1、基础Linux命令有哪些?
Linux基础命令主要分为以下几类:
| 类别 | 常用命令 | 说明 |
|---|---|---|
| 文件目录操作 | ls、cd、pwd、mkdir、rm、cp、mv、touch |
列出目录、切换目录、创建/删除/复制/移动文件 |
| 文件查看 | cat、more、less、head、tail、grep |
查看文件内容、分页显示、搜索文本 |
| 权限管理 | chmod、chown、chgrp |
修改文件权限和所有者 |
| 进程管理 | ps、top、kill、killall |
查看和管理系统进程 |
| 磁盘管理 | df、du、fdisk、mount |
查看磁盘空间、分区、挂载 |
| 网络相关 | ifconfig/ip、ping、netstat、curl、wget |
网络配置、测试、下载 |
| 压缩解压 | tar、gzip、zip、unzip |
打包和压缩文件 |
| 系统信息 | uname、whoami、date、history |
查看系统、用户、时间信息 |
📝 分点记忆指南
1. 基础Linux命令有哪些?
- 记忆方法 :按功能分类 + 场景联想
不要孤立地记命令,而是想象你在管理一个文件柜。- 文件目录操作 (管理文件柜) :
ls(看看有什么),cd(走过去),mkdir(新建抽屉),rm(扔掉文件),cp/mv(复制/移动文件)。 - 文件查看 (阅读文件内容) :
cat(一口气读完),less/more(一页页看),grep(用关键词搜索)。 - 权限管理 (给文件上锁) :
chmod(改锁的权限),chown(换把锁的主人)。 - 进程管理 (管理正在运行的任务) :
ps/top(看看谁在干活),kill(让某个任务停下)。 - 网络相关 (检查网络连接) :
ping(看看网络通不通),curl/wget(从网上下载东西)。
- 文件目录操作 (管理文件柜) :




扩展:📊 核心参数速查表
| 参数 | 英文原型 | 核心含义 | 常见命令举例 |
|---|---|---|---|
| -a | all | 显示所有(包含隐藏文件) | ls -a (显示隐藏文件) |
| -l | long | 长格式/详细信息(权限、大小、时间) | ls -l (显示文件详细属性) |
| -h | human-readable | 人性化显示(自动换算成 KB/MB/GB) | ls -lh, df -h |
| -r | recursive | 递归(连同子目录一起处理) | rm -r (删除整个文件夹), cp -r |
| -f | force | 强制(不提示、不询问,直接执行) | rm -f (强制删除), cp -f (强制覆盖) |
| -v | verbose | 详细过程(显示正在做什么) | cp -v (显示复制了哪个文件) |
| -p | parent / preserve | 自动建父目录 或 保留属性 | mkdir -p (自动建多层目录), cp -p (保留原文件权限) |
| -i | interactive | 交互确认(操作前问你"确定吗?") | rm -i (删除前确认), cp -i (覆盖前确认) |
| -d | directory | 只针对目录本身(不进入目录) | ls -d (只看文件夹属性,不看里面) |
💡 重点参数深度解析
为了让你印象更深,我挑几个最容易混淆的给你详细讲讲:
1. -r (Recursive) ------ "斩草除根"
- 含义:递归。意思是"连同里面的东西一起处理"。
- 场景 :如果你要删除一个文件夹
rm folder,系统会报错说"这是一个目录"。你必须加上-r,变成rm -r folder,意思是"把这个文件夹,以及它里面的所有子文件夹、文件,全部递归删除"。
2. -f (Force) vs -i (Interactive) ------ "死对头"
-f(强制) :非常霸道。比如rm -f file,不管文件有没有写权限,也不管你同不同意,直接删掉,绝不废话。-i(交互) :非常谨慎。比如rm -i file,系统会问你remove file? (y/n),你必须输入y才会删除。- 实战技巧 :新手建议多用
-i防误删;老手写脚本为了自动化,通常用-f。
3. -v (Verbose) ------ "话痨模式"
- 含义:详细输出。
- 场景 :默认情况下,很多命令(如
cp复制)是"静默"的,成功了什么都不显示。加上-v后,它会告诉你:"我正在复制 A 文件到 B 目录... 完成!"。在排查问题时特别有用。
4. -p (Parent) ------ "贴心小助手"
- 含义 :在
mkdir命令中,它代表 Parent(父级)。 - 场景 :如果你想创建
/a/b/c这个目录,但/a和/b都不存在。直接mkdir /a/b/c会报错。但如果你用mkdir -p /a/b/c,系统会自动帮你把/a和/b也一起建好。
🚀 组合技:参数是可以"叠罗汉"的
在 Linux 中,多个短参数可以合并写在一起。
- 分开写 :
ls -l -a -h - 合并写 :
ls -lah(效果完全一样,而且更帅!)
等保/运维中最常用的"黄金组合":
ls -lah:查看当前目录所有文件(包括隐藏文件)的详细信息,并且文件大小是人性化的(显示 MB/KB)。rm -rf:强制递归删除(危险操作! 也就是传说中的"删库跑路"命令,千万别敲错路径)。tar -zxvf:解压压缩包时,把 gzip解压(z)、解压(x)、显示过程(v)、指定文件(f) 四个动作一气呵成。
📝 课后小挑战
试着用今天学的参数,完成下面这个任务:
- 创建一个多层目录
project/src/main(提示:用-p)。 - 在里面创建一个文件
test.txt。 - 用一条命令,把这个
project文件夹强制递归 复制到project_backup(提示:用cp加上-r和-f,或者合并成-rf)。 - 查看
project_backup里的内容,要求显示详细信息 且人性化显示大小 (提示:ls加上-l和-h)。
你可以对照一下,看看自己刚才敲的命令对不对:
-
创建一个多层目录
project/src/mainmkdir -p project/src/main(关键点:一定要加
-p,不然系统会报错说父目录不存在。) -
在里面创建一个文件
test.txttouch project/src/main/test.txt(这里用了绝对路径,当然你也可以先
cd project/src/main进去再touch。) -
把
project文件夹强制递归复制到project_backupcp -rf project project_backup(关键点:
-r代表递归复制整个文件夹,-f代表如果目标文件夹已存在就强制覆盖,不废话。) -
查看
project_backup里的内容,要求显示详细信息且人性化显示大小ls -lh project_backup(关键点:
-l显示详细列表,-h让文件大小显示为 KB/MB 等人类易读格式。两个参数合并写成-lh更简洁。)
💡 进阶小贴士
如果你想看 project_backup 里面所有子文件夹 里的内容,还可以加上 -R(大写 R,代表 Recursive 递归显示):
ls -lhR project_backup
这样就能把 src 和 main 里面的 test.txt 也一并列出来啦!
2、基础数据库命令有哪些?
关系型数据库(SQL)核心命令围绕 CRUD 操作:
| 操作 | 命令 | 示例 |
|---|---|---|
| 查询 | SELECT |
SELECT * FROM users WHERE id = 1; |
| 插入 | INSERT |
INSERT INTO users (name, age) VALUES ('张三', 25); |
| 更新 | UPDATE |
UPDATE users SET age = 26 WHERE name = '张三'; |
| 删除 | DELETE |
DELETE FROM users WHERE id = 1; |
其他常用命令:
| 类别 | 命令 | 说明 |
|---|---|---|
| 表结构 | CREATE TABLE、ALTER TABLE、DROP TABLE |
创建、修改、删除表 |
| 数据库 | CREATE DATABASE、USE、DROP DATABASE |
数据库的创建、切换与删除 |
| 聚合查询 | COUNT、SUM、AVG、MAX、MIN |
统计计算 |
| 联表查询 | JOIN(LEFT/RIGHT/INNER) |
多表关联查询 |
| 排序分页 | ORDER BY、LIMIT、GROUP BY |
结果排序、分页、分组 |
| 事务控制 | BEGIN、COMMIT、ROLLBACK |
事务的开始、提交、回滚 |
- 记忆方法 :抓住核心CRUD + 联想Excel操作
所有数据库操作都围绕 CRUD 展开,可以把它想象成在操作一个巨大的Excel表格。- C (Create) - 增 :
INSERT INTO-> 在表格里插入一行新数据。 - R (Read) - 查 :
SELECT-> 选择并查看你想要的行和列。 - U (Update) - 改 :
UPDATE-> 更新某一行或几行的数据。 - D (Delete) - 删 :
DELETE FROM-> 删除某一行数据。 - 其他 :
WHERE就像Excel的"筛选"功能,ORDER BY就像"排序"功能。
- C (Create) - 增 :
3、数据安全有哪些制度文件?
