安全检查怎么做？只有最小化原则！

背景：

什么是安全检查，安全检查就是你的监管部门对你的网络进行安全检查，检查是否符合规定（这里只聊技术性的检查），比如通过攻防演习对你的系统进行检查或者通过渗透测试对你的系统进行检查，而在被检查前作为被检查单位往往要做很多工作，防止在被检查过程中检查处很多问题，而这时有个新的名词叫：迎检，也就是迎接检查的意思，前些年迎检在运营商行业特别的常见，近些年随着国家对网络安全的重视，比如电力、金融、基础设施、大型互联网等越来越多的被自己的监管部门所检查。

面对迎检我们应该做什么？秉持一个原则：最小化原则，什么叫做最小化原则呢？不用的服务器就关掉、不用的业务系统就关掉、不用的端口就关掉（或者是白名单机制）、最后就是有漏洞的系统、网站要打补丁要修复。

秉持了上面的原则，在检查过程中才能被检查出的问题最少。

资产梳理：

什么是资产梳理呢？就是你有多少服务器，服务器ip是多少？里面放的什么业务系统等。

危险端口关闭：

知道了自己的IP资产那我们得知道每个ip上面开放了什么端口，毕竟端口代表着服务，用着得端口就开放，不用得端口就关闭。

必须要开放的端口来渗透是否安全：

以80端口为例，渗透是否安全。存在tomcat管理界面呢还，这怎么能行呢，该关还是要关哦。

总结：

所以从上面看，只要是面对检查之前的工作，首先要知道自己有什么，知道自己在被检查时必须开什么，开着的业务必须要是安全的，以这个原则来迎接检查，我相信被检查的结果应该不会差，如果你日常运维你的网络，那你的网络也会相对安全的。