Posted in 安全

网络安全检查清单(2026版)|等保合规自查必备Checklist

 2026年5月22日

摘要:一份覆盖11大安全领域、100+检查项的企业网络安全自查清单,涵盖网络基础设施、远程访问、身份认证、数据保护、备份恢复、安全监控与应急响应等核心维度,适用于等保合规评估、年度安全检查及安全审计场景。

使用方式:☐ 打勾确认 ☐ 标注整改 ☐ 作为年度/季度安全检查清单

开篇:这份清单能帮你解决什么问题?

Q:企业网络安全检查应该覆盖哪些方面?

A:一个完整的企业网络安全检查应覆盖以下11大领域:网络基础设施安全、远程访问与VPN安全、无线网络安全、身份认证与访问控制、特权账户管理、数据保护与加密、备份与灾难恢复、终端与服务器安全、日志监控与检测、安全事件响应、员工安全意识。以下清单参照等保2.0及ISO 27001框架设计,适用于大多数企业的年度自查场景。

Q:这个清单与等保合规有什么关系?

A:本清单的多项检查项与等保2.0(GB/T 22239-2019)的安全要求直接对应,可作为等保定级前的自查工具,也可作为年度安全审计的基础框架。

一、网络基础设施安全(Network Infrastructure)

网络基础设施是企业安全的第一道防线。防火墙配置不当和公网暴露面过大是外部攻击最常见的突破口。

☐ 是否部署并正确配置防火墙(默认拒绝策略)
☐ 防火墙规则是否定期审查与最小化
☐ 防火墙与网络设备固件是否保持最新
☐ 是否部署IDS/IPS或等效入侵检测防御机制
☐ 是否对关键网络段进行流量监控
☐ 是否对公网暴露服务进行最小端口开放
☐ 是否启用DDoS防护或具备应急能力
☐ 网络是否进行合理分段(VLAN/子网隔离)

二、远程访问与VPN安全(Remote Access & VPN)

远程访问是混合办公时代风险最高的入口之一。多因素认证(MFA)和强加密协议是基本要求。

☐ 是否所有远程访问均通过VPN或安全通道
☐ VPN是否使用强加密协议(如TLS/IPsec)
☐ VPN登录是否启用多因素认证(MFA)
☐ 是否限制VPN接入设备类型
☐ 是否记录并审计远程访问日志
☐ 是否定期审查VPN账户有效性

三、无线网络安全(Wireless Security)

无线网络是企业内网的延伸攻击面,访客网络未隔离是常见的横向移动跳板。

☐ 是否使用WPA2/WPA3加密标准
☐ 是否修改无线设备默认账号与密码
☐ 是否关闭不必要的SSID广播
☐ 是否对访客网络与内部网络进行隔离
☐ 是否限制未知设备接入无线网络
☐ 是否定期检查无线设备配置

四、身份认证与访问控制(Access Control)

身份是新的边界。最小权限原则(PoLP)和基于角色的访问控制(RBAC)是权限管理的两大基石。

☐ 是否实施强密码策略(长度、复杂度、轮换)
☐ 是否启用多因素认证(尤其是管理员账户)
☐ 是否禁用默认或共享账户
☐ 是否执行最小权限原则(PoLP)
☐ 是否采用基于角色的访问控制(RBAC)
☐ 是否定期审查用户权限
☐ 离职或岗位变更人员权限是否及时回收

五、特权账户管理(Privileged Access)

特权账户是攻击者的终极目标。特权操作必须可追溯、可审计。

☐ 是否区分普通账户与特权账户
☐ 特权账户是否仅在必要时使用
☐ 是否记录特权操作日志
☐ 是否限制特权账户登录来源
☐ 是否定期审计管理员行为

六、数据保护与加密(Data Security)

数据分类分级是数据保护的前提——不知道哪些数据是敏感的,就谈不上保护。

☐ 是否建立数据分类分级制度
☐ 是否明确哪些数据属于敏感/关键数据
☐ 是否对敏感数据进行静态加密
☐ 是否对数据传输过程进行加密
☐ 是否集中管理加密密钥
☐ 是否部署数据泄露防护(DLP)措施
☐ 是否限制敏感数据外发与下载

七、备份与灾难恢复(Backup & DR)

3-2-1备份原则是最低标准:3份副本、2种介质、1份异地。备份不验证恢复能力≈没有备份。

☐ 是否定期备份关键系统与数据
☐ 是否遵循3-2-1备份原则
☐ 是否将备份与生产环境隔离
☐ 是否对备份数据进行加密
☐ 是否定期测试数据恢复能力
☐ 是否有勒索软件应急恢复方案

八、终端与服务器安全(Endpoint & Server)

终端是攻击最常见的初始入口,服务器是数据的最终目标——两端都需要基线加固。

☐ 是否在所有终端部署防病毒/EDR
☐ 是否启用自动更新与补丁管理
☐ 是否限制终端本地管理员权限
☐ 是否禁用不必要的服务与端口
☐ 是否监控异常进程与行为
☐ 是否对服务器进行基线加固

九、日志、监控与检测(Monitoring & Logging)

看不见的攻击就无法响应。集中日志管理+异常告警是安全检测的基础能力。

☐ 是否启用关键系统日志记录
☐ 是否集中收集日志(日志服务器/SIEM)
☐ 是否对异常行为进行告警
☐ 是否保留日志满足合规要求
☐ 是否定期审查安全事件记录
☐ 是否具备威胁关联分析能力

十、安全事件响应(Incident Response)

应急响应不是“出事了再想”,而是“出事了按流程做”。演练是检验流程的唯一标准。

☐ 是否制定正式安全事件响应流程
☐ 是否明确响应角色与职责
☐ 是否建立内部通报与升级机制
☐ 是否定期开展应急演练
☐ 是否有外部取证与支持渠道
☐ 事件处理后是否进行复盘改进

十一、员工安全意识(Security Awareness)

人是最薄弱也最重要的安全环节。每年至少一次全员安全意识培训是基本要求。

☐ 是否定期开展安全培训
☐ 是否进行钓鱼邮件演练
☐ 是否教育员工识别社会工程攻击
☐ 是否明确违规行为处罚规则
☐ 是否将安全责任纳入员工考核

使用建议

  1. 打勾≠安全:每个打勾项背后应是可验证的配置记录、日志或制度文件,而非主观判断。

  2. 优先级管理:标注为“整改”的条目应排入风险整改计划,按影响程度和利用难度排优先级。

  3. 定期复盘:建议每季度对照清单自查一次,每年进行一次全面安全审计。

  4. 参考依据:本清单参照等保2.0(GB/T 22239-2019)和ISO 27001信息安全管理体系框架编制,可作为合规评估的辅助工具。

本清单最后更新于2026年5月。安全实践随威胁形势持续演进,建议定期关注更新版本。

作者:豫说网数安;优化:游侠安全网

相关内容: