本系列文章共分为8篇，主要分享作者自身在企业网络安全建设和运维保障过程中的经验总结，包括网络安全管理、网络安全架构、网络安全技术以及安全实践等，力求全方位阐述企业在网路安全中的方方面面，为企业网络安全建设提供实践指南。

第四部分 网络安全实践篇

通过网络安全的管理、架构和技术学习后，接下来进行网络安全实践篇。网络安全实践篇主要包括三个部分的内容：网络安全相关设备、常用网络安全攻击及方案和网络安全前沿技术研究。

一、网络安全设备

网络安全设备方面分两个部分进行介绍，首先介绍常用的网络安全设备及功能作用，然后以企业网络安全架构为例，从网络安全部署架构来分析不同网络安全设备的不同部署位置及作用，进一步巩固网络安设备的重要性。

1、常用网络安全设备

（1）云防护

云防护是一些云服务商、大型网络安全厂商等利用数量庞大的安全设备建立公有云安全资源池，并进行专业的安全运营，产品化安全服务，企业客户通过引流、埋点等方式接入安全资源池，享受专业安全服务，整个云安全、云防护基本上不需要再本地部署硬件设备，具有简便、易用、弹性等特点，同时针对DDOS攻击（花钱抗衡）等具有显著效果。同时开启云防护，企业可以实现源站隐藏的功能，不再直接暴露在攻击者面前开启IP高防服务后，将自动隐藏源站，使企业源站IP将不再暴露。解析企业网站返回的将是高防的防护节点IP，从而使攻击者无法直接对企业的源站服务器发起攻击。

特别需要提醒的时候，使用云防护要在前端反向代理或web应用中配置X-Forwarded-For等信息以便获取访问者的真实IP。

（2）负载均衡

负载均衡是高可用网络基础架构的关键组件，通常用于将工作负载分布到多个服务器来提高网站、应用、数据库或其他服务的性能和可靠性。负载均衡分为硬负载和软负载，其中硬件负载均衡设备主要有F5、A10以及国内主要厂商等，软负载主要有Nginx、LVS等基于开源解决方案的负载均衡软件。

负载均衡提供链路、服务等的高可用方案，解决的是单点故障、单链路故障，同时在网络吞吐层面实现1+1≥2效果。

（3）防火墙

防火墙是最为常用的边界防护设备之一，是连接企业内部网络和外部网络之间的桥梁，同时也是隔离本地网络与外界网络之间的一道防御系统。一般来讲，防火墙有5个基本功能：过滤进出网络的数据、管理进出访问网络的行为、封堵某些禁止业务、记录通过防火墙信息内容和活动、对网络攻击检测和告警。

防火墙除了边界防火墙的硬件设备外，还包括服务器、终端上的iptables等软件防火墙以及WAF等。另还有专门针对数据库防护的数据库防火墙等。

（4）WEB应用防火墙WAF

WAF也称Web应用防护系统或网站应用入侵防御系统，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

实际上WAF也可以分为多种，硬件型WAF、软件型WAF（常见的解决方案有nginx+lua、OpenResty等）、云WAF甚至包括应用系统内置WAF等。

（5）防毒墙

防毒墙是防火墙中防毒这一基本功能的延展，其主要对网络病毒进行拦截，其主要也部署在企业内网和外网交界的地方，阻止病毒从互联网侵入内网。凡是病毒都有一定的特征，防毒墙会扫描通过网关的数据包，然后对这些数据进行病毒扫描，如果是病毒，则将其清除。理论上讲，防毒墙可以阻止任何病毒从网关处侵入企业内部网络。

近年来，防毒墙在企业实际部署中较少，同时厂商也在防火墙、终端防护等方面加强防病毒的力度，但是功能单一的防毒墙，对企业来说，性价比并不高。

（6）终端防护（终端准入、终端管理、终端防病毒、EDR等）

终端防护设备包括终端准入、终端管理管控、终端防病毒以及EDR等软硬设备，大多以软件、插件或是agent的方式部署在终端，对终端起安全防护作用。

①终端安全准入系统（NAC）主要帮企业解决设备接入的安全防护、入网安全的合规性检查、用户和设备的实名制认证、核心业务和网络边界的接入安全、接入的追溯和审计等管理问题，避免网络资源受到非法终端接入所引起的安全威胁。

