上周老张的汽修厂网站被黑了,首页变成赌博广告,客户电话打爆。他急急忙忙找人重装系统、换密码,以为完事了——结果三天后又被黑,还收到网信办发来的《责令整改通知书》。不是黑客太狠,是他压根没按‘网络应急响应合规要求’走流程。
什么叫‘合规的应急响应’?
不是发现异常就猛删日志、关服务器、换密码就完事。合规响应,是有一套动作标准:发现、报告、分析、处置、恢复、复盘,每步都有时间点和留痕要求。比如《网络安全法》第25条、《数据安全法》第29条,都明确要求‘立即启动应急预案,并按规定向主管部门报告’。
中小单位最容易踩的3个坑
坑一:不报或晚报
很多老板觉得‘自己搞定就行’,拖两天才告诉网信部门。但《网络安全事件应急预案》规定:特别重大、重大事件必须1小时内口头报告,2小时内提交书面初报。上个月某教育机构勒索病毒爆发,因超时未报,被通报批评+限期整改。
坑二:日志不留、留不全
应急时第一反应是清空/var/log/,以为能‘擦干净’。错!合规要求保留原始日志至少6个月,包括防火墙、WAF、服务器登录、数据库操作记录。没有完整日志,连攻击路径都还原不了,更别说追责或取证。
坑三:没预案、没演练
翻出电脑里那份三年前写的《应急预案》,打开全是‘待补充’‘详见附件’。合规不是有文档就行,得每年至少开展1次实战演练(哪怕只是模拟钓鱼邮件+断网+查日志),并留存演练记录表、截图、改进清单。
实操建议:三步快速落地
① 先建一个简易响应清单
打印贴在工位旁,包含:
• 谁来判断是否启动应急(如:运维负责人)
• 向谁报(本地网信办电话、公安网安支队邮箱)
• 第一时间要保什么(数据库备份时间点、核心服务器快照)
② 日志自动归集,别靠手拷
用免费工具就能起步,比如rsyslog + ELK轻量版,把所有设备日志统一推到一台内网服务器:
template(name="syslog-to-elastic" type="string" string="%TIMESTAMP% %HOSTNAME% %syslogtag% %msg%\n")
*.* @@192.168.10.50:5044;syslog-to-elastic只要配置一次,以后新增服务器加一行IP就行。
③ 每季度‘自检’一次
打开防火墙规则表,看有没有长期开着的3389(远程桌面)、22(SSH)端口;检查员工电脑是否装了非授权远程控制软件;抽查3台终端的杀软更新日期——这些就是监管现场检查最常问的问题。
合规不是给IT加活儿,是帮你在出事时少挨骂、少罚款、少丢客户。黑一次不可怕,黑完还被罚两次,才真伤元气。