网络安全策略制定实战指南

上周帮朋友公司查一桩怪事：财务部电脑突然连不上内网，但打印机还能用，邮件也能收——查了半天，发现是IT刚给全员推送了新防火墙规则，把财务系统用的某个老端口默认关了。没人提前写进策略文档，也没人测试过影响范围。

策略不是写完就扔进抽屉的PPT

很多团队把“网络安全策略制定”当成应付等保检查的任务，花三天写个《XX公司网络安全管理办法》，盖章归档，然后继续用同一个管理员账号跑全部业务系统。真出问题时，第一反应是“谁动了服务器？”，而不是“策略里哪条没执行？”

好策略得能落地。比如规定“员工不得在办公电脑安装非授权软件”，就得配套明确：谁审批？怎么分发白名单？U盘插进来自动弹窗提醒还是直接拦截？这些细节不写进策略，等于没写。

别急着列条款。打开一张白纸（或在线协作文档），只干一件事：画出你真正管得着的地方。

——前台接待用的iPad，连的是访客WiFi，能访问公司邮箱吗？不能。那策略里就得写死：“访客网络与内部业务系统物理隔离，禁止通过NAT或代理转发流量”。

——销售同事的笔记本常连咖啡馆WiFi，策略里光写“禁止使用公共网络处理客户数据”没用，得配上具体动作：“所有外勤设备必须启用全盘加密+强制VPN接入，断开VPN后自动锁定屏幕并清除剪贴板内容”。

某电商公司曾发生过客服组长误删促销数据库的事。查日志发现，她有DBA账号，因为“方便处理突发订单问题”。策略里写着“按需分配权限”，但没定义“需”到底指什么场景、持续多久、谁来复核。

建议在策略中加入动态条款，例如：

临时提权申请须经直属主管+信息安全员双审批；
单次有效期不超过4小时；
操作全程录屏并存档30天；
权限到期自动失效，不可手动续期。

我们见过最实在的做法：把策略关键条款做成检查清单，嵌入日常流程。

新员工入职IT培训最后一关，是现场登录测试系统，完成三项操作：修改初始密码、绑定手机验证、确认已阅读《远程办公安全须知》（带电子签名）。这三项做完，HR系统才解锁转正流程。

每次发布新应用前，运维必须勾选策略对照表里的12项，其中第7条是：“是否已配置失败登录5次后锁定账户？是否记录源IP及设备指纹？”。少勾一项，发布流程卡住。

策略的生命力不在字数，在它能不能被看见、被用上、被较真。