国内数据安全主要制度文件体系如下:
| 层级 | 文件名称 | 发布机构 | 说明 |
|---|---|---|---|
| 法律 | 《中华人民共和国数据安全法》 | 全国人大常委会 | 2021年施行,数据安全领域基础性法律 |
| 法律 | 《中华人民共和国个人信息保护法》 | 全国人大常委会 | 2021年施行,个人信息保护专门法 |
| 法律 | 《中华人民共和国网络安全法》 | 全国人大常委会 | 2017年施行,网络安全基础法 |
| 行政法规 | 《网络数据安全管理条例》 | 国务院 | 2025年1月1日起施行,790号令 |
| 部门规章 | 《银行保险机构数据安全管理办法》 | 国家金融监督管理总局 | 2024年12月发布,金融行业专项规范 |
| 国家标准 | GB/T 37988-2019《数据安全能力成熟度模型》 | 国家标准化委员会 | DSMM模型,企业数据安全能力建设参考 |
| 行业标准 | 等保2.0(GB/T 22239-2019) | 公安部 | 网络安全等级保护,含数据安全要求 |
- 记忆方法 :构建法律金字塔 + 记住"三驾马车"
将制度文件想象成一个金字塔结构,从上到下,效力递减,范围变窄。- 顶层(法律) :记住**"三驾马车"**------《网络安全法》、《数据安全法》、《个人信息保护法》。这是所有数据安全工作的根本大法。
- 中层(行政法规):如《网络数据安全管理条例》,是对顶层法律的具体实施细则。
- 底层(部门规章/国标/行标):如等保2.0、DSMM模型,是具体行业或领域要遵守的操作规范。
👑 顶层:三大基本法("三驾马车")
这是整个体系的基石,具有最高的法律效力。
- 《网络安全法》 :
- 核心关键词 :网络空间主权、关键信息基础设施、等级保护。
- 主要讲什么:它主要管的是"网络"和"系统"的安全。比如,国家要保障网络不被攻击,关键的基础设施(如能源、金融系统)要重点保护,以及大家上网要实名制等。它是网络安全领域的基础大法。
- 《数据安全法》 :
- 核心关键词 :数据分类分级、重要数据、数据交易。
- 主要讲什么:它主要管的是"数据"这个资产本身。国家要把数据按重要程度分类分级(比如哪些是核心数据、哪些是重要数据),鼓励数据合法利用和交易,同时规定了数据处理者的安全义务。
- 《个人信息保护法》 :
- 核心关键词 :知情同意、敏感个人信息、大数据杀熟。
- 主要讲什么:它专门保护我们"个人"的隐私。规定了收集个人信息必须遵循"合法、正当、必要"原则,必须经过用户同意,严禁过度收集和滥用(比如算法歧视)。
🏛️ 中层:行政法规与部门规章
这一层是对顶层法律的具体细化和落实,更具操作性。
- 代表文件 :如**《网络数据安全管理条例》**。
- 主要讲什么:它把上面三法的要求变成了具体的"操作指南"。比如,明确了什么是"重要数据",规定了数据出境(跨境传输)的具体安全评估流程,以及网络平台服务提供者(如大型APP)具体要承担哪些义务。
📏 底层:国家标准与行业规范
这是最底层的实操指南,是企业具体干活时要遵守的技术和管理标准。
- 代表文件 :
- 网络安全等级保护(等保2.0):规定了不同级别的系统(如银行系统、普通企业网站)在物理环境、通信网络、计算环境等方面必须达到的技术要求。
- 数据安全能力成熟度模型(DSMM):这是一个评估企业数据安全能力的"体检表"。它把数据安全能力分为1-5级,从组织建设、制度流程、技术工具、人员能力四个维度,评估企业在数据采集、传输、存储、处理、交换、销毁全生命周期的安全水平。
💡 一句话总结记忆法:
- 《网络安全法》 管**"网"**(系统和设施不被黑);
- 《数据安全法》 管**"数"**(数据资产被分类保护、合法利用);
- 《个人信息保护法》 管**"人"**(个人隐私不被滥用);
- 《条例》 是**"说明书"**(教你具体怎么落实);
- 等保/DSMM 是**"体检表"**(告诉你具体要做到什么程度才算合格)。
等保2.0和DSMM的对比表
|---------|------------------------------------------------------------------------|------------------------------------------------------------------------------|
| 对比维度 | 网络安全等级保护(等保2.0) | 数据安全能力成熟度模型(DSMM) |
| 定义/性质 | 国家标准(GB/T 22239等),是网络安全领域的强制性合规基线。 | 国家标准(GB/T 37988),是评估企业数据安全能力的推荐性标准/"体检表"。 |
| 核心目标 | 保障网络系统(含基础设施、应用系统)的安全稳定运行,防止被攻击、破坏。 | 评估和提升组织在数据全生命周期的安全处理能力,实现数据资产的精细化保护。 |
| 评估对象 | 信息系统/网络环境 (如:银行核心系统、企业官网、云平台等)。 | 数据安全能力 (关注组织在数据管理上的组织、制度、技术、人员水平)。 |
| 主要维度/层级 | 安全等级:分为1-5级。 技术要求:物理环境、通信网络、区域边界、计算环境、管理中心。 管理要求:安全管理制度、管理机构、人员、建设、运维。 | 能力等级:分为1-5级(非正式执行级到持续优化级)。 四大维度:组织建设、制度流程、技术工具、人员能力。 生命周期:采集、传输、存储、处理、交换、销毁。 |
| 应用场景 | 合规准入: 适用于所有网络运营者,特别是关键信息基础设施运营者。是系统上线前的必要合规步骤(如定级、备案、测评)。 | 能力评估与改进: 适用于希望系统化提升数据安全管理水平的企业。常用于内部自查、第三方评估或作为数据安全建设的指导框架。 |
| 侧重点 | 侧重"系统防护" 强调边界防御、访问控制、入侵防范等技术手段,确保系统不被非法入侵。 | 侧重"数据治理" 强调数据在全生命周期中的流转安全,关注数据分类分级、权限管控及合规使用。 |
4、数据安全有哪些技术能力?

一、先区分两类:纯数据安全技术 + 配套安全监测 / 边界防护能力
1. 核心数据安全技术(直接作用于数据本身,完全匹配数据安全范畴)
- 数据分类分级:数据治理基础能力,对全量数据划分敏感等级、业务分类,是所有数据防护的前置前提
- 数据加密:静态存储加密、传输加密,从底层防止明文泄露
- 数据脱敏:开发 / 测试场景动态屏蔽敏感字段(手机号、身份证),分为静态脱敏、动态脱敏
- 数据水印:溯源追责能力,分明水印、隐水印,泄露后定位泄露源头
2. 数据访问 / 权限管控类(数据全生命周期访问安全)
- 权限管控:最小权限分配、细粒度数据访问权限、账号生命周期管理
- 接口审计(应为数据操作审计) :接口审计是数据安全体系中的"黑匣子"。对于开发来说,它是排查 Bug 和定位越权漏洞的利器;对于安全合规来说,它是满足监管要求、证明"我已经尽力保护数据"的重要证据。(端口属于网络层面,数据安全对应的是数据操作行为审计,记录谁、何时、读取 / 修改 / 导出了敏感数据;端口审计归属于网络安全边界能力。)
- 一个完整的审计日志,必须包含以下关键要素(也就是安全圈常说的 5W1H):
- Who(调用方身份):是谁发起的请求?(用户ID、IP地址、设备指纹、调用的AppKey等)
- When(调用时间):精确到毫秒的时间戳。
- Where(接口标识) :访问了哪个具体的API路径(如
/api/user/info)。 - What(操作内容):请求参数是什么?返回了什么数据?(注意:为了安全,返回的敏感数据通常会做脱敏处理)
- How(调用结果):是成功(200 OK)还是失败(401/403/500)?耗时多久?
