• 操作步骤：
  1. 目视检查服务器、网络设备等关键设备的电源模块指示灯是否为绿色常亮状态。
  2. 聆听电源风扇有无异响，触摸电源模块感知有无异常高温。
  3. 检查电源线连接是否牢固，有无松动或破损。
  4. 如有多路供电，确认各路电源均正常工作。
• 预期结果： 电源模块工作正常，供电稳定，无异常发热、噪音，线缆连接良好。
• 注意事项： 避免在设备运行时随意插拔电源线；记录任何异常情况以便后续分析。

用例1.2：散热系统检查

• 操作步骤：
  1. 目视检查设备风扇是否正常转动，有无灰尘过多堵塞情况。
  2. 通过设备管理界面或命令行查看风扇转速是否在正常范围。
  3. 检查机箱进出风口是否通畅，无遮挡物。
• 预期结果： 风扇运转正常，散热良好，设备温度在正常阈值内。
• 注意事项： 清理风扇灰尘时需先将设备断电；关注环境温度对设备散热的影响。

用例1.3：机箱与板卡检查

• 操作步骤：
  1. 检查机箱外观有无明显物理损伤、变形。
  2. 打开机箱（如允许且必要），检查内部主板、内存条、硬盘、网卡等板卡是否安装牢固，有无松动、烧毁痕迹或电容鼓包等异常。
  3. 确认所有线缆连接紧密，无脱落或接触不良。
• 预期结果： 机箱完整，板卡安装牢固，无物理损坏或异常迹象。
• 注意事项： 操作前注意防静电；记录板卡型号和序列号信息。

用例1.4：状态指示灯检查

• 操作步骤：
  1. 逐一观察设备面板上的电源灯、硬盘活动灯、网络连接/活动灯、错误指示灯等。
  2. 对照设备手册，确认各指示灯状态是否表示正常工作。
• 预期结果： 所有状态指示灯显示正常，无异常闪烁或熄灭的告警灯。
• 注意事项： 熟悉不同设备指示灯的含义。

用例1.5：物理端口与线缆检查

• 操作步骤：
  1. 检查所有已连接的网络端口、管理端口、存储端口等，确认连接是否稳固。
  2. 检查线缆本身有无破损、过度弯折或老化现象。
  3. 核对线缆标签是否清晰、准确，与实际连接是否一致。
• 预期结果： 物理端口连接稳定，线缆完好，标签规范准确。
• 注意事项： 避免在数据传输时插拔线缆；对关键业务端口的检查需格外小心。

用例1.6：硬件告警信息检查

• 操作步骤：
  1. 登录设备管理界面（如iLO, iDRAC, BMC等）或操作系统事件查看器。
  2. 检查硬件相关的告警日志，如电源故障、风扇故障、硬盘故障、内存错误等。
  3. 记录所有未处理的硬件告警信息。
• 预期结果： 无未处理的严重硬件告警信息。
• 注意事项： 及时分析并处理硬件告警，防止小问题演变成大故障。

二、设备软件状态巡检用例

用例2.1：系统内核状态检查

• 操作步骤：
  1. 登录操作系统，执行命令（如Linux的dmesg | grep -iE "error|fail|warn"，Windows的事件查看器系统日志）检查有无内核错误、驱动故障或严重警告信息。
  2. 检查系统启动日志，确认系统正常启动无异常中断。
  3. 关注是否有异常的系统崩溃（Kernel Panic / BSOD）记录。
• 预期结果： 系统内核运行稳定，无严重错误或崩溃记录。
• 注意事项： 定期分析内核日志，对反复出现的错误进行根源排查。

用例2.2：核心软件版本与补丁检查

• 操作步骤：
  1. 记录当前操作系统、数据库、中间件等核心软件的详细版本号。
  2. 访问官方厂商网站或使用内部补丁管理系统，查询是否有适用于当前版本的安全补丁或版本升级建议。
  3. 评估补丁的重要性和适用性，制定更新计划。
• 预期结果： 核心软件版本信息清晰，已知关键安全补丁已评估或计划安装。
• 注意事项： 补丁安装前务必进行充分测试，并做好回滚计划。

