网络安全策略更新检查清单 - 知用网网络安全指南

每次系统出问题，最先该查什么？

上周隔壁公司财务收到一封“领导急要”的付款单，点开附件后整个内网被加密，事后发现是旧版邮件过滤规则没拦住伪装发件人。这种事不是偶然，很多攻击都是钻了策略更新不及时的空子。

新员工入职时给的临时权限，三个月后还在用；离职人员账号迟迟没停用；部门调动后仍保留原系统访问权……这些在策略检查时最容易被忽略。每季度做一次权限复核，按“最小必要”原则清理，比买高级防火墙更管用。

还在允许“123456”或“company2020”这类密码？现在撞库工具几秒就能破解八位纯数字。强制启用大小写+数字+符号组合，限制重复使用最近五次的密码，并推动多因素认证落地。小公司可以用免费的 Google Authenticator，大企业可对接短信或硬件令牌。

销售部老王经常插U盘给客户传资料，但没人告诉他这台电脑禁止外部存储设备接入。通过组策略或终端管理软件锁死非授权设备，或者只允许可信设备（基于硬件ID白名单）。不然一个带毒U盘就能绕过所有网络防线。

服务器每天生成几百兆日志，但没人配置告警规则。建议用 ELK 或阿里云SLS 设置关键事件触发通知，比如连续五次登录失败、非工作时间的数据导出、管理员权限变更等。别等到数据被拖走才翻记录。

去年接的CRM系统API密钥至今没轮换，合作方换了技术团队也没重新评估权限。所有外部接口应设定有效期，每年至少审核一次调用范围和数据流向。就像租房到期要重新签合同，不能任其自动续期。

文件柜里那份《网络安全应急预案》自从打印出来就没动过。半年组织一次模拟演练，比如假装数据库被勒索，测试备份恢复速度、通知链条是否畅通、对外声明模板能否快速启用。实战才能暴露流程断点。

还在讲“不要点陌生链接”，但新型钓鱼已经伪装成钉钉消息、会议邀请二维码甚至语音电话。把近期真实案例做成5分钟短视频，在月会前播放。让员工自己说出哪里可疑，比单向灌输有效得多。

GDPR、个人信息保护法、等级保护2.0……法规更新后，策略文档也要跟着改。特别是数据出境、留存期限、用户授权这几块，法务和IT得坐在一起逐条对齐，避免业务部门无意违规。

每周自动备份一次，但从没试过还原。找个非高峰时段做一次完整恢复测试，看看关键系统能在多久内跑起来。同时确认备份文件本身是否加密，防止被反向利用。

每次修改策略都应在内部Wiki或运维日志中登记：谁改的、何时改的、依据是什么。某天出事时，这能帮你快速定位是不是最近某项调整引入了风险。

网络安全不是装个杀毒软件就一劳永逸。策略更新就像定期体检，查的是看不见的隐患。把这张清单打出来贴在工位边上，每季度对照过一遍，心里才踏实。