在列出的本地服务器上点击右键，选择“配置并启用路由和远程访问”。下一步

在此，由于服务器是公网上的一台一般的服务器，不是具有路由功能的服务器，是单网卡的，所以这里选择“自定义配置”。下一步。

这里选“VPN访问”，我只需要VPN的功能。下一步，配置向导完成。

点击“是”，开始服务。
看启动了VPN服务后，“路由和远程访问”的界面
下面开始配置VPN服务器
在服务器上点击右键，选择“属性”，在弹出的窗口中选择“IP”标签，在“IP地址指派”中选择“静态地址池”。

然后点击“添加”按钮设置IP地址范围，这个IP范围就是VPN局域网内部的虚拟IP地址范围，每个拨入到VPN的服务器都会分配到一个范围内的IP，在虚拟局域网中用这个IP相互访问。
这里设置为10.240.60.1－10.240.60.10，一共10个IP，默认的VPN服务器占用第一个IP，所以，10.240.60.1实际上就是这个VPN服务器在虚拟局域网的IP。

至此，VPN服务部分配置完毕。
三、添加VPN用户
每个客户端拨入VPN服务器都需要有一个帐号，默认是windows身份验证，所以要给每个需要拨入到VPN的客户端设置一个用户，并为这个用户制定一个固定的内部虚拟IP以便客户端之间相互访问。
在管理工具中的计算机管理里添加用户，这里以添加一个chnking用户为例
先新建一个叫“chnking”的用户，创建好后，查看这个用户的属性，在“拨入”标签中做相应的设置，如图：
远程访问权限设置为“允许访问”，以允许这个用户通过VPN拨入服务器。
点选“分配静态IP地址”，并设置一个VPN服务器中静态IP池范围内的一个IP地址，这里设为10.240.60.2
如果有多个客户端机器要接入VPN，请给每个客户端都新建一个用户，并设定一个虚拟IP地址，各个客户端都使用分配给自己的用户拨入VPN，这样各个客户端每次拨入VPN后都会得到相同的IP。如果用户没设置为“分配静态IP地址”，客户端每次拨入到VPN，VPN服务器会随机给这个客户端分配一个范围内的IP。
四 配置windows 2003 客户端
客户端可以是windows 2003，也可以是Windows XP，设置几乎一样，这里以2003客户端设置为例。
选择程序――附件――通讯――新建连接向导，启动连接向导

这里选择第二项“连接到我的工作场所的网络”，这个选项是用来连接VPN的。下一步。

选择“虚拟专用网络连接”，下一步。
在“连接名”窗口，填入连接名称szbti，下一步。

这里要填入VPN服务器的公网IP地址。
下一步，完成新建连接。
完成后，在控制面板的网络连接中的虚拟专用网络下面可以看到刚才新建的szbti连接

在szbti连接上点击右键，选“属性”，在弹出的窗口中点击“网络”标签，然后选中“internet协议(tcp/ip)”，点击属性按钮，在弹出的窗口中再点击“高级”按钮，如图，把“在远程网络上使用默认网关”前面的勾去掉。
如果不去掉这个勾，客户端拨入到VPN后，将使用远程的网络作为默认网关，导致的后果就是客户端只能连通虚拟局域网，上不了因特网了。
下面就可以开始拨号进入VPN了，双击szbti连接，输入分配给这个客户端的用户名和密码，拨通后在任务栏的右下角会出现一个网络连接的图标，表示已经拨入到VPN服务器。
一旦进入虚拟局域网，客户端设置共享文件夹，别的客户端就可以通过其他客户端ip地址访问它的共享文件夹。
五 配置VSS
VSS是在一台机器上配置VSS数据库，把数据库的文件夹设置共享，局域网内别的机器可以访问到这个共享文件夹，就可以从源代码数据库中打开项目。
配置好VPN后，客户端之间就是相当于在局域网内，VSS的设置就跟局域网内一样的设置。
 

在维护DNS服务器时，用户往往希望知道到底是哪些用户在使用DNS服务器，同时也希望能对DNS状态查询做一个统计，以及时地知道DNS的工作情况和状态。在传统的方式下，用户通常使用的是tcpdump等开源工具来进行抓包并通过查看53端口的流量来查看DNS数据包。由于tcpdump并没有针对DNS流量进行特殊定制，因此使用起来可能不是非常方便。因此，用户可以使用专用于DNS的dnstop工具查询DNS服务器状态。

dnstop是一种非常优秀的开源软件，用户可以到网站http://dns.measurement-factory.com/tools/dnstop/src/上进行下载使用，目前该软件的最新版本为：dnstop-20090128.tar.gz。

