網絡安全策略是實現網絡安全的指導性文件，包括總體安全策略和具體安全管理實施細則。在制定時應依據網絡安全特點，遵守以下原則。

• 均衡性原則：網絡效能、易用性和安全強度相互制約，不能顧此失彼，應當根據測評及用戶對網絡的具體安全等級需求兼顧均衡性，充分發揮網絡的效能。世界上不存在絕對的安全，網絡協議與管理等各種漏洞、安全隱患和威脅無法徹底避免，應制定合適的安全策略。

• 最小限度原則：網絡系統提供的服務越多，帶來的安全威脅、隱患和風險也越多，應當關閉網絡安全策略中沒有規定的網絡服務，以最小限度配置滿足安全策略確定的用戶權限，并及時去除無用賬號及主機信任關系，將風險隱患降至最低。

• 動態性原則：由于影響網絡安全的多種因素都會隨時間進行變化，很多網絡安全問題具有明顯的時效性特征。如機構的業務變化、網絡規模、用戶數量及權限、網站更新、安全檢測與管理等因素的變化，都會影響網絡安全策略，應當與時俱進并適應發展變化的需求。

1.cs上線

• 首先開啟監聽cobalt->listeners,host和beacons都為cs服務端的ip地址

• 生成相應的windows木馬，上傳到靶機251中執行。

選擇對應的監聽和木馬格式

最后將生成的木馬傳到靶機中，讓靶機執行。

• 機器上線成功

2.部分cs命令利用

getsystem
logonpasswords  抓取密碼
net view /domain  查詢域列表
net time /domain  判斷主域
net user /domain  查詢域內用戶

獲取到內網域相應的信息

3.存活主機探測和獲取憑證

• 內網橫向探測

  獲取到一個 cs 的 beacon 后可以目標內網情況和端口開放情況，在 beacon 上右鍵 -> 目

  標 -> 選擇 net view 或者 port scan：

可以在菜單欄中，view視窗的targets選項中查看

• 用 cs 的 hashdump 讀內存密碼：hashdump，用 mimikatz 讀注冊表密碼：logonpasswords。獲取相應賬戶憑證

  或者：

  右鍵->Access->Dump Hashes（需要Administrator權限）

  右鍵->Access->Run Mimikatz

可以在憑證欄中查看獲取的憑證

4.SMB Beacon和psexec傳遞（msf中的hash傳遞攻擊）

在探測到其他兩個內網機器開了445端口的前提下，可以使用SMB beacon獲取。相當于在msf里面使用永恒之藍獲取shell。有兩種方法

• 直接派生，新建一個listener，pyload設置為beacon_smb

在已有的 Beacon 上右鍵 Spawn(生成會話 / 派生)，選擇創建的 smb beacon 的 listerner：

選擇后會反彈一個子會話，在 external 的 ip 后面會有一個鏈接的小圖標：

這就是派生的 SMB Beacon，當前沒有連接，可以在主 Beacon 上用 link host 連接它，或者unlink host 斷開

就是說通過之前的beacon為跳板通過SMB去連接新beacon獲取權限shell

可以在視圖界面查看圖形化連接情況

• 前面橫向探測已經獲取到內網內的其他 Targets 以及讀取到的憑證信息，嘗試使用 psexec

  模塊登錄其他主機，右鍵選擇一臺非域控主機 ROOT-TVI862UBEH 的 psexec 模塊：

• 在彈出的窗口中選擇使用 god.org 的 Administrator 的憑證信息，監聽器選擇之前創建的

  smb beacon，會話也選擇對應的 smb beacon 的會話：

• 成功上線，并返回新的beacon

5.另一種方式token 竊取

除了直接使用獲取到的 hash 值，也可以直接竊取 GOD\Administrator 的 token 來登錄其

他主機，選擇 beacon 右鍵 -> 目標 -> 進程列表，選擇 GOD\Administrator 的 token 盜取：

找到相應賬戶的conhost.exe信息，獲取其token

再在之前獲取的憑證中選擇相應賬戶，勾選token選項就好了

補充;

