公司新上了一套办公系统,刚上线就被人蹭进了内网,查来查去发现是验收时压根没卡住安全底线。很多人以为系统能跑通就行,其实网络安全验收这一步没走好,后面隐患一大堆。
先搞清楚谁在用、数据多敏感
定标准不是抄模板就完事。你得先问自己:这系统是给财务用的?还是对外服务的客户平台?如果是存员工薪资、客户身份证号这种高敏信息,那加密传输、权限隔离一条都不能少。普通内部公告系统反而可以适当放宽,毕竟风险等级不一样。
基础项必须拉清单
别等到出事才补漏。验收前先把硬性条件列出来,比如:
- 登录有没有验证码或双因素认证
- 密码是否强制复杂度(至少8位,含大小写+数字)
- 后台管理地址能不能被公网直接搜到
- 日志有没有记录登录失败和关键操作
这些看似琐碎,但往往是黑客最先下手的地方。之前有家小店用的进销存系统,后台路径就是admin.php,没做访问限制,三天就被扫库拖走了全部客户数据。
扫描工具跑一遍,问题藏不住
手动检查容易漏,上工具更靠谱。像 OWASP ZAP 或者国内的安恒明御都可以免费用来扫一遍网站。它会自动提示哪里存在SQL注入、XSS漏洞,甚至告诉你cookie有没有加Secure标记。
zap-cli quick-scan --scanners xss,sqli,csrf http://test-site.com这条命令就能快速检测常见Web漏洞。发现问题别急着上线,先让开发修完再过一遍。
权限最小化,别当“全开选手”
很多系统默认给所有员工读写权限,美其名曰“方便协作”,实则等于把钥匙挂门口。验收时一定要确认:普通员工只能看自己该看的数据,管理员账号有没有独立审计通道。比如人事系统里,销售员不该能看到薪资明细表。
留一手——应急方案也得验
万一真被攻破了怎么办?验收时要确认有没有备份机制,日志能不能追溯攻击路径。曾经有个企业网站被篡改首页,结果发现日志只保留三天,根本查不到是谁干的。建议明确要求:操作日志保留不少于180天,关键数据每天自动备份。
网络安全验收不是走过场,而是给系统穿盔甲的过程。标准怎么定?从实际用途出发,抓重点、列清单、用工具、留后路,一步步把风险挡在门外。