由于该软件依赖tcpdump和pcap抓包库（libpcap）对网络上传输的数据包进行截获和过滤，所以用户需要确保系统安装相应软件后才能正常安装和使用dnstop。通常情况下，这两种必须的库都已经在系统中预装好了，使用下面的命令安装dnstop即可：

（1）解压缩源代码安装包

#tar vxfz ddnstop-20090128.tar.gz

（2）切换到解压目录，并使用configure命令生成Makefile文件

#cd dnstop-20040309 #./configure

（3）使用make命令进行安装

#make

安装成功后，可以查看通过相应的网络接口来监控DNS网络流量，如下所示：

#./dnstop -s eth0 0 new queries, 6 total queries Tue Mar 26 19:35:23 2008 Sources count % ---------------- --------- ------ 172.96.0.13 4 66.7 172.96.0.14 1 16.7 172.96.0.15 1 16.7

通常软件的漏洞和风险信息是和特定版本相关的，因此版本号是黑客进行攻击所需要搜集的最有价值的信息之一。黑客使用dig命令可以查询BIND的版本号，然后黑客就能够通过版本号查询知道这个软件有那些漏洞，并寻求相应的工具来针对该漏洞进行攻击。因此，随意公开BIND版本号是不明智的，具有很大的风险。其实，隐藏BIND版本号比较简单，只需要修改配置文件/etc/named.conf，在option部分添加version声明将BIND的版本号信息进行覆盖即可。使用下面的配置声明将BIND版本号覆盖，当有人请求版本信息时，将无法得到有用的版本信息：

options { version “Unkown” };

（6）使用非root权限运行BIND

在Linux内核2.3.99以后的版本中，可以以-u选项以非root权限运行BIND。该命令表示以nobody用户身份运行BIND，使用nobody身份运行能够降低缓冲区溢出攻击所带来的危险。命令如下：

#/usr/local/sbin/named –u nobody

（7）删除DNS上不必要的其他服务

删除DNS机器上不必要的其他服务。网络服务是造成系统安全的重要原因，常见的DoS攻击、弱脚本攻击以及缓冲区溢出攻击都是由于系统存在网络服务所引起的。在安装DNS运行所依赖的操作系统前，就应该确定在系统中运行的服务的最小集合，创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。建议不安装以下软件包：（1）X-Windows及相关的软件包；（2）多媒体应用软件包；（3）任何不需要的编译程序和脚本解释语言；（4）任何不用的文本编辑器；（5）不需要的客户程序；（6）不需要的其他网络服务。

（8）合理配置DNS的查询方式

DNS的查询方式有两种，递归查询和迭代查询。合理配置这两种查询方式，能够在实践中取得较好的效果。

其中，递归查询是最常见的查询方式，工作方式是：域名服务器将代替提出请求的客户机（下级DNS服务器）进行域名查询，若域名服务器不能直接回答，则域名服务器会在域各树中的各分支的上下进行递归查询，最终将返回查询结果给客户机，在域名服务器查询期间，客户机将完全处于等待状态。具体流程示意请见图1： 

图1  DNS递归查询模式示意

迭代查询又称重指引查询。其工作方式为：当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息，若此时服务器不能够直接查询到主机地址，则是按照提示的指引依次查询，直到服务器给出的提示中包含所需要查询的主机地址为止，一般的，每次指引都会更靠近根服务器（向上），查寻到根域名服务器后，则会再次根据提示向下查找。具体流程示意如图2所示：  

图2  DNS迭代查询模式示意

综合上面两点，我们可以看出来，递归查询就是客户机会等待最后结果的查询，而迭代查询是客户机等到的不一定是最终的结果，而可能是一个查询提示。因而存在如下两个问题： 

◆二级DNS向一级DNS发起递归查询，会对一级DNS造成性能压力，所有跨域查询都要经过一级DNS响应给对应二级DNS； 

◆二级DNS向一级DNS发起递归查询，再由一级向归属DNS发起递归的模式查询响应会有一定延时；

因此，有很多流量很大的DNS服务器是禁止客户机使用递归查询，用这种方式来减轻服务器的流量。
 

关闭递归查询可以使名字服务器进入被动模式，它再向外部的DNS发送查询请求时，只会回答自己授权域的查询请求，而不会缓存任何外部的数据，所以不可能遭受缓存中毒攻击，但是这样做也有负面的效果，降低了DNS的域名解析速度和效率。

