Apache CheckList安全配置检查表巡检表模板

网络信息安全检查表【模板】一、物理安全1、机房环境机房温度、湿度是否在规定范围内？机房是否具备有效的防火、防水、防尘、防静电措施？机房的通风和照明是否良好？2、设备防护服务器、网络设备等是否放置在安全的机柜中，并采取了防盗措施？关键设备是否有冗余电源供应？3、访问控制机房是否有严格的人员出入管理制度，记录进出人员的身份和时间？机房钥匙是否由专人保管，是否存在多把钥匙分散管理的情况？二、网络架构安全1、网络拓扑网络拓扑结构是否清晰合理，易于维护和管理？关键网络设备是否有备份和冗余机制？2、访问控制是否划分了不同的网络区域，如内网、外网、DMZ 区等，并实施了相应的访问控制策略？网络访问是否基于最小权限原则，用户只能访问其工作所需的资源？3、防火墙和入侵检测防火墙规则是否定期审查和更新，以确保其有效性？入侵检测系统是否正常运行，是否及时处理报警信息？4、网络设备安全网络设备的登录密码是否足够复杂，并定期更改？网络设备的操作系统和软件是否及时更新补丁？三、系统安全1、操作系统服务器和客户端操作系统是否为正版软件？操作系统是否及时更新补丁，关闭不必要的服务和端口？是否设置了合理的用户账号和权限，避免出现超级用户权限滥用的情况？2、数据库数据库是否采取了加密存储措施，保护敏感数据？数据库的备份和恢复策略是否有效，备份数据是否定期测试？3、应用系统应用系统是否经过安全测试，是否存在已知的安全漏洞？应用系统的用户认证和授权机制是否健全？四、数据安全1、数据备份是否制定了定期的数据备份计划，包括全量备份和增量备份？备份数据是否存储在异地，以防止本地灾害导致数据丢失？备份数据的恢复流程是否经过测试，确保在需要时能够快速恢复数据？2、数据加密敏感数据在传输和存储过程中是否进行了加密处理？加密算法是否足够强大，密钥管理是否安全？3、数据销毁当不再需要的数据需要销毁时，是否采用了安全的销毁方法，确保数据无法恢复？五、用户管理1、用户认证用户的登录是否采用了多因素认证，如密码、令牌、指纹等？密码策略是否符合强度要求，如长度、复杂度、定期更改等？2、用户授权用户的权限分配是否基于其工作职责，避免权限过高或过低？对用户权限的变更是否有严格的审批流程和记录？3、用户培训是否定期对用户进行网络信息安全培训，提高其安全意识？培训内容是否包括密码管理、防范网络钓鱼、数据保护等方面？六、应急响应1、应急预案是否制定了详细的网络信息安全应急预案，包括事件分类、响应流程、责任分工等？应急预案是否定期演练和更新，确保其有效性？2、事件监测是否建立了有效的事件监测机制，能够及时发现网络安全事件？对事件的监测是否涵盖了网络流量、系统日志、用户行为等方面？3、事件处理在发生网络安全事件时，是否能够迅速采取措施进行遏制和恢复？是否按照规定的流程进行事件报告和记录？七、安全审计1、日志管理系统、网络设备、应用系统等是否开启了日志功能，并定期备份和保存？日志的存储时间是否符合法规和业务要求？2、审计分析是否定期对日志进行审计分析，发现潜在的安全威胁和异常行为？审计结果是否及时报告给相关人员，并采取相应的措施？3、合规性审计网络信息安全措施是否符合相关的法律法规、行业标准和内部政策要求？是否定期进行合规性审计，发现并整改不符合项？。

审核类别：审核日期：年 月 日本次审核结果：备注/说明(70分以下)实际得分美国加拿大日韩东南亚国内其它表单编号:SZ-QC-027E（01）厂区占地面积：______平方米 建筑面积：______平方米 仓库面积：______平方米评分在70-79分“可接受”的供应商必须提供书面的改善计划并且可能需要再评估。

评分为70分以下“不满意”的供应商必须立即改善并提供书面的改善计划，并在改善一定周期后进行重新审核。

生产能力(*/月)产品种类、生产能力、配额管理人员名单机器设备（如不够空位请加附页）主要市场概 况供应商名称：____________________________________________________供应商地址：____________________________________________________电话号码：______________ 传真号码：______________ 工厂联络人：_______已用配额尚余配额主要客户（百分比）：生产主要类别欧洲工厂员工概况总经理： __________ 质量经理：_________ 厂长/生产经理：_________主要客户/市场工人总数：______ 技术操作工：______ 职员人数：______品质人员数：______（80至89 分）松泽化妆品（深圳）有限公司供应商现场审核查检表级别（90分至100分）（70 至79 分）澳洲供应商代表签字/日期:工厂内部环境设备种类及数量： 1、_________________ 2、____________________ 3、________________松泽公司代表签字/日期:说明：评分90分以上“极佳”的供应商为“认证首选供应商”。