6.cs與MSF會話傳遞

• MSF 創建監聽自己的 ip 跟端口：

• CS 創建監聽 listeners，Listeners 的 ip 為 msf 的 ip，端口為 msf 監聽的端口（注：如果

  msf 是內網下的，則需要把端口映射到公網，或者使用 ngrok 等工具做流量轉發）

• 回到 cs 上，選中拿下的計算機會話，右鍵選中 spawn，然后在彈出來的框中選擇剛剛創

  建的 listeners 監聽器，然后執行。

• msf收到會話

計算機網絡取證技術就是對通過網絡的數據信息資料獲取證據的技術主要包括以下7種技術：

• 基于入侵檢測取證技術

  基于入侵檢測取證技術是指通過計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術，簡稱IDS（Intrusion Detection System）。入侵檢測技術是動態安全技術的最核心技術之一。它的原理就是利用一個網絡適配器來實時監視和分析所有通過網絡進行傳輸的通信，而網絡證據的動態獲取也需要對位于傳輸層的網絡數據通信包進行實時的監控和分析，從中發現和獲得嫌疑人的犯罪信息。因此，計算機網絡證據的獲取完全可以依賴現有IDS 系統的強大網絡信息收集和分析能力，結合取證應用的實際需求加以改進和擴展，就可以輕松實現網絡證據的獲取。

• 來源取證技術

  來源取證技術的主要目的是確定嫌疑人所處位置和具體作案設備。主要通過對網絡數據包進行捕捉和分析，或者對電子郵件頭等信息進行分析，從中獲得犯罪嫌疑人通信時的計算機 IP 地址和MAC 地址等相關信息。調查人員通過IP 地址定位追蹤技術進行追蹤溯源，查找出嫌疑人所處的具體位置。MAC 地址是由網絡設備制造商生產時直接寫在每個硬件內部的全球唯一地址。調查人員通過 MAC 地址和相關調查信息就可以最終確認犯罪分子的作案設備。

• 痕跡取證技術

  痕跡取證技術是指通過專用工具軟件和技術手段，對犯罪嫌疑人所使用過的計算機設備中相關記錄和痕跡信息進行分析取證，從而獲得案件相關的犯罪證據。主要有文件內容、電子郵件、網頁內容、聊天記錄、系統日志、應用日志、服務器日志、網絡日志、防火墻日志、入侵檢測、磁盤驅動器、文件備份、已刪除可恢復的記錄信息等。痕跡取證技術要求取證人員需要具備較高的計算機專業水平和豐富的取證經驗，結合密碼破解、加密數據的解密、隱藏數據的再現、數據恢復、數據搜索等技術，對系統進行分析和采集來獲得證據。

• 海量數據挖掘技術

  計算機的存儲容量越來越大，網絡傳輸的速度也越來越快。對于計算機內部存儲和網絡傳輸中的大量數據，可以用海量數據挖掘技術發現特定的與犯罪有關的數據。數據挖掘技術主要包括關聯規則分析、分類和聯系分析等。運用關聯規則分析方法可以提取犯罪行為之間的關聯特征，挖掘不同犯罪形式的特征、同一事件的不同證據之間的聯系；運用分類方法可以從數據獲取階段獲取的海量數據中找出可能的非法行為，將非法用戶或程序的入侵過程、入侵工具記錄下來；運用聯系分析方法可以分析程序的執行與用戶行為之間的序列關系，分析常見的網絡犯罪行為在作案時間、作案工具以及作案技術等方面的特征聯系，發現各種事件在時間上的先后關系。

• 網絡流量監控技術

  網絡流量監控技術可以通過Sniffer 等協議分析軟件和P2P流量監控軟件實時動態地跟蹤犯罪嫌疑人的通信過程，對嫌疑人正在傳輸的網絡數據進行實時連續的采集和監測，對獲得的流量數據進行統計計算，從而得到網絡主要成分的性能指標，對網絡主要成分進行性能分析，找出性能變化趨勢，得到嫌疑人的相關犯罪痕跡的技術。

• 會話重建技術

  會話重建是網絡取證中的重要環節。分析數據包的特征，并基于會話對數據包進行重組，去除協商、應答、重傳、包頭等網絡信息，以獲取一條基于完整會話的記錄。具體過程是：首先，把捕獲到的數據包分離，逐層分析協議和內容；然后，在傳輸層將其組裝起來，在這一重新組合的過程中可以發現很多有用的證據，例如，數據傳輸錯誤、數據丟失、網絡的聯結方式等。