以下语句仅允许172.168.10网段的主机进行递归查询：

allow-recusion {172.168.10.3/24; }

（2）限制区传送（zone transfer）

如果没有限制区传送，那么DNS服务器允许对任何人都进行区域传输，因此网络架构中的主机名、主机IP列表、路由器名和路由IP列表，甚至包括各主机所在的位置和硬件配置等情况都很容易被入侵者得到在DNS配置文件中通过设置来限制允许区传送的主机，从一定程度上能减轻信息泄漏。但是，需要提醒用户注意的是：即使封锁整个区传送也不能从根本上解决问题，因为攻击者可以利用DNS工具自动查询域名空间中的每一个IP地址，从而得知哪些IP地址还没有分配出去，利用这些闲置的IP地址，攻击者可以通过IP欺骗伪装成系统信任网络中的一台主机来请求区传送。

以下语句仅允许IP地址为172.168.10.1和172.168.10.2的主机能够同DNS服务器进行区域传输：

acl list {  221.3.131.5;   221.3.131.6;   zone "test.com" {   type master;   file "test.com ";     allow-transfer { list; };   };   };

（3）限制查询（query）

如果任何人都可以对DNS服务器发出请求，那么这是不能接受的。限制DNS服务器的服务范围很重要，可以把许多入侵者据之门外。修改BIND的配置文件：/etc/named.conf加入以下内容即可限制只有210.10.0.0/8和211.10.0.0/8网段的查询本地服务器的所有区信息，可以在options语句里使用如下的allow-query子句：  

options {   allow-query { 210.10.0.0/8; 211.10.0.0/8;};   };

（4）分离DNS（split DNS）

采用split DNS（分离DNS）技术把DNS系统划分为内部和外部两部分，外部DNS系统位于公共服务区，负责正常对外解析工作；内部DNS系统则专门负责解析内部网络的主机，当内部要查询Internet上的域名时，就把查询任务转发到外部DNS服务器上，然后由外部DNS服务器完成查询任务。把DNS系统分成内外两个部分的好处在于Internet上其它用户只能看到外部DNS系统中的服务器，而看不见内部的服务器，而且只有内外DNS服务器之间才交换DNS查询信息，从而保证了系统的安全性。并且，采用这种技术可以有效地防止信息泄漏。

在BIND 9中可以使用view语句进行配置分离DNS。view语句的语法为：

view view_name {       match-clients { address_match_list };                 [ view_option; ...]       zone_statement; ...   };

其中： 

◆match-clients：该子句非常重要，它用于指定谁能看到本view。可以在view语句中使用一些选项； 

◆zone_statement：该子句指定在当前view中可见的区声明。如果在配置文件中使用了view语句，则所有的zone语句都必须在view中出现。对同一个zone而言，配置内网的view应该置于外网的view之前。

下面是一个使用view语句的例子，它来自于BIND9的标准说明文档：

view  "internal" {   match-clients { our-nets; };              // 匹配内网客户的访问 recursion yes;                              // 对内网客户允许执行递归查询   zone "example.com" {                      // 定义内网客户可见的区声明        type master;     file "example.com.hosts.internal";   };   };   view  "external" {   match-clients { any; };                   // 匹配 Internet 客户的访问 recursion no;                             // 对 Internet 客户不允许执行递归查询   zone "example.com" {                     // 定义 Internet 客户可见的区声明      type master; file "example.com.hosts.external";   };   };

接下来，需要在example.com.hosts.internal中创建内网客户可见的区文件，并在example.com.hosts.external中创建Internet客户可见的区文件。该区文件的编写可以根据用户的实际情况，可以参看上面介绍的内容，此处不再赘述。
 

　　夺天下难，守天下更难，服务器的维护就好比“守天下”！稍乱分寸即会使整个网络陷入瘫痪，作为网络管理的一员，笔者在实际维护工作中碰到过不少问题，服务器不仅仅是企业网络设备的中枢，也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障，软件的或者硬件的。很多故障是没有规律可言的。

　　服务器的维护可以分为硬件维护和软件维护两种，硬件维护比较简单，主要是保证机房的温湿度，做好防尘防火，定时更换硬件设备等，而软件维护又包括对操作系统的维护和对主机上所跑应用的维护，这一部分是比较难的，需要对操作系统、应用软件系统有比较深入的认识和了解。

