前两天刷朋友圈,看到同行老张发了一条动态:‘三年没出事,一查就被罚十万,就因为没做漏洞扫描?’配图是一张行政处罚通知书。评论区炸了锅,有人同情,有人吐槽,更多人问:现在不做漏洞扫描真的会挨罚?
真不是吓唬你,这事已经发生了
去年底,深圳一家中型互联网公司被网信办查了。原因听起来挺简单:系统上线半年,从没做过一次正规的漏洞扫描。更糟的是,他们用的还是某个开源CMS,后台路径都没改,黑客顺着默认路径就把用户数据拖走了。事发后追责,发现不仅没扫描,连基本的日志监控都没有。最后除了赔偿用户,还被依据《网络安全法》第21条和第59条开出罚单,公司和负责人双双被罚。
这事儿在圈子里传开后,不少公司开始慌了。原来大家以为的“潜规则”——只要不出事就没人管——现在真不灵了。
法律到底写了啥?
《网络安全法》第21条规定,网络运营者应当按照规定开展网络安全等级保护工作,其中就包括定期进行安全检测和风险评估。而漏洞扫描,就是最基础的一环。别觉得这是走形式,等保2.0里明确把“漏洞扫描”列进了测评项。如果你是二级以上系统,每年至少要做一次正式扫描,还得留存报告备查。
有家公司做在线教育平台,用户量不大,觉得自己不算关键信息基础设施。结果去年被抽查,发现数据库端口直接暴露在公网,MySQL用了默认密码。一问才知道,开发说“一直这么跑着没问题”,运维说“没收到告警”。最后整改通知跟着罚单一块来了。
工具其实不难找,关键是得用
现在市面上免费的漏洞扫描工具不少。比如OpenVAS,开源、功能全,能扫常见的CVE漏洞。小公司完全可以搭一套在内网,每周跑一次。
sudo apt install openvas
sudo gvm-setup
sudo gvm-start装完以后通过浏览器访问 https://localhost:9392 就能进控制台。新建一个任务,输入要扫描的IP或域名,选个扫描模板,点启动就行。结果出来后会标出高危、中危项,比如“SSH弱密码”、“Apache版本过旧”这种,一条条改就是了。
要是不想自己搭,国内也有合规导向的SaaS服务,像知道创宇的“洞鉴”、绿盟的“云眼”,按年付费,自动扫描加出报告,还能对接等保要求。虽然花点钱,但比起动辄几万的罚款,真不算啥。
别等出事才想起补漏
有个做电商的朋友讲过个真实案例:他们公司之前图省事,所有服务器都用同一个扫描周期——一年一次。结果某天突然发现订单系统被人植入了挖矿程序。查日志才发现,三个月前就有异常外联,但因为没及时扫描,中间两次本该发现的漏洞补丁都没打。事后复盘,如果每月扫一次,至少能早两个月发现问题。
现在监管越来越细,很多地方已经开始主动抽查中小企业。有的区级网信办联合第三方机构,批量给辖区内的企业做免费扫描,发现问题先发提醒,再查还不改?那就不是提醒了,是罚单。
说白了,漏洞扫描不是为了应付检查,而是给自己留条后路。就像开车系安全带,你不系也不一定出事,可真撞上了,少一分保障就多一分风险。