• 事前取證技術

  現有的取證技術基本上都是建立在案件發生后，根據案情的需要利用各種技術對需要的證據進行獲取，即事后取證。而由于計算機網絡犯罪的特殊性，許多重要的信息，只存在于案件發生的當前狀態下，如環境信息、網絡狀態信息等在事后往往是無據可查，而且電子數據易遭到刪除、覆蓋和破壞。因此，對可能發生的事件進行預防性的取證保全，對日后出現問題的案件的調查和出庭作證都具有無可比擬的作用，它將是計算機取證技術未來發展的重要方向之一。對此類防范和預防性的取證工具軟件，在國內外還比較少見。現有據可查的就是福建伊時代公司于2007 年推出的電子證據生成系統。該系統采用其獨創的“數據原生態保全技術”來標識電子證據，并將其上傳存放于安全性極高的電子證據保管中心，充分保證電子證據的完整性、真實性和安全性，使之具備法律效力。它可以全天候提供電子郵件、電子合同、網絡版權、網頁內容、電子商務、電子政務等電子證據的事前保全服務。

在使用個人防火墻應該注意：

• 如果個人防火墻帶殺毒功能最好將殺毒功能設置為自動更新；

• 建議定期使用防火墻軟件對計算機進行全盤掃描，最好是沒隔一周或者兩周進行一次；

• 不用同時安裝使用多個防火墻軟件；

• 及時自主更新防火墻軟件版本；

• 當防火墻詢問該軟件是否允許運行時需要著重考慮；

• 如果軟件防火墻支持配置安全策略，需要謹慎設置以防止影響計算機正常工作。

企業信息安全的管理方法有以下這些：

• 信息安全可以建立、采取有效的技術和管理手段，保護計算機信息系統和網絡內的計算機硬件、軟件、數據及應用等不因偶然或惡意的原因而遭到破壞、更改和泄漏，保障信息系統能夠連續、正常運行。一個安全有效的計算機信息系統可以同時支持機密性、完整性、可控性、可用性這四個核心安全屬性，除了有效的技術支持，企業對于信息安全的管理與防范方面也是尤為重要的，以下分別從四個核心的安全屬性來詳細說明。

• 信息的機密性要求數據不被外泄或被他人利用其特性。原本系統本身很難保證數據在傳輸過程中不被非授權者訪問，所以我們對于一些重要的文件需要進行加密處理。對于企業而言，外部人員要想訪問內部系統時，一定需要領導授權，授權后的訪問權限也要有所限制，即便被不懷好意的人用非法手段獲取了一些文件數據，沒有密鑰也是無濟于事的。其次對于內部員工也要有權限的限制，還要簽訂負法律責任的保密協議。

• 完整性就需要保持數據原有的特性，存儲器中的數據或經網絡傳輸后的數據，必須與傳輸前的數據在內容與形式上保持一致，保證信息系統上的數據沒有受損，使數據不會因為有意或者無意的事件被改變或者被破壞。負責企業信息安全的網絡部門需要制定一些故障應急方案和預防性措施，服務器可結合金笛短信平臺建立報警系統，如有異常可第一時間發現并及時處理。

• 數據的可用性要求非授權訪問者不能占用所有的資源而阻礙授權者的工作，需要時隨時可以取得數據，訪問資源，是網絡設計和安全的基本目標。企業的員工擁有各自的賬號與密碼，在登陸系統時都需要自己的手機短信驗證碼，確保萬一本人密碼遺失，他人無短信驗證碼同樣無法登陸，從而也確保了賬號的安全性。

• 數據的可控性是指可以控制授權范圍內的信息流向以及行為方式。在企業內部，首先針對員工崗位的不同，設定不同的操作權限，訪問不同的系統模塊，這一點就是通過訪問控制和授權來實現的。其次，每個員工都有固定的工號，在員工離職后就會立即收回此工號的所有權限，防止資料外泄。

應急響應中對DDoS攻擊處置措施有以下這些：

• 如果有抗DDoS攻擊設備、流量監控設備等，那么我們可以分析設備的流量、告警信息，判斷攻擊類型；如果沒有相關設備，那么我們可以通過抓包、排查設備訪問日志信息，判斷攻擊類型，為采取適當的防御措施提供依據。

