数据留存时间不够,一查就出事
很多公司以为日志随便保存几个月就行,结果在合规审计时被直接打脸。比如某电商公司因为只保留了45天的操作日志,而行业规定要求至少180天,导致无法追溯一次异常登录事件,最终被判定为不合规。系统日志、访问记录、权限变更这些数据,不是留着“好看”的,真出事时就是证据。
权限管理混乱,谁都能碰核心系统
财务系统的数据库管理员账号居然被市场部的人用过,这种事听起来离谱,但在中小公司并不少见。临时开通权限不收回,离职员工账号没注销,多人共用一个高权限账户……这些问题在审计眼里都是明晃晃的风险点。权限最小化原则不是摆设,每个操作都得能追到具体人。
没有完整的变更记录,系统改了啥说不清
服务器配置突然变了,没人记得是谁什么时候动的。这种情况在运维紧急处理问题后特别常见。但合规审计要的是可追溯性,任何变更——不管是升级软件、调整防火墙规则,还是增删用户——都必须有记录。建议用自动化工具生成变更日志,避免靠人肉回忆补材料。
加密措施形同虚设
有些企业号称“全程加密”,结果数据库连接用的还是明文密码。更夸张的是,把密钥直接写在代码里,还上传到了公共代码仓库。正确的做法是使用密钥管理服务(KMS),并通过环境变量注入。例如:
const dbConfig = {
host: process.env.DB_HOST,
user: process.env.DB_USER,
password: process.env.DB_PASSWORD
};这样即使代码泄露,关键信息也不会裸奔。
员工培训走过场,安全意识跟不上
制度写了一大堆,但员工根本不知道。比如要求定期改密码,结果大家就在便签上写着“Password123”贴显示器旁边。审计不只是查系统,还会随机访谈员工。问到“发现可疑邮件该怎么办”,如果回答是“先打开看看”,那基本就挂了。定期做钓鱼邮件演练,比发十遍通知都管用。
第三方接入没管住,风险从外部杀进来
现在系统都爱接各种SaaS服务,CRM、云存储、支付接口……但很多人忘了评估这些第三方是否合规。某公司用了境外的客服系统,结果客户数据被传到国外服务器,违反了本地数据出境规定。接入前必须签好数据处理协议,明确责任边界,不能图省事跳过安全评审。