用例2.3：漏洞扫描执行与结果分析

• 操作步骤：
  1. 使用指定的漏洞扫描工具（如Nessus, OpenVAS等）对目标网络设备、主机、数据库、应用系统进行扫描。
  2. 配置扫描策略，确保覆盖全面的漏洞检测点。
  3. 扫描完成后，导出扫描报告，分析漏洞的类型、数量、分布及危害等级。
  4. 针对高危漏洞，制定详细的修复计划和优先级。
• 预期结果： 完成对指定目标的漏洞扫描，产出漏洞报告，高危漏洞已识别并有修复计划。
• 注意事项： 漏洞扫描可能对业务系统产生一定影响，建议在业务低峰期进行；定期更新漏洞库。

三、设备性能状态巡检用例

用例3.1：CPU利用率监控

• 操作步骤：
  1. 登录操作系统或使用监控系统，查看CPU的实时利用率、平均利用率和历史峰值。
  2. （Linux: top, htop, vmstat; Windows: 任务管理器, 性能监视器）。
  3. 关注是否有进程长时间占用过高CPU资源。
• 预期结果： CPU利用率在正常阈值内（例如，平均低于70%，峰值短时可接受较高），无异常进程持续占用高CPU。
• 注意事项： 结合业务特性判断CPU利用率是否合理；对高负载情况进行深入分析。

用例3.2：内存利用率监控

• 操作步骤：
  1. 查看系统总内存、已用内存、可用内存、缓存/缓冲区使用情况以及交换空间（Swap/Pagefile）使用情况。
  2. （Linux: free -h, vmstat; Windows: 任务管理器, 性能监视器）。
  3. 关注内存是否持续高位运行，交换空间是否被频繁使用。
• 预期结果： 物理内存充足，交换空间使用率低，无内存泄漏迹象。
• 注意事项： 内存持续不足可能导致性能急剧下降；分析内存占用高的进程。

用例3.3：网络接口性能监控

• 操作步骤：
  1. 查看各主要网络接口的实时带宽、数据包收发速率、错误包率、丢包率等。
  2. （Linux: ifconfig, ip -s link, sar -n DEV; Windows: 性能监视器网络接口计数器）。
  3. 关注网络接口是否有拥塞、大量错误包或丢包现象。
• 预期结果： 网络接口通讯正常，带宽使用合理，错误率和丢包率在可接受范围内。
• 注意事项： 结合网络拓扑分析瓶颈点；检查网线、交换机端口等物理连接。

用例3.4：磁盘I/O与空间利用率监控

• 操作步骤：
  1. 查看各磁盘分区的空间使用率，确保有足够的剩余空间。
  2. （Linux: df -h, iostat -xz; Windows: 文件资源管理器, 性能监视器逻辑/物理磁盘计数器）。
  3. 监控磁盘的读写速率、I/O等待时间、队列长度等性能指标。
  4. 关注是否有磁盘空间即将耗尽或I/O性能瓶颈。
• 预期结果： 磁盘空间充足，I/O性能满足业务需求，无明显瓶颈。
• 注意事项： 定期清理无用文件，规划磁盘扩容；对I/O密集型应用重点监控。

四、补丁管理执行用例

用例4.1：补丁评估与测试

• 操作步骤：
  1. 根据漏洞扫描结果和厂商通告，识别需要安装的补丁。
  2. 详细阅读补丁说明，了解其修复的漏洞、可能的影响及安装要求。
  3. 在与生产环境相似的测试环境中部署补丁，验证其兼容性和业务功能的正常性。
  4. 记录测试结果和遇到的问题。
• 预期结果： 完成对关键补丁的评估和测试，确认其可以安全部署。
• 注意事项： 严格执行测试流程，不跳过测试直接部署到生产环境。