• 當遇到超大流量，超出出口帶寬及防護設備能力時，則建議申請運營商清洗。

• 進行溯源分析，將排查過程中整理出的IP地址進行梳理、歸類，方便日后溯源。由于在DDoS攻擊中，攻擊者多使用僵尸網絡，因此為溯源帶來很大難度。建議在遭受DDoS 攻擊時及時報案，并保留相關日志、攻擊記錄等。

• 盡量避免將非業務必需的服務端口暴露在公網上，從而避免與業務無關的請求和訪問。

• 對服務器進行安全加固，包括操作系統及服務軟件，以減少可被攻擊的點。

• 在允許投入的范圍內，優化網絡架構，保證系統的彈性和冗余，防止單點故障發生。

• 對服務器性能進行測試，評估正常業務環境下其所能承受的帶寬。在允許投入的范圍內，保證帶寬有一定的余量。

• 對現有架構進行壓力測試，以評估當前業務吞吐處理能力，為DDoS攻擊防御提供詳細的技術參數指導信息。

• 使用全流量監控設備（如天眼）對全網中存在的威脅進行監控分析，關注相關告警，并在第一時間反饋負責人員。

• 根據當前的技術業務架構、人員、歷史攻擊情況等，完善應急響應技術預案。

XSS漏洞的危害有以下這些：

• 植入鍵盤記錄器。

• 攻擊受害者所在的局域網。

• 代理轉發流經被攻擊者的所有Web流量，即實施中間人攻擊。

• 竊取或篡改應用cookie用于會話劫持。

• 更改被攻擊者Web應用的顯示內容。

• 繞過CSRF安全防護措施。

• 創建包含惡意JavaScript代碼的虛假網站以及到該網站頁面的鏈接。

• 發送嵌入惡意Web URL的電子郵件。

• 使用URL短碼隱蔽真實URL。

防御XSSI攻擊的必要條件有以下這些：

• 如果網站返回“X-Content-Type-Options：nosniff”HTTP頭部的話，那么該攻擊就會偃旗息鼓了。所以，最簡單的防御措施，就是讓它返回這個頭部。服務器可以通過nosniff頭部告訴瀏覽器，“當我說將給你<Content-Type>時，就意味著這是真的<Content-Type>！”。

• 腳本標簽只能用于GET請求。因此，如果端點只接受POST請求，則此攻擊就無能為力了。這個要求看似簡單，但務必要小心。您可能已經設計了只接收POST請求的API，但您的內容管理系統也許仍然可以接收GET請求。

• 如果端點始終返回200，那么也就無法從狀態碼中竊取信息了。但是，狀態碼的存在，不要僅僅為了阻止這種攻擊而簡單粗暴地廢棄了HTTP協議的核心部分。請改用nosniff頭部來阻止該攻擊。

• 如果攻擊者能夠在自己的瀏覽器中加載私密信息，那么他就不需要這種攻擊了。該攻擊主要是設法讓用戶訪問攻擊者的域，然后以用戶在其他域的權限來獲取更多信息，這通常要求用戶已經經過了相應的認證。除此之外，如果您的家庭路由器有此漏洞，那么惡意公共站點可以通過它請求腳本，從而導致信息泄漏。

點擊劫持以下特點：

• 隱蔽性較高在用戶毫不知情的情況下完成攻擊；

• 騙取用戶操作；

• “UI-覆蓋”；

• 利用iframe或者其它標簽的屬性；

• 獲取其私密信息或者通過讓用戶點擊看似正常的網頁來遠程控制其電腦；

• 可以獲取用戶資金或其他敏感信息。

• 阿里云

堡壘機是阿里云提供的核心系統運維和安全審計的管控平臺，可集中管理資產權限，全程管控操作行為，實時還原運維場景，保障云端運維行為身份可鑒別、權限可管控、操作可審計，解決眾多資產難管理、運維職責權限不清晰以及運維事件難追溯等問題， 助力企業滿足等保合規需求。

• 騰訊云

騰訊云堡壘機（Bastion Host，BH）可為您的 IT 資產提供代理訪問以及智能操作審計服務，為客戶構建一套完善的事前預防、事中監控、事后審計安全管理體系，助力企業順利通過等保測評。

• 華為云

云堡壘機（Cloud Bastion Host）開箱即用，包含主機管理、權限控制、運維審計、安全合規等功能，支持Chrome等主流瀏覽器隨時隨地遠程運維，開啟高效運維新時代。