②终端安全管理系统要求终端在进入企业网络中必须遵守特定的安全策略，这些策略由管理员灵活设定，旨在维护企业内网安全，以及终端安全，确保企业数据安全，保证企业的正常运作。终端安全管理的实质就是识别终端安全风险，构建终端风险体系并对终端风险进行终端安全管理，从而降低和避免终端安全风险事件的发生。常见的终端安全管理系统有Ping32等。常见终端安全管理系统的主要功能有：内部威胁监测、数据防泄漏、软件黑白名单、文档加密、网络访问控制、文档备份、行为监控等。

③终端防病毒主要是指终端防病毒软件，对终端进行安全防护，防止病毒入侵，对已经感染了的病毒进行查杀隔离，按照策略定时查杀系统、文件等。

④EDR的全称为：Endpoint Detection and Response端点检测与响应,其不同于以往的终端被动防护思路，而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的安全威胁，并进行自动化的阻止、取证、补救和溯源，从而有效对终端进行防护。

（7）IDS、IPS

IDS（入侵检测系统Intrusion Detection Systems）是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统，一旦小偷爬窗进入大楼，或内部人员有越界行为，实时监视系统会发现情况并发出警告。

IPS（入侵防御系统Intrusion Prevention System）是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充，它能够监视网络或网络设备的网络资料传输行为，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。相比较IDS，侵入保护（阻止）的IPS是新一代的侵入检测系统IDS，可弥补IDS仅监控不阻断的缺陷，IPS能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。

IDS和IPS都有基于主机型和基于网络型以及基于云环境的多种形式，可以根据实际情况进行不同的选择，一般IDS旁路部署，IPS串联在主干链路进行部署。

（8）堡垒机

堡垒机主要用于企业特定网络环境下，为保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。其从功能上来说，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。实际上，终端计算机对目标的访问，均可经过运维安全审计的翻译。另外堡垒机还能够拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

除了商业堡垒机外，常用的开源堡垒机有Jumpserver、Teleport等，其中Jumpserver拥有不少生产案例。

（9）DLP数据防护

数据泄密（泄露）防护（Data leakage prevention, DLP），又称为“数据丢失防护”(Data Loss prevention, DLP)，有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段，防止企业核心数据或信息资产以违反安全策略规定的形式流出企业的一种策略。实际上数据泄漏的途径可归类为三种：

①使用泄漏：操作失误导致技术数据泄漏或损坏；通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据。

②存储泄漏：数据中心、服务器、数据库的数据被随意下载、共享泄漏；离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料；移动笔记本被盗、丢失或维修造成数据泄漏。

③传输泄漏：通过email、QQ、MSN等轻易传输机密资料；通过网络监听、拦截等方式篡改、伪造传输数据。

DLP主要通过身份认证和加密控制以及使用日志的统计对内部文件进行控制，从而起到数据防护、防泄漏的目的。

（10）SSL证书、CA安全认证

SSL证书，也称为服务器证书（因其部署在服务器端），是遵守SSL协议的一种数字证书，由全球信任的证书颁发机构验证服务器身份后进行颁发，将SSL证书安装在网站服务器上，可实现网站身份验证和数据加密传输双重功能。

与SSL相关的还有CA安全认证，主要为电子签名（电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名就是通过密码技术对电子文档的电子形式的签名）相关各方提供真实性、可靠性验证的活动。证书颁发机构（CA, Certificate Authority）即颁发数字证书的机构，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

与证书相关的还有加密算法、秘钥管理、密码技术等相关内容，不再一一介绍。SSL证书、CA安全认证等证书类服务主要是为提供在线交易服务的电子商务网站的正常在线业务提供安全保障服务。

（11）VPN

VPN（虚拟专用网络Virtual Private Network）是在公用网络上通过专业协议建立安全、专业的专用网络，目的实现公网用户对内网以加密的方式进行通讯，包括对数据包的加密和数据包目标地址的转换等实现对公司内网的远程访问。VPN可通过服务器、硬件、软件等多种方式实现。

常用的VPN有IPsec VPN和SSL VPN等。其中IPsec VPN：连通的是两个局域网，如集团公司与分子公司之间、本地IDC与云端VPC的子网等，IPsec VPN是网对网的连接；SSL VPN：连通的是一个客户端到一个局域网络，如出差员工的便携机访问公司内网。从连接方式上来看，IPsec VPN要求两端有固定的网关设备，如防火墙或路由器，管理员需要分别配置两端网关完成IPsec VPN的配置；SSL VPN：需要在主机上安装指定的客户端软件，通过用户名/密码登录连接至SSL设备。