3. 配套全域安全感知 / 隔离防护(支撑数据安全的底座能力)
- 态势感知:全域安全风险监测,整合数据访问、网络、系统日志,识别数据窃取、批量导出等异常行为
- 沙箱:隔离运行环境,防止恶意程序窃取本地 / 终端敏感数据,终端数据防护常用
二、基于数据全生命周期的数据安全技术体系
数据安全技术能力覆盖数据全生命周期:
| 阶段 | 技术能力 | 说明 |
|---|---|---|
| 采集 | 数据分类分级、数据发现、资产测绘 | 识别敏感数据,建立数据资产台账 |
| 存储 | 数据库加密、透明加密(TDE)、密钥管理(KMS) | 保障静态数据安全 |
| 传输 | SSL/TLS、VPN、数据通道加密 | 保障数据在传输过程中不被窃取 |
| 使用 | 访问控制、身份认证(IAM)、权限管理 | 控制谁能访问什么数据 |
| 防泄漏 | DLP(数据防泄漏)、终端DLP、网络DLP | 防止数据被非法外传 |
| 脱敏 | 静态脱敏、动态脱敏、数据水印 | 在非生产环境隐藏敏感信息 |
| 审计 | 数据库审计、操作行为审计、日志分析 | 记录和监控数据访问行为 |
| 销毁 | 安全擦除、数据粉碎、生命周期管理 | 确保数据不可恢复地删除 |
逐阶段拆解
1. 采集阶段
技术 :数据分类分级、数据发现、资产测绘 作用:数据刚产生 / 接入时,先摸清家底
- 自动扫描识别全公司所有数据库、文件、接口里的敏感数据(身份证、手机号、客户信息)
- 划分公开 / 内部 / 敏感 / 核心四级,建立完整数据资产台账,是所有防护的基础前提
- 存储阶段
技术 :数据库加密、透明加密 TDE、密钥管理 KMS 作用:数据静止存放在硬盘 / 数据库里时防窃取
- TDE 透明数据加密:数据库文件底层自动加密,即使硬盘被盗也读不出明文
- KMS 密钥管理:统一管控加密密钥,避免密钥泄露、丢失
- 传输阶段
技术 :SSL/TLS、VPN、数据通道加密 作用:数据在网络里传输(浏览器、接口、异地同步)防抓包窃听
- SSL/TLS:网站 HTTPS、API 接口加密
- VPN:异地办公、跨机房传输建立加密隧道
- 使用阶段
技术 :访问控制、IAM 身份认证、细粒度权限管理 作用:管控 "谁能看、谁能改、能操作哪些数据"
- IAM 统一账号登录、多因素认证
- 最小权限原则:普通员工只能查看自身业务所需数据
- 防泄漏阶段(DLP)
技术 :终端 DLP、网络 DLP 数据防泄漏 作用:阻止敏感数据非法外发
- 终端 DLP:管控 U 盘拷贝、微信 / QQ 外传、打印敏感文件
- 网络 DLP:拦截邮件、接口向外批量传输客户敏感数据
- 脱敏阶段
技术 :静态脱敏、动态脱敏、数据水印 作用:非生产环境隐藏真实敏感信息,同时支持泄露溯源
- 静态脱敏:开发测试库批量把身份证替换为
130****1234 - 动态脱敏:运维人员查询时实时屏蔽敏感字段
- 数据水印:嵌入隐形标识,数据流出后可定位泄露人
- 审计阶段
技术 :数据库审计、操作行为审计、日志分析 作用:全流程留痕,事后追溯、发现异常窃取行为
- 记录所有账号:何时、何地、查询 / 导出 / 删除了哪些敏感数据
- 日志汇总分析,识别批量导出、深夜异常访问等高风险行为(对应你之前说的审计、态势感知底层数据源)
- 销毁阶段
技术 :安全擦除、数据粉碎、生命周期管理 作用:数据过期 / 设备报废时彻底删除,无法恢复
- 普通删除可被恢复,数据粉碎多次覆写磁盘;硬盘报废时安全擦除敏感库
- 记忆方法 :跟随数据生命周期
想象一份数据从"出生"到"销毁"的完整旅程,每个阶段都有对应的保护技术。- 采集:数据分类分级、资产测绘(先搞清楚自己有什么宝贝)。
- 存储:数据库加密、TDE(给静止的宝贝上锁)。
- 传输:SSL/TLS、VPN(给运送宝贝的通道加密)。
- 使用:访问控制、身份认证(确认来取宝贝的人有权限)。
- 防泄漏(DLP):防止宝贝被偷偷带出去。
- 脱敏:在非正式场合展示宝贝时,把敏感部分遮住。
- 审计:记录谁、在什么时候、对宝贝做了什么操作。
- 销毁:安全擦除,确保宝贝被彻底销毁,无法恢复。
5、数据安全有哪些风险隐患?
数据安全面临的主要风险隐患:
| 风险类型 | 具体表现 | 危害 |
|---|---|---|
| 数据泄露 | 内部人员泄露、黑客攻击、邮件外发、云盘同步 | IBM报告显示2023年数据泄露平均成本达445万美元 |
| 未授权访问 | 弱口令、权限过大、账号共享、越权访问 | 敏感数据被非法查看或下载 |
| 数据篡改 | 恶意修改、SQL注入、中间人攻击 | 数据完整性受损,业务决策失误 |
| 数据丢失 | 误删除、勒索病毒、硬件故障、自然灾害 | 业务中断,无法恢复关键数据 |
| 合规风险 | 未满足法律法规要求、数据跨境违规 | 面临行政处罚和声誉损失 |
| 第三方风险 | 外包人员、合作方、供应链数据共享 | 数据在流转中失控 |
| 影子IT | 员工使用未授权云存储、即时通讯传输文件 | 数据脱离企业管控范围 |
- 记忆方法 :按风险来源分类
将风险分为内部、外部、管理三类,更容易理解。- 外部威胁 :数据泄露 (黑客攻击)、数据篡改(SQL注入)。
- 内部威胁 :未授权访问 (弱口令、权限过大)、数据泄露(内部人员故意或无意泄露)。
- 管理/流程风险 :数据丢失 (误删、无备份)、合规风险 (不满足法律法规)、第三方风险 (供应链出问题)、影子IT(员工私自用未授权软件)。
6、数据安全与网络安全有什么区别?
| 对比维度 | 数据安全 | 网络安全 |
|---|---|---|
| 保护对象 | 数据本身(内容、价值、隐私) | 网络基础设施(硬件、链路、系统) |
| 保护重点 | 数据的保密性、完整性、可用性 | 网络系统不被攻击、不中断、正常运行 |
| 边界特性 | 无边界,数据在哪里安全就在哪里 | 有边界,守护网络边界内的系统 |
| 关注范围 | 数据全生命周期(采集-存储-传输-使用-销毁) | 网络通信、系统运行、边界防护 |
| 核心技术 | 加密、脱敏、DLP、访问控制、水印 | 防火墙、IDS/IPS、VPN、WAF、零信任 |
| 目标导向 | 保护数据不被未授权访问、篡改、泄露 | 保护网络系统不受攻击和破坏 |
| 适用场景 | 金融、医疗、政务等高敏感数据领域 | 所有需要网络通信的场景 |
联系: 两者相辅相成。网络安全是数据安全的基础(网络不安全则数据难安全),数据安全是网络安全的深化和延伸。数据安全法与网络安全法共同构成我国安全法律体系的重要支柱
- 记忆方法 :核心比喻法
这是最关键的区别,用一个比喻就能记住:- 网络安全 像是保护城堡(网络、服务器、防火墙)。它关注的是边界,防止敌人攻进来。
- 数据安全 像是保护城堡里的宝藏(数据本身)。它关注的是宝藏的保密性、完整性和可用性,无论宝藏在城堡里、在运输途中还是在别的地方。
| 对比维度 | 网络安全 (城堡) | 数据安全 (宝藏) |
|---|---|---|
| 保护对象 | 网络基础设施、系统 | 数据内容、隐私 |
| 边界 | 有边界 (护城河) | 无边界 (数据在哪,保护就在哪) |
| 目标 | 系统不被攻击、不中断 | 数据不被泄露、篡改、丢失 |
这六个问题可完美串联成一次**"等保合规与应急响应实操演练"**
我们不要死记硬背,而是把自己代入到一个**"安全运维工程师"** 的角色中。假设你现在负责一个核心业务系统,请跟着下面这6个实操步骤走一遍,知识点自然就记住了:
🛡️ 实操记忆演练:从建系统到防黑客(这大概说明,后面有详细解释和操作步骤)
第一步:搭环境(对应问题1:基础Linux命令)
- 实操场景:你刚拿到一台云服务器,需要配置环境。
- 动手做 :
- 用
mkdir /app建个目录,用cd /app进去。 - 用
touch config.txt建个配置文件,用ls -l看看权限。 - 用
chmod 600 config.txt把权限收紧(等保常考点)。 - 用
ps aux | grep nginx看看Web服务跑起来没。
- 用
第二步:存数据(对应问题2:基础数据库命令)
- 实操场景:系统要存用户信息了。
- 动手做 :
- 登录MySQL:
mysql -u root -p。 - 建库建表:
CREATE DATABASE test_db;,CREATE TABLE users (id INT, name VARCHAR(20));。 - 模拟CRUD:
INSERT INTO users VALUES (1, 'admin');,然后SELECT * FROM users;查出来。
- 登录MySQL:
第三步:定规矩(对应问题3:制度文件)
- 实操场景:系统上线前,必须满足国家合规要求。
- 动手做 :在脑子里过一遍"金字塔"。
- 问自己:"我这套系统受哪三大法管?"(网安法、数安法、个保法)。
- 问自己:"等保2.0要求我做到什么级别?"(这就是你正在备考的核心考点,想想定级原则和定级对象)。
第四步:上技术(对应问题4:技术能力)
- 实操场景:为了保护数据,你要部署防护手段。
- 动手做 :
- 传输加密:给Nginx配个HTTPS(SSL证书)。
- 访问控制:配置防火墙,只允许公司IP(白名单)访问22端口。
- 数据备份 :写个简单的定时任务
crontab -e,每天凌晨把数据库备份到另一个目录。
第五步:找漏洞(对应问题5:风险隐患)
- 实操场景:系统上线了,黑客开始试探。
- 动手做 :
- 弱口令风险 :故意把数据库密码设成
123456,然后用另一台机器尝试暴力破解。 - SQL注入风险 :在登录框输入
' OR '1'='1,看看能不能绕过密码登录。 - 权限过大风险 :用普通用户去执行
rm -rf /,看看是不是被拒绝了(体会最小权限原则)。
- 弱口令风险 :故意把数据库密码设成
第六步:分概念(对应问题6:数据安全 vs 网络安全)
- 实操场景:老板问你,今天做的这些到底属于哪个范畴?