• 綠盟科技

綠盟堡壘機云服務（vSAS）,是綠盟科技針對公有云場景，以虛擬化設備形態為核心的安全服務，部署在公有網平臺，通過限制終端對云資源的直接訪問，采用協議代理的方式、可進行賬號統一管理、資源和權限統一分配、操作全程審計。

• 浪潮云

堡壘機（運維審計系統）經過多年研發，用于提供云計算安全管控的系統和組件，實現對運維資源的4A全面安全管控。系統包含用戶管理、資源管理、策略、審計、工單等模塊，支持對Windows主機、Linux主機等諸多主機的安全管控保護。是集統一資產管理與單點登錄，多種終端訪問協議，文件傳輸功能于一體的運維安全管理與審計產品。

• 天融信

天融信堡壘機集帳號、認證、授權、審計于一體，實現事前防御、事中控制、事后審計。對困擾IT管理員的運維管理問題逐一擊破。

• 啟明星辰

天玥運維安全網關，俗稱堡壘機，能夠對運維人員維護過程進行全面跟蹤、控制、記錄、回放；支持細粒度配置運維人員的訪問權限，實時阻斷違規、越權的訪問行為，同時提供維護人員操作的全過程的記錄與報告；系統支持對加密與圖形協議進行審計，消除了傳統行為審計系統中的審計盲點，是IT系統內部控制最有力的支撐平臺。

• 安恒云

安恒云堡壘機已在各大云市場為廣大用戶穩定服務逾5年，銷量領先，已成為用戶廣泛認可的云堡壘機，有效助力云上客戶建設合規的運維安全環境。

• 奇安信

堡壘機通過建立其主賬號與資源從賬號的一一對應關系，實現對人、資源賬號及訪問過程的精細化管理。幫助客戶建立事前規劃、事中控制及事后審計的安全管理體系，降低因內部人為原因造成的數據泄漏及IT事故的風險。

• 行云管家

傳統堡壘機在用戶和IT資產之間建立一套運維審計系統，而行云管家堡壘機的職責遠不止于此，它承擔的是用戶管理IT資產的運維中樞、會診平臺、黑匣子等功能職責。

apt攻擊的目標是：

• APT攻擊通常以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統。APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，就是一種“網絡間諜”的行為。

APT攻擊包括以下幾個途徑：

• 通過智能手機、平板電腦和USB移動設備為媒介，入侵企業信息系統。

• 通過社交工程的惡意郵件。隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。通過一些受到過APT攻擊的大型企業了解到這些企業受到威脅的關鍵原因都與普通員工遭遇社交工程的惡意郵件有關。黑客針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

• 利用防火墻和服務器等系統漏洞來獲取訪問企業網絡的有效憑證。

網絡安全評估準則通常采用美國國防部計算機安全中心制定的可信計算機系統評價準則（TCSEC）。TCSEC 定義了系統安全的 5 個要素：系統的安全策略、系統的審計機制、系統安全的可操作性、系統安全的生命期保證以及針對以上系統安全要素而建立和維護的相關文件。

TCSEC 中根據計算機系統所采用的安全策略、系統所具備的安全功能將系統分為 A、B（B1、B2、B3）、C（C1、C2）和 D 等四類七個安全級別。

• D 級（最低安全保護級）：該類未加任何實際的安全措施，系統軟硬件都容易被攻擊。這是安全級別最低的一類，不再分級。該類說明整個系統都是不可信任的。對于硬件來說，沒有任何保護可用；對于操作系統來說較容易受到損害；對于用戶，其存儲在計算機上的信息的訪問權限沒有身份驗證。常見的無密碼保護的個人計算機系統、MS-DOS 系統、Windows 系統屬于這一類。

• C1 級（無條件的安全保護級）：這是 C 類中安全性較低的一級，它提供的安全策略是無條件的訪問控制，對硬件采取簡單的安全措施（如加鎖），用戶要有登錄認證和訪問權限限制，但不能控制已登錄用戶的訪問級別，因此該級也叫選擇性安全保護級。早期的 SCOUNIX、NetWare V3.0 以下系統均屬于該級。

