【正文】 ? Shell變量指出了要在系統(tǒng)啟動(dòng)時(shí)執(zhí)行的程序列表。當(dāng)量足夠大的時(shí)候，會(huì)對(duì)服務(wù)器產(chǎn)生明顯的影響。其它的防范方法還有： 46 目錄 ?安全基本概念 ?安全事件分類分級(jí) ?安全事件監(jiān)控和處理流程 ?安全監(jiān)控工作思路 ?信息安全基礎(chǔ)知識(shí) ?安全事件案例 47 網(wǎng)站事件的篡改 2022年 9月 11日，中國(guó)移動(dòng)門(mén)戶網(wǎng)站被黑客入侵，門(mén)戶網(wǎng)站首頁(yè)被替換。 ? 4月 13日昆明本地網(wǎng)故障－ 17個(gè)基站退服 4月 19日 04:08 省干二平面思茅到元江通信中斷，原因：通關(guān)基站省干二平面?zhèn)鬏敼?jié)點(diǎn)所接的電源未安裝動(dòng)力環(huán)境監(jiān)控設(shè)備，市電電壓過(guò)高后，該設(shè)備交流保護(hù)，電池開(kāi)始放電，直至容量耗盡，承載的所有負(fù)荷宕機(jī)，通關(guān)傳輸網(wǎng)元脫網(wǎng)。退服最長(zhǎng)歷時(shí) 3小時(shí) 48分，最短歷時(shí) 23分 19秒。該站動(dòng)力環(huán)境集中監(jiān)控系統(tǒng)自 1月 24日故障后一直未修復(fù)。 從 4月至 6月 11日，因動(dòng)力環(huán)境設(shè)備原因共造成故障 7次， 143個(gè)基站退服！ 52 在我們更多的去關(guān)心質(zhì)量和服務(wù)的時(shí)候，安全如何保障？ 1 為安全保障分配必要的資源，確保質(zhì)量和服務(wù)工作能夠在安全的基礎(chǔ)下開(kāi)展 2 全員參與，現(xiàn)在就行動(dòng)起來(lái)，從能做的事情做起，責(zé)任分包，并盡可能讓安全工作能夠常態(tài)化的開(kāi)展下去 3 信息安全面臨越來(lái)越大的挑戰(zhàn)，應(yīng)盡快考慮建設(shè)信息安全保障體系 53 。 20220531 07:50再次出現(xiàn)市電停電告警， 8： 26停電導(dǎo)致 27個(gè)基站中斷，其中 2個(gè) VIP基站。該站動(dòng)力環(huán)境集中監(jiān)控系統(tǒng)自 6月 8日故障后一直未修復(fù)。 4月 12日07:44:59飲食公司設(shè)備 7號(hào)、 13號(hào) LP16 ，導(dǎo)致 17個(gè)基站業(yè)務(wù)中斷。 48 網(wǎng)站事件的監(jiān)測(cè) ? 總部人員自行定制開(kāi)發(fā)了網(wǎng)站監(jiān)控程序，并通過(guò)投放大屏幕、告警發(fā)聲等方式實(shí)現(xiàn)了實(shí)時(shí)監(jiān)控。 通常用戶名和密碼都存儲(chǔ)在數(shù)據(jù)庫(kù)的一個(gè)表中，登錄系統(tǒng)時(shí)要求輸入用戶名和密碼，系統(tǒng)會(huì)將用戶輸入的信息組成一條 SQL語(yǔ)句去數(shù)據(jù)庫(kù)里查詢，如果返回結(jié)果為真，那么就能正常登錄。 ? 在 DOS下每次自啟動(dòng) 41 病毒自啟動(dòng)方式 ? 啟動(dòng)文件夾啟動(dòng)： ? 當(dāng)前用戶的啟動(dòng)文件夾 ? 可以通過(guò)如下注冊(cè)表鍵獲得 : ? HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders中的 StartUp 項(xiàng) ? 公共的啟動(dòng)文件夾 ? 可以通過(guò)如下注冊(cè)表鍵獲得 : ? HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders中的 Common StartUp 項(xiàng) ? 病毒可以在該文件夾中放入欲執(zhí)行的程序， ? 或直接修改其值指向放置有要執(zhí)行程序的路徑。 – P2P共享 將自身復(fù)制到 P2P共享文件夾，利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶下載 – 系統(tǒng)漏洞 由于操作系統(tǒng)固有的一些設(shè)計(jì)缺陷 ,導(dǎo)致被惡意用戶通過(guò)畸形的方式利用后 ,可執(zhí)行任意代碼 36 防止病毒入侵 ? 