- 动手做 :看着你刚才做的操作进行归类。
- 你配的防火墙、装的杀毒软件、防DDoS攻击 ------ 这是网络安全(保城堡)。
- 你做的数据库加密、敏感信息脱敏、防内部人员偷数据 ------ 这是数据安全(保宝藏)。
💡 终极实操大招:画一张架构图
拿出一张白纸,画一个服务器框。
- 外面画个盾牌(网络安全),写上防火墙、IDS。
- 里面画个保险箱(数据安全),写上加密、备份。
- 旁边贴个便签(制度文件),写上等保2.0。
- 下面写上你用的工具(Linux/数据库命令)。
这样,这6个问题就不再是孤立的考点,而是一个完整的安全运维工作流。考试时遇到相关题目,直接在大脑里"跑"一遍这个流程,答案自然就出来了!
🛡️ 第一步实操:搭环境(Linux 基础命令)
场景代入:你现在是一名安全运维工程师,刚拿到一台全新的服务器,准备部署一个核心业务系统。
1. 看看我在哪?(导航命令)
刚登录服务器,你首先得知道自己在哪里,以及周围有什么。
pwd(Print Working Directory):查看当前所在的完整路径。- 实操 :输入
pwd,回车。它会告诉你你现在在哪个文件夹里(比如/home/user)。
- 实操 :输入
ls(List):看看当前目录下有什么文件和文件夹。- 实操 :输入
ls,回车。 - 进阶 :输入
ls -l(显示详细信息,比如权限、大小)或者ls -a(显示隐藏文件)。等保检查时,经常需要看隐藏文件里的配置文件。
- 实操 :输入
cd(Change Directory):切换到你想要去的目录。- 实操 :输入
cd /回到根目录(最顶层),再输入cd ~回到你的家目录。
- 实操 :输入
2. 建立业务目录(文件操作命令)
现在我们要为业务系统建一个专门的文件夹。
mkdir(Make Directory):创建新文件夹。- 实操 :输入
mkdir app_system。这就建好了一个名为app_system的文件夹。 - 进阶 :输入
mkdir -p project/config,-p的意思是如果父目录不存在就自动创建,一次性建好多层目录。
- 实操 :输入
cd:进入刚才建好的目录。- 实操 :输入
cd app_system。
- 实操 :输入
3. 创建配置文件(文件创建与查看)
系统需要配置文件才能运行,我们来创建一个。
touch:创建一个空文件。-
实操 :输入
touch config.txt。现在你有了一个空白的配置文件。 -
这里需要注意一下,
touch是 Linux/Unix 系统特有的命令,Windows 原生并不支持它,所以会报"无法识别"的错误。✅ 如何正确安装 Microsoft CoreUtils for Windows(需要开VPN)
-
打开 PowerShell(以管理员身份运行)
-
输入以下命令并回车:
winget install Microsoft.Coreutils -
等待安装完成,重启终端后即可使用
touch、ls、cat等 Linux 常用命令。 -

-

-
如果你就想用windows的话
使用 PowerShell 原生命令
在 PowerShell 中,你可以用
New-Item命令来创建空文件,功能等同于touch:New-Item -Path "config.txt" -ItemType File或者更简洁的写法:
echo $null > config.txt这条命令的意思是"把空内容写入 config.txt",如果文件不存在就创建,存在则清空内容(注意:这会覆盖原内容)。
-
cat(Concatenate):查看文件里的内容。- 实操 :输入
cat config.txt。因为是空文件,所以什么都没显示。
- 实操 :输入

4. 修改配置并保存(简单编辑)
空文件没用,我们要往里面写点东西。新手可以先用 nano 这个简单的编辑器。
-
nano:一个对新手非常友好的文本编辑器。 -
(如果用的是windows系统,在这也会报错,之前虽然安装了Microsoft CoreUtils for Windows,
touch能用了,是因为它属于"文件操作工具";而nano不能用,是因为它属于"文本编辑器",两者不在同一个软件包里。) -
你可以改成windows的命令
notepad config.txt也可以改成去用虚拟机
- 实操 :输入
nano config.txt。 - 进入后,直接打字输入:
db_password=123456。 - 写完后,按
Ctrl + O保存(按回车确认),再按Ctrl + X退出。 - 退出后,再输入
cat config.txt,看看是不是已经保存进去了。
- 实操 :输入

5. 等保关键动作:收紧权限(权限管理)
这是等保测评的高频考点! 刚才我们把数据库密码明文写在文件里,如果谁都能看,那系统就危险了。
-
ls -l:再次查看文件权限。你会看到类似-rw-r--r--的字符,代表读(r)、写(w)、执行(x)的权限。 -
chmod(Change Mode):修改文件的读写权限。- 实操 :输入
chmod 600 config.txt。 - 解释 :
600的意思是,只有文件的主人(你)可以读和写(6=4读+2写),其他任何人(包括同组用户和其他用户)都没有任何权限(0)。这样密码就安全了!
数字权限 符号表示 含义拆解 (自己-同组-其他人) 适用场景 (等保常考) 600 rw-------自己读写(6),其他人啥也没有(0) 敏感配置文件(如密码、SSH私钥) 644 rw-r--r--自己读写(6),其他人只能看(4) 普通文件(如网页代码、普通文档) 755 rwxr-xr-x自己全权(7),其他人能看能进(5) 普通目录、可执行的脚本文件 700 rwx------自己全权(7),其他人啥也没有(0) 私密目录(只有自己能进) 777 rwxrwxrwx所有人都有全部权限(7) 极度危险! 绝对不要在生产环境使用 💡 万能计算公式:
权限数字 = (自己的 r+w+x) + (同组人的 r+w+x) + (其他人的 r+w+x)

- 实操 :输入
-
chown(Change Owner):修改文件的主人。-
实操 :假设你建了一个普通用户
appuser,你可以输入sudo chown appuser:appuser config.txt,把这个文件的所有权交给专门运行程序的用户,而不是用管理员(root)身份运行(这也是等保"最小权限原则"的要求)。 -
在 Linux 中,创建普通用户需要管理员权限(
root),所以命令前必须加sudo。你可以直接复制下面这行命令来创建名为
appuser的用户:
sudo useradd -m appuser💡 命令详解
sudo:以超级管理员身份执行(因为创建用户是敏感操作)。useradd:添加用户的专用命令。-m:非常重要! 它的意思是自动为用户创建一个"家目录"(通常是/home/appuser)。如果不加这个参数,用户虽然建好了,但没有自己的文件夹,后续实操会很麻烦。appuser:你要创建的用户名。
-
✅ 创建完用户后,别忘了设密码
刚创建的用户是没有密码的(无法登录),你需要紧接着输入:
sudo passwd appuser
系统会提示你输入两次新密码(输入时屏幕不会显示星号,这是正常的,盲输即可)。
搞定这两步,你就可以继续执行教程里的 sudo chown appuser:appuser config.txt 了!