• C2 級（有控制的訪問保護級）：這是 C 類中安全性較高的一級，除了提供 C1 級中的安全策略與控制外，還增加了系統審計、訪問保護和跟蹤記錄等特性。UNIX/Xenix 系統、NetWare V3.x 及以上系統和 Windows NT/2000 系統等均屬于該級。

• B1 級（標記安全保護級）：它是 B 類中安全性最低的一級。除滿足 C 類要求外，要求提供數據標記。B1 級的系統安全措施支持多級（網絡、應用程序和工作站等）安全。“lable”（標記）是指網上的一個對象，該對象在安全保護計劃中是可識別且受保護的。該級是支持秘密、絕密信息保護的最低級別。

• B2 級（結構安全保護級）：該級是 B 類中安全性居中的一級，它除滿足 B1 要求外，還要求計算機系統中所有設備都加標記，并給各設備分配安全級別。

• B3 級（安全域保護級）：該級是 B 類中安全性最高的一級。它使用安裝硬件的辦法來加強安全域。如安裝內存管理硬件來保護安全域免遭無授權訪問或其他安全域對象的修改。

• A 級（驗證安全保護級）:A 類是安全級別最高的一級，它包含了較低級別的所有特性。該級包括一個嚴格的設計、控制和驗證過程。設計必須是從數學角度經過驗證的，且必須對秘密通道和可信任的分布進行分析。

網絡安全評估方法：

• 定性評估方法

定性評估方法的優點是避免了定量方法的缺點，可以挖掘出一些蘊藏很深的思想，使評估的結論更全面、更深刻；但它的主觀性很強，對評估者本身的要求很高。

定性的評估方法主要根據研究者的經驗、知識、政策走向、歷史教訓及特殊變例等非量化資料對系統風險狀況做出判斷的過程。它主要以與調查對象的深入訪談做出個案記錄為基本資料，之后通過一個理論推導演繹的分析框架，對資料進行編碼整理，在此基礎上做出調查結論。

定性分析方法主要有邏輯分析法、德爾斐法、因素分析法、歷史比較法。

• 定量評估方法

定量的評估方法是指運用數量指標來對風險進行評估。

定量的評估方法的優點是用直觀的數據來表述評估的結果，看起來比較客觀，而且一目了然，定量分析方法的采用，可以使研究結果更嚴密，更科學，更深刻。有時，一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的；但常常為了量化，使本來比較復雜的事物簡單化、模糊化了，有的風險因素被量化以后還可能被誤解和曲解。

定量分析方法主要有等風險圖法、決策樹法、因子分析法、時序模墅、回歸模型、聚類分析法等。

• 定性與定量相結合的綜合評估方法

在信息系統信息安全風險評估過程中，層次分析法經常被用到，它是一種綜合的評佑方法，這是一種定性與定量相結合的多目標決策分析方法，其核心是將決策者的經驗判斷給予量化，從而為決策者提供定量形式的決策依據。該方法對系統進行分層次、擬定量、規范化處理，在評估過程中經歷系統分解、安全性判斷和綜合判斷三個階段。

PDCERF方法論是一種防范使用的方法，其將應急響應分成六個階段，分別是準備階段、檢測階段、抑制階段、根除階段、恢復階段、總結階段。

• 準備階段：準備階段以預防為主。主要工作涉及識別機構、企業的風險，建立安全政策，建立協作體系和應急制度。按照安全政策配置安全設備和軟件，為應急響應與恢復準備主機。依照網絡安全措施，進行一些準備工作，例如，掃描、風險分析、打補丁等。如有條件且得到許可，可建立監控設施，建立數據匯總分析體系，制定能夠實現應急響應目標的策略和規程，建立信息溝通渠道，建立能夠集合起來處理突發事件的體系。

• 檢測階段：檢測階段主要檢測事件是已經發生的還是正在進行中的，以及事件產生的原因。確定事件性質和影響的嚴重程度，以及預計采用什么樣的專用資源來修復。選擇檢測工具，分析異常現象，提高系統或網絡行為的監控級別，估計安全事件的范圍。通過匯總，查看是否發生了全網的大規模事件，從而確定應急等級及其對應的應急方案。

• 抑制階段：抑制階段的主要任務是限制攻擊/破壞波及的范圍，同時也是在降低潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎上的，抑制活動必須結合檢測階段發現的安全事件的現象、性質、范圍等屬性，制定并實施正確的抑制策略。