（12）蜜罐

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

常用蜜罐可以分为主动欺骗型蜜罐和被动式蜜罐。典型的主动欺骗型蜜罐技术有Beeswarm；被动式蜜罐有：web服务蜜罐（Glastopf）、ssh服务蜜罐（Kippo）、ES服务蜜罐（Elasticpot）、RDP服务蜜罐（rdpy-rdphoneypot）等。蜜罐的部署和实施最终主要是为了收集黑客攻击动机、攻击偏好、攻击入口、攻击手段、攻击过程等，通过对攻击深入分析，持续加固实际生产环境和办公环境。

（13）安全审计

安全审计系统是对网络、系统或数据库等的使用状态、使用过程进行跟踪记录和综合审计的工具，审计的对象包括主机、设备、网络、数据库、业务、终端、用户、日志等，审计的内容包括设备运行活动状态、用户活动等。其中网络安全审计能够对网络进行动态实时监控，可通过寻找入侵和违规行为，记录网络上发生的一切，为用户提供取证手段，安全审计不但能够监视和控制来自外部的入侵，还能够监视来自内部人员的违规和破坏行动。根据被审计的对象划分，安全审计大致可分为：

①主机审计：审计主机相关的各种操作、行为和活动等；

②设备审计：对网络设备、安全设备等各种设备的操作和行为进行审计；

③网络审计：对网络中各种访问、操作的审计，例如telnet操作、FTP操作等等；

④数据库审计：对数据库行为和操作、甚至操作的内容进行审计业务审计：对业务操作、行为、内容的审计；

⑤终端审计：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计；

⑥用户行为审计：对企业和组织的人进行审计，包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计，还有的产品综合上述多种审计对象。

（14）流量分析、日志分析、安全SOC、态势感知

流量分析、日志分析、安全SOC以及态势感知等分析类设备主要基于网络流量、访问日志、系统日志等各类信息进行采集、整理、分析和存储的设备，为企业网络安全运营提供分析、监控以及预测等功能，其中流量分析、日志分析是基础组件，探针、Agent等是端点的部署方式，信息采集的主要方式有端点主动推动和系统主动拉取两种形式。

安全SOC（Security Operations Center，安全运行中心或者安全管理平台，既有系统平台的属性，也有安全团队、安全运营的属性）是一个安全平台，就像里面住着一个安全团队在一系列基本准则之上负责监督和分析企业的安全状况。SOC团队的目标就是通过技术解决方案和强健的整套流程检测、分析并且响应网络安全事件。安全运营中心通常充当了安全分析师以及管理者的角色，监督全部安全操作。SOC工作人员同组织结构的事件响应团队紧密合作，确保发现的安全问题迅速得到解决。安全运营中心监控和分析网、服务器、终端、数据库、应用、网站和其他的系统，寻找可能代表一个安全事件或者受侵害的异常活动。SOC负责确保潜在的安全事件能够被正确识别、分析、防护、调查取证和报告。一般安全SOC包括多个安全组件：SIEM安全事件管理、SRC安全应急响应中心、威胁情报平台、流量分析组件、日志分析组件以及与其他安全设备相关联等，开源的解决方案有OSSEC、OSSIM、OpenSOC等。

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。态势感知的概念最早在军事领域被提出，覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知（Cyberspace Situation Awareness，CSA）”。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而进行决策与行动。

（15）其他安全设备

除了上述安全设备外，常见的安全设备还有：网闸、安全网关、页面防篡改、社工库、字典库、反垃圾邮件、抗DDOS设备、安全漏扫设备等等。不同的设备有着不同的应用场景，根据企业的实际业务需求和业务场景，有计划、有方向、有目的的选择，安全设备的选择、部署只是网络安全的起步，后续还需要花费大量的时间结合实际业务情况进行策略的优化调整，网络安全工作是一个持续性、动态调整优化的过程，只要业务一直在变，实际工作内容就需要一直的优化。