6. 检查系统状态(进程与系统监控)
环境搭好了,看看服务器累不累。
top:实时查看系统的 CPU、内存占用情况,以及正在运行的程序(进程)。- 实操 :输入
top。你会看到一个不断刷新的界面。按q键退出。
- 实操 :输入
ps(Process Status):查看当前有哪些进程在运行。
- 实操 :输入
ps aux。这会列出所有正在运行的程序。
- 进阶 :输入
ps aux | grep nano。这里的|叫管道符,意思是把前面ps aux的结果,交给后面的grep去过滤,只找出包含 "nano" 的行。
- 实操 :输入
💡 实操小任务
现在,请你打开终端(如果你是在 Windows 上,可以用 WSL 或者虚拟机里的 Ubuntu、kali),按照上面的顺序,把命令敲一遍。
敲完之后,你可以试着回答这个问题来检验自己:
"如果我想在 /home 目录下创建一个叫 test 的文件夹,进去后创建一个 1.txt 文件,并把这个文件的权限改成只有自己能读写,该怎么做?"
操作步骤答案:

衍生
方向A:网络安全与系统安全(偏防御体系)
- 常见的网络攻击类型有哪些,各自有什么特征?
- 防火墙、IDS、IPS、WAF 这些安全设备分别起什么作用?
- 什么是零信任架构,与传统网络安全模型有什么区别?
- 操作系统安全加固通常包含哪些措施?
- 什么是漏洞扫描与渗透测试,二者有什么区别?
- SIEM(安全信息与事件管理)和 SOC(安全运营中心)是什么关系?
A1. 常见的网络攻击类型有哪些,各自有什么特征?
| 攻击类型 | 特征 | 典型表现 |
|---|---|---|
| 恶意软件 | 病毒、木马、蠕虫、勒索软件等植入目标系统 | 文件加密勒索、远程控制、数据窃取 |
| 钓鱼攻击 | 伪造邮件/网站诱导用户泄露凭据 | 虚假登录页面、恶意附件 |
| DDoS 攻击 | 海量流量冲击目标,耗尽其服务资源 | 网站瘫痪、服务不可用 |
| 中间人攻击(MITM) | 攻击者插入通信双方之间窃听或篡改数据 | 公共WiFi嗅探、ARP欺骗 |
| SQL注入 | 在输入框插入恶意SQL语句操控数据库 | 拖库、越权查询、数据篡改 |
| XSS(跨站脚本) | 向网页注入恶意脚本,劫持用户会话 | 会话劫持、钓鱼弹窗、蠕虫传播 |
| 0-Day 攻击 | 利用尚未公开补丁的漏洞 | 防御难度大,危害极高 |
| 供应链攻击 | 攻击软件供应商或第三方组件 | SolarWinds事件 |
1. 恶意软件
- 核心特征:将病毒、木马、蠕虫、勒索软件等恶意程序植入目标系统,在本地或后台执行违规操作。
- 细分子类特点 :
- 病毒:依附正常文件传播,触发后破坏系统;
- 木马:伪装成正常工具,实现远程控制;
- 蠕虫:可自主通过网络扩散,批量感染设备;
- 勒索软件:加密受害者文件索要赎金。
- 典型表现:电脑文件被加密勒索、黑客远程操控主机窃取企业机密数据、系统卡顿瘫痪。
2. 钓鱼攻击
- 核心特征:伪造可信的邮件、网站、短信界面,利用用户信任诱导其泄露账号密码、银行卡等敏感凭据,属于针对人的社会工程学攻击。
- 典型表现:搭建和正规平台一模一样的虚假登录页面骗取账号、邮件附带恶意附件诱使用户下载执行、冒充客服套取验证码。
3. DDoS 攻击(分布式拒绝服务攻击)
- 核心特征:控制大量僵尸主机生成海量无效流量,冲击目标服务器 / 网站,耗尽带宽、CPU、内存等服务资源,让正常用户无法访问。
- 典型表现:企业官网长时间瘫痪、线上业务系统无法打开、游戏服务器卡顿掉线。细分有流量型(洪水冲击)、应用层(高频请求消耗接口资源)两类。
4. 中间人攻击(MITM)
- 核心特征:攻击者介入通信双方的传输链路,悄无声息窃听通信内容,甚至篡改交互数据,通信双方都感知不到链路被劫持。
- 典型表现:在公共免费 WiFi 下监听用户的网页登录数据、通过 ARP 欺骗篡改局域网内设备的访问跳转地址,把用户流量导向恶意站点。
5. SQL 注入
- 核心特征:利用网页输入框、接口参数的过滤缺陷,插入恶意 SQL 语句,操控后端数据库执行非授权操作。
- 典型表现:拖取数据库全部用户数据、越权查询他人隐私信息、篡改订单金额、删除数据库整表数据,是 Web 最经典的高危漏洞之一。
6. XSS(跨站脚本)
- 核心特征:向网页中注入恶意 JS 脚本,当其他用户访问该页面时,脚本会在用户浏览器内执行,劫持用户和网站之间的会话。
- 典型表现:盗取用户登录 Cookie 实现会话劫持、弹出钓鱼窗口骗信息、在站内传播蠕虫批量污染页面,分为存储型、反射型、DOM 型三类。
7. 0-Day 攻击(零日攻击)
- 核心特征 :利用软件 / 系统厂商尚未发布补丁、外界还未公开知晓的安全漏洞发起攻击,防御方没有现成防护方案。
- 典型表现:针对操作系统、办公软件、工业控制系统的未知漏洞发起入侵,攻击隐蔽性极强、防御难度极大,通常会造成极高的危害,多被高级黑客组织使用。
8. 供应链攻击
- 核心特征:瞄准企业信任的上游软件供应商、第三方插件 / 组件、合作服务商,通过污染上游产品,间接入侵下游大量使用该产品的企业。
- 典型表现:知名案例 SolarWinds 事件,黑客污染运维软件的更新包,大量下载更新的政企单位被批量入侵;还有第三方 SDK 投毒、开源组件投毒这类常见场景。
| 攻击类型 | 攻击核心原理 | 主要防御设备 | 辅助防护设备 | 具体防御措施 |
|---|---|---|---|---|
| 恶意软件 (病毒 / 木马 / 勒索) | 恶意程序植入终端窃取、加密数据 | IPS、 防火墙 | IDS、终端 EDR | 1. 防火墙封禁恶意外联 IP、远控端口 2. IPS 匹配恶意程序特征、拦截木马回传流量 3. IDS 审计外联异常行为,事后溯源 4. 终端杀毒拦截本地恶意文件 |
| 钓鱼攻击 (社会工程) | 伪造页面 / 邮件诱导泄露账号凭证 | WAF、 防火墙 | IDS | 1. WAF 拦截仿站、钓鱼页面恶意脚本 2. 防火墙拉黑钓鱼域名 / 恶意 IP 3. IDS 监测批量账号异常登录告警 4. 配套员工安全培训 |
| DDoS 攻击 | 海量无效流量耗尽服务器资源 | 防火墙、IPS | 流量清洗设备 | 1. 防火墙基础限流、封禁攻击源 IP 2. IPS 识别 CC / 应用层洪水攻击丢弃报文 3. 大流量场景配套专业流量清洗中心 |
| 中间人攻击 (MITM/ARP 欺骗 / 公共 WiFi 嗅探) | 劫持通信链路窃听、篡改传输数据 | IPS、 防火墙 | IDS | 1. IPS 检测局域网 ARP 欺骗异常报文并阻断 2. 防火墙强制业务全站 HTTPS 加密传输 3. IDS 审计局域网异常网关切换行为 |
| SQL 注入 | 注入恶意 SQL 操控数据库、拖库 | WAF | IPS、IDS | 1. WAF 核心防御:解析 HTTP 参数,匹配 SQL 特征拦截恶意语句 2. IPS 拦截带注入特征的数据包 3. IDS 记录注入攻击日志用于溯源 |
| XSS 跨站脚本 | 网页注入恶意 JS 劫持用户会话 | WAF | IDS | 1. WAF 过滤请求内恶意 JavaScript、HTML 标签 2. 自动转义页面输出内容,存储型 XSS 拦截 3. IDS 记录恶意脚本访问行为 |
| 0-Day 零日漏洞攻击 | 厂商无补丁的未知漏洞渗透 | IPS、IDS | WAF、防火墙 | 1. IPS 基于异常行为模型拦截未知漏洞利用流量 2. IDS 持续监测反常内网横向移动行为告警 3. 防火墙最小化端口暴露面,缩小攻击面 4. WAF 拦截异常畸形 HTTP 请求 |
| 供应链攻击(第三方组件 / 更新投毒) | 污染上游软件批量入侵下游企业 | 防火墙、WAF | IDS | 1. 防火墙限制第三方更新服务器访问权限 2. WAF 校验第三方 API 请求合法性 3. IDS 监控陌生第三方外联通信行为 4. 上线前第三方组件安全扫描 |
A2. 防火墙、IDS、IPS、WAF 这些安全设备分别起什么作用?
