权限不是越多越好
公司刚招了个新员工,IT 给配电脑时顺手开了全网权限。结果没两天,财务系统被误删了一堆文件——人没错,就是不小心点进了不该进的目录。这种事在中小公司太常见了。网络访问控制不是搞监控,而是划边界,谁该看什么、能动什么,得清清楚楚。
基于角色的访问控制(RBAC)最实用
把员工按岗位分组,每个组能访问的资源提前设定好。比如销售部只能看客户管理系统,不能碰人事档案;研发团队可以进代码仓库,但没法登录生产服务器。这样哪怕账号泄露,影响范围也有限。
实际配置时,可以用 Active Directory 或 LDAP 做用户分组,配合防火墙策略或 IAM 工具下发规则。例如在 Windows 环境中通过组策略限制文件夹访问:
\server\finance - 仅允许 Finance 组读写
\server\hr - 仅允许 HR 组访问零信任:默认谁都别信
传统内网总以为“进了门就是自己人”,但现在办公环境复杂了,远程接入、外包人员、访客 WiFi 都可能成为突破口。零信任模型要求每次访问都要验证身份和设备状态,哪怕你坐在办公室连着内网。
比如员工用笔记本连入公司 Wi-Fi,系统会先检查设备是否有最新补丁、是否安装指定杀毒软件,通过后才放行对内部系统的访问。Google 的 BeyondCorp 就是这类思路的典型应用。
网络分段隔离风险
把大内网拆成几个小区域,像财务网段、研发网段、办公网段之间设防火墙。即使某个终端中了蠕虫,也不至于全网瘫痪。常见的做法是用 VLAN 划分不同部门,再通过 ACL 控制跨区通信。
举个例子,前台电脑根本不需要访问数据库服务器,那就在交换机上封掉对应端口。简单一招,能挡住不少自动化攻击。
临时权限也能精细化管理
有时候确实要开特例,比如审计期间让外部顾问查几天日志。这时候别直接给永久权限,用带时限的临时账户更安全。有些 IAM 系统支持“审批 + 自动回收”流程,申请通过后权限只生效 72 小时,到期自动作废。
就像借钥匙,以前是复制一把给人带走,现在是给个电子密码,用完就失效,不怕忘收。
日志别只用来背锅
很多公司只在出事时才翻日志,其实平时就可以靠它发现问题。比如某员工账号凌晨三点突然批量下载设计图纸,系统应该自动告警。结合 SIEM 工具做行为分析,能把被动防御变主动拦截。
关键是把访问记录存够时间,至少保留 90 天以上,符合等保要求的同时也方便追溯。