网络安全案例分析

题目1：数据分类分级实操

背景

某互联网电商企业存储有以下数据资产：

1. 客户在注册时提交的姓名、手机号、身份证号、家庭住址
2. 客户的订单支付记录（含银行卡后 4 位、支付金额、支付时间）
3. 企业内部员工的薪酬明细（含基本工资、绩效奖金、社保缴纳金额）
4. 公开对外展示的商品信息（商品名称、售价、规格、公开评价）
5. 企业未公开的年度营销方案（含促销策略、预算分配、目标客户群体分析）

要求

1. 请依据《数据安全法》及行业数据分类分级规范，对上述 5 类数据进行 “公开数据、内部数据、敏感数据、核心数据” 四级分类，并说明每类数据的分级依据。
2. 针对分级后的 “敏感数据” 和 “核心数据”，分别设计 2 项具体的安全管控措施（如访问控制、传输加密等），需明确操作步骤或配置要点。

答案：

一、数据四级分类及依据

1. 公开数据：第 4 类商品信息。依据：可对外公开获取，无安全保密要求。
2. 内部数据：第 3 类员工薪酬明细。依据：仅企业内部使用，泄露影响限于内部管理。
3. 敏感数据：第 1 类客户注册信息、第 2 类订单支付记录。依据：含个人身份及支付敏感信息，泄露会危害个人权益。
4. 核心数据：第 5 类未公开营销方案。依据：关乎企业商业利益与发展，泄露可能造成重大损失。

二、安全管控措施

1. 敏感数据：①访问控制：仅授权岗位可访问，绑定员工工号并记录操作日志。②传输加密：通过 SSL/TLS 协议传输，防止数据在传输中被窃取。
2. 核心数据：①存储加密：采用 AES-256 算法加密存储，密钥专人保管且定期更换。②权限审批：访问需部门负责人及法务双重审批，限定访问时长与范围。

题目2：数据泄露应急处置实操

背景

某企业数据安全管理员通过安全监控平台发现，1 小时前有一名已离职员工利用未注销的 VPN 账号登录企业内网，下载了包含 500 条客户敏感信息（姓名、手机号、收货地址）的 Excel 文件，并通过外部邮箱将文件发送至个人邮箱。目前该员工 VPN 账号已被临时冻结，外部邮箱传输记录已留存。

要求

1. 请按照 “应急响应流程”，梳理从发现泄露到处置完毕的关键步骤（需包含技术处置、人员沟通、风险评估等环节），并说明每个步骤的具体操作内容。
2. 假设泄露的敏感信息已被第三方在网络上传播，需制定 2 项针对性的补救措施，明确操作主体、实施方式及预期效果。

答案：

一、应急响应关键步骤及操作​

1. 遏制止损（立即执行）：技术层面，彻底注销离职员工 VPN 账号，封禁其关联内网权限，核查并关闭其他潜在未清理账号；阻断涉事外部邮箱与内网的连接，防止二次传输。

2. 事件调查（1-2 小时内）：技术团队调取 VPN 登录日志、文件下载记录及邮件传输详情，确认泄露文件完整内容与传播范围；风控团队评估 500 条客户信息敏感程度及泄露影响边界。

3. 内部沟通（2 小时内）：通知 IT、法务、客服部门启动应急联动；向管理层同步事件进展，明确处置分工与责任。

4. 外部沟通准备（4 小时内）：法务部门研判是否需通报监管机构；客服部门制定客户问询应答话术，准备告知函模板。

5. 复盘整改（处置后 1 周内）：排查账号管理漏洞，建立离职员工权限回收台账；升级监控系统，增设敏感文件传输告警规则。​

二、信息扩散针对性补救措施​

1. 客户告知与防护：操作主体为企业客服部，通过短信 / 电话逐一通知涉事客户，说明泄露信息范围，提醒防范诈骗，提供免费身份信息监测服务 1 个月。预期效果：降低客户权益受损风险，维护企业信任。​

