公司新装了一台防火墙,网管说‘边界安全搞定了’;IT 部门发了条通知,要求大家改密码、不点陌生链接;行政部又贴出告示:‘办公电脑禁止安装软件’。结果某天勒索病毒从销售部一台没打补丁的笔记本蔓延到财务服务器——这时候,到底该找谁?
边界不是一堵墙,而是一条责任线
很多人以为‘网络边界’就是公司出口那台防火墙,只要它开着、规则设得严,就万事大吉。其实不然。真正的边界在变:员工用手机连公司 Wi-Fi 开视频会议,是边界;外包人员用个人电脑远程接入内网系统,是边界;甚至前台打印机连着内网、又被插上U盘拷文件,也是边界。
所以‘责任划分’不是划地盘,而是看数据流经哪一环、谁有能力干预、谁实际在操作。
常见场景里的责任落点
场景1:公司官网被挂马
攻击者利用CMS漏洞上传恶意脚本。这时,运维团队负责服务器和Web应用层防护(如WAF策略、权限控制),开发团队要对代码做输入校验和更新补丁,而安全团队需定期扫描并通报风险。如果开发写了不校验的表单接口,运维却没开WAF防SQL注入——责任不在‘谁没配防火墙’,而在‘谁放行了这段没过滤的数据’。
场景2:员工电脑中木马,反向连接内网数据库
这台电脑没装EDR,也没强制域控策略,连杀毒软件都是试用版。IT部门负责终端基线管理(比如统一部署、自动打补丁),部门主管有义务监督下属不随意插U盘、不运行来路不明的EXE;而员工本人,至少得知道‘双击.exe前要点右键看属性’——这不是道德要求,是边界上最基础的一道闸口。
责任能写进配置里,也能写进流程里
有些责任可以固化成技术动作。例如,在AD域中限制普通用户无法启用远程桌面:
net localgroup "Remote Desktop Users" /delete "Domain\Users"
再比如,通过DHCP Option 119 设置DNS域名搜索列表,避免员工手动填错内网地址导致绕过DNS审计:
# 在dhcpd.conf中添加
option domain-search "corp.local", "dev.corp.local";
而另一些责任必须靠流程兜底:新员工入职当天,账号开通、终端入网、安全培训视频观看记录、MFA绑定,全部完成才能访问OA系统——少一个环节,边界就漏一处。
别让‘都负责’变成‘都不管’
某次渗透测试发现,邮件网关没开启附件宏扫描,但邮件系统归运维管、终端防病毒归IT管、员工培训归HR管——三方都说‘不归我主责’。后来查日志才发现,邮件网关的升级包一直躺在共享盘里没人推,因为‘等安全组确认策略’,而安全组说‘等IT提供环境清单’……边界没破,流程先断了。
真正有效的责任划分,是把‘谁在什么条件下必须做什么’嵌进日常动作里:防火墙策略变更必须关联Jira工单并抄送安全组;每台办公机重装系统后,自动执行脚本检查BitLocker是否启用、Windows Defender是否开启实时防护;就连打印服务器的管理后台,登录失败5次就锁IP并微信告警给管理员。
边界安全不是拼图游戏,不是凑齐防火墙、WAF、EDR、SOC就算完工。它更像一条流水线——上游松了螺丝,下游哪怕多加三道卡扣,产品照样掉地上。