用例4.2：补丁部署与验证

• 操作步骤：
  1. 制定详细的补丁部署计划，包括部署时间窗口、操作步骤、回滚方案。
  2. 在计划的时间窗口内，按照操作步骤在生产环境部署补丁。
  3. 部署完成后，重启必要的服务或系统，并进行功能验证，确保业务正常。
  4. 再次进行漏洞扫描或手动检查，确认漏洞已修复。
• 预期结果： 补丁成功部署，漏洞已修复，业务系统运行正常。
• 注意事项： 生产环境部署需谨慎，选择业务影响最小的时间；保留详细的操作记录。

五、日志检查与分析用例

用例5.1：日志服务状态检查

• 操作步骤：
  1. 确认操作系统、应用系统、安全设备等的日志服务（如rsyslog, journald, Windows Event Log, 应用自身日志模块）正在运行。
  2. 检查日志文件的生成路径、权限配置是否正确。
  3. 检查日志存储空间是否充足，是否有自动归档或轮替机制。
  4. 对于集中日志系统（如ELK, Splunk），检查日志采集代理、传输、存储、索引各环节是否正常工作。
• 预期结果： 日志服务运行正常，日志按预期记录，存储空间充足，集中日志系统各组件工作正常。
• 注意事项： 确保所有关键系统和设备的日志都被有效收集。

用例5.2：关键安全事件日志分析

• 操作步骤：
  1. 筛选并审查认证日志，关注失败的登录尝试（尤其是来自异常IP或针对特权账户）、成功的可疑登录。
  2. 审查权限变更日志，关注非预期的用户提权、权限分配等操作。
  3. 审查系统错误日志和应用错误日志，查找可能指示安全问题的异常。
  4. 审查安全设备（防火墙、IDS/IPS、WAF）的告警日志，关注被阻止的攻击、可疑流量等。
  5. 使用关键词（如"error", "fail", "denied", "attack", "malware"）搜索日志。
• 预期结果： 识别并记录可疑的安全事件，对高危事件进行深入调查。
• 注意事项： 结合威胁情报和业务背景分析日志；建立安全事件应急响应流程。

六、规则库检查与更新用例

用例6.1：安全设备规则库版本检查

• 操作步骤：
  1. 登录各安全设备（IDS/IPS、防病毒网关/软件、WAF等）的管理界面。
  2. 查看当前加载的攻击特征库、病毒定义库、Web防护规则库等的版本号和最后更新时间。
  3. 访问设备厂商官网，查询最新的规则库版本信息。
• 预期结果： 明确各安全设备当前规则库版本，并与官方最新版本进行对比。
• 注意事项： 记录设备型号和当前规则库版本，便于跟踪。

用例6.2：规则库更新与验证

• 操作步骤：
  1. 如果当前规则库非最新，按照厂商指导下载并更新规则库。
  2. 更新后，验证规则库是否成功加载，设备是否正常运行。
  3. 观察一段时间，确认新规则库未导致大量误报或影响正常业务。
  4. 对于可自定义规则的设备，定期审视和优化自定义规则的有效性和准确性。
• 预期结果： 安全设备规则库更新至最新或接近最新版本，自定义规则得到优化。
• 注意事项： 规则库更新可能需要重启服务或设备；关注更新后的设备性能和告警情况。

七、配置检查与基线核查用例

用例7.1：账户与密码策略核查

• 操作步骤：
  1. 检查系统和应用是否强制执行强密码策略（如最小长度、复杂度要求、历史密码限制、定期更换周期）。
  2. 检查是否配置了账户锁定策略（如登录失败次数阈值、锁定时间）。
  3. 排查是否存在共享账户、弱密码账户、长期未用账户、默认出厂账户未修改密码等情况。
• 预期结果： 账户和密码策略符合安全基线要求，无明显弱点账户。
• 注意事项： 对特权账户的密码管理应更为严格。