2、企业网络安全架构

企业网络安全架构例图：

二、常见网络安全威胁类型及攻击防范

1、常见网络安全威胁类型

2、常见网络安全攻击防范

2.1、DDos攻击防范

DDOS/DOS攻击大致分为：流量型、应用型、漏洞型三大类。

流量型攻击特点：出口带宽异常增高甚至打满；正常的web类服务表现为入向流量远低于出向流量，与之相反当出现入向流量差减小甚至反转时，且带宽持续增长时。Syn flood攻击：边界防护设备或服务器会出现大量半链接。服务器的TCP状态为SYN_RECV；Ack flood攻击：状态监测防火墙和IPS设备均会识别并阻拦该类攻击，但前置通道的带宽保障较难；ICMP flood攻击：网络和安全设备收到大量ICMP报文或超大PING包；UDP flood攻击：防火墙设备链接被大量UDP报文侵占，TCP链接异常减少，带宽保障较难；NTP\DNS\SSDP\ICMP反射攻击：抓包时会发现大量NTP、DNS、SSDP、icmp报文，该类报文在正常情况下占比极少，异常增多即可判断为遭受攻击。

应用型攻击特点：流量变化没有流量型攻击明显，一般不会打满带宽，被攻击服务会出现服务性能下降的，超时严重，访问缓慢，甚至设备宕机。CC攻击，表现为大量请求指向一个或几个页面；HTTP慢速攻击，会收到大量不完整GET请求报文或大小十分有规律的POST请求报文；URL反射攻击，收到大量referer字段相同的报文。

漏洞型攻击：漏洞型攻击属于应用层攻击，攻击结果以DOS或DDOS攻击呈现，自外部的攻击一般会被IPS直接阻断；来自内网时，一般会表现为内部设备向另一台设备发动DOS攻击。

复合型攻击：流量型和应用型攻击同时进行的攻击，偶尔会配合漏洞型攻击。大部分有预谋、有目的、威胁高的DDOS攻击，都表现为复合型攻击。

DDOS攻击响应一般流程：

（1）发现攻击行为，但攻击量级不大，未对两项指标造成严重影响时，应开启安全设备抗DDOS攻击功能，持续关注两项指标的变化。

（2）本地安全设备开启抗DDOS攻击策略后，两项指标持续增长或已经出现打满、打死现象时，应立即联系运营商开启流量清洗服务，如果攻击表现为流量型，出口带宽仍旧打满时，应申请临时带宽扩充服务。同时联系云清洗服务，启动清洗流程。

（3）当云清洗服务启动后，仍旧无法保证两项指标时，应及时选择断网、停服保护内部系统。并启动舆情应急机制。

网络安全攻击防范做到最后都是人和资金的问题，特别是对于DDOS的攻击防范，实质上就是一个攻击成本、防御成本的资金对抗问题，资金雄厚、流量池足够大，就会赢。所以在DDOS的防范问题上，资金成本是一个需要重点考虑的问题。