| 设备 | 英文全称 | 核心作用 | 工作方式 |
|---|---|---|---|
| 防火墙 | Firewall | 边界访问控制,基于IP/端口/协议进行流量过滤 | 允许/拒绝流量,属于访问控制类产品 |
| IDS | 入侵检测系统 | 发现异常行为和攻击迹象 | 只检测、不阻断,属于审计类产品 |
| IPS | 入侵防御系统 | 检测并主动拦截攻击流量 | 检测+阻断,属于访问控制类产品 |
| WAF | Web应用防火墙 | 专门保护Web应用,防御SQL注入、XSS等应用层攻击 | 工作在应用层,过滤HTTP/HTTPS流量 |
简单记忆:防火墙 管边界,IDS 看异常,IPS 管拦截,WAF保网站。
1. 防火墙(Firewall)
英文全称
Firewall
核心作用
部署在网络边界位置 (比如企业内网和互联网的出入口),基于IP 地址、端口号、通信协议这些网络层 / 传输层信息做流量访问控制,只放行符合预设安全策略的流量,阻隔非法的跨边界访问,是网络最基础的边界闸门。
工作方式
依靠预设策略对流量做「允许 / 拒绝」的决策,属于传统访问控制类产品。举例子:设置策略禁止外网访问内网的 3389 远程端口、只放行 80/443 网页端口,拦截陌生 IP 的主动连接。
局限
对 Web 应用层的 SQL 注入、XSS 这类伪装成正常端口流量的攻击无法识别防御。
2. IDS(入侵检测系统,Intrusion Detection System)
英文全称
Intrusion Detection System
核心作用
全天候监控全网流量与主机行为,通过特征库、异常行为模型,发现网络里的攻击迹象、违规操作、异常访问行为,及时发出告警。
工作方式
只做检测告警,不会主动阻断攻击,属于审计监测类产品。一般以旁路镜像部署的方式工作,不影响原有网络的通行速度。举例子:监测到多次暴力破解登录行为、出现已知攻击特征的流量后,给管理员推送告警日志,但不会切断这条攻击连接。
局限
发现攻击后无法实时止损,需要管理员人工介入处理。
3. IPS(入侵防御系统,Intrusion Prevention System)
英文全称
Intrusion Prevention System
核心作用
在 IDS 检测攻击能力的基础上,增加主动防御能力,实时识别攻击流量并立刻拦截,阻止攻击渗透到内网。
工作方式
检测 + 主动阻断双能力,以串联方式部署在网络链路中,属于访问控制类产品。一旦匹配到攻击特征或异常行为,直接丢弃数据包、断开连接。举例子:识别出端口扫描、漏洞利用攻击流量时,当场阻断连接,同时上报告警。
和 IDS 的关键区别
IDS 是旁路 "监控报警",IPS 是 inline 串联 "监控 + 直接拦下来"。
4. WAF(Web 应用防火墙,Web Application Firewall)
英文全称
Web Application Firewall
核心作用
专门针对 **Web 应用(网站、API 接口)** 做防护,聚焦应用层攻击,抵御 SQL 注入、XSS 跨站脚本、文件上传漏洞、越权访问、恶意爬虫这类 Web 专属攻击。
工作方式
工作在 OSI 七层模型的应用层,深度解析 HTTP/HTTPS 请求的参数、Cookie、请求体内容,过滤恶意 Web 流量,部署位置可以是云集群、服务器本地、反向代理节点。
举例子:拦截用户输入里带恶意 SQL 语句的登录请求、屏蔽页面里注入的 JS 恶意脚本、拦截大批量恶意爬虫薅接口数据。
和传统防火墙的区别
传统防火墙看 IP / 端口,WAF 看懂网页请求里的具体内容,防护粒度更贴合 Web 业务场景。
速记口诀拓展
原口诀:防火墙管边界,IDS 看异常,IPS 管拦截,WAF 保网站
- 防火墙:把守内外网络大门,管基础边界准入
- IDS:安静盯着全网动静,发现异常就喊警报
- IPS:能盯着还能直接关门拦攻击
- WAF:专门守护网站、Web 接口的专用防护工具
四者部署搭配逻辑
- 最外层用防火墙做粗粒度边界封堵;
- 链路串 IPS 实时拦截渗透攻击;
- 旁路挂 IDS 做全局审计溯源;
- 前端业务层部署 WAF 抵御 Web 专属攻击,形成多层防御体系。
A3. 什么是零信任架构,与传统网络安全模型有什么区别?
零信任(Zero Trust) 是一种网络安全理念和架构,核心原则是 "永不信任,始终验证"(Never Trust, Always Verify) 。
| 对比维度 | 传统网络安全模型 | 零信任架构 |
|---|---|---|
| 信任假设 | 内网可信,外网不可信(城堡+护城河) | 内外网均不可信 |
| 访问控制 | 基于网络位置(边界内自由访问) | 基于身份和上下文(每次访问都验证) |
| 验证方式 | 一次性认证,长期信任 | 持续验证,动态授权 |
| 权限原则 | 默认开放 | 最小权限原则 |
| 适用场景 | 固定办公网络 | 远程办公、多云环境、移动办公 |
A4. 操作系统安全加固通常包含哪些措施?
| 加固维度 | 具体措施 |
|---|---|
| 身份鉴别 | 设置口令复杂度策略、登录失败锁定、口令有效期、禁止空密码 |
| 账户管理 | 删除无用账号、限制root/Admin使用、分离特权账号与普通账号 |
| 权限控制 | 最小权限原则、文件系统ACL配置、敏感目录权限收紧 |
| 日志审计 | 开启系统日志、配置集中日志收集、记录登录/操作行为 |
| 网络配置 | 关闭不必要的端口和服务、配置主机防火墙、禁用IPv6(如不需要) |
| 补丁更新 | 及时安装系统补丁、内核升级、软件版本更新 |
| 恶意代码防护 | 安装杀毒软件/EDR、定期全盘扫描 |
| 基线核查 | 按照等保或CIS基准进行配置检查 |
A5. 什么是漏洞扫描与渗透测试,二者有什么区别?
| 对比项 | 漏洞扫描(Vulnerability Scanning) | 渗透测试(Penetration Testing) |
|---|---|---|
| 目的 | 快速识别已知漏洞和安全弱点 | 模拟真实攻击,验证漏洞可利用性 |
| 执行方式 | 自动化工具扫描 | 人工为主,结合工具 |
| 深度 | 浅层,发现表面漏洞 | 深层,可获取权限、横向移动 |
| 范围 | 全面覆盖,数量多 | 针对性场景,质量高 |
| 报告产出 | 漏洞清单+风险等级 | 完整攻击路径+业务影响评估 |
| 成本周期 | 低,短(小时级) | 高,长(天/周级) |
| 关系 | 渗透测试的起点和基础 | 漏洞扫描的深化和验证 |
一句话:漏洞扫描 是"找门",渗透测试是"试门能不能开"。
A6. SIEM 与 SOC 是什么关系?
| 概念 | 定义 | 角色 |
|---|---|---|
| SIEM | Security Information and Event Management,安全信息与事件管理系统 | 工具/平台,负责日志收集、关联分析、告警生成 |
| SOC | Security Operations Center,安全运营中心 | 组织/团队/场所,负责7x24小时安全监控、事件响应、威胁处置 |
关系: SIEM 是 SOC 的核心技术平台和工具支撑 。SOC 是"人+流程+技术"的综合体,SIEM 是其中最重要的"技术"组件。SOC 的安全分析师通过 SIEM 平台收集的日志和告警,进行威胁分析、事件调查和应急响应 。
方向B:应用安全与开发安全(偏实践落地)
- 常见的 Web 安全漏洞有哪些(如 OWASP Top 10)?
- 什么是代码审计,常用的静态和动态代码分析工具有哪些?
- 软件供应链安全面临哪些威胁,如何防范?
- API 安全与传统 Web 安全有什么不同,需要关注哪些风险点?