用例7.2：远程管理安全配置核查

• 操作步骤：
  1. 检查是否禁用了不安全的远程管理协议（如Telnet, HTTP），优先使用SSH, HTTPS等加密协议。
  2. 检查远程管理端口是否为默认端口，如有可能应修改为非标准端口。
  3. 检查是否配置了访问控制列表（ACL）或防火墙规则，限制可进行远程管理的IP地址范围。
  4. 检查是否启用了多因素认证（MFA）进行远程管理（如适用）。
• 预期结果： 远程管理配置安全，采用加密协议，并有严格的访问控制。
• 注意事项： 避免使用公共网络直接进行敏感设备的远程管理。

用例7.3：不必要服务与共享核查

• 操作步骤：
  1. 列出系统当前运行的服务（Linux: systemctl list-units --type=service, ss -tulnp; Windows: 服务管理器, netstat -ano）。
  2. 识别并禁用或卸载与业务无关的不必要服务。
  3. 检查系统是否存在不必要的网络共享（如Windows的默认共享C$, ADMIN$），并评估其风险，必要时关闭。
• 预期结果： 系统运行的服务最小化，无不必要的开放端口和网络共享。
• 注意事项： 禁用服务前需确认其不影响核心业务功能。

用例7.4：安全审计策略配置核查

• 操作步骤：
  1. 检查操作系统和关键应用是否配置了安全审计策略，确保关键事件（如登录成功/失败、对象访问、策略变更、账户管理等）被记录。
  2. （Windows: auditpol /get /category:*; Linux: 检查auditd服务配置）。
  3. 确认审计日志的存储位置、大小限制和轮替策略是否合理。
• 预期结果： 安全审计策略已正确配置并启用，关键安全事件得到记录。
• 注意事项： 审计日志本身也需要保护，防止被篡改或未授权访问。

用例7.5：防病毒软件配置核查

• 操作步骤：
  1. 检查服务器和终端是否均安装了防病毒软件。
  2. 确认防病毒软件的病毒定义库是否为最新版本。
  3. 检查实时防护功能是否开启，定期扫描计划是否配置并执行。
  4. 查看隔离区和扫描日志，有无未处理的恶意软件事件。
• 预期结果： 防病毒软件正常运行，病毒库最新，实时防护开启，无未处理威胁。
• 注意事项： 确保防病毒软件与操作系统和其他应用兼容，避免性能冲突。

八、网络安全巡检用例

用例8.1：防火墙策略有效性检查

• 操作步骤：
  1. 审查防火墙（包括网络防火墙、主机防火墙）的访问控制规则。
  2. 核对规则是否与网络区域划分、业务访问需求、安全策略一致，是否存在过于宽松（如any-any）或已失效的规则。
  3. 验证关键规则的有效性（如通过工具或手动测试确认特定访问是否按预期被允许或阻止）。
  4. 清理冗余、过期或冲突的防火墙规则。
• 预期结果： 防火墙策略清晰、准确、最小化，有效控制网络访问。
• 注意事项： 防火墙策略变更需经过审批和测试流程；定期审计防火墙规则。

用例8.2：网络分段与隔离检查

• 操作步骤：
  1. 查看网络拓扑图，理解不同安全区域（如DMZ区、办公区、核心业务区、开发测试区）的划分。
  2. 验证不同安全区域之间的访问控制是否通过防火墙等设备严格执行。
  3. 测试是否存在跨区域的未授权访问路径。
• 预期结果： 网络分段明确，不同安全级别区域间实现有效隔离。
• 注意事项： 确保网络拓扑图的准确性和及时更新。

用例8.3：VPN与远程接入安全检查

• 操作步骤：
  1. 检查VPN设备/服务的配置，确认加密算法、认证机制是否足够强壮。
  2. 审查VPN用户账户和权限分配，禁用不再需要的账户。
  3. 检查远程接入（如RDP, SSH）的日志，有无异常登录尝试。
  4. 如使用第三方远程接入工具，确保其为最新版本且配置安全。
• 预期结果： VPN和远程接入配置安全，用户权限得到有效控制。
• 注意事项： 对VPN用户进行安全意识培训，强调密码安全。

