操作系统漏洞。主流操作系统如UNIＸ、Winｄowｓ、Ｌinuｘ等,由于**种原因导致其存在漏洞，必须由系统管理员经过安全配置、密切跟踪安全报告以及及时对操作系统进行更新和补丁更新操作才能保证其安全性。

②配置失误。由于操作者执行安全操作不到位或对安全技术理解不透引起的配置失误。如:系统账户存在易被猜测的用户名和密码。管理员技术不足以适应岗位或由于疏忽、惰性的原因，未对默认的高权限系统账户进行处理.

设备未得到良好配置。如路由器、交换机或服务器使用带有漏洞的默认配置方式，或路由器的路由表未经过良好的维护,服务器的访问控制列表存在漏洞等。③政策漏洞.政策制定中未经过良好的协调和协商，存在不可能执行的政策,或政策本身违反法律条文或已有规章制度.

④人员因素。是造**全威胁的最主要因素.通常，人员因素导致的安全威胁分为恶意攻击者导致的安全威胁和无恶意的人员导致的安全威胁。

典型的恶意攻击者造成的安全威胁是：

A、道德品质低下。攻击者实施以诈骗、盗窃或报复为目的攻击，尤其以报复为目的攻击对组织来说最为危险。

Ｂ、伪装或欺骗.其核心在于通过伪装和欺骗来获取攻击者所需要的信息。

Ｃ、拒绝服务攻击。攻击者的目的是为了干扰正常的组织运作,借此达到攻击的目的。

典型的无恶意的人员者造成的安全威胁是：

A、突发事故。突发事故可能导致设备损坏或线路故障等。

B、缺少安全意识.组织成员缺乏必要的安全意识，不曾接受过必要的安全培训。

C、工作负担不合理。参与安全工作的工作人员与工作量不能较好匹配，协同工作能力低下或者工作流程分配不合理，可能造成设备的配置错误，也可能出现工作人员相互推卸责任。

2、论述系统响应策略的主要内容和实现方式。

是提前设计好的,并需要对所有可能情况进行推测和预测制定的行动方案。一般覆盖事件发生的几个阶段。包括：准备阶段、识别事件、检测和调查、限制、修复和消除、后续步骤。

（1)准备阶段

员工提前接受对应对的培训，以理解在发生后的报告链或命令链，并能够按照预定方案进行行动.另外,购置应对处置时所使用的必要设备（如检测、限制和恢复工具等)。具体准备工作有:

成立响应工作专家小组,可以是临时的,也可以是常设的。一般由领导、网络系统安全分析人员、（临时或永久的）法律专家组成.进行紧急决策、事件技术分析、指导取证及保留和诉讼、及时准确的信息发布公开等工作的展开.

（２)识别事件

是进行安全事件响应流程的起点和第一步骤。如出现对网络的嗅探或端口扫描，可能是发动一次大规模攻击的前兆，如果在此阶段就能准确识别事件，就可以采取一定的措施避免攻击的进一步扩大。但是，安全人员在没有确定一个安全事件发生之前，就贸然地进入处理安全事件的紧急状态，也是一个非常糟糕的决定。因为一次普通的ping操作或一个简单的连接都有可能造成误报.而ＩDS虽可以检测一些事件的发生，但可能这些事件不一定是安全事件或潜在的攻

击威胁.只能进行初步的筛选,还须进一步手工检查和识别。所以，参与识别的人员应该包括系统管理员和员,如果识别确实是一个攻击或安全事件，及时提高警戒级别,报告相关高层人员,按照预定处置方案进行处理，包括招集事件响应小组，分配相关**等行动。

(3)调查与检测

是进行安全事件响应流程的起点和第一步骤。其主要任务是对事件中涉及的日志、文件、记录及其相关资料和数据进行研究和分析，从而最终确定事件发生的原因和事件的影响范围。调查的结果最终能够判**全事件到底是一次攻击还是一次更大规模攻击的前夕;是一次随机事件还是一次误报;安全事件发生的原因和诱因何在？对引发事件的原因进行分类，并判定该次安全事件对整个网络造成的影响进行评估，为下一步的修复提供参考。故准确地发现安全事件的原因，对修复和预防具有重要的作用。

如:在诸多引发安全事件的原因中，病毒和恶意代码通常是最为普遍的，一般用户做不到像安全人员那样敏感，无意中引发病毒或安装木马程序。一般可以采取借助软件包分析工具或反病毒软件来识别病毒，查杀之.

(４）限制、修复和消除

①限制事件的影响和:限制安全事件的进一步和造成的负面影响。常采取以下的限制活动：

Ａ、通知并警告攻击者。对于内部攻击或已知于外部的攻击，可直接对攻击者发出警告,并同时切断他与网络的连接。如需进一步对其进行起诉，应征询法律顾问的意见后，并在收集证据中使用经过取证培训的人员

Ｂ、切断攻击者与网络系统的通信：是最为普通的做法，也是最快捷的响应方式。例如：通过添加或修改防火墙的过滤规则,对路由或ＩDS增加规则,停用特定的软件或硬件组件。若攻击者是通过特定的账户获得非授权访问时，则通过禁用或删除这个账户的方法进行限制.

C、对事件进行分析：通过分析事件，找出当前系统中存在的不足之处，并通过必要的手段暂堵住这一漏洞。例如:入侵者是通过软件系统的漏洞进入系统的,则通过给软件系统加装补丁的方式将其限制。

另外，当安全管理员恢复系统和进行漏洞补丁时，往往需要暂切断与网络(或INTERNET互联)的连接,这时用户不能获得网络服务,将导致正常工作或经济

和信誉上的,此时，需要在保障安全与经济利益之间做出选择。

②修复系统:指恢复机构和组织在攻击之前的正常处理方案.它包括重新设置权限并填补漏洞；逐步恢复服务。严重时，启动灾难恢复计划(DRP),调取异地备份资料等。DＲＰ是安全流程中的一个重要组成部分.

③消除事件的影响：消除攻击事件或攻击者给网络系统造成的影响。主要包括：

Ａ、统一的补丁或升级:对补丁进行测试，确定无误后，才能对系统进行大规模、大批量的打补丁操作，对软件或硬件进行统一的升级或补丁。

Ｂ、清查用户账户和文件**：若攻击者采用的是超越权限或漏洞用户等方式,则清理相关账户，对攻击发生后的建立的用户账户进行详细的检查。若攻击事件是病毒或恶意代码引起的,一般应检查关键文件的健康状况,防止有计算机病毒或木马程序潜伏.禁用一些不必要的账户。

C、检查物理设备：如果攻击者采用物理方式或社会工程学方式进行攻击，须彻底检查物理设备。如果发现有遭受损坏、破坏的，应及时修复或处理，并作出相应的措施防止再次发生.

④后续阶段。由多项任务组成。包括：

A、记录和报告。在在整个事件响应过程中，都应进行详细记录。包括辨识事件、调查事件、响应步骤、修复系统、改进意见等一系列步骤.它对今后应对类似攻击时，将是非常宝贵的资料。如果需要借助法律程序,则还须提供额外的、符合法律规范的报告文档。另外，这些收集的资料，除了提交给高层管理者外，同时可提供给其他组织成员进行警示和提醒,必要时可充时到相关的安全培训教材中。这是某种意义上知识共享的重要组成部分.

B、过程调整(即流程调整）。它包括:

当前的相关政策是否对本次发生的安全事件的解决的帮助?政策起到何种支持作用;

在本次事件的处理中,学习到哪些新的经验与教训；