（2）补丁与漏洞管理

• 自动化补丁管理：
• 部署补丁管理系统（如WSUS、Ansible），定期推送安全补丁（建议每月第二个周二"补丁日"统一更新）
• 对高危漏洞（如远程代码执行漏洞）需在发布后72小时内完成修补
• 漏洞扫描：
• 每周自动扫描一次（使用Nessus、OpenVAS等工具）
• 修复优先级：高危>中危>低危，高危漏洞需在7天内修复

（3）日志与审计

• 启用审计功能：
• Linux：配置auditd监控文件访问、命令执行、权限变更
• Windows：启用安全日志、系统日志，记录登录、进程创建、注册表修改
• 日志集中管理：
• 将服务器日志实时传输至集中日志平台（如ELK、Splunk），防止攻击者删除本地日志
• 日志保存期限：至少6个月（等保2.0要求）

2. 内网终端安全管控

（1）终端准入控制（NAC）

• 功能：检查终端安全状态，不合规设备禁止接入内网
• 检查项：
• 是否安装企业指定杀毒软件且病毒库为最新版本
• 操作系统补丁是否更新至最新版本
• 是否启用本地防火墙
• 是否存在高危漏洞（如永恒之蓝MS17-010）
• 不合规处置：隔离至"修复区"，提示用户安装补丁后重新检测

（2）终端数据防泄漏（DLP）

• 管控措施：
• 禁止非授权U盘、移动硬盘接入（通过USB端口管控软件实现）
• 监控文件外发行为：拦截通过邮件、即时通讯工具（如微信、QQ）发送包含敏感关键词的文件
• 屏幕水印：在终端屏幕显示工号+时间水印，防止拍照泄密

（3）终端行为监控

• 部署EDR（终端检测与响应）系统（如奇安信天擎、深信服EDR）：
• 监控进程启动：检测挖矿程序、勒索病毒、远控木马
• 监控文件操作：检测批量加密行为（勒索病毒特征）、敏感文件访问
• 监控网络连接：检测终端与C&C服务器（命令控制服务器）的通信

3. 堡垒机：运维操作的"安全审计中枢"

（1）部署必要性

• 解决痛点：运维人员直接登录服务器存在"权限难控制、操作难审计、责任难追溯"问题
• 适用场景：所有对生产环境服务器的运维操作（如配置变更、数据库操作、应用发布）

（2）核心功能

• 统一认证：运维人员先登录堡垒机（双因素认证），再通过堡垒机跳转至目标服务器，无需掌握服务器密码
• 权限控制：
• 按岗位分配服务器访问权限（如数据库管理员仅能访问数据库服务器）
• 限制可执行命令（如禁止执行rm -rf、DROP DATABASE等高危命令）
• 操作审计：
• 全程录像：记录运维人员的键盘输入和屏幕输出，可回放
• 实时告警：检测高危操作（如修改防火墙规则、删除日志），立即通知安全管理员