用例8.4：无线网络安全检查

• 操作步骤：
  1. 扫描办公区域是否存在未授权的无线接入点（Rogue AP）。
  2. 检查授权无线网络的SSID是否隐藏（可选），加密方式是否为WPA2/WPA3-Enterprise或WPA2/WPA3-Personal（PSK方式密码应足够复杂）。
  3. 检查是否启用了MAC地址过滤、客户端隔离等增强安全措施。
  4. 检查访客无线网络与内部网络是否有效隔离。
• 预期结果： 无线网络配置安全，无未授权接入，访客网络与内网隔离。
• 注意事项： 定期更改无线网络密码（如使用PSK）；监控无线网络流量。

用例8.5：网络流量异常分析

• 操作步骤：
  1. 使用网络流量分析工具（如Wireshark, SolarWinds NetFlow Analyzer, ntopng）或IDS/IPS日志，监控网络流量模式。
  2. 关注是否存在异常的流量尖峰、未知协议流量、与已知恶意IP的通信、大量失败连接尝试、数据外泄迹象等。
  3. 对可疑流量进行溯源分析。
• 预期结果： 网络流量模式基本正常，对识别的异常流量进行调查。
• 注意事项： 建立正常的网络流量基线，以便更好地识别异常。

用例8.6：网络服务（DNS/DHCP）安全检查

• 操作步骤：
  1. 检查DNS服务器配置，防止DNS缓存投毒、区域传送漏洞等。
  2. 检查内部DNS记录的准确性。
  3. 检查DHCP服务器配置，防止未授权的DHCP服务器（Rogue DHCP）。
  4. 监控DNS查询日志和DHCP分配日志，有无异常请求。
• 预期结果： DNS和DHCP服务配置安全，运行稳定，无劫持或滥用迹象。
• 注意事项： 保护DNS和DHCP服务器自身安全，及时打补丁。

九、应用系统安全巡检用例

用例9.1：用户认证与授权机制检查

• 操作步骤：
  1. 测试应用系统是否存在弱口令（如admin/admin, test/123456），能否通过暴力破解获取访问权限。
  2. 检查不同角色用户的权限分配是否遵循最小权限原则，是否存在越权访问漏洞（如普通用户可访问管理员功能）。
  3. 检查密码找回、账户注册等流程是否存在逻辑漏洞。
• 预期结果： 用户认证机制健全，授权管理严格，无明显弱口令或越权风险。
• 注意事项： 建议对关键应用系统定期进行渗透测试。

用例9.2：输入验证与输出编码检查（防注入、XSS）

• 操作步骤：
  1. 在应用系统的各个输入点（如URL参数、表单字段、HTTP头部）尝试输入特殊字符、SQL注入payload、XSS payload。
  2. 观察系统响应，判断是否存在SQL注入、XSS等漏洞。
  3. 检查系统对用户输出的内容是否进行了正确的HTML编码、JavaScript编码等，以防止存储型或反射型XSS。
• 预期结果： 应用系统对用户输入进行了有效验证和过滤，对输出进行了适当编码，能抵御常见的注入和XSS攻击。
• 注意事项： 此类检查需要一定的专业知识，可借助自动化扫描工具辅助。

用例9.3：会话管理安全检查

• 操作步骤：
  1. 检查会话ID（Session ID）是否足够随机且难以猜测。
  2. 检查会话ID是否通过HTTPS安全传输。
  3. 测试是否存在会话固定漏洞（如登录后会话ID不变）。
  4. 检查会话超时机制是否合理并有效执行。
  5. 检查注销功能是否能有效终止会话。
• 预期结果： 会话管理机制安全，能有效防止会话劫持和固定。
• 注意事项： 确保会话Cookie设置了HttpOnly和Secure属性。