　　服务器的软维护比较困难原因有三

　　操作系统方面

　　操作系统是服务器运行的软件基础，其重要性不言自明。如果服务器操作系统使用Windows 2003或Windows 2000 Server作为操作系统，维护起来还是比较容易的，只要按时打好补丁，订时查看日志就可以。但是如果是LINUX和UNIX操作系统的话，需要对管理员的技术有相当高的要求，需要管理员具备一定的专业知识。

　　服务器上的应用维护

　　服务器上的应用软件都是运行的企业的核心数据，是企业的最重要的数据之一，不容出错，如果数据出现丢失或者服务停止的话对于企业来说是致命的， 企业的应用已经成了企业生存和发展的重要组成部分，应用是企业核心业务的血液，当企业应用的规模越来越大时，应用也随之越来越多，如何迅速有效的对这些关键应用进监控就成为了迫切棘手的问题。

　　7*24小时不间断

　　除了上述二点列出的技术上的困难之外，还有一个重要的问题就是企业的服务器及上面所跑的应用都是实时性很高的业务，必须得保证7*24小时不间断，单纯的管理员维护的话实时性太差，管理员不可以一天二十四小时盯着服务器，所以现实中经常出现服务器出现Ｄown机或者服务器上的应用出了问题，管理员往往不能第一时间知道，往往都是实际使用服务器或都应用的人去通知管理员，这时业务可能已经停了好长时间，这对于企业来说无疑是很大的损失。

　　Arp防火墙

　　Arp Firewall - 现在托管服务器必须安装的第一个软件就是Arp防火墙，没办法啊，中国这网络环境，不安装Arp防火墙就等着被人挂木马了。现在免费的Arp防火墙主要有两款，一个是奇虎的360 Arp防火墙，一个是金山Arp防火墙。

　　远程桌面连接

　　Remote Desktop - 远程桌面连接（以前称为“终端服务客户端”）主要是用于对远程托管的服务器进行远程管理，使用非常方便，就如同操作本地电脑一样方便。远程服务器端必须要先安装“远程桌面连接”的服务器端程序，然后客户端就可以通过远程桌面来管理服务器了。

　　FTP服务和客户端

　　FileZilla - 将客户端的文件上传到服务器上，最常用的软件就是FTP了，微软的IIS自带了一个简单的FTP服务器软件，如果觉得不好用，服务器上也可以安装免费的FileZilla服务器软件，客户端可以使用免费的FileZilla Client，支持多线程上传文件。

　　硬件检测

　　CPU-Z - CPU-Z是一款免费的系统检测工具，可以检测CPU、主板、内存、系统等各种硬件设备的信息。它支持的CPU种类相当全面，软件的启动速度及检测速度都很快。另外，它还能检测主板和内存的相关信息，其中就有我们常用的内存双通道检测功能。远程管理服务器的时候，使用这个软件可以对服务器的硬件信息一清二楚。

　　流量监控

　　DU Meter - DU Meter是一个简单易用的网络流量监视工具，图形化的界面显示非常直观，可以实时监测服务器的上传和下载的网速，同时还有流量统计功能。可以分析出日流量、周流量、月流量等累计统计数据。不过遗憾的是这个软件不是免费的。

　　端口监控

　　TcpView - TcpViews是一款免费的端口和线程监控工具，可以列出当前所有TCP和UDP端口的进程清单，包括本地和远程地址的TCP连接，其实和系统命令netstat类似，不过是GUI界面的，使用方便，占用资源少，默认字体在中文环境下很小，需要手动修改。在服务器上运行的话，默认刷新时间不要用默认的1秒。

　　进程监控

　　Process Explorer - Process Explorer是一款免费的进程监视工具，功能比Windows自带的任务管理器要强大的多，不仅可以监视、暂停、终止进程，还可以查看进程调用的DLL文件，是预防病毒、查杀木马的好帮手。

　　日志分析

　　WebLog Expert - 虽然Google Analytics是一款强大的免费的网站分析服务，但必须加入统计代码才能使用，WebLog Expert则可以直接分析网站的访问日志文件，通过日志文件分析出网站的站点访问者、活动统计、文件访问量、搜索引擎、浏览器、操作系统和错误页面等等众多的统计信息，是网络监测的好助手。这个软件本身不免费，不过其另一个版本WebLog Expert Lite是免费的。

　　日志搜索

　　WinHex - WinHex是一款速度很快的文件编辑器。打开数百兆的大型文件速度飞快，使用WinHex可以轻松打开服务器上的大型日志文件，并对其进行关键字搜索，效果非常好，是我见到的速度最快的文本编辑搜索软件，总体来说是一款非常不错的16进制编辑器。

