《网络安全应急响应技术实战指南》知识点总结（第1~2章 网络安全应急响应概述和基础技能）

一、应急响应概念

一个组织为应对各种意外事件的发生所做的准备，以及在时间发生之后所采取的措施，以减少突发事件造成的损失。

二、应急响应流程

PDCERF方法：
准备阶段（预防）
检测阶段（检测已发生或者正在发生的事件以及原因）
抑制阶段（限制破坏的范围，同时降低潜在的损失）
根除阶段（通过事件分析找出根源并彻底根除，以防再次发生）
恢复阶段（把破坏的信息彻底还原到正常运作状态）
总结阶段（回顾应急响应事件的过程，分析总结，以防入侵的再次发生）

三、网络安全应急响应基础技能

1、系统排查

1）查看系统工具信息，正在运行任务以及启动程序等
具体操作：在命令行输入msinfo32

2）查看用户信息
（1）命令行：net user（无法查看隐藏用户）
（2）图形界面方法：可查看到隐藏用户（以$结尾）