用例9.4：敏感数据保护检查

• 操作步骤：
  1. 识别应用系统中处理的敏感数据类型（如用户凭证、个人身份信息、支付信息等）。
  2. 检查敏感数据在存储时是否进行了加密或脱敏处理。
  3. 检查敏感数据在网络传输时是否通过HTTPS等加密通道。
  4. 检查系统日志中是否会明文记录敏感数据。
• 预期结果： 敏感数据在存储和传输过程中得到有效保护。
• 注意事项： 遵循数据安全相关的法律法规要求（如GDPR, CCPA, 国内个人信息保护法）。

用例9.5：第三方组件安全检查

• 操作步骤：
  1. 梳理应用系统所依赖的第三方开源组件、库、框架及其版本号。
  2. 通过NVD (National Vulnerability Database)、CNVD (China National Vulnerability Database)等漏洞库或SCA（Software Composition Analysis）工具，查询这些组件是否存在已知的安全漏洞。
  3. 对存在高危漏洞的组件，制定升级或替换计划。
• 预期结果： 应用系统使用的第三方组件版本清晰，已知高危漏洞得到处理。
• 注意事项： 保持对第三方组件漏洞信息的关注，建立组件更新机制。

十、数据库安全巡检用例

用例10.1：数据库访问控制检查

• 操作步骤：
  1. 审查数据库用户账户列表，禁用或删除不再需要的账户。
  2. 检查各数据库用户的权限分配，是否遵循最小权限原则（如应用连接账户不应具有DBA权限）。
  3. 检查数据库监听端口是否仅对授权主机开放访问。
  4. 检查是否存在默认账户（如sa, root）使用弱密码或空密码的情况。
• 预期结果： 数据库访问控制严格，用户权限分配合理，无弱密码或默认账户风险。
• 注意事项： 定期审计数据库用户和权限。

用例10.2：数据库审计与日志检查

• 操作步骤：
  1. 检查数据库审计功能是否开启，审计策略是否配置合理（如审计登录失败、DDL操作、DML操作、敏感数据访问等）。
  2. 定期审查审计日志，关注异常的数据库活动、未授权访问尝试、大量数据导出等可疑行为。
  3. 检查数据库错误日志，有无异常报错信息。
• 预期结果： 数据库审计功能正常，关键操作被记录，可疑活动得到关注。
• 注意事项： 确保审计日志的安全存储和定期备份。

用例10.3：数据库补丁与版本检查

• 操作步骤：
  1. 记录当前数据库管理系统（DBMS）的详细版本号。
  2. 访问数据库厂商官网，查询是否有适用于当前版本的安全补丁或版本升级建议（如Oracle Critical Patch Update, MySQL Community Server releases）。
  3. 评估补丁的重要性和适用性，制定更新计划。
• 预期结果： 数据库版本信息清晰，已知关键安全补丁已评估或计划安装。
• 注意事项： 数据库打补丁或升级前务必进行充分测试和数据备份。

用例10.4：数据库备份与恢复验证

• 操作步骤：
  1. 检查数据库备份策略是否制定并有效执行（如备份频率、备份类型、保留周期）。
  2. 确认备份文件是否存储在安全的位置，并与生产环境隔离。
  3. 定期进行数据库恢复演练，验证备份数据的可用性和完整性，以及恢复流程的有效性。
• 预期结果： 数据库备份策略有效，备份数据完整可用，恢复流程经过验证。
• 注意事项： 恢复演练应在不影响生产环境的前提下进行。

用例10.5：数据库加密配置检查

• 操作步骤：
  1. 检查数据库是否配置了传输层加密（如SSL/TLS）以保护客户端与服务器之间的通信安全。
  2. 对于存储的敏感数据，检查是否采用了透明数据加密（TDE）、列级加密等技术进行保护。
  3. 检查加密密钥的管理是否安全。
• 预期结果： 数据库通信和敏感数据存储采用适当的加密措施。
• 注意事项： 加密会带来一定的性能开销，需根据实际情况权衡。

结论

本用例文档提供了一系列具体的安全巡检操作指引。在实际执行过程中，运维人员应结合自身系统的具体情况和安全要求，灵活运用这些用例，并持续优化巡检流程和内容，以确保信息系统安全稳定运行。