- 什么是 DevSecOps,如何在开发流程中融入安全?
- 容器与 Kubernetes 环境有哪些特有的安全挑战?
B1. 常见的 Web 安全漏洞有哪些(OWASP Top 10)?
OWASP(开放Web应用安全项目)定期发布最关键的Web应用安全风险清单。2021版(当前权威版本)Top 10 如下 :
| 编号 | 风险名称 | 说明 |
|---|---|---|
| A01 | 访问控制失效(Broken Access Control) | 未正确授权,用户可访问他人数据或管理功能(排名第一,94%应用存在此问题) |
| A02 | 加密机制失效(Cryptographic Failures) | 敏感数据未加密或使用弱加密算法,传输和存储中暴露数据 |
| A03 | 注入攻击(Injection) | SQL注入、NoSQL注入、OS命令注入等,攻击者可执行恶意命令 |
| A04 | 不安全设计(Insecure Design) | 架构和设计阶段未考虑安全,缺乏威胁建模 |
| A05 | 安全配置错误(Security Misconfiguration) | 默认配置未修改、错误信息暴露、多余功能未关闭 |
| A06 | 自带缺陷和过时组件(Vulnerable & Outdated Components) | 使用已知漏洞的第三方库或框架(如Log4j事件) |
| A07 | 身份认证和识别错误(Identification & Auth Failures) | 弱口令、会话管理不当、认证机制可被绕过 |
| A08 | 软件和数据完整性失效(Software & Data Integrity Failures) | 未验证软件更新、反序列化漏洞、CDN依赖不可信 |
| A09 | 安全日志与监控不足(Security Logging & Monitoring Failures) | 缺乏日志记录和监控,攻击发生时无法及时发现和响应 |
| A10 | 服务器端请求伪造(SSRF) | 攻击者利用服务器发起请求,访问内部资源 |
B2. 什么是代码审计,常用的静态和动态代码分析工具有哪些?
代码审计(Code Audit) 是通过人工或工具对源代码/字节码/二进制代码进行逻辑分析、语法检查与流程追踪,识别安全漏洞和编码规范问题的过程 。
| 分析方式 | 英文 | 特点 | 常用工具 |
|---|---|---|---|
| 静态代码分析(SAST) | Static Application Security Testing | 不运行程序,直接扫描源代码;漏洞发现早、覆盖面广,但误报率较高 | SonarQube、Checkmarx、Fortify、Semgrep |
| 动态代码分析(DAST) | Dynamic Application Security Testing | 运行中的程序进行测试;模拟真实攻击场景,误报率低,但覆盖率有限 | OWASP ZAP、Burp Suite、Nessus |
| 交互式分析(IAST) | Interactive Application Security Testing | 在运行时插桩,结合SAST和DAST优点,精准度高 | Contrast Security、Fortify IAST |
| 软件成分分析(SCA) | Software Composition Analysis | 扫描第三方开源组件的已知漏洞 | Snyk、Black Duck、Dependency-Check |
最佳实践:SAST(开发阶段)+ SCA(依赖管理)+ DAST(测试阶段) 三者结合使用。
B3. 软件供应链安全面临哪些威胁,如何防范?
软件供应链攻击 是指通过篡改软件开发、构建、分发过程中的某个环节来实施攻击,影响极其广泛。
| 威胁类型 | 说明 | 典型案例 |
|---|---|---|
| 依赖混淆攻击 | 攻击者将恶意包上传到公共仓库,与内部包同名,构建时自动下载恶意代码 | 2021年多个企业中招 |
| 源代码篡改 | 攻击者入侵开发者账号,在源代码中植入后门 | SolarWinds事件,18000+客户受影响 |
| CI/CD流水线投毒 | 攻击构建服务器或CI/CD配置,在编译打包阶段植入恶意代码 | Codecov bash uploader事件 |
| 开源组件漏洞 | 使用的第三方库存在已知高危漏洞 | Log4j(Log4Shell),影响数十万应用 |
| Typosquatting | 注册与知名包名相似的名称,诱导开发者误安装 | npm/pip仓库中大量存在 |
防范措施:
-
建立软件物料清单(SBOM),清晰追踪所有组件来源
-
使用私有仓库管理内部依赖,配置严格的包来源验证
-
定期扫描第三方组件漏洞(SCA工具)
-
构建流水线实施签名验证和完整性校验
-
对开源组件进行安全评估后再引入
B4. API 安全与传统 Web 安全有什么不同,需要关注哪些风险点?
| 对比维度 | 传统 Web 安全 | API 安全 |
|---|---|---|
| 调用方式 | 浏览器访问,返回HTML页面 | 程序化调用,交换JSON/XML数据 |
| 安全设备 | 传统WAF规则可有效防护 | 传统WAF规则往往失效,需要专用API网关 |
| 攻击面 | 相对固定,页面数量有限 | API端点数量庞大,资产往往不清 |
| 认证方式 | Cookie/Session为主 | Token(JWT、OAuth)、API Key为主 |
| 限流需求 | 一般 | 极高,需防止批量数据获取和暴力破解 |
OWASP API Security Top 10(2023版)关键风险 :
| 风险 | 说明 |
|---|---|
| BOLA(对象级别授权失效) | 也称IDOR,攻击者可访问其他用户的资源 |
| BFLA(功能级别授权失效) | 普通用户可调用管理员API |
| 过度数据暴露 | API返回了调用方不需要的敏感字段 |
| 批量赋值 | 攻击者通过修改请求体篡改不应修改的字段 |
| 安全配置错误 | 不必要的HTTP方法、冗余端点、默认凭证 |
B5. 什么是 DevSecOps,如何在开发流程中融入安全?
DevSecOps 是将 Dev (开发)+ Sec (安全)+ Ops (运维)融合的文化、流程和自动化实践,核心理念是 "安全左移(Shift Left)" -- 在开发早期就引入安全,而不是上线后才检查 。
| 开发阶段 | 融入的安全实践 | 使用工具 |
|---|---|---|
| 需求/设计 | 威胁建模、安全需求定义、架构评审 | STRIDE模型、微软TMT |
| 编码 | 安全编码规范、IDE安全插件、静态分析(SAST) | SonarLint、Semgrep |
| 构建/CI | 依赖扫描(SCA)、镜像扫描、签名验证 | Snyk、Trivy、Harbor |
| 测试/CD | 动态分析(DAST)、模糊测试、安全自动化测试 | OWASP ZAP、Burp Suite |
| 部署/运行 | 基线配置检查、运行时防护(RASP)、监控告警 | Falco、Prisma Cloud |
| 运维 | 漏洞管理、事件响应、安全补丁自动化 | 各类SIEM/EDR工具 |
根据 Gartner 数据,采用 DevSecOps 的企业平均可将漏洞修复成本降低 70% 以上,因为越早发现漏洞,修复成本越低 。
B6. 容器与 Kubernetes 环境有哪些特有的安全挑战?
容器化和K8s环境相比传统基础设施,面临独特的安全挑战:
| 挑战领域 | 具体风险 | 说明 |
|---|---|---|
| 镜像安全 | 基础镜像含漏洞、镜像含恶意软件、Dockerfile配置不当 | 一个被攻陷的Pod可横向移动到整个集群 |
| RBAC权限 | 过度授权、ClusterRole滥用、ServiceAccount权限过大 | 多数安全事故源于权限管控松散 |
| 网络隔离 | 默认Pod间通信无限制、Service Mesh未配置策略 | 需通过NetworkPolicy实现微分段 |
| Secrets管理 | 密钥明文存储在etcd、环境变量暴露、Secret未加密 | K8s的Secret默认仅Base64编码,非真正加密 |
| 运行时安全 | 容器逃逸、恶意进程执行、异常网络连接 | 需运行时监控和告警(如Falco) |
| 编排系统 | K8s API未鉴权、控制平面暴露、kubelet端口开放 | 控制平面被攻陷意味着整个集群沦陷 |
| 供应链 | 第三方镜像不可信、Helm Chart含漏洞 | 需镜像签名(Notation/Cosign)和SBOM |
安全加固最佳实践闭环: 镜像准入扫描 → Pod最小权限 → RBAC收紧边界 → NetworkPolicy切流量 → 运行时+审计兜底
方向C:安全合规与身份管理(偏管理与治理)
- 网络安全等级保护 2.0 有哪些核心要求和等级划分?
- 身份与访问管理(IAM)包含哪些核心组件和技术?
- 什么是特权账号管理(PAM),为什么它特别重要?
- 日志留存与审计需要满足哪些合规要求,通常留存多久?
