运维--学习阶段问题解答(1)(自测)

1、基础Linux命令有哪些?

Linux基础命令主要分为以下几类:

类别 常用命令 说明
文件目录操作 lscdpwdmkdirrmcpmvtouch 列出目录、切换目录、创建/删除/复制/移动文件
文件查看 catmorelessheadtailgrep 查看文件内容、分页显示、搜索文本
权限管理 chmodchownchgrp 修改文件权限和所有者
进程管理 pstopkillkillall 查看和管理系统进程
磁盘管理 dfdufdiskmount 查看磁盘空间、分区、挂载
网络相关 ifconfig/ippingnetstatcurlwget 网络配置、测试、下载
压缩解压 targzipzipunzip 打包和压缩文件
系统信息 unamewhoamidatehistory 查看系统、用户、时间信息

📝 分点记忆指南

1. 基础Linux命令有哪些?
  • 记忆方法按功能分类 + 场景联想
    不要孤立地记命令,而是想象你在管理一个文件柜。
    • 文件目录操作 (管理文件柜)ls (看看有什么), cd (走过去), mkdir (新建抽屉), rm (扔掉文件), cp/mv (复制/移动文件)。
    • 文件查看 (阅读文件内容)cat (一口气读完), less/more (一页页看), grep (用关键词搜索)。
    • 权限管理 (给文件上锁)chmod (改锁的权限), chown (换把锁的主人)。
    • 进程管理 (管理正在运行的任务)ps/top (看看谁在干活), kill (让某个任务停下)。
    • 网络相关 (检查网络连接)ping (看看网络通不通), curl/wget (从网上下载东西)。

扩展:📊 核心参数速查表

参数 英文原型 核心含义 常见命令举例
-a all 显示所有(包含隐藏文件) ls -a (显示隐藏文件)
-l long 长格式/详细信息(权限、大小、时间) ls -l (显示文件详细属性)
-h human-readable 人性化显示(自动换算成 KB/MB/GB) ls -lh, df -h
-r recursive 递归(连同子目录一起处理) rm -r (删除整个文件夹), cp -r
-f force 强制(不提示、不询问,直接执行) rm -f (强制删除), cp -f (强制覆盖)
-v verbose 详细过程(显示正在做什么) cp -v (显示复制了哪个文件)
-p parent / preserve 自动建父目录 或 保留属性 mkdir -p (自动建多层目录), cp -p (保留原文件权限)
-i interactive 交互确认(操作前问你"确定吗?") rm -i (删除前确认), cp -i (覆盖前确认)
-d directory 只针对目录本身(不进入目录) ls -d (只看文件夹属性,不看里面)

💡 重点参数深度解析

为了让你印象更深,我挑几个最容易混淆的给你详细讲讲:

1. -r (Recursive) ------ "斩草除根"
  • 含义:递归。意思是"连同里面的东西一起处理"。
  • 场景 :如果你要删除一个文件夹 rm folder,系统会报错说"这是一个目录"。你必须加上 -r,变成 rm -r folder,意思是"把这个文件夹,以及它里面的所有子文件夹、文件,全部递归删除"。
2. -f (Force) vs -i (Interactive) ------ "死对头"
  • -f (强制) :非常霸道。比如 rm -f file,不管文件有没有写权限,也不管你同不同意,直接删掉,绝不废话
  • -i (交互) :非常谨慎。比如 rm -i file,系统会问你 remove file? (y/n),你必须输入 y 才会删除。
  • 实战技巧 :新手建议多用 -i 防误删;老手写脚本为了自动化,通常用 -f
3. -v (Verbose) ------ "话痨模式"
  • 含义:详细输出。
  • 场景 :默认情况下,很多命令(如 cp 复制)是"静默"的,成功了什么都不显示。加上 -v 后,它会告诉你:"我正在复制 A 文件到 B 目录... 完成!"。在排查问题时特别有用。
4. -p (Parent) ------ "贴心小助手"
  • 含义 :在 mkdir 命令中,它代表 Parent(父级)。
  • 场景 :如果你想创建 /a/b/c 这个目录,但 /a/b 都不存在。直接 mkdir /a/b/c 会报错。但如果你用 mkdir -p /a/b/c,系统会自动帮你把 /a/b 也一起建好。

🚀 组合技:参数是可以"叠罗汉"的

在 Linux 中,多个短参数可以合并写在一起。

  • 分开写ls -l -a -h
  • 合并写ls -lah (效果完全一样,而且更帅!)

等保/运维中最常用的"黄金组合":

  • ls -lah:查看当前目录所有文件(包括隐藏文件)的详细信息,并且文件大小是人性化的(显示 MB/KB)。
  • rm -rf :强制递归删除(危险操作! 也就是传说中的"删库跑路"命令,千万别敲错路径)。
  • tar -zxvf:解压压缩包时,把 gzip解压(z)、解压(x)、显示过程(v)、指定文件(f) 四个动作一气呵成。

📝 课后小挑战

试着用今天学的参数,完成下面这个任务:

  1. 创建一个多层目录 project/src/main(提示:用 -p)。
  2. 在里面创建一个文件 test.txt
  3. 用一条命令,把这个 project 文件夹强制递归 复制到 project_backup(提示:用 cp 加上 -r-f,或者合并成 -rf)。
  4. 查看 project_backup 里的内容,要求显示详细信息人性化显示大小 (提示:ls 加上 -l-h)。

你可以对照一下,看看自己刚才敲的命令对不对:

  1. 创建一个多层目录 project/src/main

    复制代码
    mkdir -p project/src/main

    (关键点:一定要加 -p,不然系统会报错说父目录不存在。)

  2. 在里面创建一个文件 test.txt

    复制代码
    touch project/src/main/test.txt

    (这里用了绝对路径,当然你也可以先 cd project/src/main 进去再 touch。)

  3. project 文件夹强制递归复制到 project_backup

    复制代码
    cp -rf project project_backup

    (关键点:-r 代表递归复制整个文件夹,-f 代表如果目标文件夹已存在就强制覆盖,不废话。)

  4. 查看 project_backup 里的内容,要求显示详细信息且人性化显示大小

    复制代码
    ls -lh project_backup

    (关键点:-l 显示详细列表,-h 让文件大小显示为 KB/MB 等人类易读格式。两个参数合并写成 -lh 更简洁。)

💡 进阶小贴士

如果你想看 project_backup 里面所有子文件夹 里的内容,还可以加上 -R(大写 R,代表 Recursive 递归显示):

复制代码
ls -lhR project_backup

这样就能把 srcmain 里面的 test.txt 也一并列出来啦!


2、基础数据库命令有哪些?

关系型数据库(SQL)核心命令围绕 CRUD 操作:

操作 命令 示例
查询 SELECT SELECT * FROM users WHERE id = 1;
插入 INSERT INSERT INTO users (name, age) VALUES ('张三', 25);
更新 UPDATE UPDATE users SET age = 26 WHERE name = '张三';
删除 DELETE DELETE FROM users WHERE id = 1;

其他常用命令:

类别 命令 说明
表结构 CREATE TABLEALTER TABLEDROP TABLE 创建、修改、删除表
数据库 CREATE DATABASEUSEDROP DATABASE 数据库的创建、切换与删除
聚合查询 COUNTSUMAVGMAXMIN 统计计算
联表查询 JOIN(LEFT/RIGHT/INNER) 多表关联查询
排序分页 ORDER BYLIMITGROUP BY 结果排序、分页、分组
事务控制 BEGINCOMMITROLLBACK 事务的开始、提交、回滚
  • 记忆方法抓住核心CRUD + 联想Excel操作
    所有数据库操作都围绕 CRUD 展开,可以把它想象成在操作一个巨大的Excel表格。
    • C (Create) - 增INSERT INTO -> 在表格里插入一行新数据。
    • R (Read) - 查SELECT -> 选择并查看你想要的行和列。
    • U (Update) - 改UPDATE -> 更新某一行或几行的数据。
    • D (Delete) - 删DELETE FROM -> 删除某一行数据。
    • 其他WHERE 就像Excel的"筛选"功能,ORDER BY 就像"排序"功能。

3、数据安全有哪些制度文件?