2.2、勒索病毒攻击防范

2.3、木马、WebShell攻击防范

下述为在某生产环境手动排查Linux、Tomcat、nginx、Windows是否存在木马、webshell的案例，请参考：

1. （1）Linux操作系统排查
2. ##查看系统登录日志:last
3. last  
4. lastlog  
5. ##查看系统登录失败日志:lastb
6. lastb  
7. ##查看系统当前登录用户:who
8. who  
9. ##查看系统安全日志:cat /var/log/secure
10. cat /var/log/secure  
11. ##查看是否有异常的系统用户
12. cat /etc/passwd  
13. ##查看是否产生了新用户，UID和GID为0的用户:grep "0" /etc/passwd
14. grep "0"/etc/passwd  
15. ##查看passwd的修改时间，判断是否在不知的情况下添加用户:ls -l /etc/passwd
16. ls -l /etc/passwd  
17. ##查看是否存在特权用户awk -F: '$3==0 {print $1}' /etc/passwd
18. awk -F: '$3==0 {print $1}'/etc/passwd  
19. ##查看是否存在空口令帐户awk -F: 'length($2)==0 {print $1}' /etc/shadow
20. awk -F: 'length($2)==0 {print $1}'/etc/shadow  
21. ##检查异常进程ps -ef命令查看进程，注意UID为0的进程
22. ps -ef  
23. ##察看该进程所打开的端口和文件lsof -p pid命令查看
24. ##检查隐藏进程
25. ##[root@localhost ~]# ps -ef | awk '{print }' | sort -n | uniq >1
26. ps -ef | awk '{print }'| sort -n | uniq >1  
27. ##[root@localhost ~]# ls /porc |sort -n|uniq >2
28. ##[root@localhost ~]# diff 1 2
29. ##检查异常系统文件
30. find / -uid 0 -perm -4000 -print
31. find / -size +10000k -print
32. find / -name "..."-print
33. find / -name "…"-print
34. find / -name ".."-print
35. find / -name "."-print
36. find / -name " "-print
37. ##检查系统文件完整性
38. rpm -qf /bin/ls  
39. rpm -qf /bin/login  
40. ##md5sum -b 文件名(可与相同版本的正常机器进行比较，判断是否被篡改过文件)
41. ##md5sum -t 文件名(可与相同版本的正常机器进行比较，判断是否被篡改过文件)
42. ##检查RPM的完整性
43. ##rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
44. rpm -Va  
45. ##输出格式说明：
46. ##S – File size differs 
47. ##M – Mode differs (permissions)
48. ##5 – MD5 sum differs 
49. ##D – Device number mismatch
50. ##L – readLink path mismatch
51. ##U – user ownership differs
52. ##G – group ownership differs
53. ##T – modification time differs
54. ##检查网络
55. ##ip link | grep PROMISC (正常网卡不该在promisc模式，可能存在sniffer)
56. ip link | grep PROMISC  
57. ##lsof -i
58. lsof -i  
59. ##netstat -nap(察看不正常打开的TCP/UDP端口)
60. netstat -nap  
61. ##arp -a
62. arp -a  
63. ##检查系统计划任务
64. ##crontab -u root -l
65. crontab -u root -l  
66. ##cat /etc/crontab
67. cat /etc/crontab  
68. ##ls /etc/cron.*
69. ls /etc/cron.*  
70. ##检查系统后门
71. ##cat /etc/crontab
72. cat /etc/crontab  
73. ##ls /var/spool/cron/
74. ls /var/spool/cron/  
75. ##cat /etc/rc.d/rc.local
76. cat /etc/rc.d/rc.local  
77. ##ls /etc/rc.d
78. ls /etc/rc.d  
79. ##ls /etc/rc3.d
80. ls /etc/rc3.d  
81. ##检查系统服务
82. ##chkconfig --list
83. chkconfig --list  
84. ##rpcinfo -p(查看RPC服务)
85. rpcinfo -p  
86. ##检查rootkit
87. ##rkhunter -c
88. ##chkrootkit -q
89. ##在/home下查最近两天内改动过的文件
90. find /home -mtime -2  
91. ##导出现场关键信息:
92. ###查看用户，看是否有可以账号
93. ##cat /etc/passwd > `/sbin/ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "addr:"`_etc_passwd.txt
94. ###查看tcp连接，看是否有可疑连接
95. ##netstat -atpn|grep "ESTABLISHED">`/sbin/ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "addr:"`_net_established.txt
96. ###查看history命令，看是否有可疑命令执行
97. ##cat ~/.bash_history >`/sbin/ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "addr:"`_his.txt
98. ###查看登录信息，看是否有可疑账号登录
99. ##last > `/sbin/ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "addr:"`_last.txt
100. ###查看进程信息，看是否有可疑进程
101. ##ps -ef > `/sbin/ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "addr:"`_ps.txt
102. ##禁用/锁定用户登录系统的方法
103. ##usermod -L username 锁定用户
104. ##usermod -U username 解锁
105. ##passwd -l username 锁定用户
106. ##passwd -u username 解锁
107. ##修改用户的shell类型为/sbin/nologin（/etc/passwd文件里修改）
108. ##在/etc/下创建空文件nologin，这样就锁定了除root之外的全部用户
109. ##服务器在怀疑入侵之后，所做的一切操作，一定要留有记录，不管是通过堡垒机亦或是通过ssh工具，留下处理的记录，以备后查。
110. （2）关于Tomcat:  
111. ①查看tomcat的应用是否有可疑应用，如果有，通知我。主要查看tomcat部署的应用目录
112. ②ps -ef|grep java查看存活的tomcat是否有可以的进程
113. ③查看tomcat的应用包，除了业务应用是否有其他自带应用，如example,docs,manager,root等
114. ④扔到webshell查杀工具中，进行扫描(D盾webshell和深信服webshell)  
115. ⑤查询tomcat应用日志可疑信息，cd到tomcat应用日志，执行:  
116. grep -i 'cmd'*.log*  
117. grep -i 'wget'*.log*  
118. grep -i 'asp'*.log*  
119. grep -i 'php'*.log*  
120. grep -i 'curl'*.log*  
121. netstat -ano|grep ESTABLISHE  
122. egrep -v "^192.168.2.*|^172.16.*.*"*_access*  
123. grep -i .*\\.sh *.log*  
124. grep -i .*\\.py *.log*  
125. grep -i .*\\.pl *.log*  
126. grep -i 'select'*.log*  
127. grep -i 'delete'*.log*  
128. grep -i 'my.cnf'*.log*  
129. （3）关于nginx:  
130. nginx参考Tomcat的方式进行排查，主要看是否有可疑文件和grep查询日志。
131. （4）关于数据库：
132. ①查看是否存在可疑账户和可疑数据库
133. ②应用使用账户和应用ip排查
134. ③当前连接数据库的ip、客户端查询
135. ④取消应用用户drop权限
136. （5）windows服务器
137. ①查看网络、内存、CPU的使用情况是否异常，查看占用资源靠前的进程是否可疑。
138. ②netstat -nao|findstr ESTABLISHED  
139. ③net use  

