关于作者

一位80后信息安全从业者，现任某公司安全[负责人]，负责信息安全管理和建设。本系列是安全建设工作的实践总结。

2、基础安全工作，细节决定成败

2.4 主机安全实现之路

2025 年第一大威胁是什么？相信大家都能用一个声音来回答——勒索软件。

我们先来盘点一下2025年上半年全球十大典型勒索软件。

1. 勒索软件迷宫； 2.Ryuk勒索软件； 3. 勒索软件/REvil； 4. 勒索软件； 5. 勒索软件； 6.勒索软件CLOP； 7.勒索软件EKANS； 8. 勒索软件； 9. 勒索软件； 10.勒索软件。

那么今天我们就从几个维度来谈谈主机安全！

2.4.1.主机防病毒软件

防病毒软件，也称为反病毒软件或杀毒软件，是用于消除计算机病毒、特洛伊木马、恶意软件等计算机威胁的一类软件。

防病毒软件通常集成了监控识别、病毒扫描清除、自动升级、主动防御等功能。有些杀毒软件还具有数据恢复、防止黑客入侵、网络流量控制等功能。它是一种计算机防御系统（包括防病毒软件、防火墙、木马和恶意软件查杀程序、入侵防御系统等）。

防病毒软件是一种程序工具，可以清除病毒、木马和其他已知对计算机有害的程序代码。 “杀毒软件”是由国内老一代杀毒软件厂商命名的。后来由于与世界反病毒行业接轨，被统称为“杀毒软件”、“安全防护软件”或“安全软件”。用于清除计算机病毒、木马和恶意软件的一类软件，如集成防火墙的“网络安全套件”、“全功能安全套件”等，都属于防病毒软件的范畴。

物理机：乖乖在系统上安装Agent，并定期升级，不管你的服务器是Linux还是Linux！然后一定要定期检查并及时确认发现的病毒威胁。当然这是最基本的。

虚拟机：建议购买轻代理甚至无代理的杀毒软件。传统代理只占用CPU和内存，运行数据库和业务时消耗流量，轻松！ ！作者放火烧墙，看到了T数据流。

轻量代理：在每台虚拟机主机上安装轻量代理。灯光剂的任务由控制中心统一下发。客户端程序完成病毒扫描任务后，将任务执行状态和病毒文件详细日志发送至控制中心。

无代理：无需安装代理，保护功能由单独的安全虚拟机（或虚拟化系统上的进程）实现。

裸机：一定要购买云防病毒服务。

注：笔者这里推荐几个在线防病毒扫描网站，在购买防病毒软件时一定会有帮助。

1.（它是一个非盈利网站，免费为网民服务。它使用多种不同厂家提供的最新版本的病毒检测引擎来扫描您在线上传的可疑文件，并可以立即显示检测结果。为您提供有关怀疑程度的建议）。

2.（免费的病毒、蠕虫、木马及各种恶意软件分析服务。可以快速检测可疑文件和URL。）

3.（Jotti 的恶意软件扫描程序是一项免费服务，允许您使用多个防病毒程序同时扫描可疑文件。您最多可以同时提交 5 个文件。每个文件的大小限制为 250MB。请注意，没有安全解决方案可以提供100%的保护，甚至使用多个防病毒引擎，所有扫描的文件将与防病毒公司共享，以改进他们的产品并提高他们的检测准确性。）

4.（支持多种文件格式、各种压缩包、文档；普通用户不超过30MB，高级用户不超过100MB。）

笔者在2019年购买新的杀毒软件时，使用了100个病毒样本进行了针对性的比较。总之，你还是需要购买合适的防病毒软件。

2.4.2.主机安全基线检查

安全基线：它借用了“基线”的概念。类比“木桶理论”，安全基线可以认为是安全桶的最短板，或者说是安全要求的最低限度。 （很多公司对这个最低要求视而不见）

安全基线的元素包括： 1. 服务和应用程序设置。 2. 操作系统组件的配置。 3、权限及权限分配。 4、管理规则。

目前常用的基线有很多，例如：常用操作系统基线、数据库基线、Web服务应用基线等，可以参考工信部基线配置要求或者CIS安全基线进行配置和检查。

这里必须强调的是，所有的基线配置表都必须经过业务系统的测试后才能真正上线。笔者曾经花了半年的时间来确认每个策略对业务的影响，最终达到了最终的目标。

如何做好基线配置管理？简要思路如下：

1. 建立基线配置管理计划

业务+开发+运维共同制定计划，必要时寻求高层支持。实施情况和实施效果关系到绩效。明确了基线的制定、实施和审查的职责。有检查方法可以确认安全基线未成功部署的原因。奖励和惩罚措施将提高基线执行的有效性。