　　代码编辑

　 Notepad++是一个免费开源的源程序代码、HTML网页代码编辑工具，支持多达数十种常见源代码或脚本的语法，包括C，C++，Java，C#，XML，HTML，PHP，Javascript，RC resource file，makefile，ASCII，doxygen，ini file，batch file，ASP ，VB/VBS，SQL，Objective-C，CSS，Pascal，Perl，Python，Lua等，功能非常强大。在服务器上安装后可以直接修改网站上的源程序代码。

　　好了，以上就是总结的十个常用的服务器工具软件，在服务器上使用这些工具软件，定能使得服务器维护变得更为方便简单，如果你还知道什么其他好的服务器工具软件，请留言告诉我。

1、重新设置IIS的IWAM账号密码和IUSR密码。(管理工具—〉计算机管理—〉本地用户和组—〉用户)
2、同步IIS metabase中IWAM_MYSERVER的密码，在CMD中：c:\inetpub\adminscripts>adsutil set w3svc/wamuserpass “yourpassword”
3、同步COM+应用程序所用的IWAM_MYSERVER密码，在CMD中：c:\inetpub\adminscripts>cscript synciwam.vbs -v

如果最后出现Error:80110414错误
组件服务->计算机->我的电脑->COM+应用程序->IIS Out-Of-Process Pooled Applications->属性->标识。输入刚才设置的密码，确定退出，然后再次执行cscript synciwam.vbs -v

意外情况一：运行->cmd->输入net start msdtc,如果出现了该服务不能启动的错误提示。

删除注册表中的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC
HKEY_CLASSES_ROOT\CID
停止MSDTC服务：net stop msdtc
卸载MSDTC服务：msdtc -uninstall
重新安装MSDTC服务：msdtc -install
重启电脑
启动该服务：net start msdtc

意外情况二：IIS出现The specified module could not be found解决方法（记得在IE的高级选项去掉“显示友好http 错误信息”）

iis网站属性->目录安全性->匿名访问和身份验证控制
去掉允许iis控制密码

意外情况三：无法展开’COM+应用程序’

MS DTC日志文件被误删了，cmd输入msdtc -resetlog重新创建日志文件即可

意外情况四：‘COM+ 应用程序中’展开后找不到IIS Out-Of-Process Pooled Applications

输入cd %windir%/system32/inetsrv
输入rundll32 wamreg.dll, CreateIISPackage
注意:必须准确键入’CreateIISPackage’它区分大小写
输入regsvr32 asptxn.dll
关闭并重新打开’组件服务’

当攻击者入侵系统的目的，就是为了让系统或系统中的正常业务不能正常运行，如果我们发现不及时，当这类系统入侵事件攻击成功后，就会造成系统意外停机事件和业务意外中断事件。

处理这类系统入侵事件时，已经没有必需再考虑系统需不需要停机处理的问题了，既然系统都已经不能正常运行了，考虑这些都是多余的，最紧要的就是尽快恢复系统正常运行。对于这类事件，也有下列这几种类别，每种类别的处理方式也是有一点区别的：

1、系统运行正常，但业务已经中断

对于此类系统入侵事件，我们可以不停机进行处理，直接以系统在线方式通过备份来恢复业务的正常运行，但在恢复前要确定系统被入侵的具体时间，以及什么时候的备份可以使用，然后按本文前面介绍的相关系统入侵恢复方式来恢复系统和业务到正常状态。

对于没有冗余系统的企业，如果当时非常迫切需要系统业务能够正常运行，那么，也只有在通过备份恢复业务正常运行后直接使用它。但在没有修复系统或应用程序漏洞之前，必需安排专人实时监控系统的运行状况，包括网络连接状况，系统进程状况，通过提高IDS/IPS的检测力度，添加相应的防火墙检测规则来暂时保护系统安全。

2、系统不能正常运行，但系统中与业务相关的内容没有受到破坏

此时，我们首要的任务就是尽快让系统恢复正常运行，但是要保证系统中与业务相关的数据不能受到损害。如果与业务相关的重要数据不在系统分区，那么，将系统从网络中断开后，我们就可以通过另外保存的系统完全备份来迅速恢复系统到正常状态，这是最快速的解决方法。

但是，如果与业务相关的数据全部或部分存放在系统分区，那么，为了防止当前业务数据的完整性，我们应当先通过像WinPE光盘系统的方式启动Winpe系统，然后将与业务相关的重要数据全部备份到其它独立的存储设备中，再对系统分区进行备份恢复操作。