国内数据安全主要制度文件体系如下:

层级 文件名称 发布机构 说明
法律 《中华人民共和国数据安全法》 全国人大常委会 2021年施行,数据安全领域基础性法律
法律 《中华人民共和国个人信息保护法》 全国人大常委会 2021年施行,个人信息保护专门法
法律 《中华人民共和国网络安全法》 全国人大常委会 2017年施行,网络安全基础法
行政法规 《网络数据安全管理条例》 国务院 2025年1月1日起施行,790号令
部门规章 《银行保险机构数据安全管理办法》 国家金融监督管理总局 2024年12月发布,金融行业专项规范
国家标准 GB/T 37988-2019《数据安全能力成熟度模型》 国家标准化委员会 DSMM模型,企业数据安全能力建设参考
行业标准 等保2.0(GB/T 22239-2019) 公安部 网络安全等级保护,含数据安全要求
  • 记忆方法构建法律金字塔 + 记住"三驾马车"
    将制度文件想象成一个金字塔结构,从上到下,效力递减,范围变窄。
    • 顶层(法律) :记住**"三驾马车"**------《网络安全法》、《数据安全法》、《个人信息保护法》。这是所有数据安全工作的根本大法。
    • 中层(行政法规):如《网络数据安全管理条例》,是对顶层法律的具体实施细则。
    • 底层(部门规章/国标/行标):如等保2.0、DSMM模型,是具体行业或领域要遵守的操作规范。

👑 顶层:三大基本法("三驾马车")

这是整个体系的基石,具有最高的法律效力。

  • 《网络安全法》
    • 核心关键词网络空间主权、关键信息基础设施、等级保护
    • 主要讲什么:它主要管的是"网络"和"系统"的安全。比如,国家要保障网络不被攻击,关键的基础设施(如能源、金融系统)要重点保护,以及大家上网要实名制等。它是网络安全领域的基础大法。
  • 《数据安全法》
    • 核心关键词数据分类分级、重要数据、数据交易
    • 主要讲什么:它主要管的是"数据"这个资产本身。国家要把数据按重要程度分类分级(比如哪些是核心数据、哪些是重要数据),鼓励数据合法利用和交易,同时规定了数据处理者的安全义务。
  • 《个人信息保护法》
    • 核心关键词知情同意、敏感个人信息、大数据杀熟
    • 主要讲什么:它专门保护我们"个人"的隐私。规定了收集个人信息必须遵循"合法、正当、必要"原则,必须经过用户同意,严禁过度收集和滥用(比如算法歧视)。

🏛️ 中层:行政法规与部门规章

这一层是对顶层法律的具体细化和落实,更具操作性。

  • 代表文件 :如**《网络数据安全管理条例》**。
  • 主要讲什么:它把上面三法的要求变成了具体的"操作指南"。比如,明确了什么是"重要数据",规定了数据出境(跨境传输)的具体安全评估流程,以及网络平台服务提供者(如大型APP)具体要承担哪些义务。

📏 底层:国家标准与行业规范

这是最底层的实操指南,是企业具体干活时要遵守的技术和管理标准。

  • 代表文件
    • 网络安全等级保护(等保2.0):规定了不同级别的系统(如银行系统、普通企业网站)在物理环境、通信网络、计算环境等方面必须达到的技术要求。
    • 数据安全能力成熟度模型(DSMM):这是一个评估企业数据安全能力的"体检表"。它把数据安全能力分为1-5级,从组织建设、制度流程、技术工具、人员能力四个维度,评估企业在数据采集、传输、存储、处理、交换、销毁全生命周期的安全水平。

💡 一句话总结记忆法:

  • 《网络安全法》 管**"网"**(系统和设施不被黑);
  • 《数据安全法》 管**"数"**(数据资产被分类保护、合法利用);
  • 《个人信息保护法》 管**"人"**(个人隐私不被滥用);
  • 《条例》 是**"说明书"**(教你具体怎么落实);
  • 等保/DSMM 是**"体检表"**(告诉你具体要做到什么程度才算合格)。

等保2.0和DSMM的对比表

|---------|------------------------------------------------------------------------|------------------------------------------------------------------------------|
| 对比维度 | 网络安全等级保护(等保2.0) | 数据安全能力成熟度模型(DSMM) |
| 定义/性质 | 国家标准(GB/T 22239等),是网络安全领域的强制性合规基线。 | 国家标准(GB/T 37988),是评估企业数据安全能力的推荐性标准/"体检表"。 |
| 核心目标 | 保障网络系统(含基础设施、应用系统)的安全稳定运行,防止被攻击、破坏。 | 评估和提升组织在数据全生命周期的安全处理能力,实现数据资产的精细化保护。 |
| 评估对象 | 信息系统/网络环境 (如:银行核心系统、企业官网、云平台等)。 | 数据安全能力 (关注组织在数据管理上的组织、制度、技术、人员水平)。 |
| 主要维度/层级 | 安全等级:分为1-5级。 技术要求:物理环境、通信网络、区域边界、计算环境、管理中心。 管理要求:安全管理制度、管理机构、人员、建设、运维。 | 能力等级:分为1-5级(非正式执行级到持续优化级)。 四大维度:组织建设、制度流程、技术工具、人员能力。 生命周期:采集、传输、存储、处理、交换、销毁。 |
| 应用场景 | 合规准入: 适用于所有网络运营者,特别是关键信息基础设施运营者。是系统上线前的必要合规步骤(如定级、备案、测评)。 | 能力评估与改进: 适用于希望系统化提升数据安全管理水平的企业。常用于内部自查、第三方评估或作为数据安全建设的指导框架。 |
| 侧重点 | 侧重"系统防护" 强调边界防御、访问控制、入侵防范等技术手段,确保系统不被非法入侵。 | 侧重"数据治理" 强调数据在全生命周期中的流转安全,关注数据分类分级、权限管控及合规使用。 |


4、数据安全有哪些技术能力?

一、先区分两类:纯数据安全技术 + 配套安全监测 / 边界防护能力

1. 核心数据安全技术(直接作用于数据本身,完全匹配数据安全范畴)
  1. 数据分类分级:数据治理基础能力,对全量数据划分敏感等级、业务分类,是所有数据防护的前置前提
  2. 数据加密:静态存储加密、传输加密,从底层防止明文泄露
  3. 数据脱敏:开发 / 测试场景动态屏蔽敏感字段(手机号、身份证),分为静态脱敏、动态脱敏
  4. 数据水印:溯源追责能力,分明水印、隐水印,泄露后定位泄露源头
2. 数据访问 / 权限管控类(数据全生命周期访问安全)
  1. 权限管控:最小权限分配、细粒度数据访问权限、账号生命周期管理
  2. 接口审计(应为数据操作审计) :接口审计是数据安全体系中的"黑匣子"。对于开发来说,它是排查 Bug 和定位越权漏洞的利器;对于安全合规来说,它是满足监管要求、证明"我已经尽力保护数据"的重要证据。(端口属于网络层面,数据安全对应的是数据操作行为审计,记录谁、何时、读取 / 修改 / 导出了敏感数据;端口审计归属于网络安全边界能力。)
  3. 一个完整的审计日志,必须包含以下关键要素(也就是安全圈常说的 5W1H):
  • Who(调用方身份):是谁发起的请求?(用户ID、IP地址、设备指纹、调用的AppKey等)
  • When(调用时间):精确到毫秒的时间戳。
  • Where(接口标识) :访问了哪个具体的API路径(如 /api/user/info)。
  • What(操作内容):请求参数是什么?返回了什么数据?(注意:为了安全,返回的敏感数据通常会做脱敏处理)
  • How(调用结果):是成功(200 OK)还是失败(401/403/500)?耗时多久?
3. 配套全域安全感知 / 隔离防护(支撑数据安全的底座能力)
  1. 态势感知:全域安全风险监测,整合数据访问、网络、系统日志,识别数据窃取、批量导出等异常行为
  2. 沙箱:隔离运行环境,防止恶意程序窃取本地 / 终端敏感数据,终端数据防护常用

二、基于数据全生命周期的数据安全技术体系

数据安全技术能力覆盖数据全生命周期:

阶段 技术能力 说明
采集 数据分类分级、数据发现、资产测绘 识别敏感数据,建立数据资产台账
存储 数据库加密、透明加密(TDE)、密钥管理(KMS) 保障静态数据安全
传输 SSL/TLS、VPN、数据通道加密 保障数据在传输过程中不被窃取
使用 访问控制、身份认证(IAM)、权限管理 控制谁能访问什么数据
防泄漏 DLP(数据防泄漏)、终端DLP、网络DLP 防止数据被非法外传
脱敏 静态脱敏、动态脱敏、数据水印 在非生产环境隐藏敏感信息
审计 数据库审计、操作行为审计、日志分析 记录和监控数据访问行为
销毁 安全擦除、数据粉碎、生命周期管理 确保数据不可恢复地删除
逐阶段拆解

1. 采集阶段

技术 :数据分类分级、数据发现、资产测绘 作用:数据刚产生 / 接入时,先摸清家底

  • 自动扫描识别全公司所有数据库、文件、接口里的敏感数据(身份证、手机号、客户信息)
  • 划分公开 / 内部 / 敏感 / 核心四级,建立完整数据资产台账,是所有防护的基础前提
  1. 存储阶段

技术 :数据库加密、透明加密 TDE、密钥管理 KMS 作用:数据静止存放在硬盘 / 数据库里时防窃取

  • TDE 透明数据加密:数据库文件底层自动加密,即使硬盘被盗也读不出明文
  • KMS 密钥管理:统一管控加密密钥,避免密钥泄露、丢失
  1. 传输阶段

技术 :SSL/TLS、VPN、数据通道加密 作用:数据在网络里传输(浏览器、接口、异地同步)防抓包窃听

  • SSL/TLS:网站 HTTPS、API 接口加密
  • VPN:异地办公、跨机房传输建立加密隧道
  1. 使用阶段

技术 :访问控制、IAM 身份认证、细粒度权限管理 作用:管控 "谁能看、谁能改、能操作哪些数据"

  • IAM 统一账号登录、多因素认证
  • 最小权限原则:普通员工只能查看自身业务所需数据
  1. 防泄漏阶段(DLP)

技术 :终端 DLP、网络 DLP 数据防泄漏 作用:阻止敏感数据非法外发

  • 终端 DLP:管控 U 盘拷贝、微信 / QQ 外传、打印敏感文件
  • 网络 DLP:拦截邮件、接口向外批量传输客户敏感数据
  1. 脱敏阶段

技术 :静态脱敏、动态脱敏、数据水印 作用:非生产环境隐藏真实敏感信息,同时支持泄露溯源

  • 静态脱敏:开发测试库批量把身份证替换为130****1234
  • 动态脱敏:运维人员查询时实时屏蔽敏感字段
  • 数据水印:嵌入隐形标识,数据流出后可定位泄露人
  1. 审计阶段

技术 :数据库审计、操作行为审计、日志分析 作用:全流程留痕,事后追溯、发现异常窃取行为

  • 记录所有账号:何时、何地、查询 / 导出 / 删除了哪些敏感数据
  • 日志汇总分析,识别批量导出、深夜异常访问等高风险行为(对应你之前说的审计、态势感知底层数据源)
  1. 销毁阶段

技术 :安全擦除、数据粉碎、生命周期管理 作用:数据过期 / 设备报废时彻底删除,无法恢复

  • 普通删除可被恢复,数据粉碎多次覆写磁盘;硬盘报废时安全擦除敏感库
  • 记忆方法跟随数据生命周期
    想象一份数据从"出生"到"销毁"的完整旅程,每个阶段都有对应的保护技术。
    1. 采集:数据分类分级、资产测绘(先搞清楚自己有什么宝贝)。
    2. 存储:数据库加密、TDE(给静止的宝贝上锁)。
    3. 传输:SSL/TLS、VPN(给运送宝贝的通道加密)。
    4. 使用:访问控制、身份认证(确认来取宝贝的人有权限)。
    5. 防泄漏(DLP):防止宝贝被偷偷带出去。
    6. 脱敏:在非正式场合展示宝贝时,把敏感部分遮住。
    7. 审计:记录谁、在什么时候、对宝贝做了什么操作。
    8. 销毁:安全擦除,确保宝贝被彻底销毁,无法恢复。

5、数据安全有哪些风险隐患?

数据安全面临的主要风险隐患:

风险类型 具体表现 危害
数据泄露 内部人员泄露、黑客攻击、邮件外发、云盘同步 IBM报告显示2023年数据泄露平均成本达445万美元
未授权访问 弱口令、权限过大、账号共享、越权访问 敏感数据被非法查看或下载
数据篡改 恶意修改、SQL注入、中间人攻击 数据完整性受损,业务决策失误
数据丢失 误删除、勒索病毒、硬件故障、自然灾害 业务中断,无法恢复关键数据
合规风险 未满足法律法规要求、数据跨境违规 面临行政处罚和声誉损失
第三方风险 外包人员、合作方、供应链数据共享 数据在流转中失控
影子IT 员工使用未授权云存储、即时通讯传输文件 数据脱离企业管控范围
  • 记忆方法按风险来源分类
    将风险分为内部、外部、管理三类,更容易理解。
    • 外部威胁数据泄露 (黑客攻击)、数据篡改(SQL注入)。
    • 内部威胁未授权访问 (弱口令、权限过大)、数据泄露(内部人员故意或无意泄露)。
    • 管理/流程风险数据丢失 (误删、无备份)、合规风险 (不满足法律法规)、第三方风险 (供应链出问题)、影子IT(员工私自用未授权软件)。

6、数据安全与网络安全有什么区别?

对比维度 数据安全 网络安全
保护对象 数据本身(内容、价值、隐私) 网络基础设施(硬件、链路、系统)
保护重点 数据的保密性、完整性、可用性 网络系统不被攻击、不中断、正常运行
边界特性 无边界,数据在哪里安全就在哪里 有边界,守护网络边界内的系统
关注范围 数据全生命周期(采集-存储-传输-使用-销毁) 网络通信、系统运行、边界防护
核心技术 加密、脱敏、DLP、访问控制、水印 防火墙、IDS/IPS、VPN、WAF、零信任
目标导向 保护数据不被未授权访问、篡改、泄露 保护网络系统不受攻击和破坏
适用场景 金融、医疗、政务等高敏感数据领域 所有需要网络通信的场景

联系: 两者相辅相成。网络安全是数据安全的基础(网络不安全则数据难安全),数据安全是网络安全的深化和延伸。数据安全法与网络安全法共同构成我国安全法律体系的重要支柱

  • 记忆方法核心比喻法
    这是最关键的区别,用一个比喻就能记住:
    • 网络安全 像是保护城堡(网络、服务器、防火墙)。它关注的是边界,防止敌人攻进来。
    • 数据安全 像是保护城堡里的宝藏(数据本身)。它关注的是宝藏的保密性、完整性和可用性,无论宝藏在城堡里、在运输途中还是在别的地方。
对比维度 网络安全 (城堡) 数据安全 (宝藏)
保护对象 网络基础设施、系统 数据内容、隐私
边界 有边界 (护城河) 无边界 (数据在哪,保护就在哪)
目标 系统不被攻击、不中断 数据不被泄露、篡改、丢失

这六个问题可完美串联成一次**"等保合规与应急响应实操演练"**

我们不要死记硬背,而是把自己代入到一个**"安全运维工程师"** 的角色中。假设你现在负责一个核心业务系统,请跟着下面这6个实操步骤走一遍,知识点自然就记住了:

🛡️ 实操记忆演练:从建系统到防黑客(这大概说明,后面有详细解释和操作步骤)

第一步:搭环境(对应问题1:基础Linux命令)

  • 实操场景:你刚拿到一台云服务器,需要配置环境。
  • 动手做
    1. mkdir /app 建个目录,用 cd /app 进去。
    2. touch config.txt 建个配置文件,用 ls -l 看看权限。
    3. chmod 600 config.txt 把权限收紧(等保常考点)。
    4. ps aux | grep nginx 看看Web服务跑起来没。

第二步:存数据(对应问题2:基础数据库命令)

