不要讓你領(lǐng)導(dǎo)的IT部門由于一個(gè)安全事故而陷入混亂。試著按照本文所介紹的七個(gè)步驟建立一套事故處理程序。

每一天，IT部門遇到安全事故的可能性都在不斷的增加。你肯定不想在制定出應(yīng)對(duì)攻擊的合理計(jì)劃之前就陷入到危機(jī)當(dāng)中。如果想要保證系統(tǒng)及其資源的安全的話，做好應(yīng)對(duì)事故的準(zhǔn)備是非常重要的。對(duì)事故的處理要同計(jì)劃和程序的制定開始。

要想恢復(fù)系統(tǒng)的正常運(yùn)行，為每種類型的安全事故都制定一個(gè)應(yīng)對(duì)計(jì)劃是至關(guān)緊要的。最常見的安全事故有以下幾類：

特權(quán)的提高：用戶或是訪客的特權(quán)增加。

數(shù)據(jù)變更：未經(jīng)授權(quán)的用戶對(duì)文檔進(jìn)行了變更。

數(shù)據(jù)丟失：系統(tǒng)中的數(shù)據(jù)被轉(zhuǎn)移。

拒絕服務(wù)：對(duì)系統(tǒng)的合法訪問被拒絕。

有的時(shí)候，某個(gè)安全事故可能兼具多種類型的特點(diǎn)。例如，網(wǎng)站內(nèi)容的涂銷既是特權(quán)的提高又是數(shù)據(jù)的變更。

基本行動(dòng)

不同的事故需要不同的應(yīng)對(duì)。但是，在處理任何事故的時(shí)候，都應(yīng)該遵循下面這七個(gè)基本的步驟。

第一步：將所有的信息歸檔

當(dāng)事故發(fā)生的時(shí)候，你需要將所有與安全問題有關(guān)的信息都進(jìn)行歸檔處理。形式不用過于復(fù)雜?？梢圆捎肳ord文檔的格式，也可以記錄在黑板上。這樣做的目的在于在不損害信息并且不破壞可能的證據(jù)的情況下捕捉詳細(xì)信息。在采取進(jìn)一步的行動(dòng)之前，要先確定事故確實(shí)是發(fā)生了。

第二步：進(jìn)行適當(dāng)?shù)穆?lián)系

根據(jù)事故嚴(yán)重性的不同，第一個(gè)電話可能是打給某個(gè)服務(wù)供應(yīng)商的，也可能是打給公司內(nèi)部的法律部門，讓它來(lái)收集證據(jù)的。不管發(fā)生的事故屬于那種類型，你都要做到心中有數(shù)，知道該與那些部門和個(gè)人取得聯(lián)系。

第三步：控制事態(tài)發(fā)展

要集中精力控制事態(tài)的發(fā)展，將系統(tǒng)受到的損害限制在最低限度。要確定事故是否還在發(fā)生當(dāng)中，是否需要被監(jiān)控，確定是否應(yīng)該采取行動(dòng)來(lái)阻止事故的進(jìn)一步發(fā)展。

第四步：尋找失敗原因

要仔細(xì)查找原因，看看事故是怎樣發(fā)生的。確定應(yīng)該采取什么樣的行動(dòng)來(lái)避免此類事故的再次發(fā)生。

第五步：解決問題　修復(fù)系統(tǒng)

為了確保同樣的安全事故以后不再發(fā)生，應(yīng)用適當(dāng)?shù)姆椒▉?lái)解決問題是十分必要的。這可能非常簡(jiǎn)單，僅僅給操作系統(tǒng)打個(gè)補(bǔ)丁或是給防火墻或路由器添加一項(xiàng)新的規(guī)則就可以了。在彌補(bǔ)了安全漏洞之后，要對(duì)在事故當(dāng)中受到損害的系統(tǒng)進(jìn)行修復(fù)。

第六步：加強(qiáng)監(jiān)控

當(dāng)系統(tǒng)通過修復(fù)恢復(fù)運(yùn)行之后，要繼續(xù)對(duì)其進(jìn)行監(jiān)控，并且要加大監(jiān)控的力度，防止事故的再次發(fā)生。要確定已經(jīng)消除了造成事故的隱患，系統(tǒng)已經(jīng)恢復(fù)了正常的功能。

第七步：吸取教訓(xùn)

黑客的攻擊是永遠(yuǎn)不可能停止的。要從事故當(dāng)中吸取教訓(xùn)，防止同樣的黑客再卷土重來(lái)。要確切的查清楚到底發(fā)生了什么事情，為了避免此類事故的再次出現(xiàn)要采取那些必要的行動(dòng)。

最后的思考

對(duì)安全事故的處理并不是無(wú)章可循的。只要事先做好充分的計(jì)劃和準(zhǔn)備，對(duì)網(wǎng)絡(luò)安全事故的處理就能夠有章有法的進(jìn)行，IT部門就不會(huì)陷入混亂。