老张家孩子上网课总卡顿,他一气之下把路由器密码改成‘12345678’,还顺手关掉了防火墙——结果第二天发现百度首页跳转到了不明博彩站。这事儿听着离谱,但现实中真不少见。网络安全策略不是IT部门贴在机房门口的那张A4纸,它得能落地、能管用、能跟着你的网络一起长。
先搞清楚你防的是谁
有人觉得装个杀毒软件+开个防火墙就万事大吉,其实漏了关键一步:没想明白自己到底要防什么。是隔壁蹭网的老王?还是批量扫端口的黑产机器人?又或者就是自家熊孩子乱点广告链接?不同目标,策略差得远。小餐馆用Wi-Fi点单,重点该防未授权接入和数据明文传输;而财务部电脑,就得加上U盘禁用、屏幕水印、操作日志留存。
策略不是写完就扔抽屉里
见过太多企业花几万块请人写了厚厚一本《网络安全策略手册》,最后连IT主管都没翻完第三章。真正有用的策略,得拆成能执行的动作。比如:
• 办公Wi-Fi必须启用WPA3加密,密码长度≥12位,每季度轮换一次;
• 所有Windows电脑启用BitLocker全盘加密(尤其带客户资料的笔记本);
• 外发邮件含Excel附件时,自动触发敏感词扫描,命中即弹窗二次确认。
从路由器开始动手
别小看家里或小店那个小盒子。登录192.168.1.1后,三件事马上做:
1. 把默认管理账号admin/admin换成带大小写字母+数字的组合;
2. 关掉WPS一键连接(这个功能常年被爆漏洞);
3. 开启“访客网络”,并单独设置一个弱一点但隔离的SSID,手机、智能音箱都连它,主网只给电脑和NAS用。
命令行也能帮大忙
Linux服务器上,一条命令就能堵住常见入口:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP策略得跟着设备走
去年有家设计工作室丢了客户源文件,查来查去发现是设计师用个人iPad连公司NAS传图,iPad没设锁屏密码,借给朋友打游戏时被装了远程控制木马。后来他们加了一条硬规定:所有能访问核心存储的终端,必须开启生物识别+自动锁屏≤2分钟。听起来麻烦?可比重做三个月项目便宜多了。
策略不是越厚越好,而是越准越省心。今天改一个路由器密码,明天关一个没用的服务端口,后天给员工讲清钓鱼邮件怎么认——这些动作堆起来,比等出事再买应急服务靠谱得多。