2.4、挖矿病毒攻击防范

相比勒索病毒，挖矿病毒的破坏力度还是小一些，主要影响系统的正常使用，但新型挖矿病毒清除起来比较费劲，一般建议直接断网、重装系统。

2.5、其他-undo

暂无。

实际上，不同类型的网络风险有不同的应对措施，但是大多遵循事前加固、事中处理、事后改进的流程。事前针对不提的攻击类型、攻击方式、破坏范围和力度、攻击成本等指定不同的防范措施，将风险降至最低、可见漏洞最大化修复，并且制定相应的应急处理措施；当攻击事件发生时，应按照前置预案和应急手册进行处理，实际上在事中处理时，大多也遵循断网减少攻击面、启用备份手段减少损失等原则；安全事件处置完毕后，应进行总结，对安全事件全流程复盘，改进前置预案和应急手册，对现有系统、设备进行升级加固等工作。

三、网络安全前沿技术研究

第五部分 总结篇

对于中小型企业而言，安全设备的上架、运维和策略持续优化是重点，在缺乏安全工程师的同时大多由运维工程师或网络工程师兼任，在企业的IT建设过程中，网络安全只是很少的一块，很多企业也会忽略。但对于中大型企业来说，网络安全管理、网络安全架构等都是网络安全工作的重点，同时也要求将网络安全作为常态化工作运营，持续渐进。随着国家法律法规的颁布以及受网络安全大环境的影响，不同规模、不同行业的企业大都面临着不同程度的扫描或攻击，只是对黑客组织而言更有价值的数据才是他们的攻击重点，但从企业维度来看（与企业信息化、移动化和数字化的程度有关），一旦遭受安全攻击，影响都是比较大，很多时候直接反应在经济损失和业务减少等。所以，网络安全工作是企业经营发展过程中必不可少的内容之一。

对工程师而言，网络安全工作总体起来说，一个体现责任心的良心活。因为对于大多数企业（甲方）的网络安全工作来说，在产品设备原厂、安全服务供应商的帮助下，大多安全风险可以提前规避，虽然攻击次数和频率可能较高，但是有质量、有实质危害的甚少，有的时候一两年、甚至三五年不出严重安全事件，这种情况下，工作实际上相对轻松。但就网络安全工作的本质而言，其应是一个持续优化、不断输出的过程，同时安全攻防不对等的行业属性也决定着没有100%的安全。很多时候，网络安全工作也处于一种相对被动且难以出成绩、只有出了事才会被想起的境地，这些都是需要网络安全管理者和工程师需要面对和改变的，要将网络安全工作日常化、大众化，真正在做好本职工作的同时，完成对公司领导和业务同事的上传下达，让大家知道我们在做什么，为什么而做，将公司内部的“安全阻力”变为“安全助力”，将内部风险控制最低，就可以是企业网络安全处于一种相对安全的状态，进而为企业的数字化转型和业务运营保驾护航。

作者简介：

战学超（Jan） ，某航空公司运维经理，高级架构师。曾任职于NEC软件、海尔集团。拥有丰富系统运维、系统架构经验，熟悉企业运维管理、系统架构、数据库架构、数据平台搭建、虚拟化、混合云部署及管理、自动化运维以及企业网络安全等。