  • 实操场景:系统要存用户信息了。
  • 动手做
    1. 登录MySQL:mysql -u root -p
    2. 建库建表:CREATE DATABASE test_db;CREATE TABLE users (id INT, name VARCHAR(20));
    3. 模拟CRUD:INSERT INTO users VALUES (1, 'admin');,然后 SELECT * FROM users; 查出来。

第三步:定规矩(对应问题3:制度文件)

  • 实操场景:系统上线前,必须满足国家合规要求。
  • 动手做 :在脑子里过一遍"金字塔"。
    • 问自己:"我这套系统受哪三大法管?"(网安法、数安法、个保法)。
    • 问自己:"等保2.0要求我做到什么级别?"(这就是你正在备考的核心考点,想想定级原则和定级对象)。

第四步:上技术(对应问题4:技术能力)

  • 实操场景:为了保护数据,你要部署防护手段。
  • 动手做
    1. 传输加密:给Nginx配个HTTPS(SSL证书)。
    2. 访问控制:配置防火墙,只允许公司IP(白名单)访问22端口。
    3. 数据备份 :写个简单的定时任务 crontab -e,每天凌晨把数据库备份到另一个目录。

第五步:找漏洞(对应问题5:风险隐患)

  • 实操场景:系统上线了,黑客开始试探。
  • 动手做
    1. 弱口令风险 :故意把数据库密码设成 123456,然后用另一台机器尝试暴力破解。
    2. SQL注入风险 :在登录框输入 ' OR '1'='1,看看能不能绕过密码登录。
    3. 权限过大风险 :用普通用户去执行 rm -rf /,看看是不是被拒绝了(体会最小权限原则)。

第六步:分概念(对应问题6:数据安全 vs 网络安全)

  • 实操场景:老板问你,今天做的这些到底属于哪个范畴?
  • 动手做 :看着你刚才做的操作进行归类。
    • 你配的防火墙、装的杀毒软件、防DDoS攻击 ------ 这是网络安全(保城堡)。
    • 你做的数据库加密、敏感信息脱敏、防内部人员偷数据 ------ 这是数据安全(保宝藏)。

💡 终极实操大招:画一张架构图

拿出一张白纸,画一个服务器框。

  1. 外面画个盾牌(网络安全),写上防火墙、IDS。
  2. 里面画个保险箱(数据安全),写上加密、备份。
  3. 旁边贴个便签(制度文件),写上等保2.0。
  4. 下面写上你用的工具(Linux/数据库命令)。

这样,这6个问题就不再是孤立的考点,而是一个完整的安全运维工作流。考试时遇到相关题目,直接在大脑里"跑"一遍这个流程,答案自然就出来了!

🛡️ 第一步实操:搭环境(Linux 基础命令)

场景代入:你现在是一名安全运维工程师,刚拿到一台全新的服务器,准备部署一个核心业务系统。

1. 看看我在哪?(导航命令)

刚登录服务器,你首先得知道自己在哪里,以及周围有什么。

  • pwd (Print Working Directory):查看当前所在的完整路径。
    • 实操 :输入 pwd,回车。它会告诉你你现在在哪个文件夹里(比如 /home/user)。
  • ls (List):看看当前目录下有什么文件和文件夹。
    • 实操 :输入 ls,回车。
    • 进阶 :输入 ls -l(显示详细信息,比如权限、大小)或者 ls -a(显示隐藏文件)。等保检查时,经常需要看隐藏文件里的配置文件。
  • cd (Change Directory):切换到你想要去的目录。
    • 实操 :输入 cd / 回到根目录(最顶层),再输入 cd ~ 回到你的家目录。
2. 建立业务目录(文件操作命令)

现在我们要为业务系统建一个专门的文件夹。

  • mkdir (Make Directory):创建新文件夹。
    • 实操 :输入 mkdir app_system。这就建好了一个名为 app_system 的文件夹。
    • 进阶 :输入 mkdir -p project/config-p 的意思是如果父目录不存在就自动创建,一次性建好多层目录。
  • cd :进入刚才建好的目录。
    • 实操 :输入 cd app_system
3. 创建配置文件(文件创建与查看)

系统需要配置文件才能运行,我们来创建一个。

  • touch :创建一个空文件。
    • 实操 :输入 touch config.txt。现在你有了一个空白的配置文件。

    • 这里需要注意一下,touch 是 Linux/Unix 系统特有的命令,Windows 原生并不支持它,所以会报"无法识别"的错误。

      ✅ 如何正确安装 Microsoft CoreUtils for Windows(需要开VPN)
    • 打开 PowerShell(以管理员身份运行)

    • 输入以下命令并回车:

      复制代码
      winget install Microsoft.Coreutils
    • 等待安装完成,重启终端后即可使用 touchlscat 等 Linux 常用命令。

    • 如果你就想用windows的话

      使用 PowerShell 原生命令

      在 PowerShell 中,你可以用 New-Item 命令来创建空文件,功能等同于 touch

      复制代码
      New-Item -Path "config.txt" -ItemType File

      或者更简洁的写法:

      复制代码
      echo $null > config.txt

      这条命令的意思是"把空内容写入 config.txt",如果文件不存在就创建,存在则清空内容(注意:这会覆盖原内容)。

  • cat (Concatenate):查看文件里的内容。
    • 实操 :输入 cat config.txt。因为是空文件,所以什么都没显示。
4. 修改配置并保存(简单编辑)

空文件没用,我们要往里面写点东西。新手可以先用 nano 这个简单的编辑器。

  • nano:一个对新手非常友好的文本编辑器。

  • (如果用的是windows系统,在这也会报错,之前虽然安装了Microsoft CoreUtils for Windows,touch 能用了,是因为它属于"文件操作工具";而 nano 不能用,是因为它属于"文本编辑器",两者不在同一个软件包里。

  • 你可以改成windows的命令

    复制代码
    notepad config.txt

    也可以改成去用虚拟机

    • 实操 :输入 nano config.txt
    • 进入后,直接打字输入:db_password=123456
    • 写完后,按 Ctrl + O 保存(按回车确认),再按 Ctrl + X 退出。
    • 退出后,再输入 cat config.txt,看看是不是已经保存进去了。
5. 等保关键动作:收紧权限(权限管理)

这是等保测评的高频考点! 刚才我们把数据库密码明文写在文件里,如果谁都能看,那系统就危险了。

  • ls -l :再次查看文件权限。你会看到类似 -rw-r--r-- 的字符,代表读(r)、写(w)、执行(x)的权限。

  • chmod (Change Mode):修改文件的读写权限。

    • 实操 :输入 chmod 600 config.txt
    • 解释600 的意思是,只有文件的主人(你)可以读和写(6=4读+2写),其他任何人(包括同组用户和其他用户)都没有任何权限(0)。这样密码就安全了!
    数字权限 符号表示 含义拆解 (自己-同组-其他人) 适用场景 (等保常考)
    600 rw------- 自己读写(6),其他人啥也没有(0) 敏感配置文件(如密码、SSH私钥)
    644 rw-r--r-- 自己读写(6),其他人只能看(4) 普通文件(如网页代码、普通文档)
    755 rwxr-xr-x 自己全权(7),其他人能看能进(5) 普通目录、可执行的脚本文件
    700 rwx------ 自己全权(7),其他人啥也没有(0) 私密目录(只有自己能进)
    777 rwxrwxrwx 所有人都有全部权限(7) 极度危险! 绝对不要在生产环境使用
    💡 万能计算公式:

    权限数字 = (自己的 r+w+x) + (同组人的 r+w+x) + (其他人的 r+w+x)

  • chown (Change Owner):修改文件的主人。

    • 实操 :假设你建了一个普通用户 appuser,你可以输入 sudo chown appuser:appuser config.txt,把这个文件的所有权交给专门运行程序的用户,而不是用管理员(root)身份运行(这也是等保"最小权限原则"的要求)。

    • 在 Linux 中,创建普通用户需要管理员权限(root),所以命令前必须加 sudo

      你可以直接复制下面这行命令来创建名为 appuser 的用户:

    复制代码
      sudo useradd -m appuser
    💡 命令详解
    • sudo:以超级管理员身份执行(因为创建用户是敏感操作)。
    • useradd:添加用户的专用命令。
    • -m非常重要! 它的意思是自动为用户创建一个"家目录"(通常是 /home/appuser)。如果不加这个参数,用户虽然建好了,但没有自己的文件夹,后续实操会很麻烦。
    • appuser:你要创建的用户名。
✅ 创建完用户后,别忘了设密码

刚创建的用户是没有密码的(无法登录),你需要紧接着输入:

复制代码
sudo passwd appuser

系统会提示你输入两次新密码(输入时屏幕不会显示星号,这是正常的,盲输即可)。

搞定这两步,你就可以继续执行教程里的 sudo chown appuser:appuser config.txt 了!