- 数据跨境传输有哪些法规限制和安全要求?
- 安全应急响应流程通常分为哪几个阶段,每个阶段做什么?
C1. 网络安全等级保护 2.0 有哪些核心要求和等级划分?
等保2.0(2019年12月1日正式实施)是我国网络安全的强制性国家标准(GB/T 22239-2019),相比1.0版本,扩展了覆盖范围,增加了云计算、大数据、物联网、移动互联、工业控制系统等新场景的安全要求 。
五个等级划分:
| 等级 | 名称 | 适用对象 | 保护要求 |
|---|---|---|---|
| 第一级 | 自主保护级 | 一般信息系统 | 基本的安全防护,自主保护 |
| 第二级 | 指导保护级 | 一般业务系统(如普通企业网站) | 需公安机关备案,定期检查 |
| 第三级 | 监督保护级 | 重要业务系统(如金融、医疗、电商) | 需公安机关备案,每年至少一次测评 |
| 第四级 | 强制保护级 | 国家重要系统(如电力、金融核心) | 每半年一次测评,强制保护 |
| 第五级 | 专控保护级 | 国家关键基础设施核心系统 | 国家级专控,最高防护 |
核心要求(八大领域):
| 领域 | 要求内容 |
|---|---|
| 安全物理环境 | 机房安全、门禁、防火、防水、电力保障 |
| 安全通信网络 | 网络架构、通信传输加密、边界防护 |
| 安全区域边界 | 访问控制、入侵防范、恶意代码防范 |
| 安全计算环境 | 身份鉴别、访问控制、安全审计、数据完整性与保密性 |
| 安全管理中心 | 集中管理、集中审计、集中管控 |
| 安全管理制度 | 安全策略、管理制度、人员管理 |
| 安全管理机构 | 组织架构、人员配备、安全沟通 |
| 安全建设管理 | 系统建设、软件开发、工程实施、测试验收 |
C2. 身份与访问管理(IAM)包含哪些核心组件和技术?
IAM(Identity and Access Management) 的核心目标是"让对的人在对的时间以对的方式访问对的资源" 。
| 核心组件 | 功能说明 | 常见技术/协议 |
|---|---|---|
| 身份管理(Identity Management) | 用户生命周期管理(创建、变更、注销),统一身份库 | LDAP、Active Directory、SCIM |
| 认证(Authentication) | 验证用户身份"你是谁" | 密码、MFA多因素认证、生物识别、硬件令牌 |
| 授权(Authorization) | 控制用户能访问什么资源"你能做什么" | RBAC(基于角色)、ABAC(基于属性)、PBAC(基于策略) |
| 单点登录(SSO) | 一次登录,访问多个系统 | OAuth 2.0、SAML 2.0、OpenID Connect |
| 多因素认证(MFA) | 结合两种以上认证因素 | TOTP(Google Authenticator)、短信验证码、指纹/Face ID |
| 权限治理(Access Governance) | 权限审批、定期审查、合规报告 | 权限梳理、角色挖掘、访问认证 |
| 身份分析(Identity Analytics) | 异常行为检测、权限风险分析 | UEBA、行为基线 |
SSO 提升便捷性,MFA 增强安全性,两者通常在 IAM 中协同工作 。
C3. 什么是特权账号管理(PAM),为什么它特别重要?
PAM(Privileged Access Management,特权账号管理) 是专门针对具有高权限账号(如root、管理员、数据库DBA、云平台超级用户等)的安全管理方案 。
为什么特权账号特别重要:
- 特权账号拥有系统的最高权限,一旦被攻陷,整个系统沦陷
- 约 80% 的数据泄露事件涉及特权账号滥用
- 很多特权账号共享、密码长期不变、缺乏审计追踪
PAM 核心功能:
| 功能 | 说明 |
|---|---|
| 凭证托管(密码金库) | 特权密码由系统自动托管、定期轮换,人工不可见 |
| 双因素认证 | 访问特权账号时必须经过MFA验证 |
| 会话录制 | 对所有特权操作进行全程录像和命令审计 |
| 权限临时授权 | 按需授权、限时使用,到期自动回收 |
| 单次登录(One-Time Login) | 每次获取唯一凭证,无法复用 |
| 行为分析 | 监控异常操作行为,实时告警 |
PAM vs 堡垒机: PAM 侧重"账号密码全生命周期管理",堡垒机侧重"远程运维访问的集中管控和审计"。现代方案通常两者合一 。
C4. 日志留存与审计需要满足哪些合规要求,通常留存多久?
法规要求:
| 法律法规 | 具体要求 | 留存期限 |
|---|---|---|
| 《网络安全法》第21条 | 采取监测、记录网络运行状态和网络安全事件的技术措施,留存网络日志 | 不少于6个月 |
| 《数据安全法》 | 建立全流程数据安全管理制度,开展数据处理活动应当加强风险监测 | 根据行业要求 |
| 等保2.0 | 审计记录应包括事件的日期、时间、类型、主体、结果等 | 不少于6个月 |
不同行业的留存要求:
| 行业 | 最低留存期限 | 说明 |
|---|---|---|
| 通用/互联网 | 6个月 | 网络安全法基本要求 |
| 金融(银行/保险) | 1年以上 | 监管机构专项要求 |
| 医疗健康 | 6年 | 电子病历相关法规 |
| 关键信息基础设施 | 1年以上 | 等保四级以上要求 |
| 电信 | 5个月~1年 | 根据具体业务类型 |
审计日志应包含的内容:
- 事件日期、时间、类型
- 操作主体(用户/IP)
- 操作客体(被访问的资源)
- 操作结果(成功/失败)
- 完整的操作上下文
C5. 数据跨境传输有哪些法规限制和安全要求?
我国数据跨境传输有三条主要合规路径,2024年3月《促进和规范数据跨境流动规定》进一步细化了框架 :
| 合规路径 | 适用场景 | 管理方式 |
|---|---|---|
| 数据出境安全评估 | 重要数据出境、CIIO(关键信息基础设施运营者)数据出境、达到规定数量门槛的个人信息出境 | 向国家网信办申报,通过安全评估后出境 |
| 个人信息出境标准合同 | 未达安全评估门槛的一般个人信息出境 | 与境外接收方签署标准合同(SCC),向所在地省级网信部门备案 |
| 个人信息保护认证 | 经认证机构认证,证明符合保护要求 | 通过专业认证机构获取认证 |
什么情况可以豁免:
- 国际贸易、学术合作、跨境医疗等必要场景
- 不包含重要数据和个人信息的数据出境
- 预计一年内出境个人信息不足10万人且不满1万人的敏感个人信息
安全要求:
- 出境前进行数据分类分级和影响评估
- 确保境外接收方具备相应安全能力
- 签署数据处理协议,明确安全责任
- 建立数据出境台账和跟踪机制
C6. 安全应急响应流程通常分为哪几个阶段,每个阶段做什么?
业界通用的安全应急响应流程分为 六个阶段(基于PICERL模型):
| 阶段 | 名称 | 核心工作 | 关键输出 |
|---|---|---|---|
| 第一阶段 | 准备(Preparation) | 建立应急响应团队、制定预案、准备工具和资源、定期演练培训 | 应急响应预案、工具清单、联系方式 |
| 第二阶段 | 发现与识别(Identification) | 监控告警、确认是否为安全事件、评估事件级别和影响范围 | 事件分级报告、初步判断结论 |
| 第三阶段 | 遏制(Containment) | 短期遏制:立即隔离受影响系统;长期遏制:防止扩散和复发 | 遏制措施记录、受控状态确认 |
| 第四阶段 | 根除(Eradication) | 清除攻击者痕迹、修复漏洞、删除恶意文件、关闭后门 | 根除报告、修复补丁清单 |
| 第五阶段 | 恢复(Recovery) | 恢复系统和服务、验证数据完整性、逐步上线、持续监控 | 恢复确认报告、业务恢复通知 |
| 第六阶段 | 总结与复盘(Lessons Learned) | 编写事件报告、分析得失、改进预案和防护措施、更新安全策略 | 事件复盘报告、改进计划 |
事件分级参考:
| 级别 | 定义 | 响应时间 |
|---|---|---|
| P1(紧急) | 核心业务中断、大规模数据泄露 | 15分钟内响应 |
| P2(严重) | 重要系统受影响、敏感数据风险 | 30分钟内响应 |
| P3(一般) | 单一系统异常、影响范围可控 | 2小时内响应 |
| P4(低) | 安全告警但未确认造成影响 | 24小时内处理 |