公司刚做完一次内部系统升级,结果没几天就被监管部门找上门,原因是日志保存时间不够,用户数据访问记录缺失。这种情况并不少见,很多企业在网络安全上投入不少,却因为忽略了合规细节,最后吃了罚单。
合规不是选择题,而是必答题
现在做企业,不管是开个电商平台还是搞个SaaS服务,只要系统连着互联网,就得遵守《网络安全法》《数据安全法》和《个人信息保护法》这三大基本法规。比如你网站上收集了用户的手机号、身份证信息,那就得说明用途,还得让用户能查、能删、能撤回授权。这不是“最好有”,是“必须有”。
常见的合规要求长什么样?
拿等保2.0来说,三级系统每年要做一次等级测评,还要定期做漏洞扫描和应急演练。如果你的系统被划为三级,但从来没做过渗透测试,那基本就是踩线运行。还有数据分类分级,不能把所有数据都当普通信息处理。客户订单可以公开展示,但支付记录和身份证照片就得加密存储,访问权限也得严格控制。
再比如GDPR,虽然主要管欧洲,但只要你服务的对象里有欧盟居民,就得遵守。有个做外贸的小公司,网站支持英文下单,结果被一个德国用户投诉没有提供数据导出功能,最后赔了一万多欧元。问题不大,但代价不小。
策略要落地,不能只写在纸上
很多公司都有《网络安全管理制度》,厚厚一本,但员工连登录密码多久换一次都不知道。制度得拆解成具体动作。比如规定“远程访问必须用双因素认证”,那就得在VPN系统里实际配置好短信验证码或动态口令,不能只靠自觉。
访问控制策略也一样。财务系统的数据库,不该让开发人员随便连。可以通过网络隔离和账号权限限制来实现。下面是常见的最小权限配置示例:
role: db_reader
permissions:
- SELECT
tables: [user_info, order_log]
role: developer
permissions:
- SELECT, INSERT, UPDATE
tables: [test_data, log_buffer]日志和审计,别等到出事才补
系统被黑了,第一件事是查日志。但如果日志只存了7天,而攻击是两周前开始的,那就啥也查不到。合规要求里明确写着:关键日志至少保留180天。包括登录行为、权限变更、数据导出操作,都得记下来,而且不能被普通员工删除。
有家公司发现数据库被人导出了全部用户信息,追查时发现运维小王为了“节省空间”,每个月手动清一次日志。这看似是帮忙,实则让事后追溯成了空谈。
别让第三方拖后腿
现在系统都依赖外部服务,比如用云服务商存文件,用第三方SDK做推送。但你的合规责任不会因为用了别人的服务就消失。和供应商签合同时,得明确对方也要符合安全标准,比如通过ISO 27001认证,或者支持数据本地化存储。
某教育平台用了一家便宜的短信服务商,结果对方服务器被攻破,连带泄露了学生手机号。监管认定平台方未尽到审查义务,照样处罚。
合规是个持续过程
政策会变,系统会升级,人员会流动。去年合规的事,今年未必还合规。建议每季度做一次策略复核,看看现有措施是否还满足最新要求。比如最近出台的《网络数据安全管理条例(征求意见稿)》,对数据出境提出了更细的要求,涉及跨境业务的企业就得提前调整。
安全策略不是贴在墙上的标语,而是每天都在运行的规则。做得好,可能没人注意到;一旦出事,那就是大问题。