公司做完一次网络安全合规审计,报告一出,大家松了口气。可没过两个月,同样的问题又冒了出来——Wi-Fi认证方式还是用的WEP,访客网络没做隔离,日志留存也不足180天。这些问题其实在上次审计里就提过,但没人跟进,结果变成了‘年年查,年年犯’。
审计不是终点,整改才是开始
很多团队把合规审计当成一场考试,考完就翻篇。其实更关键的是后续跟踪。比如你在办公室部署了一套新的无线组网系统,支持802.1X认证和RADIUS服务器对接,这很好,但审计报告建议三个月内关闭所有WPA2-PSK的旧SSID,这个动作有没有人负责?有没有设定截止时间?有没有复查机制?
一个简单的做法是建立整改清单。每条审计发现对应一个责任人和完成时间。例如:
- 问题:访客Wi-Fi与内网未隔离
责任人:网络运维张工
计划完成:2024-03-15
状态:已关闭vlan100,新增guest-vlan200
技术手段辅助跟踪
光靠表格容易遗漏,可以结合自动化工具。比如用脚本定期扫描AP配置,检查是否有不合规的SSID被重新启用:
#!/bin/bash
for ap in $(cat ap_list.txt); do
ssh admin@$ap "show wlan ssid" | grep -i wpa-psk
done如果输出非空,就说明有人私自改了配置,系统可以自动发邮件提醒负责人。这种机制在连锁门店场景特别有用——总部定了标准,但各地店员为了‘方便客户’悄悄开了个老式热点,时间一长就成了漏洞。
让跟踪变成日常习惯
某科技公司在每次月度网络巡检中加入一条固定项:核对上季度审计整改项是否仍有效。他们发现,有次防火墙策略被回退,是因为一次紧急故障处理时临时关闭了ACL,事后忘了恢复。要不是这次复查,可能到下轮审计才发现。
合规不是贴在墙上的证书,而是每天打开管理界面时能看到的实际配置。无线网络天天在变,设备会增减,人员会流动,只有把后续跟踪嵌入日常运维流程,才能真正守住底线。