6. 检查系统状态(进程与系统监控)

环境搭好了,看看服务器累不累。

  • top :实时查看系统的 CPU、内存占用情况,以及正在运行的程序(进程)。
    • 实操 :输入 top。你会看到一个不断刷新的界面。按 q 键退出。
  • ps (Process Status):查看当前有哪些进程在运行。
    • 实操 :输入 ps aux。这会列出所有正在运行的程序。
    • 进阶 :输入 ps aux | grep nano。这里的 | 叫管道符,意思是把前面 ps aux 的结果,交给后面的 grep 去过滤,只找出包含 "nano" 的行。

💡 实操小任务

现在,请你打开终端(如果你是在 Windows 上,可以用 WSL 或者虚拟机里的 Ubuntu、kali),按照上面的顺序,把命令敲一遍。

敲完之后,你可以试着回答这个问题来检验自己:

"如果我想在 /home 目录下创建一个叫 test 的文件夹,进去后创建一个 1.txt 文件,并把这个文件的权限改成只有自己能读写,该怎么做?"

操作步骤答案:

衍生

方向A:网络安全与系统安全(偏防御体系)

  1. 常见的网络攻击类型有哪些,各自有什么特征?
  2. 防火墙、IDS、IPS、WAF 这些安全设备分别起什么作用?
  3. 什么是零信任架构,与传统网络安全模型有什么区别?
  4. 操作系统安全加固通常包含哪些措施?
  5. 什么是漏洞扫描与渗透测试,二者有什么区别?
  6. SIEM(安全信息与事件管理)和 SOC(安全运营中心)是什么关系?

A1. 常见的网络攻击类型有哪些,各自有什么特征?

攻击类型 特征 典型表现
恶意软件 病毒、木马、蠕虫、勒索软件等植入目标系统 文件加密勒索、远程控制、数据窃取
钓鱼攻击 伪造邮件/网站诱导用户泄露凭据 虚假登录页面、恶意附件
DDoS 攻击 海量流量冲击目标,耗尽其服务资源 网站瘫痪、服务不可用
中间人攻击(MITM) 攻击者插入通信双方之间窃听或篡改数据 公共WiFi嗅探、ARP欺骗
SQL注入 在输入框插入恶意SQL语句操控数据库 拖库、越权查询、数据篡改
XSS(跨站脚本) 向网页注入恶意脚本,劫持用户会话 会话劫持、钓鱼弹窗、蠕虫传播
0-Day 攻击 利用尚未公开补丁的漏洞 防御难度大,危害极高
供应链攻击 攻击软件供应商或第三方组件 SolarWinds事件
1. 恶意软件
  • 核心特征:将病毒、木马、蠕虫、勒索软件等恶意程序植入目标系统,在本地或后台执行违规操作。
  • 细分子类特点
    • 病毒:依附正常文件传播,触发后破坏系统;
    • 木马:伪装成正常工具,实现远程控制;
    • 蠕虫:可自主通过网络扩散,批量感染设备;
    • 勒索软件:加密受害者文件索要赎金。
  • 典型表现:电脑文件被加密勒索、黑客远程操控主机窃取企业机密数据、系统卡顿瘫痪。
2. 钓鱼攻击
  • 核心特征:伪造可信的邮件、网站、短信界面,利用用户信任诱导其泄露账号密码、银行卡等敏感凭据,属于针对人的社会工程学攻击。
  • 典型表现:搭建和正规平台一模一样的虚假登录页面骗取账号、邮件附带恶意附件诱使用户下载执行、冒充客服套取验证码。
3. DDoS 攻击(分布式拒绝服务攻击)
  • 核心特征:控制大量僵尸主机生成海量无效流量,冲击目标服务器 / 网站,耗尽带宽、CPU、内存等服务资源,让正常用户无法访问。
  • 典型表现:企业官网长时间瘫痪、线上业务系统无法打开、游戏服务器卡顿掉线。细分有流量型(洪水冲击)、应用层(高频请求消耗接口资源)两类。
4. 中间人攻击(MITM)
  • 核心特征:攻击者介入通信双方的传输链路,悄无声息窃听通信内容,甚至篡改交互数据,通信双方都感知不到链路被劫持。
  • 典型表现:在公共免费 WiFi 下监听用户的网页登录数据、通过 ARP 欺骗篡改局域网内设备的访问跳转地址,把用户流量导向恶意站点。
5. SQL 注入
  • 核心特征:利用网页输入框、接口参数的过滤缺陷,插入恶意 SQL 语句,操控后端数据库执行非授权操作。
  • 典型表现:拖取数据库全部用户数据、越权查询他人隐私信息、篡改订单金额、删除数据库整表数据,是 Web 最经典的高危漏洞之一。
6. XSS(跨站脚本)
  • 核心特征:向网页中注入恶意 JS 脚本,当其他用户访问该页面时,脚本会在用户浏览器内执行,劫持用户和网站之间的会话。
  • 典型表现:盗取用户登录 Cookie 实现会话劫持、弹出钓鱼窗口骗信息、在站内传播蠕虫批量污染页面,分为存储型、反射型、DOM 型三类。
7. 0-Day 攻击(零日攻击)
  • 核心特征 :利用软件 / 系统厂商尚未发布补丁、外界还未公开知晓的安全漏洞发起攻击,防御方没有现成防护方案。
  • 典型表现:针对操作系统、办公软件、工业控制系统的未知漏洞发起入侵,攻击隐蔽性极强、防御难度极大,通常会造成极高的危害,多被高级黑客组织使用。
8. 供应链攻击
  • 核心特征:瞄准企业信任的上游软件供应商、第三方插件 / 组件、合作服务商,通过污染上游产品,间接入侵下游大量使用该产品的企业。
  • 典型表现:知名案例 SolarWinds 事件,黑客污染运维软件的更新包,大量下载更新的政企单位被批量入侵;还有第三方 SDK 投毒、开源组件投毒这类常见场景。
攻击类型 攻击核心原理 主要防御设备 辅助防护设备 具体防御措施
恶意软件 (病毒 / 木马 / 勒索) 恶意程序植入终端窃取、加密数据 IPS、 防火墙 IDS、终端 EDR 1. 防火墙封禁恶意外联 IP、远控端口 2. IPS 匹配恶意程序特征、拦截木马回传流量 3. IDS 审计外联异常行为,事后溯源 4. 终端杀毒拦截本地恶意文件
钓鱼攻击 (社会工程) 伪造页面 / 邮件诱导泄露账号凭证 WAF、 防火墙 IDS 1. WAF 拦截仿站、钓鱼页面恶意脚本 2. 防火墙拉黑钓鱼域名 / 恶意 IP 3. IDS 监测批量账号异常登录告警 4. 配套员工安全培训
DDoS 攻击 海量无效流量耗尽服务器资源 防火墙、IPS 流量清洗设备 1. 防火墙基础限流、封禁攻击源 IP 2. IPS 识别 CC / 应用层洪水攻击丢弃报文 3. 大流量场景配套专业流量清洗中心
中间人攻击 (MITM/ARP 欺骗 / 公共 WiFi 嗅探) 劫持通信链路窃听、篡改传输数据 IPS、 防火墙 IDS 1. IPS 检测局域网 ARP 欺骗异常报文并阻断 2. 防火墙强制业务全站 HTTPS 加密传输 3. IDS 审计局域网异常网关切换行为
SQL 注入 注入恶意 SQL 操控数据库、拖库 WAF IPS、IDS 1. WAF 核心防御:解析 HTTP 参数,匹配 SQL 特征拦截恶意语句 2. IPS 拦截带注入特征的数据包 3. IDS 记录注入攻击日志用于溯源
XSS 跨站脚本 网页注入恶意 JS 劫持用户会话 WAF IDS 1. WAF 过滤请求内恶意 JavaScript、HTML 标签 2. 自动转义页面输出内容,存储型 XSS 拦截 3. IDS 记录恶意脚本访问行为
0-Day 零日漏洞攻击 厂商无补丁的未知漏洞渗透 IPS、IDS WAF、防火墙 1. IPS 基于异常行为模型拦截未知漏洞利用流量 2. IDS 持续监测反常内网横向移动行为告警 3. 防火墙最小化端口暴露面,缩小攻击面 4. WAF 拦截异常畸形 HTTP 请求
供应链攻击(第三方组件 / 更新投毒) 污染上游软件批量入侵下游企业 防火墙、WAF IDS 1. 防火墙限制第三方更新服务器访问权限 2. WAF 校验第三方 API 请求合法性 3. IDS 监控陌生第三方外联通信行为 4. 上线前第三方组件安全扫描

A2. 防火墙、IDS、IPS、WAF 这些安全设备分别起什么作用?

