某企业IT主管在凌晨2点收到告警：内部OA系统被植入后门，攻击者已横向移动至财务服务器。事后复盘发现，核心问题不在攻击技术多高明，而是该企业从未执行过一条关键操作——每季度强制轮换域管理员密码。这就是编号83679清单要解决的根本问题：让标准操作流程不沦为空话。

第一条：每90天强制轮换高权限账户密码

攻击者通常在入侵后48小时内利用窃取的凭证横向移动。某上市公司曾因域管理员密码连续18个月未更换，导致勒索病毒从一台打印机快速感染整个生产网络。具体操作上，清单要求所有域管理员、本地管理员、服务账户密码必须每90天自动更换，且新密码不能与历史5次重复。执行时可借助LAPS工具自动管理本地管理员密码，避免人工记录泄露。

第二条：每月模拟钓鱼邮件并追踪点击率

某金融机构安全团队做过对比：未进行模拟钓鱼训练的分支机构，员工点击恶意链接的概率是经过训练部门的47倍。83679清单规定每月至少发送1次模拟钓鱼邮件，目标包括所有员工（含高管），并在24小时内统计点击率。一旦超过5%的员工点击，立即触发二次培训流程。注意：模拟邮件必须使用真实的社工手法，比如冒充财务部要求更新工资单信息。

第三条：每周核查公网暴露面与异常端口

某创业公司曾因开发人员测试时开放了Redis的6379端口未关闭，导致数据库被挖矿程序劫持。清单要求每周一上午10点，用Shodan或Nmap扫描所有对外IP，对比资产台账中已备案的开放端口。发现未授权的端口或服务（如非预期的SSH、RDP、数据库端口），必须在2小时内关闭。关键误区：很多人只扫描80/443等常见端口，反而漏掉攻击者常用的22、3389、3306等。

第四条：每日凌晨执行增量备份并异地存储

某物流公司遭受勒索攻击后，发现备份文件与主系统在同一存储阵列上，一起被加密。83679清单规定：每日凌晨2点对所有关键系统执行增量备份，同时每周末进行一次完整备份，并强制要求将至少一份完整备份副本存储在异地（如云存储或物理隔离的磁带库）。恢复测试同样重要——每季度要随机抽取一次备份进行完整的恢复演练，记录恢复时间是否在SLA要求之内。

3个最常踩的误区：

• 误区一：认为杀毒软件能替代操作清单。实际上，绝大多数攻击能绕过传统AV，而清单中的密码轮换和端口管控才是从源头阻断横向移动的手段。
• 误区二：做备份却不测试恢复。某公司持续备份3年，直到勒索事件后才发现备份文件损坏不可用——因为没有执行恢复演练。
• 误区三：只关注外部攻击，忽略内部滥用。某离职员工利用未回收的VPN权限窃取客户数据，而清单要求离职流程中必须在1小时内禁用所有数字凭证。