评分为“满意”在80-89之间的一般不需要书面的改善计划，不过不属于 “认证首选供应商”的资格地位。

首次审核跟进审核年度审核不满意满意可接受极佳。

测试检查表checklist输入、编辑功能的验证检查点：1. 必输项是否有红星标记，如果不输入提示是否跟相应的Label对应，提示的顺序是否跟Form输入域的排列次序一致；2. 输入的特殊字符是否能正确处理：`~!@#$%^&*()_+-={}[]|\:;”’ <>,./?;3. Form下拉菜单的值是否正确，下拉菜单的值通过维护后是否正确显示并可用；下拉菜单比如是机构编码，要到机构编码的维护界面查询一下是否Form列出的与其一致；4. 涉及到下拉菜单的编辑修改Form，要检查在编辑和修改From中，下拉菜单是否能正确显示当前值；5. Form提交后，要逐项检查输入的内容跟通过查询的结果一致；6. 有多层下拉菜单选择的情况要校验两层菜单的选择是否正确；7. 备注字段的超长检查；8. 提交保存后能否转到合适的页面；9. 编辑Form显示的数据是否跟该记录的实际数据一致；10. 编辑权限的检查，比如：user1的数据user2不能编辑等；11. 可编辑数据项的检查，比如：数据在正式提交之前所有的属性都可以编辑，在提交之后，编号、状态等不能编辑，要根据业务来检查是否符合需求；12. 对于保存有事务Transaction提交，比如一次提交对多表插入操作，要检查事务Transaction的处理，保证数据的完整和一致；13. 其他的合法性校验。

查询功能检查点：1. 查询输入Form是否正常工作，不输入数据是否查询到全部记录；2. 当查询的数据非常多的时候，性能有无问题；3. 查询的下拉菜单列出的数据是否正确；4. 查询结果是否正确；对于复杂的查询要通过SQL来检查结果；5. 如输入%*?等通配符是否会导致查询错误；6. 查询结果列表分页是否正确，在点击下一页上一页时，查询条件是否能带过去，不能点击翻页时又重新查询；7. 对于数据量比较大的表查询时，不容许无条件查询，避免性能问题的出现；8. 对于查询输入项的值是固定的要用下拉菜单，比如状态、类型等；9. 分页的统计数字是否正确，共X页，第N页，共X条记录等；10. 对于查询有统计的栏目，比如：总计、合计等要计算数据是否正确；11. 查询结果有超链接的情况要检查超链接是否正确；12. 查询权限的检查，比如：user1不能查询到user2的数据等；删除功能检查点：1. 必须有“确认删除”的提示；2. 根据需求检查是软删除还是硬删除，来检查数据库中是否还存在该条记录；3. 是否有相关的数据删除，如果有要确认该相关的数据也已经删除，并且在同一事务中完成；4. 是否有删除约束，如果有删除约束，要检查该记录是否被约束，如果被约束该记录不能被删除；5. 如果是软删除，用查询、统计界面检查该条记录能否被查询出来，数据是否被统计进去；6. 检查因为业务约束不能删除的数据能否被保护不能手工删除，比如：流程中已经审批的文件不能被删除；7. 跟删除相关的权限问题，比如：需求要求只有管理员和该记录的创建人能够删除该记录，那就以不同的用户和角色登录进去，执行删除操作，检查是否与需求匹配；上传附件检查点：1. 检查是否能正确上传附件文件；2. 检查上传的文件是否能正确下载并打开；3. 至少检查下列大小的文件能正确上传，0k,100k,1M,2M,4M,10M,20M等；4. 如果没有指定类型的限制，至少上传以下几种类型的文件能否正确上传并正确打开，类型有：.doc,.xls,.txt,.ppt,.htm,.gif,.jpg,.bmp,.tif,.avi等；5. 如果有文件类型的限制还要检查能上传的文件的类型；6. 上传同名的文件，在打开的时候是否出错；7. 有中文文件名的文件能否正确上传；影响操作性能的检查点：（不能代替系统的性能测试和压力测试，主要看系统在正常操作情况下的响应和处理能力）1. 对数据记录条数比较多的表的查询操作，避免全表查询，比如对银行用户账号的查询就不能缺省全部查出，必须让用户输入查询条件；2. 菜单树，测试大量数据时菜单树的响应情况；3. 有日志的查询或者统计，要注意查询的效率；4. 大报表的处理或者批处理的操作，要关注效率，比如：银行对帐、财务年终结算、财务年报表、系统初始化等；5. 大报表的排序sort、组函数的使用等；6. 大数据量的处理，如导入、导出、系统备份、文件传输等。

