步骤三：处理主机风险

开启主机防护，并处理主机风险，如图3所示。

图3 处理主机风险

1. 若您的主机没有全部开启主机安全防护，为了保证主机的安全性，请将主机全部开启主机防护，详细操作请参见开启防护。
2. 根据各类告警事件统计，批量处理实时入侵事件，如图4所示。详细操作请参见查看和处理告警事件。
   图4 实时入侵事件
   

   告警事件展示在“事件管理”页面中，事件管理列表仅展示最近30天的告警事件，您可以根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。

   表3 处理告警事件

   处理方式	处理方式说明
   忽略	仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。
   隔离查杀	选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件将不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 有以下两类告警事件支持线上隔离查杀。 恶意程序（云查杀） 进程异常检测 说明： 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，请在24小时内执行取消隔离/忽略操作。
   手动处理	选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。
   加入登录白名单	如果确认“账号暴力破解”和“账户异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。
   加入告警白名单	如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序

3. 修复漏洞，请根据界面提供的修复建议进行手动修复，如图5所示。
   图5 修复漏洞
   

   评估漏洞

   企业主机安全 可以检测主机漏洞，并参考官方提供的漏洞分值评出修复紧急度，紧急度由高到低依次为：需立即修复、可延后修复、暂可不修复。

   • “需立即修复”的漏洞存在严重的安全风险，建议用户评估漏洞影响性之后尽快修复。
   • “可延后修复”以及“暂可不修复”的漏洞对操作系统安全性没有直接影响，建议用户评估漏洞影响性之后，根据主机操作系统或者软件版本的升级计划来安排漏洞修复计划。
   • “忽略”修复漏洞：某些漏洞只在特定条件下存在风险，如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。

     例如：某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在威胁，则忽略该漏洞。

   修复漏洞

   您可以根据漏洞信息判断该漏洞是否存在威胁，并确定该漏洞是否需要修复或者忽略。

   • 若需要修复漏洞，请根据“解决方案”提供的修复建议，进行控制台一键修复漏洞，或者手动修复漏洞，如图5所示。

     关于漏洞修复的详细操作请参见漏洞修复。

     

     为了避免漏洞修复失败导致数据丢失，请在执行漏洞修复前备份主机中的数据和配置信息。

   • 若需要忽略漏洞，请单击“影响服务器”页签，查看该漏洞影响的服务器，在受影响服务器所在行单击“忽略”，忽略该漏洞，如图6所示。
     图6 影响的服务器
     

4. 处理高危配置风险，进入“基线检查”页面，根据修复建议，逐个对主机进行“口令风险”和“配置风险”修复，如图7所示。
   图7 处理高危配置风险
   

   检测高危配置风险

   企业主机安全提供的基线检测功能将检测主机中的口令复杂度策略，主机系统和关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。

   关于基线检查的详细说明请参见基线检查功能介绍。

   处理高危配置风险

   表4 解决高危配置风险

   风险项	风险说明	解决方法
   存在弱口令	使用弱口令的账户被破解成功的风险非常高，需要高度重视。弱口令检测可检测出主机系统中使用弱口令的账户，您可以在控制台查看主机中的口令风险。 弱口令并没有严格和准确的定义，从安全领域来看，容易被猜到或者被暴力破解的口令都是弱口令。 弱口令通常具有以下特征： 口令长度太短、太简洁 口令全部或大部分字符串已经出现在网络中的密码字典中或相关列表中 口令中携带了个人信息	如果您的主机被检测出弱口令风险，建议您立即修改为安全性更高的口令。 详细操作请参见如何设置安全的口令。
   口令复杂度策略太简单	如需监测Linux主机中的口令复杂度策略，请先在主机中安装PAM（Pluggable Authentication Modules），详细操作请参见如何为Linux主机安装PAM？。 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略。 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略。	建议用户按照提示修改口令复杂度策略。 采用更安全的复杂度策略之后，新增或者修改账户的口令时，口令复杂度会按照策略要求执行限制，提高新口令的安全性。
   存在不安全配置项	系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。	请根据“修改建议”处理主机中的异常信息。 详细操作请参见处理关键配置项。

5. 清点资产，如图8所示。

   每日凌晨定期收集并展示服务器的各项资产信息，包括：账号信息、对外端口监听、进程运行、Web目录、软件信息、自启动项，并对变动信息进行记录，便于用户对资产风险、资产变动进行排查，降低安全风险。

   图8 清点资产
   

   表5 资产管理

   资产管理项	解决方法
   账号信息	根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。
   开放端口	手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。
   进程信息	根据进程检测结果中的详细信息，您可以快速查看主机中可疑的应用进程，并及时终止可疑的应用进程。
   Web目录	HSS能够检测出主机中存在的Web目录，您可以根据检测结果及时发现主机中可能含有风险的Web目录，及时删除可疑的Web目录并终止可疑的进程。
   软件信息	根据实时软件数据和历史变动记录，您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件，您可以及时升级低版本的软件或删除可疑和无需使用的软件。
   自启动	您可以查看自启动项对应的服务器名称、路径、文件HASH和最后修改时间，及时发现并清除木马程序问题。