公司刚上线一套新OA系统,IT小哥把权限一开、日志一关,觉得万事大吉。结果三个月后审计组上门,翻出37条操作日志缺失记录——系统没留痕,责任算谁的?
不是所有“能用”都等于“合规”
很多管理员习惯性把系统设置当成“调好就行”的技术活:用户能登录、文件能上传、界面不报错,就点保存退出。但《网络安全法》第二十一条明确要求:网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按规定留存相关的网络日志不少于六个月。
换句话说,你在“系统设置→安全日志”里随手关掉的“记录用户登录失败次数”,可能就是审计时的第一张罚单。
常见设置雷区,对照自查
1. 密码策略形同虚设
勾选了“启用密码复杂度”,却把最小长度设成4位、过期时间设成365天。而《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》规定:三级系统口令长度≥8位,且需包含大小写字母、数字、特殊字符四类中的三类。
2. 审计日志被自动清理
不少Windows Server默认开启“当日志达到XXMB时覆盖旧事件”。这直接违反《数据安全法》第三十条——重要数据处理者应采取日志记录等技术措施保障数据安全可追溯。
3. 权限分配“一人多角”
让运维同事同时拥有系统管理员、数据库管理员、应用发布员三个角色。《等保2.0》管理要求中强调“权限分离”,比如开发、测试、生产环境账号必须严格隔离,不能共用同一套凭据。
几行命令,守住基础合规线
Linux服务器上快速检查日志留存周期(以rsyslog为例):
$ sudo grep -i "maxsize" /etc/rsyslog.conf
$ sudo grep -i "rotate" /etc/logrotate.d/rsyslog若发现 maxsize 100k 或 rotate 1,说明日志几乎不留存——建议改为 maxsize 100m 和 rotate 12(保留1年)。
Windows组策略中强制启用详细审核策略路径:计算机配置 → Windows设置 → 安全设置 → 高级审核策略配置 → 系统审计策略
至少勾选“账户登录”“对象访问”“特权使用”三项。
合规不是加一堆锁,而是让每项设置有据可查、有迹可循。下次打开系统设置页面,别急着点确定——先问一句:这个开关,审计组看得见、读得懂、验得过吗?