2. 舆情管控与信息清除：操作主体为公关部联合第三方技术公司，监测网络平台泄露信息，联系平台方删除扩散内容；发布官方声明说明处置进展与补救措施。预期效果：遏制信息进一步传播，减少企业声誉损失。

题目三

数据加密配置实操（20 分）

背景

某企业需对内部文件服务器中的敏感数据（如客户合同、财务报表）进行加密保护，同时要保障授权员工可正常访问。文件服务器操作系统为 Windows Server 2019，员工使用 Windows 10 客户端访问服务器。

要求

1. 请选择合适的加密方式（如 EFS、BitLocker、应用层加密等），说明选择该加密方式的理由，并分步描述在服务器端和客户端的加密配置操作流程。
2. 若某授权员工因电脑故障需更换设备，需设计该员工在新设备上访问加密文件的操作步骤，确保数据安全性和可访问性。

答案：

一、加密方式选择及配置流程​

（一）选择 EFS 加密​

理由：适配 Windows Server 2019 与 Windows 10 系统，可针对单个敏感文件 / 文件夹加密，且与用户账号绑定，兼顾安全性与授权访问便利性。​

（二）配置操作流程​

1. 服务器端：①管理员登录文件服务器，找到存放敏感数据的文件夹（如 “敏感文档库”）；②右键文件夹→属性→高级→勾选 “加密内容以便保护数据”→确定，系统自动加密文件夹内文件；③通过 “本地用户和组” 为授权员工账号分配该文件夹的读取权限。​

2. 客户端：①授权员工登录 Windows 10 客户端，访问服务器共享文件夹；②首次访问时系统自动验证用户账号权限，无需额外输入密钥即可打开加密文件，操作与普通文件一致。​

二、新设备访问加密文件操作步骤​

1. 员工向 IT 部门提交设备更换申请，附带旧设备登录账号及新设备信息，IT 部门验证身份与授权资质。

2. IT 管理员在服务器端，通过 “证书管理控制台” 导出该员工的 EFS 加密证书（含私钥），设置密码保护后传输给员工。

3. 员工在新 Windows 10 设备登录账号，双击导入加密证书并输入密码完成安装。​

4. 员工访问服务器加密文件夹，系统通过导入的证书验证权限，即可正常打开文件，确保数据安全且可访问。

题目四：

四、数据访问权限管理实操（15 分）

背景

某企业数据管理系统中有三类数据：A 类（公开产品信息）、B 类（内部销售数据）、C 类（核心财务数据）。企业现有 4 类角色：普通员工、销售专员、财务专员、部门经理。

要求

1. 依据 “最小权限原则”，为每类角色分配对应的数据访问权限（需明确 “可读、可写、可修改、可删除” 等权限范围），并说明权限分配的依据。
2. 若销售专员因岗位调整，不再负责销售数据处理，需描述收回其 B 类数据访问权限的具体操作步骤（假设使用基于角色的访问控制（RBAC）系统），并说明操作后需进行的验证工作。

答案

一、角色权限分配及依据​

1. 普通员工：仅 A 类数据可读。依据：其工作无需接触内部及核心数据，最小权限可避免非必要访问风险。

2. 销售专员：A 类数据可读；B 类数据可读、可写。依据：需查看公开产品信息及录入 / 更新销售数据，无需修改删除权限，符合岗位核心需求。

3. 财务专员：A 类数据可读；C 类数据可读、可写、可修改。依据：需处理财务数据录入与调整，无需删除权限以防误操作，匹配财务工作特性。

4. 部门经理：A 类数据可读；B 类数据可读、可写、可修改、可删除；C 类数据可读。依据：需全面管理销售数据，仅需查看财务数据用于决策，兼顾管理需求与数据安全。​