如果我们发现系统的完全备份不可用，我们就只能在保证与业务相关的重要数据不损失的情况下，进行全新的操作系统安装方式来恢复系统正常运行，然后再安装业务应用程序，来恢复整个系统业务的正常运行。但是，由于这种方式是重新全新安装的操作系统，因此，如没有特殊的要求，应当对系统和应用程序做好相应的安全防范措施并完全备份后，才将系统连入网络当中。

至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

3、系统不能正常运行，系统中的业务也已经被破坏

此时，首先按第二种方式恢复系统正常运行，然后再在系统中重新安装与业务相关应用程序，并且尽量通过备份恢复与业务相关的数据。至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

当系统或业务被破坏不能运行后，造成的影响和损失是肯定的，我们按上述方式这样做的目的，就是为了尽量加快系统和业务恢复正常运行的速度，减少它们停止运行的时间，尽量降低由于系统停机或业务中断造成的影响和损失。

在对入侵系统进行恢复处理的过程中，对于一些与企业经营生死相依的特殊业务，例如电子邮件服务器，由于邮件服务器是为员工和客户提供邮件服务器的，如果邮件服务器停用，势必会影响的业务的正常往来。因此，对邮件服务器进行入侵恢复前，在使用本文前面所描述的方法进行进，还应当完成下列的工作：

(1)、启用临时邮箱，如果受影响的邮件服务器是企业自身的，可以通过申请邮件服务器提供商如Sina、163等的邮箱作为代替。

(2)、然后将临时邮箱信息尽快通知供货商和合作伙伴。

(3)、完成这些的工作后，就可以对被入侵的邮件服务器系统作相应的入侵恢复处理，恢复的方式与本文前面描述的方式相同。

四、事后分析

当成功完成任何一种系统入侵类型的处理工作后，我们还必需完成与此相关的另外一件重要的事情，那就是对系统入侵事件及事件处理过程进行事后分析。

事后分析都是建立在大量的文档资料的基础上的，因而，我们在对被入侵系统进行处理的过程中，应当将事件处理过程中的所有操作内容和方式全部细致地记录下来。另外，我在描述如何恢复被入侵系统的处理过程中，在每次进行入侵恢复前都要求将受损系统的当前状态建立快照，其目的之一也是为了事后可以通过它来进行入侵分析。

我们通过对被入侵系统进行入侵分析，就能了解到此次入侵事件影响的范围和损失的严重程度，以及处理它所花费的时间、人力和物力成本。另一方面，通过分析此次入侵事件，可以了解攻击者是通过什么方式入侵系统的。

通过了解攻击者入侵系统的各种方式，就可以从中学习到相应的防范对策，为我们的安全防范工作带来相应的宝贵经验，让我们以后知道如何去应对与此相似的系统入侵活动。并由此来修改安全策略中不规范的内容，或添加相应的安全策略，使安全策略适应各个时期的安全防范需求。

同样，对每次系统入侵事件的处理过程进行分析，可以让我们了解自己或事件处理团队在应对系统入侵事件时的操作是否正确，是否产生了不必要的操作，是否产生了人为的失误，这些失误是如何产生的，以及哪些操作提高了处理的效率等等有用的信息。通过对系统入侵恢复处理过程的事后分析，能让我们增加相应的事件入侵响应能力，而且，还可以找出事件响应计划中不规范的内容，并由此做相应的修正。

对系统入侵事件和其恢复处理过程进行事后分析得出的结论，都应当全部以书面形式记录下来，并上报给上级领导。同时，还应当将处理结果发到每个事件响应小组成员手中，或企业中各个部门领导手中，由各部门分别组织学习，以防止此类系统入侵事件再次发生。如果有必要，还可以将事件发生和处理情况通告给合作伙伴和客户，以帮助它们防范此类系统入侵事件的发生，或告知系统或应用软件提供商，让他们尽快产生相应的漏洞补丁。

至于是否对媒体公布系统被入侵事件和入侵事件处理情况，企业可以根据实际情况自行决定，有的时候，及时公布这些内容能给企业的服务对象增加对企业的信心。

到这里，我们已经讨论了与系统入侵恢复相关的一些内容，由于文章篇幅的限制，以及新的攻击事件会不断地出现，不可能在本文中对所有的系统入侵类型的恢复方式做详细的说明。但无论出现什么样的系统入侵事件，我们只有做到了对症下药，才能有可能将系统入侵事件带来的损失降低到最低水平。