2. 定制基本操作系统镜像

基础镜像包括选择哪个版本的操作系统、如何分区、如何最小化安装、如何部署必要的工具软件（如杀毒、HIDS等），统一的基础操作系统镜像进行分发到企业。

3. 开发基线配置模板

基线配置模板可以包括运维和安全两部分：运维部分如性能相关配置、稳定性相关配置、个性化配置等。同一应用（、IIS等）可以做成统一的配置模板进行分发；对于安全部分，可以参考两个来源：工信部安全配置建议基线配置要求（）。

4. 分发基线配置

基线配置最好和运维一起分发，由运维支撑系统分发，这样可以加快效率。如果现阶段运维没有统一的分发管理系统，用单一的配置脚本就可以完成，效率会非常低。

5. 基线配置检查

买一个主流的扫描仪/HIDS，或者自己使用一些开源工具（比如大佬写的）。最好自动化检查。笔者做了一年多的人工检查，非常不推荐。

6. 基线配置修改

每年检查并根据需要进行升级。

2.4.3. HIDS

HIDS的全称是Host-based，是一种基于主机的入侵检测系统。作为计算机系统监视器和分析器，它不作用于外部接口，而是着眼于系统内部，监视全部或部分系统的动态行为以及整个计算机系统的状态。

由于HIDS会动态检查网络数据包，因此它可以检测哪个程序访问了哪些资源，并确保文字处理器（Word-）不会突然无端启动和修改系统密码数据库。同样，无论信息存储在内存、文件系统、日志文件还是其他地方，HIDS 都会始终监视系统状态并检查它们是否符合预期。

HIDS 的运行原理是，成功的入侵者通常会留下入侵痕迹。这样，计算机管理员可以检测到一些系统修改，HIDS可以检测并报告检测结果。

一般来说，HIDS 使用它们监视的目标系统和文件系统的数据库（可选）。 HIDS 还可以检查未被非法修改的内存区域。对于正在处理的每个目标文件，HIDS 都会记录其属性（例如权限、大小、修改时间等），然后，如果该文件有其文件内容，HIDS 将创建校验和（例如 SHA1、MD5 或类似的） 。该验证码信息将被存储在一个安全的数据库——验证码数据库中，以供将来验证。

主机入侵检测的重点是：动作和成功的恶意行为。

常见的可能的网络攻击

直接上传获取、SQL注入、远程文件包含（RFI）、FTP，甚至使用跨站脚本（XSS）作为攻击的一部分，甚至一些较旧的方法使用后台数据库备份和恢复获取、数据库压缩等。功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

检测

可以监控指定目录下所有文件的创建、修改、重命名等操作。上有这样一个项目：()，之前有大佬写过用机器学习的方法来检测：机器学习检测PHP的初步探索()、入侵检测()

作为传统攻防视角的重要组成部分，HIDS发挥着不可替代的作用，可以有效地检测从网络层面难以检测到的安全问题。

HIDS架构

目前大多数HIDS平台建设主要分为三个部分：终端代理监控组件、控制面板以及与SIEM、运维数据等其他平台对接的接口集合：

1、终端Agent组件：其主要功能包括：监控文件变化、监控服务器状态、发出一些操作指令等；

2.：用于执行一些策略推送和资源管理操作；

3、MQ &&：用于负载均衡和吞吐量数据到数据库；

4.：数据库；

5. SIEM API：用于将HIDS数据与SIEM集成。

通过监控业务IT资产文件，终端代理可以发现一些潜在威胁的文件或受损的后门，还可以记录和发现文件的变化。同时，终端代理负责将日志传输到数据库，方便运维人员检索日志，对终端日志进行统一采集和管理。

开源 HIDS：OSSEC,,-HIDS

2.4.4. EDR

无文件病毒、无文件挖矿、无文件勒索软件……近年来，一种被称为无文件攻击的渗透形式日益增多，其流行给用户的网络安全带来了巨大威胁。因此，在端点保护之战中，EDR(&)占据了C位。

顾名思义，EDR技术专注于高级威胁的检测和响应。填补了传统防病毒产品在高级威胁检测和响应方面的技术空白。 EDR技术本质上是基于行为规则IOA和外部特征库IOC，通过对操作系统行为进行高清记录和长期存储，对漏洞攻击、无文件攻击等高级威胁进行关联、分类和检测。这是通过绘制流程事件树来实现的。攻击可视化、远程遏制和修复可疑威胁主机。

