上周帮朋友公司查一桩怪事:财务部的U盘插进内网电脑后,第二天整条财务线就卡得像老式拨号上网。查了半天,发现是没禁用USB自动运行,又没部署终端行为审计——说白了,不是技术不行,是策略没跟上。
策略不是写在PPT里的漂亮话
很多企业花大价钱买防火墙、EDR、零信任网关,可策略文档还停留在“员工不得访问非法网站”这种模糊表述。结果呢?运维半夜接到告警,发现某台开发机正往外传数据库备份文件,而策略里压根没规定开发环境的数据导出审批流程。
先理清三件事,再动笔写策略
谁在用?前台文员和DBA对系统的操作权限天差地别。策略里如果只写“禁止高危操作”,那文员删个Excel和DBA执行DROP TABLE,风险等级能一样吗?得按角色划清边界。
数据在哪?客户手机号存在CRM里,但销售私存的微信聊天截图可能就在个人笔记本硬盘上。策略必须覆盖终端设备、云存储、协作工具这些“影子IT”常驻地。
出了事怎么收场?某电商公司曾因未在策略中明确勒索软件响应步骤,导致感染后6小时还在争论“要不要报备”。策略里得写清楚:谁在5分钟内断网?谁负责验证备份可用性?备份恢复时限是2小时还是4小时?
一份能落地的策略,长这样
比如针对远程办公场景,可以这么写:
【终端接入】
- 所有员工笔记本必须安装统一MDM客户端,启用全盘加密(BitLocker或FileVault);
- 禁用未授权USB设备(通过组策略或Jamf配置),例外需提交IT审批并记录原因;
- 家用Wi-Fi接入公司内网前,必须通过ZTNA网关认证,且会话超时时间≤15分钟。再比如数据库操作:
【敏感数据访问】
- 查询客户身份证号、银行卡号等字段,需双人审批+操作留痕;
- 任何导出动作触发实时告警,并冻结该账号30分钟;
- 每季度由安全团队抽样回溯10%的导出日志,检查审批单与实际操作是否一致。别让策略变成“僵尸文档”
某制造企业把策略印成红皮书发给各部门,结果半年后发现采购部还在用共享账号登录ERP。后来他们改了做法:把策略关键条款嵌入OA审批流——申请开通新系统权限时,系统强制弹出对应策略条款并要求勾选确认;每次修改策略,全员邮件附带变更对比表(标红新增/删除项),同时更新ITSM知识库中的关联工单模板。策略活了,人自然就跟着动了。
策略不是贴在墙上等检查的装饰画,而是每天打开电脑、点击按钮、输入密码时,背后那根看不见的准绳。