二、B 类数据权限收回操作及验证

（一）操作步骤

1. 人事部门向 IT 部门提交销售专员岗位调整通知，明确需收回其 B 类数据权限。

2. IT 管理员登录 RBAC 系统，进入 “角色管理” 模块，找到 “销售专员” 角色对应的权限列表。

3. 勾选 B 类数据的 “可读、可写” 权限项，点击 “移除权限” 并提交，系统生成操作日志。​

（二）验证工作​

1. 权限收回 10 分钟后，使用该销售专员账号登录系统，尝试访问、录入 B 类数据，检查是否提示 “无权限”。

2. 管理员在 RBAC 系统 “权限审计” 模块，核查该账号权限列表，确认 B 类数据相关权限已移除，且操作日志记录完整。

题目五：

五、数据安全风险评估实操（20 分）

背景

某小型科技公司计划上线一套客户管理系统（CRM），系统将存储客户基本信息、沟通记录、需求方案等数据，部署方式为云服务器（阿里云 ECS），员工通过网页端和手机 APP 访问。

要求

1. 从 “数据采集、数据传输、数据存储、数据使用、数据销毁”5 个数据生命周期环节，分别识别至少 2 项潜在的安全风险（需明确风险场景和可能造成的影响）。
2. 针对识别出的风险，选择 3 项高优先级风险（需说明优先级判定理由），制定对应的风险控制措施，明确措施的实施方式、责任部门及完成时限。

答案

一、数据生命周期风险识别​

1. 数据采集：①风险场景：网页端采集表单无验证码，遭恶意爬虫批量抓取客户信息；②影响：客户数据泄露，引发隐私投诉。③风险场景：采集字段超出必要范围（如冗余收集身份证号），增加合规风险；④影响：违反《数据安全法》，面临监管处罚。

2. 数据传输：①风险场景：手机 APP 与云服务器传输未加密，数据被中间人劫持；②影响：沟通记录等敏感数据泄露。③风险场景：公共 WiFi 下员工访问系统，传输数据易被窃取；④影响：内部数据外泄，危害客户信任。

3. 数据存储：①风险场景：阿里云 ECS 实例未开启存储加密，服务器被入侵后数据直接泄露；②影响：核心需求方案等数据流失，造成商业损失。③风险场景：缺乏数据备份策略，云存储故障致数据丢失；④影响：业务中断，无法正常服务客户。

4. 数据使用：①风险场景：员工账号密码复杂度低，遭暴力破解后越权访问数据；②影响：客户信息被非法篡改或泄露。③风险场景：手机 APP 缓存未清理，设备丢失后数据被他人获取；④影响：个人敏感信息外泄，引发法律风险。

5. 数据销毁：①风险场景：云服务器退租前未彻底擦除数据，被第三方复用；②影响：历史客户数据泄露，损害企业声誉。③风险场景：过期纸质打印数据随意丢弃，未碎纸处理；④影响：客户信息被拾获滥用，引发安全事件。​

二、高优先级风险及控制措施​

1. 风险：数据传输未加密（数据传输环节）​

• 优先级理由：传输环节暴露面广，多端访问场景下泄露概率高，且可能直接导致核心数据外泄。

• 控制措施：实施方式为在网页端启用 SSL/TLS 协议，手机 APP 采用 HTTPS 加密传输；责任部门为 IT 部；完成时限为系统上线前 3 天。​

2. 风险：云存储未加密（数据存储环节）​

• 优先级理由：存储是数据集中存放点，未加密则入侵后无防护，易造成大规模数据泄露。

• 控制措施：实施方式为开启阿里云 ECS 存储加密，采用 AES-256 算法；责任部门为 IT 部；完成时限为数据迁移至云服务器后 1 天内。​

3. 风险：员工账号弱密码（数据使用环节）​

• 优先级理由：账号是访问入口，弱密码易被破解，且可能引发连锁式权限滥用。​

• 控制措施：实施方式为强制设置复杂密码（含大小写、数字、特殊符号），启用定期密码更换机制；责任部门为 IT 部、人事部；完成时限为系统上线前 1 周。

题目六

linux

启动虚拟机。登录虚拟机后（IP为192.168.101.103，用户名／密码为root／root123，SSH服务端口为22），完成以下操作：

①新建目录／root／test，写出该操作的命令。

②将该／root／test 设置为root组用户可读写、普通用户不可读也不可写，写出对应操作的命令，并对配置后的／root／test权限情况进行截图。

③新建root组用户ROOT，其HOME目录为／ROOT，写出对应操作的命令。

④以ROOT身份登录后，在／root／test 下新建1．txt文件，该文件权限为root组用户可读写、普通用户不可读也不可写，对配置后1．txt文件权限情况进行截图。

