网络安全审计怎么做？从摸清家底到查漏补缺的实操路径

公司刚上线了一个内部报销系统，管理员随手开了个远程桌面端口，没改默认密码；运维同事用个人邮箱注册了云备份服务，还把API密钥直接写在脚本里；财务部的Excel表传了一圈，最后发到了微信群——这些不是段子，是上周我帮一家小企业做基础审计时亲眼看到的。

先别急着装工具，先画张‘资产地图’

很多人一提审计就想到Nessus、OpenVAS扫漏洞，其实第一步根本不是开扫描器。你得知道：自己到底管着哪些东西？域名、云主机、办公WiFi、打印机IP、甚至那台连着监控系统的老旧Windows7工控机，都得列进清单。我习惯用Excel拉三栏：设备名、IP或域名、责任人。哪怕暂时找不到责任人，也先标‘待确认’。有次发现市场部悄悄买了台NAS存活动素材，连公网都能访问，这事要不是靠人工盘出来，扫描器根本不会扫到那个没备案的二级域名。

权限和配置，比漏洞更常踩雷

登录服务器后第一件事：

sudo cat /etc/passwd | grep '/bin/bash'

看有没有不该存在的高权限账号；第二件事：

sudo ss -tuln | grep ':22\|:3389'

查远程管理端口是否裸露在外网。很多企业防火墙策略写着‘禁止外部访问RDP’，结果一查，某台测试机的3389端口早被映射出去了三个月。还有数据库配置文件里明文写的root密码，这类问题在代码仓库历史提交里翻两页就能挖出来。

日志不是摆设，关键看谁在什么时候动了什么

打开Linux的/var/log/secure，过滤关键词：

grep 'Failed password' /var/log/secure | tail -20

如果每分钟都在刷失败记录，说明有人在暴力碰密码；再查/var/log/auth.log里sudo执行记录，看财务系统导出报表的操作是不是总由同一个非财务人员触发。某次审计发现，HR系统导出全员身份证号的操作，连续两周都是IT助理账号执行的——一问才知道，他帮人事部写了自动化脚本，但脚本权限开得过大，顺手把所有字段全导出来了。

人，才是审计里最活的变量

抽三五个员工，不聊技术，就问：‘收到带发票附件的邮件，你会直接点开吗？’‘U盘插进电脑前会先杀毒吗？’答案往往比漏洞报告更刺眼。有家公司全员培训过钓鱼邮件识别，结果暗访时发一封标题为‘工资条已更新’的测试邮件，点击率仍超65%。后来他们在邮件网关加了强制水印‘此为模拟测试’，两周后点击率掉到12%。审计不是找人背锅，而是让防护措施真正贴着人的行为习惯长出来。