高级威胁的 EDR 管理给出了四个基本定义：检测、遏制、调查和补救能力。

定义EDR的四个基本功能

EDR需要具备对操作系统行为进行高清记录“内核态”和“用户态”的能力，并且行为日志需要保存3个月以上。其次，EDR还需要实现攻击的可视化，提供IOA/IOC来检测无文件攻击和零日漏洞攻击的高级威胁，并提供威胁狩猎（ Hunt）服务。

下图可以说明EPP和EDR之间的关系。

笔者认为终端安全EPP+EDR不能缺少。

2.4.5 最终建议

终端安全是保护业务的核心任务。一旦被渗透，后果将十分严重。

1、加强端点保护

及时对终端和服务器进行加固。所有服务器和终端应执行复杂的密码策略并消除弱密码；安装防病毒软件、终端安全管理软件，及时更新病毒库；及时安装漏洞补丁；启用服务器上的关键日志收集功能，为安全事件的追溯提供了基础。

2.关闭不必要的端口和服务

严格控制端口管理，尽量关闭不必要的文件共享权限，关闭不必要的端口。

3.使用多重身份验证（MFA）

使用被盗的员工凭据进入网络并分发勒索软件是一种常见的攻击媒介。这些凭据通常是通过网络钓鱼收集的或从过去的入侵中获取的。为了减少攻击的可能性，请务必在所有技术解决方案中采用多因素身份验证。

4、全面强化资产细粒度准入

增强资产可视性并完善资产访问控制。员工、合作伙伴和客户都以身份和访问管理为中心。合理划分安全域，采取必要的微隔离。实施最小特权原则。

5、威胁态势深度掌控

持续强化威胁监测和发现能力，依托资产可视能力、威胁情报共享和态势感知能力，形成威胁早发现、早隔离、早处置的有效机制。

6. 制定业务连续性计划

加强业务数据备份，及时对业务系统和数据进行备份，并验证备份系统和备份数据的可用性；制定安全灾难恢复计划。同时，保证备份系统与主系统之间的安全隔离，防止主系统和备份系统同时受到攻击，影响业务连续性。业务连续性和灾难恢复 (BCDR) 解决方案应成为在发生攻击时维持运营的策略的一部分。

七、加强安全意识培训教育

员工安全意识缺乏是一个重要问题。必须经常提供网络安全培训，以确保员工能够检测并避免潜在的网络钓鱼电子邮件，这是勒索软件的主要入口点之一。将此培训与网络钓鱼演习结合使用，以了解员工的漏洞。确定最脆弱的员工，并为他们提供额外的支持或安全措施以降低风险。

8、定期检查

每三到六个月对网络卫生实践、威胁态势、业务连续性计划和关键资产访问日志进行一次审查。通过这些措施不断改进您的安全计划。随时了解风险并主动防御勒索软件攻击并减轻其影响。

欢迎大家和我一起讨论实际执行中的各种安全细节。

待续

# 网络seo又到有客网络seo又  # 检测到  # 眉山网站营销与推广  # 网站在哪里推广最好呢  # 付费营销推广的共作原理  # 清镇抖音seo策略  # 推广营销预算方案  # 福州seo公司哪家强  # 大型网站建设与管理系统  # 长远网站建设规划图  # n-seo什么意思  # 控制中心  # 建设网站人力资源  # 宜昌农业网站推广开户  # SEO优化 内部  # 邯郸正规的网站推广报价  # 西区关键词排名  # 徐州网站推广工作内容  # 多种网站推广  # 南宁seo服务公  # 网站策划网站建设流程  # mfwol.cn gt seo  # 还可以  # 2025 年头号威胁勒索软件  # 80 后信息安全掌门人实践总结  # 防病毒  # 操作系统  # 这是  # 是一种  # 大佬  # 镜像  # 他们的  # 几个  # 2025 年头号威胁勒索软件：80 后信息安全掌门人实践总结  # 多个  # 它是  # 不超过  # 等功能  # 套件  # 验证码  # 信息安全  # 文件系统  # 开源 

