网络防御国家标准到底说了啥
最近公司搞了一轮网络安全自查,IT 部门发了通知,要求所有员工电脑必须安装指定杀毒软件,远程访问得走 VPN,还得定期改密码。一开始我还觉得麻烦,直到听说隔壁楼那家公司被勒索病毒锁了三天数据,才明白这些规定不是瞎折腾。
其实背后有依据——国家发布的《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),也就是常说的“等保2.0”,还有《信息安全技术 关键信息基础设施安全保护要求》这些标准。它们不是给大厂看的摆设,而是每个单位都应该参考的“安全操作手册”。
办公网最常踩的坑,标准里早提醒了
很多公司用的还是默认路由器密码,Wi-Fi 名叫“TP-LINK-888”,打印机、摄像头全连在同一个网段。这种配置,黑客扫一下就能摸清家底。国标里明确写了“应实现网络分区”,比如办公区、访客区、设备区要分开,用 VLAN 或不同 SSID 隔离。
再比如,不少行政同事习惯把合同、员工花名册存在共享文件夹里,权限设成“所有人可读写”。一旦内网被突破,数据就等于摆在门口。标准要求“最小权限原则”,谁需要看谁才能看,而且要有日志记录谁动过文件。
几条硬性要求,中小企业也能落地
别一听“国家标准”就觉得高大上,很多条款其实很接地气。比如:
- 强制多因素认证:登录邮箱或财务系统不能只靠密码,得加上手机验证码或令牌。
- 日志留存不少于6个月:哪天电脑中招了,能查到是谁什么时候下的可疑文件。
- 定期漏洞扫描和补丁更新:Windows 更新总弹窗?别点“下次再说”,最好设成自动安装。
这些事看起来琐碎,但真出问题时就是救命稻草。我们公司上个月就有个钓鱼邮件,有人点了链接,但因为终端装了EDR软件,系统立刻隔离了那台电脑,没让病毒扩散。
代码配置示例:简单设置提升安全性
如果你管着公司的小型网络,下面这个路由器 ACL(访问控制列表)配置可以参考,限制外部直接访问内网设备:
<access-list 101 deny ip any 192.168.1.0 0.0.0.255>
<access-list 101 permit ip any any>
<interface gigabitethernet0/0>
<ip access-group 101 in>这段规则的意思是:禁止从外网访问 192.168.1.0 这个内网段,其他流量放行。虽然家用路由器不一定支持这么细的配置,但企业级设备基本都行。
别等被黑了才想起标准
去年有家设计公司被黑,客户图库被加密,对方要价五万赎金。后来查出来,是因为他们用的远程桌面工具(RDP)直接暴露在公网,密码还是123456。这种低级错误,国标里反复强调“不应将远程管理服务直接暴露于互联网”。
网络防御不是买个防火墙就完事,而是一套从制度到技术的组合拳。标准不会告诉你具体买哪家产品,但它划了底线:哪些事必须做,哪些风险必须堵。把这些要求拆解成日常动作,比如每月一次安全培训、每季度一次应急演练,办公网的安全底子自然就厚了。