网络与信息安全巡检表网络与信息安全巡检表1.信息资产管理1.1 确认所有信息资产的分类及标识1.2 检查信息资产的访问控制措施是否规范1.3 检查信息资产的备份和恢复措施是否有效1.4 确认信息资产的传送和存储是否加密1.5 检查信息资产的使用记录是否完整并进行审计2.访问控制2.1 检查用户账号的权限和角色是否规范2.2 确认账号的密码策略是否强化2.3 检查是否存在未被禁用的不必要的账号2.4 确认管理员账号的安全性以及使用是否规范3.系统开发与维护3.1 确认系统开发和维护过程中是否存在安全漏洞3.2 检查系统安全配置是否合理3.3 确认系统补丁是否及时安装3.4 检查系统日志记录是否完整和有效4.网络安全4.1 检查网络设备的配置是否安全4.2 确认网络设备的固件是否及时更新4.3 检查防火墙和入侵检测系统是否配置正确4.4 检查网络流量监控和分析措施是否有效5.数据安全5.1 确认数据的备份措施是否规范5.2 检查数据库的安全配置是否合理5.3 确认数据的传输和存储是否加密5.4 检查敏感数据的访问控制措施是否严格6.人员安全6.1 确认员工的入职和离职流程是否规范6.2 检查员工的安全培训和意识是否到位6.3 确认员工的权限分配是否合理7.物理安全7.1 检查物理访问控制措施是否有效7.2 确认服务器房间的温度和湿度是否恰当7.3 检查安全摄像头和报警系统是否正常运行附件：网络与信息安全巡检报告表法律名词及注释：1.信息资产：指企业或组织拥有并管理的各种信息资源，包括数据库、文件、文档、软件等。

2.访问控制：控制用户对信息系统或资源的访问权限，包括身份验证、权限分配等。

3.系统开发与维护：指开发、维护和更新信息系统的过程，确保系统安全且稳定运行。

4.网络安全：保护网络免受未经授权的访问、破坏或篡改的措施。

5.数据安全：保护数据免受未经授权的访问、泄露或损坏的措施。

6.人员安全：确保员工在工作中正确处理敏感信息，并遵循公司信息安全政策。

网络安全检查表格网络安全检查表格1、网络基础设施安全检查1.1 网络拓扑结构是否合理- 确认网络拓扑结构是否满足需求- 检查网络设备的配置是否符合安全标准- 确保网络设备的固件和软件版本是最新的1.2 网络设备访问控制- 确保只有授权人员能够访问网络设备- 检查网络设备的访问控制列表（ACL）是否设置正确 - 定期更改网络设备的默认凭证，并确保使用强密码1.3 防火墙安全- 检查防火墙规则是否正确配置，仅允许必要的流量通过- 确保防火墙软件和固件是最新的- 定期审计防火墙日志，检测潜在的攻击和异常活动2、网络应用安全检查2.1 网站安全- 检查网站是否使用SSL/TLS协议，保证传输数据的安全- 检查网站是否存在漏洞，如SQL注入、跨站脚本等 - 查看网站的访问日志，检测异常访问行为2.2 邮件安全- 确保邮件服务器设置了反垃圾邮件过滤和反机制- 检查邮件服务器的配置，确保只允许必要的服务- 提醒用户谨慎打开附件和邮件中的2.3 数据库安全- 检查数据库的访问控制，确保只有授权用户能够访问- 定期备份数据库，并加密存储备份文件- 检查数据库是否存在安全漏洞，如未授权访问、弱密码等3、网络安全管理3.1 安全策略和政策- 检查安全策略和政策是否与法规和标准一致- 确保安全策略和政策得到适当的执行和审计- 定期对安全策略和政策进行评估和更新3.2 员工培训和意识- 提供网络安全培训，加强员工对网络安全的意识- 向员工提供有关网络安全最佳实践的指导- 定期组织网络安全演练和测试，提高员工的应对能力3.3 漏洞管理- 定期扫描网络和系统，发现和修复存在的漏洞- 及时应用安全补丁，以防止已知漏洞被攻击利用- 建立漏洞报告和修复的跟踪机制附件：- 网络拓扑图- 防火墙配置文件- 网站访问日志法律名词及注释：- 防火墙：指一种能够控制网络中数据流动的硬件设备或软件程序，用以过滤网络流量，保护网络安全。

- SSL/TLS协议：Secure Sockets Layer/Transport Layer Security协议，一种通过互联网进行通信的加密协议，用于保护数据传输的安全。