• 根除階段：根除階段的主要任務是通過事件分析找出根源并徹底根除，以避免攻擊者再次使用相同的手段攻擊系統，引發安全事件。并加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端問題。加強監測工作，發現和清理行業與重點部門問題。

• 恢復階段：恢復階段的主要任務是把被破壞的信息徹底還原到正常運作狀態。確定使系統恢復正常的需求內容和時間表，從可信的備份介質中恢復用戶數據，打開系統和應用服務，恢復系統網絡連接，驗證恢復系統，觀察其他的掃描，探測可能表示入侵者再次侵襲的信號。一般來說，要想成功地恢復被破壞的系統，需要干凈的備份系統，編制并維護系統恢復的操作手冊，而且在系統重裝后需要對系統進行全面的安全加固。

• 總結階段：總結階段的主要任務是回顧并整合應急響應過程的相關信息，進行事后分析總結和修訂安全計劃、政策、程序，并進行訓練，以防止入侵的再次發生。基于入侵的嚴重性和影響，確定是否進行新的風險分析，給系統和網絡資產制作一個新的目錄清單。這一階段的工作對于準備階段工作的開展起到重要的支持作用。

業務層上，數據庫泄露防護措施：

加密存檔數據，嚴密監視存檔數據訪問和使用情況。

采取必要網絡安全設備或安全服務。

技術層上，數據庫泄露防護措施：：

更換端口：不使用默認端口雖然無法杜絕黑客的入侵，但可以相對增加入侵難度；

公網屏蔽：只監聽內網端口屏蔽公網端口的請求，通過該策略繼續增加黑客的入侵難度；

使用普通用戶啟動：建議大家維護的所有 db 都使用禁止登錄的非 root 用戶啟動；

開啟驗證：這雖然是復雜、痛苦的一步，但卻是明智的選擇；

權限控制：建議大家針對自己維護的數據庫設置一套適合對應業務的權限控制、分配方案；

備份策略：一套可靠的本地備份邏輯 + 遠程備份存儲方案可以解決被黑、誤刪、機房漏水、服務器報銷，甚至機房被核彈炸毀的場景；

恢復策略：建立一套能夠覆蓋多數災難場景的恢復策略來避免手忙腳亂是非常必要的；

敏感數據加密存儲：我們建議大家一定對任何敏感信息加密后再入庫，例如：密碼、郵箱、地址等等。

系統日志和應用日志相對于審計記錄具有以下不足：

• 系統日志和應用日志容易遭受惡意破壞和篡改。系統日志和應用日志由應用程序生成，通常以純文本栺式存放在系統沒有安全保護的目錄中，數據源的正確性和可靠性沒有保障。

• 系統日志和應用日志不受系統管理員控制。系統日志和應用日志的生成都是操作系統內核之外應用程序的固有行為，其內容和生成條件在應用程序設計時就已經確定，系統管理員不能制定靈活的日志策略，只能對日志存儲進行簡單管理。所有審計系統都為系統管理員提供了審計管理接口，容許系統管理員根據需要確定審計策略。

• 應用日志可信級別低于審計記錄和系統日志。審計記錄和系統日志都是從系統層次上收集的審計數據，而應用日志則在應用程序和用戶級別上采集數據。一般而言，從系統內部收集的入侵檢測數據具有更高的可信度。

• 應用日志可能存在垃圾數據。Windows和Linux操作系統都容許用戶不加限制地為自己的應用程序生成應用日志，有可能產生大量的垃圾數據。特別是在日志文件存儲空間有限的條件下，垃圾日志數據有可能覆蓋以前記錄的有用日志信息。

滿足以下條件的企業和單位可以做等級保護：

1. 在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業單位;

2. 產權關系明晰，獨立經營核算，無違法違規記錄；

3. 從事網絡安全服務兩年以上，具備一定的網絡安全檢測評估能力；

4. 法人、主要負責人、測評人員僅限中華人民共和國境內的中國公民，且無犯罪記錄；

5. 具有網絡安全相關工作經歷的技術和管理人員不少于 15 人，專職滲透測試人員不少于 2 人，崗位職責清晰，且人員相對穩定；

6. 具有固定的辦公場所，配備滿足測評業務需要的檢測評估工具、實驗環境等；

7. 具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度；

8. 不涉及網絡安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務（自用除外）；

9. 應具備的其他條件。