做高校网络运维的人大概都经历过：接到通知说下周某天公安网安或教委信息化部门来做网络安全检查，然后整个人进入紧急备战状态——翻日志补策略写材料测系统。平时没把这些纳入常态化运维流程临阵磨枪的结果通常是心虚因为你不知道他们抽查哪个环节。以下列的是高频检查项和应对要点。

实名认证记录完整性——必查项

没有商量余地的那种。检查人员随机抽取最近三个月内某天某时段日志核对该时段所有活跃上网记录是否有完整实名认证信息——用户名真实姓名证件类型证件号码认证时间分配IP和MAC。

"完整"不是说有记录就够了而是字段齐时间戳准链路可追溯。常见不合格情况：某些认证方式（如微信免密）没正确回传身份信息导致日志只有openid没姓名；NAT场景内外网IP对应关系没记录导致追踪中断；日志轮转旧文件过早清理被抽中的日期段没数据。

建议每月自查一次：随机抽取一天认证日志人工核对100条记录的身份信息完整性和IP-MAC-用户名对应关系。别等检查来了才修。

日志留存时长

《网络安全法》要求不少于六个月。注意是"不少于"不是"正好"。很多学校为省空间设成6个月零1天理论上合法但风险大——万一抽查日期刚好在轮转临界点呢？存储介质坏了日志丢了算不算违规？

合理做法：热存3个月（SSD/SAS盘快速查询）冷存12个月以上（廉价存储或对象存储归档）关键日期段（重大活动敏感时期）永久标记。存储成本增加一些但跟合规风险比不值得省。

账号安全

审计重点关注：弱口令允许吗？初始密码强制首次修改吗？登录失败锁定吗？特权账号多人操作审计吗？离职人员账号及时注销了吗？

最容易出问题的是弱口令。高校学生账号量大，"123456"、生日、手机号后六位满天飞。没强制密码复杂度和定期更换策略审计这一项基本过不了。建议基线：最少8位含字母数字特殊字符至少两类；错5次锁定15分钟；90天强制换密码不许复用近3次旧密码；特权管理员开双因素认证。这些都是标配关键是打开并定期验证生效。

系统自身安全

认证系统本身也是信息系统要接受审计。操作系统打补丁了吗？数据库端口暴露公网吗？杀毒软件和入侵检测装了吗？还在用默认密码吗？备份策略是什么？做过渗透测试吗？

特别提默认密码——太多案例了。厂商交付给了admin/admin默认账号忙忘了改被扫到直接拿到管理权限。认证系统被入侵意味着所有学生实名信息和上网记录全泄露性质严重多了。交付验收第一件事改掉所有默认密码写进运维规范当死规矩。

应急预案

现在审计不只看静态配置还看动态能力——有预案吗？上次演练什么时候？安全事件处置流程是什么？

常见应急场景：DDoS攻击全体无法认证数据库损坏用户信息丢失混乱、账号疑似被盗用大量异常使用。每种都要有书面SOP：判定标准初步处置步骤（切换备用服务器启用离线模式）升级汇报机制事后复盘改进。光纸面预案还不够每年至少实战演练一次——模拟"认证服务器宕机"看团队能不能30分钟内恢复。演练过程和结果记下来也是审计可出示材料。

数据出境与隐私

用了云服务或SaaS的话审计还会问：数据存哪？出境了吗？符合《数据安全法》《个人信息保护法》吗？答案必须明确：所有实名认证数据和上网日志存中国境内服务器，云服务商需等保三级以上资质数据驻留国内节点。跨境传输（即使海外技术支持的远程诊断）需事前安全评估获书面批准。2024年以来已有好几起校园网数据违规出境被通报案例别不当回事。

检查前清单

打印贴工位旁边：1. 认证系统拓扑图（含IP设备型号版本号）2. 账号管理制度文档 3. 最近日志完整性自查报告 4. 日志留存策略和容量规划 5. 系统补丁更新记录（近6个月）6. 备份策略及最近恢复演练记录 7. 应急预案及演练记录 8. 第三方安全评估报告（如有）9. 数据安全承诺书 10. 运维值班表及联系方式。这些东西随时能拿出来别等通知才开始凑。