网络安全文章

net user test_user p@ssrand  /add

cacls D:\lg /t /g administrators:f users:c

python GitHack.py http://127/.git/

一、准备阶段

以预防为主。
其目标是在事件真正发生前为应急响应做好预备性的工作，建立企业安全政策及标准；建立安全加固方案；建立安全监控策略及设备；建立应急响应工作小组、应急响应机制及所需的工具。
具体负责人员有应急响应负责人、技术人员等，根据各自的角色准备不同的内容。
负责人准备内容：制定工作方案和计划，提供人员和物质保证，审核并批准经费预算、恢复策略、应急响应计划，批准并监督应急响应计划的执行，指导应急响应实施小组的应急处置工作，启动定期评审、修订应急响应计划以及负责组织的外部协作。
技术人员准备内容：
   首先要对整个信息系统进行评估，明确服务对象的应急需求，确定支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、完整性、可用性要求。
   应采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估。
   建立适当的应急响应策略，应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效地恢复信息系统运行的方法。 提供相关的培训服务，以提高服务对象的安全意识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，熟悉网络安全应急响应策略。在系统安全策略配置完成后，要对系统做一次初始安全状态快照。这样，如果以后再出现事故后对该服务器做安全检测时，通过将初始化快照做的结果与检测阶段做的快照进行比较，就能够发现系统的改动或异常。
   应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包，包括常用的系统基本命令、其他软件工具等，工具包应定期更新、补充。
   必要技术的准备
上述针对应急响应的处理涉及的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础。所以应急响应服务实施成员还应该掌握必要的技术手段和规范，具体包括以下内容。
1）系统检测技术，包括以下检测技术规范：Windows系统检测技术规范、Unix系统检测技术规范、网络安全事故检测技术规范、数据库系统检测技术规范和常见的应用系统检测技术规范。
2）攻击检测技术，包括以下技术：异常行为分析技术、入侵检测技术、安全风险评估技术、攻击追踪技术、现场取样技术、系统安全加固技术、攻击隔离技术、资产备份恢复技术等。

二、检测阶段                  应急响应小组接到事故报警后在事故单位的配合下对异常的系统进行初步分析，确认其是否真正发生了网络安全事件，制定进一步的响应策略，并保留证据。负责人员包括应急服务实施小组成员、应急响应日常运行小组
三、抑制阶段
应急响应小组确定安全事件的类型。经过检测，判断出网络安全事件类型。评估突发信息安全事件的影响。采用定量和/或定性的方法，对业务中断、系统宕机、网络瘫痪、数据丢失等突发信息安全事件造成的影响进行评估；确定是否存在针对该事件的特定系统预案，如有，则启动相关预案；如果事件涉及多个专项预案，应同时启动所有涉及的专项预案；如果没有针对该事件的专项预案，应根据事件具体情况，采取抑制措施，抑制事件进一步扩散。
四、根除阶段
    应急响应技术人员找出攻击根源，解决攻击事件并彻底根除，防止其他攻击者再次以相同方法对系统进行攻击。
五、恢复阶段
    应急响应技术人员把遭受攻击的系统、资源、信息等恢复至正常状态。
六、总结阶段

   应急响应小组分析回顾整个应急响应的过程，进行总结并指定相应的安全规范策略，防止或应对再次攻击行为。