相关文章： 打造专业形象，广告公司网站模板全攻略，专业形象打造指南，广告公司网站模板精选策略  微信朋友圈九宫格拼图教程来啦！爱心九宫格图片超好看   江门网站优化，提升网站流量，助力企业腾飞，江门企业网站流量优化，助力业务腾飞新高度  索尼精选：专注古典爵士，Hi-Res 音乐下载服务有何特点？   安徽网站优化，助力企业在线营销，提升品牌影响力，安徽网站优化，赋能企业在线营销，增强品牌影响力，安徽网站优化，助力企业品牌影响力飞跃  抖音流行短视频应用：如何添加歌词字幕，增强趣味性？   澳洲租房市场整体下滑，各城市空置率升降各异   个人公众号与企业公众号的区别：认证及自定义菜单差异解析   新手如何进入网络销售？了解市场需求与搭建优质网店是关键   推广客服必看！百度搜索推广效果转化漏斗的五个量解析   2025深圳SEO网站优化公司排名，中小企业优选标准大揭秘   微信聊天记录怎么恢复？不同情况不同方法，速来学习   微信备受大众喜爱，忘记密码如何找回或重设？看这里   有人说你是girl Friday啥意思？快来跟着吉米老师学朋友圈英语   深圳安居房申请条件全解析，这些要点你必须知道   我要建网站，从零开始打造个人品牌的新篇章，零基础打造个人品牌，开启网站建设新篇章  龙*站建设，打造专业、高效的在线平台，助力企业腾飞，龙华企业腾飞之选，专业高效网站建设服务  如何将网络共享文件夹映射为本地虚拟驱动器？操作步骤详解   新疆棉事件两年后，最大品牌输家曝光......  安徽警方跨区域协同作战！斩断山西到安徽的跨省网络贩毒通道   企业网站策划书，打造高效 *** 营销平台的关键步骤解析，构建高效 *** 营销枢纽，企业网站策划全攻略解析，企业网站策划全攻略，构建高效 *** 营销枢纽的关键步骤解析  飞利浦维修网点查询指南，官方网站与移动应用轻松搞定   蹭五月天热点，脑白金又来洗脑了？  深圳市为恩科技产品：小巧易摆，手机打印标签超便利   OPPO A3 Pro手机如何设置指纹支付？提升便捷与安全有妙招   13 级网络营销班携程网网站评价报告：分工及成果展示   微信朋友圈背景图怎么保存？安卓、苹果及电脑端教程来啦   001my魔域新服职业推荐：战士近战超猛，法师远程超强   廊坊网站优化，提升 *** 曝光，助力企业腾飞，廊坊企业 *** 曝光新篇章，网站优化助力腾飞  微信和支付宝提现免手续费攻略，你知道吗？快来看看   企业微信CRM系统：全流程管理助力企业数字化转型，实现销售业绩增长   小红书笔记有效推广秘籍！内容6字诀之真与美？   女生主动加微信背后的多重意涵及应对策略解析   手机搜狗输入法怎么修改皮肤？iPhone无法使用咋解决？   汽车网站模板，打造个性化汽车展示平台的关键要素，个性化汽车展示平台核心要素，汽车网站模板全攻略  打造优秀的个人网站，塑造个人品牌，展现独特魅力，个人网站打造攻略，塑造品牌，彰显个性魅力  Excel小课堂开课啦！二级下拉菜单超炫酷实用，快来学   微信右上角+号藏玄机！教你检测好友是删是拉黑？   看动作大片为啥偏爱影院？流媒体高清画质竟不如1080P？   网站 *** 与设计，打造高效互动的数字门户，数字门户高效互动，网站 *** 与设计新篇章  百度搜索下拉框推荐词条影响大，如何有效管理？有这些方法   上海网站建设公司，助力企业数字化转型的专业伙伴，赋能企业数字化转型，上海专业网站建设公司助力新篇章  十堰网站建设，助力企业转型升级，打造 *** 营销新格局，十堰企业转型升级新引擎，网站建设引领 *** 营销新格局  七夕良辰爱满湾区！海口举办婚拍旅游推介会及颁奖仪式   长春网站建设，打造专业、高效、个性化的 *** 平台，长春专业定制，高效个性化网站建设服务  免费SEO网站诊断，揭秘网站优化中的秘密武器，免费SEO网站诊断，解锁网站优化神秘武器  中共昆明市委党校：四库建设推动教学创新，抓现场教学提科学化水平   品牌30讲之24 | 品牌重塑  微信这五个功能设置错啦！三个该关却开着，两个该开却关着？   网站的建设与 *** 营销的成功之道，成功网站建设和 *** 营销的关键要素，策略与实践 

相关栏目： 【 广告资讯90366 】 【 广告推广18483 】 【 广告优化154267 】 【 广告营销46464 】