设备 英文全称 核心作用 工作方式
防火墙 Firewall 边界访问控制,基于IP/端口/协议进行流量过滤 允许/拒绝流量,属于访问控制类产品
IDS 入侵检测系统 发现异常行为和攻击迹象 只检测、不阻断,属于审计类产品
IPS 入侵防御系统 检测并主动拦截攻击流量 检测+阻断,属于访问控制类产品
WAF Web应用防火墙 专门保护Web应用,防御SQL注入、XSS等应用层攻击 工作在应用层,过滤HTTP/HTTPS流量

简单记忆:防火墙 管边界,IDS 看异常,IPS 管拦截,WAF保网站。

1. 防火墙(Firewall)

英文全称

Firewall

核心作用

部署在网络边界位置 (比如企业内网和互联网的出入口),基于IP 地址、端口号、通信协议这些网络层 / 传输层信息做流量访问控制,只放行符合预设安全策略的流量,阻隔非法的跨边界访问,是网络最基础的边界闸门。

工作方式

依靠预设策略对流量做「允许 / 拒绝」的决策,属于传统访问控制类产品。举例子:设置策略禁止外网访问内网的 3389 远程端口、只放行 80/443 网页端口,拦截陌生 IP 的主动连接。

局限

对 Web 应用层的 SQL 注入、XSS 这类伪装成正常端口流量的攻击无法识别防御。


2. IDS(入侵检测系统,Intrusion Detection System)

英文全称

Intrusion Detection System

核心作用

全天候监控全网流量与主机行为,通过特征库、异常行为模型,发现网络里的攻击迹象、违规操作、异常访问行为,及时发出告警。

工作方式

只做检测告警,不会主动阻断攻击,属于审计监测类产品。一般以旁路镜像部署的方式工作,不影响原有网络的通行速度。举例子:监测到多次暴力破解登录行为、出现已知攻击特征的流量后,给管理员推送告警日志,但不会切断这条攻击连接。

局限

发现攻击后无法实时止损,需要管理员人工介入处理。


3. IPS(入侵防御系统,Intrusion Prevention System)

英文全称

Intrusion Prevention System

核心作用

在 IDS 检测攻击能力的基础上,增加主动防御能力,实时识别攻击流量并立刻拦截,阻止攻击渗透到内网。

工作方式

检测 + 主动阻断双能力,以串联方式部署在网络链路中,属于访问控制类产品。一旦匹配到攻击特征或异常行为,直接丢弃数据包、断开连接。举例子:识别出端口扫描、漏洞利用攻击流量时,当场阻断连接,同时上报告警。

和 IDS 的关键区别

IDS 是旁路 "监控报警",IPS 是 inline 串联 "监控 + 直接拦下来"。


4. WAF(Web 应用防火墙,Web Application Firewall)

英文全称

Web Application Firewall

核心作用

专门针对 **Web 应用(网站、API 接口)** 做防护,聚焦应用层攻击,抵御 SQL 注入、XSS 跨站脚本、文件上传漏洞、越权访问、恶意爬虫这类 Web 专属攻击。

工作方式

工作在 OSI 七层模型的应用层,深度解析 HTTP/HTTPS 请求的参数、Cookie、请求体内容,过滤恶意 Web 流量,部署位置可以是云集群、服务器本地、反向代理节点。

举例子:拦截用户输入里带恶意 SQL 语句的登录请求、屏蔽页面里注入的 JS 恶意脚本、拦截大批量恶意爬虫薅接口数据。

和传统防火墙的区别

传统防火墙看 IP / 端口,WAF 看懂网页请求里的具体内容,防护粒度更贴合 Web 业务场景。


速记口诀拓展

原口诀:防火墙管边界,IDS 看异常,IPS 管拦截,WAF 保网站

  • 防火墙:把守内外网络大门,管基础边界准入
  • IDS:安静盯着全网动静,发现异常就喊警报
  • IPS:能盯着还能直接关门拦攻击
  • WAF:专门守护网站、Web 接口的专用防护工具

四者部署搭配逻辑

  1. 最外层用防火墙做粗粒度边界封堵;
  2. 链路串 IPS 实时拦截渗透攻击;
  3. 旁路挂 IDS 做全局审计溯源;
  4. 前端业务层部署 WAF 抵御 Web 专属攻击,形成多层防御体系。

A3. 什么是零信任架构,与传统网络安全模型有什么区别?

零信任(Zero Trust) 是一种网络安全理念和架构,核心原则是 "永不信任,始终验证"(Never Trust, Always Verify)

对比维度 传统网络安全模型 零信任架构
信任假设 内网可信,外网不可信(城堡+护城河) 内外网均不可信
访问控制 基于网络位置(边界内自由访问) 基于身份和上下文(每次访问都验证)
验证方式 一次性认证,长期信任 持续验证,动态授权
权限原则 默认开放 最小权限原则
适用场景 固定办公网络 远程办公、多云环境、移动办公

A4. 操作系统安全加固通常包含哪些措施?

加固维度 具体措施
身份鉴别 设置口令复杂度策略、登录失败锁定、口令有效期、禁止空密码
账户管理 删除无用账号、限制root/Admin使用、分离特权账号与普通账号
权限控制 最小权限原则、文件系统ACL配置、敏感目录权限收紧
日志审计 开启系统日志、配置集中日志收集、记录登录/操作行为
网络配置 关闭不必要的端口和服务、配置主机防火墙、禁用IPv6(如不需要)
补丁更新 及时安装系统补丁、内核升级、软件版本更新
恶意代码防护 安装杀毒软件/EDR、定期全盘扫描
基线核查 按照等保或CIS基准进行配置检查

A5. 什么是漏洞扫描与渗透测试,二者有什么区别?

对比项 漏洞扫描(Vulnerability Scanning) 渗透测试(Penetration Testing)
目的 快速识别已知漏洞和安全弱点 模拟真实攻击,验证漏洞可利用性
执行方式 自动化工具扫描 人工为主,结合工具
深度 浅层,发现表面漏洞 深层,可获取权限、横向移动
范围 全面覆盖,数量多 针对性场景,质量高
报告产出 漏洞清单+风险等级 完整攻击路径+业务影响评估
成本周期 低,短(小时级) 高,长(天/周级)
关系 渗透测试的起点和基础 漏洞扫描的深化和验证

一句话:漏洞扫描 是"找门",渗透测试是"试门能不能开"。


A6. SIEM 与 SOC 是什么关系?

概念 定义 角色
SIEM Security Information and Event Management,安全信息与事件管理系统 工具/平台,负责日志收集、关联分析、告警生成
SOC Security Operations Center,安全运营中心 组织/团队/场所,负责7x24小时安全监控、事件响应、威胁处置

关系: SIEM 是 SOC 的核心技术平台和工具支撑 。SOC 是"人+流程+技术"的综合体,SIEM 是其中最重要的"技术"组件。SOC 的安全分析师通过 SIEM 平台收集的日志和告警,进行威胁分析、事件调查和应急响应 。

方向B:应用安全与开发安全(偏实践落地)

  1. 常见的 Web 安全漏洞有哪些(如 OWASP Top 10)?
  2. 什么是代码审计,常用的静态和动态代码分析工具有哪些?
  3. 软件供应链安全面临哪些威胁,如何防范?
  4. API 安全与传统 Web 安全有什么不同,需要关注哪些风险点?
  5. 什么是 DevSecOps,如何在开发流程中融入安全?
  6. 容器与 Kubernetes 环境有哪些特有的安全挑战?