⑤将ROOT设置为sudo用户，并将／root／test／1．txt文件的所有者修改为root，对相关配置、命令，以及配置后1．txt文件权限情况进行截图。

答案：

①新建目录／root／test，写出该操作的命令。

mkdir /root/test

②将该／root／test 设置为root组用户可读写、普通用户不可读也不可写，写出对应操作的命令，并对配置后的／root／test权限情况进行截图。

chmod 770 /root/test

chgrp root /root/test

ls -ld /root/test

（备注 此题第一个命令 中间的数字 660 670 760 770 都是对的，视频中只展示了770的写法）

③新建root组用户ROOT，其HOME目录为／ROOT，写出对应操作的命令。

注意区分root和ROOT，大小写不同判为错误

注意2 视频中 写成了 useradd -g root -d /home/ROOT -m ROOT ，正确的是下面的

useradd -g root -d /ROOT -m ROOT

此处会提示exists 这是前面的邮箱没有删干净不用管他

④以ROOT身份登录后，在／root／test 下新建1．txt文件，该文件权限为root组用户可读写、普通用户不可读也不可写，对配置后1．txt文件权限情况进行截图。

su ROOT

touch /root/test/1.txt

chmod 660 /root/test/1.txt

exit

⑤将ROOT设置为sudo用户，并将／root／test／1．txt文件的所有者修改为root，对相关配置、命令，以及配置后1．txt文件权限情况进行截图。

echo "ROOT ALL=(ALL) ALL" >> /etc/sudoers

chown root:root /root/test/1.txt

题目七

数据库操作

题目要求

启动虚拟机。该虚拟机安装了MySQL数据库（MySQL绑定地址为192.168.101.103，服务端口为3306，用户名／密码为root／root123），登录后请完成以下操作：

0.进入数据库

①查看DATABASE idatabase中的customer表，写出表中有多少条记录并对查询过程进行截图。

②查看上述customer表中按name、idnum去重后涉及多少条记录，写出结果并对查询过程进行截图。

③将customer表中的idnum替换为MD5值，写出操作命令，并对替换前、后的表数据进行截图（截图中替换前后的idnum要能对应上）。

④将customer表中phone的第4-7位（从左边开始数）用“＊”替换，写出操作命令，并对替换前、后的表数据进行截图（截图中替换前后的phone要能对应上）。

答案

0.进入数据库 mysql -uroot -proot123

1.use idatabase;

select * from customer;

2.select distinct name idnum from customer;

3.UPDATE customer SET idnum = left(MD5(idnum),16);

4.UPDATE customer

SET phone = CONCAT(

LEFT(phone, 3),

'****',

SUBSTRING(phone, 8)

);

题目八

linux日志查看

题目要求

1.查看配置环境，写出ssh服务的日志级别，并截图

2.以错误的密码远程登录该虚拟机，使用journalctl 看出日志

3.将/var/log 下所有log文件保存到/root/log.txt(追加写入，不覆盖)，写出操作命令，并对命令执行情况截图

4.将/root/log.txt 打包为log.tar.gz 写出命令 并对命令执行情况截图

答案

1.cat /etc/ssh/sshd_config

在输出结果中找到VERBOSE

2. 先使用错误的用户名密码登录 ssh root@192.168.101.103 输入错误的密码

journalctl -u sshd

3题和4题：

cat /var/log/*.log>>/root/log.txt

tar -zcvf log.tar.gz log.txt

题目9

sysmbo安装

安装： sysmom.exe -i

更新配置文件： sysmon.exe -c sysmonconfig-export.xml