及時(shí)更新 windows補(bǔ)丁，修補(bǔ)漏洞 ? 強(qiáng)化密碼設(shè)置的安全策略，增加密碼強(qiáng)度 ? 加強(qiáng)網(wǎng)絡(luò)共享的管理 ? 增強(qiáng)員工病毒防范意識(shí) 37 病毒自啟動(dòng)方式 ? 注冊(cè)表啟動(dòng) ? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下： ? RunServices ? RunServicesOnce ? Run ? RunOnce ? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下： ? Run ? RunOnce ? RunServices ? 以上這些鍵一般用于在系統(tǒng)啟動(dòng)時(shí)執(zhí)行特定程序。 在這些網(wǎng)段中，根據(jù)絡(luò) 流量和監(jiān)控?cái)?shù)據(jù)的需來(lái) 決定部署不同型號(hào)的傳 感器。 數(shù)據(jù)過(guò)濾： 根據(jù)預(yù)定義的設(shè)置，進(jìn)行必要的數(shù)據(jù)過(guò)濾，從而提高檢測(cè)、分析的效率。入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。 ? 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。 安全監(jiān)控工作思路（ 3） 25 目錄 ?安全基本概念 ?安全事件分類分級(jí) ?安全事件監(jiān)控和處理流程 ?安全監(jiān)控工作思路 ?信息安全基礎(chǔ)知識(shí) ?安全事件案例 26 防火墻 ? 防火墻是在不同安全區(qū)域之間進(jìn)行訪問(wèn)控制的一種措施。 ? 奧運(yùn)期間加強(qiáng)安全監(jiān)控，重點(diǎn)監(jiān)控奧運(yùn)產(chǎn)品和奧運(yùn)專項(xiàng)網(wǎng)絡(luò)保障所涉及的網(wǎng)絡(luò)和系統(tǒng)發(fā)生的重要事件，及時(shí)處理安全問(wèn)題。 ? 2022年為奧運(yùn)之年，網(wǎng)絡(luò)工作會(huì)上，公司領(lǐng)導(dǎo)對(duì)奧運(yùn)期間安全監(jiān)控工作的要求為： “網(wǎng)絡(luò)安全的攻防人員要建立起來(lái)， 特別是奧運(yùn)期間有 24小時(shí)值班，要保證我們的網(wǎng)絡(luò)處在可以管理、可以監(jiān)控的情況下。 – 將告警信息與資產(chǎn)信息進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)對(duì)重要系統(tǒng)，重要告警的重點(diǎn)監(jiān)控。 – 整理資產(chǎn)基礎(chǔ)信息，列出資產(chǎn)的重要程度，包括 IP地址等信息。2 、 相 關(guān) 處 室 指 維 護(hù) 優(yōu) 化 處 /網(wǎng) 絡(luò) 安 全 處 / 網(wǎng) 管 支 撐 處 等 。跟進(jìn)階段也是 6個(gè)階段中最可能被忽略的階段。在根除階段中將需要利用到在準(zhǔn)備階段中產(chǎn)生的結(jié)果，如病毒的根除。在操作的角度來(lái)講，事件響應(yīng)過(guò)程中所有的后續(xù)階段都依賴于檢測(cè)，如果沒(méi)有檢測(cè)，就不會(huì)存在真正意義上的事件響應(yīng)。 ? 一般包括 6個(gè)階段（ PDCERF）：準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)和跟進(jìn)。 ? 實(shí)際安全告警級(jí)別設(shè)定，需要在此基礎(chǔ)上，結(jié)合實(shí)際的網(wǎng)絡(luò)情況和告警信息相關(guān)要素綜合考慮，對(duì)安全事件重要等級(jí)進(jìn)行相應(yīng)調(diào)整。 ? 信息破壞類 ： 是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的安全告警 ，包括網(wǎng)頁(yè)篡改，釣魚(yú)網(wǎng)站等子類。