B1. 常见的 Web 安全漏洞有哪些(OWASP Top 10)?

OWASP(开放Web应用安全项目)定期发布最关键的Web应用安全风险清单。2021版(当前权威版本)Top 10 如下 :

编号 风险名称 说明
A01 访问控制失效(Broken Access Control) 未正确授权,用户可访问他人数据或管理功能(排名第一,94%应用存在此问题)
A02 加密机制失效(Cryptographic Failures) 敏感数据未加密或使用弱加密算法,传输和存储中暴露数据
A03 注入攻击(Injection) SQL注入、NoSQL注入、OS命令注入等,攻击者可执行恶意命令
A04 不安全设计(Insecure Design) 架构和设计阶段未考虑安全,缺乏威胁建模
A05 安全配置错误(Security Misconfiguration) 默认配置未修改、错误信息暴露、多余功能未关闭
A06 自带缺陷和过时组件(Vulnerable & Outdated Components) 使用已知漏洞的第三方库或框架(如Log4j事件)
A07 身份认证和识别错误(Identification & Auth Failures) 弱口令、会话管理不当、认证机制可被绕过
A08 软件和数据完整性失效(Software & Data Integrity Failures) 未验证软件更新、反序列化漏洞、CDN依赖不可信
A09 安全日志与监控不足(Security Logging & Monitoring Failures) 缺乏日志记录和监控,攻击发生时无法及时发现和响应
A10 服务器端请求伪造(SSRF) 攻击者利用服务器发起请求,访问内部资源

B2. 什么是代码审计,常用的静态和动态代码分析工具有哪些?

代码审计(Code Audit) 是通过人工或工具对源代码/字节码/二进制代码进行逻辑分析、语法检查与流程追踪,识别安全漏洞和编码规范问题的过程 。

分析方式 英文 特点 常用工具
静态代码分析(SAST) Static Application Security Testing 不运行程序,直接扫描源代码;漏洞发现早、覆盖面广,但误报率较高 SonarQube、Checkmarx、Fortify、Semgrep
动态代码分析(DAST) Dynamic Application Security Testing 运行中的程序进行测试;模拟真实攻击场景,误报率低,但覆盖率有限 OWASP ZAP、Burp Suite、Nessus
交互式分析(IAST) Interactive Application Security Testing 在运行时插桩,结合SAST和DAST优点,精准度高 Contrast Security、Fortify IAST
软件成分分析(SCA) Software Composition Analysis 扫描第三方开源组件的已知漏洞 Snyk、Black Duck、Dependency-Check

最佳实践:SAST(开发阶段)+ SCA(依赖管理)+ DAST(测试阶段) 三者结合使用。


B3. 软件供应链安全面临哪些威胁,如何防范?

软件供应链攻击 是指通过篡改软件开发、构建、分发过程中的某个环节来实施攻击,影响极其广泛。

威胁类型 说明 典型案例
依赖混淆攻击 攻击者将恶意包上传到公共仓库,与内部包同名,构建时自动下载恶意代码 2021年多个企业中招
源代码篡改 攻击者入侵开发者账号,在源代码中植入后门 SolarWinds事件,18000+客户受影响
CI/CD流水线投毒 攻击构建服务器或CI/CD配置,在编译打包阶段植入恶意代码 Codecov bash uploader事件
开源组件漏洞 使用的第三方库存在已知高危漏洞 Log4j(Log4Shell),影响数十万应用
Typosquatting 注册与知名包名相似的名称,诱导开发者误安装 npm/pip仓库中大量存在

防范措施:

  • 建立软件物料清单(SBOM),清晰追踪所有组件来源

  • 使用私有仓库管理内部依赖,配置严格的包来源验证

  • 定期扫描第三方组件漏洞(SCA工具)

  • 构建流水线实施签名验证和完整性校验

  • 对开源组件进行安全评估后再引入


B4. API 安全与传统 Web 安全有什么不同,需要关注哪些风险点?

对比维度 传统 Web 安全 API 安全
调用方式 浏览器访问,返回HTML页面 程序化调用,交换JSON/XML数据
安全设备 传统WAF规则可有效防护 传统WAF规则往往失效,需要专用API网关
攻击面 相对固定,页面数量有限 API端点数量庞大,资产往往不清
认证方式 Cookie/Session为主 Token(JWT、OAuth)、API Key为主
限流需求 一般 极高,需防止批量数据获取和暴力破解

OWASP API Security Top 10(2023版)关键风险

风险 说明
BOLA(对象级别授权失效) 也称IDOR,攻击者可访问其他用户的资源
BFLA(功能级别授权失效) 普通用户可调用管理员API
过度数据暴露 API返回了调用方不需要的敏感字段
批量赋值 攻击者通过修改请求体篡改不应修改的字段
安全配置错误 不必要的HTTP方法、冗余端点、默认凭证

B5. 什么是 DevSecOps,如何在开发流程中融入安全?

DevSecOps 是将 Dev (开发)+ Sec (安全)+ Ops (运维)融合的文化、流程和自动化实践,核心理念是 "安全左移(Shift Left)" -- 在开发早期就引入安全,而不是上线后才检查 。

开发阶段 融入的安全实践 使用工具
需求/设计 威胁建模、安全需求定义、架构评审 STRIDE模型、微软TMT
编码 安全编码规范、IDE安全插件、静态分析(SAST) SonarLint、Semgrep
构建/CI 依赖扫描(SCA)、镜像扫描、签名验证 Snyk、Trivy、Harbor
测试/CD 动态分析(DAST)、模糊测试、安全自动化测试 OWASP ZAP、Burp Suite
部署/运行 基线配置检查、运行时防护(RASP)、监控告警 Falco、Prisma Cloud
运维 漏洞管理、事件响应、安全补丁自动化 各类SIEM/EDR工具

根据 Gartner 数据,采用 DevSecOps 的企业平均可将漏洞修复成本降低 70% 以上,因为越早发现漏洞,修复成本越低 。


B6. 容器与 Kubernetes 环境有哪些特有的安全挑战?

容器化和K8s环境相比传统基础设施,面临独特的安全挑战:

挑战领域 具体风险 说明
镜像安全 基础镜像含漏洞、镜像含恶意软件、Dockerfile配置不当 一个被攻陷的Pod可横向移动到整个集群
RBAC权限 过度授权、ClusterRole滥用、ServiceAccount权限过大 多数安全事故源于权限管控松散
网络隔离 默认Pod间通信无限制、Service Mesh未配置策略 需通过NetworkPolicy实现微分段
Secrets管理 密钥明文存储在etcd、环境变量暴露、Secret未加密 K8s的Secret默认仅Base64编码,非真正加密
运行时安全 容器逃逸、恶意进程执行、异常网络连接 需运行时监控和告警(如Falco)
编排系统 K8s API未鉴权、控制平面暴露、kubelet端口开放 控制平面被攻陷意味着整个集群沦陷
供应链 第三方镜像不可信、Helm Chart含漏洞 需镜像签名(Notation/Cosign)和SBOM

安全加固最佳实践闭环: 镜像准入扫描 → Pod最小权限 → RBAC收紧边界 → NetworkPolicy切流量 → 运行时+审计兜底

方向C:安全合规与身份管理(偏管理与治理)

  1. 网络安全等级保护 2.0 有哪些核心要求和等级划分?
  2. 身份与访问管理(IAM)包含哪些核心组件和技术?
  3. 什么是特权账号管理(PAM),为什么它特别重要?
  4. 日志留存与审计需要满足哪些合规要求,通常留存多久?
  5. 数据跨境传输有哪些法规限制和安全要求?
  6. 安全应急响应流程通常分为哪几个阶段,每个阶段做什么?

C1. 网络安全等级保护 2.0 有哪些核心要求和等级划分?

等保2.0(2019年12月1日正式实施)是我国网络安全的强制性国家标准(GB/T 22239-2019),相比1.0版本,扩展了覆盖范围,增加了云计算、大数据、物联网、移动互联、工业控制系统等新场景的安全要求 。

五个等级划分:

等级 名称 适用对象 保护要求
第一级 自主保护级 一般信息系统 基本的安全防护,自主保护
第二级 指导保护级 一般业务系统(如普通企业网站) 需公安机关备案,定期检查
第三级 监督保护级 重要业务系统(如金融、医疗、电商) 需公安机关备案,每年至少一次测评
第四级 强制保护级 国家重要系统(如电力、金融核心) 每半年一次测评,强制保护
第五级 专控保护级 国家关键基础设施核心系统 国家级专控,最高防护

核心要求(八大领域):

领域 要求内容
安全物理环境 机房安全、门禁、防火、防水、电力保障
安全通信网络 网络架构、通信传输加密、边界防护
安全区域边界 访问控制、入侵防范、恶意代码防范
安全计算环境 身份鉴别、访问控制、安全审计、数据完整性与保密性
安全管理中心 集中管理、集中审计、集中管控
安全管理制度 安全策略、管理制度、人员管理
安全管理机构 组织架构、人员配备、安全沟通
安全建设管理 系统建设、软件开发、工程实施、测试验收

C2. 身份与访问管理(IAM)包含哪些核心组件和技术?

IAM(Identity and Access Management) 的核心目标是"让对的人在对的时间以对的方式访问对的资源" 。

核心组件 功能说明 常见技术/协议
身份管理(Identity Management) 用户生命周期管理(创建、变更、注销),统一身份库 LDAP、Active Directory、SCIM
认证(Authentication) 验证用户身份"你是谁" 密码、MFA多因素认证、生物识别、硬件令牌
授权(Authorization) 控制用户能访问什么资源"你能做什么" RBAC(基于角色)、ABAC(基于属性)、PBAC(基于策略)
单点登录(SSO) 一次登录,访问多个系统 OAuth 2.0、SAML 2.0、OpenID Connect
多因素认证(MFA) 结合两种以上认证因素 TOTP(Google Authenticator)、短信验证码、指纹/Face ID
权限治理(Access Governance) 权限审批、定期审查、合规报告 权限梳理、角色挖掘、访问认证
身份分析(Identity Analytics) 异常行为检测、权限风险分析 UEBA、行为基线

SSO 提升便捷性,MFA 增强安全性,两者通常在 IAM 中协同工作 。


C3. 什么是特权账号管理(PAM),为什么它特别重要?

PAM(Privileged Access Management,特权账号管理) 是专门针对具有高权限账号(如root、管理员、数据库DBA、云平台超级用户等)的安全管理方案 。

为什么特权账号特别重要:

  • 特权账号拥有系统的最高权限,一旦被攻陷,整个系统沦陷
  • 80% 的数据泄露事件涉及特权账号滥用
  • 很多特权账号共享、密码长期不变、缺乏审计追踪

PAM 核心功能:

功能 说明
凭证托管(密码金库) 特权密码由系统自动托管、定期轮换,人工不可见
双因素认证 访问特权账号时必须经过MFA验证
会话录制 对所有特权操作进行全程录像和命令审计
权限临时授权 按需授权、限时使用,到期自动回收
单次登录(One-Time Login) 每次获取唯一凭证,无法复用
行为分析 监控异常操作行为,实时告警

PAM vs 堡垒机: PAM 侧重"账号密码全生命周期管理",堡垒机侧重"远程运维访问的集中管控和审计"。现代方案通常两者合一 。


C4. 日志留存与审计需要满足哪些合规要求,通常留存多久?

法规要求:

法律法规 具体要求 留存期限
《网络安全法》第21条 采取监测、记录网络运行状态和网络安全事件的技术措施,留存网络日志 不少于6个月
《数据安全法》 建立全流程数据安全管理制度,开展数据处理活动应当加强风险监测 根据行业要求
等保2.0 审计记录应包括事件的日期、时间、类型、主体、结果等 不少于6个月

不同行业的留存要求:

行业 最低留存期限 说明
通用/互联网 6个月 网络安全法基本要求
金融(银行/保险) 1年以上 监管机构专项要求
医疗健康 6年 电子病历相关法规
关键信息基础设施 1年以上 等保四级以上要求
电信 5个月~1年 根据具体业务类型

审计日志应包含的内容:

  • 事件日期、时间、类型
  • 操作主体(用户/IP)
  • 操作客体(被访问的资源)
  • 操作结果(成功/失败)
  • 完整的操作上下文

C5. 数据跨境传输有哪些法规限制和安全要求?

我国数据跨境传输有三条主要合规路径,2024年3月《促进和规范数据跨境流动规定》进一步细化了框架 :

合规路径 适用场景 管理方式
数据出境安全评估 重要数据出境、CIIO(关键信息基础设施运营者)数据出境、达到规定数量门槛的个人信息出境 向国家网信办申报,通过安全评估后出境
个人信息出境标准合同 未达安全评估门槛的一般个人信息出境 与境外接收方签署标准合同(SCC),向所在地省级网信部门备案
个人信息保护认证 经认证机构认证,证明符合保护要求 通过专业认证机构获取认证

什么情况可以豁免:

  • 国际贸易、学术合作、跨境医疗等必要场景
  • 不包含重要数据和个人信息的数据出境
  • 预计一年内出境个人信息不足10万人且不满1万人的敏感个人信息

安全要求:

  • 出境前进行数据分类分级和影响评估
  • 确保境外接收方具备相应安全能力
  • 签署数据处理协议,明确安全责任
  • 建立数据出境台账和跟踪机制

C6. 安全应急响应流程通常分为哪几个阶段,每个阶段做什么?

业界通用的安全应急响应流程分为 六个阶段(基于PICERL模型):

阶段 名称 核心工作 关键输出
第一阶段 准备(Preparation) 建立应急响应团队、制定预案、准备工具和资源、定期演练培训 应急响应预案、工具清单、联系方式
第二阶段 发现与识别(Identification) 监控告警、确认是否为安全事件、评估事件级别和影响范围 事件分级报告、初步判断结论
第三阶段 遏制(Containment) 短期遏制:立即隔离受影响系统;长期遏制:防止扩散和复发 遏制措施记录、受控状态确认
第四阶段 根除(Eradication) 清除攻击者痕迹、修复漏洞、删除恶意文件、关闭后门 根除报告、修复补丁清单
第五阶段 恢复(Recovery) 恢复系统和服务、验证数据完整性、逐步上线、持续监控 恢复确认报告、业务恢复通知
第六阶段 总结与复盘(Lessons Learned) 编写事件报告、分析得失、改进预案和防护措施、更新安全策略 事件复盘报告、改进计划

事件分级参考:

级别 定义 响应时间
P1(紧急) 核心业务中断、大规模数据泄露 15分钟内响应
P2(严重) 重要系统受影响、敏感数据风险 30分钟内响应
P3(一般) 单一系统异常、影响范围可控 2小时内响应
P4(低) 安全告警但未确认造成影响 24小时内处理
相关推荐
ctrl_v助手1 小时前
Halcon学习笔记2
人工智能·笔记·学习
懒鸟一枚1 小时前
深入理解 Linux 内存、Swap 交换分区与分页机制的关系
java·linux·数据库
龙仔7251 小时前
SQL Server 创建只读账号完整操作(分两种场景:SSMS图形界面 + T-SQL脚本)
数据库·sql·oracle
GJGCY1 小时前
财务智能体落地实践:RPA、大模型与规则引擎如何构建业财自动化闭环?
经验分享·ai·自动化·财务·智能体
霁月的小屋1 小时前
生产环境中的事务实践——银行系统上线记(四)
数据库
YUS云生2 小时前
Python学习笔记·第31天:FastAPI入门——路由、路径参数、查询参数与请求体
笔记·python·学习
Database_Cool_2 小时前
AI 应用数据底座首选:阿里云 PolarDB 为大模型 RAG 提供一体化支撑
数据库·阿里云
玖玥拾2 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
土星云SaturnCloud2 小时前
边缘计算驱动绿氢生产过程智能寻优:电解槽级实时优化技术解析
服务器·人工智能·ai·边缘计算