不要讓你領(lǐng)導(dǎo)的IT部門由于一個安全事故而陷入混亂。試著按照本文所介紹的七個步驟建立一套事故處理程序。

每一天，IT部門遇到安全事故的可能性都在不斷的增加。你肯定不想在制定出應(yīng)對攻擊的合理計劃之前就陷入到危機當(dāng)中。如果想要保證系統(tǒng)及其資源的安全的話，做好應(yīng)對事故的準備是非常重要的。對事故的處理要同計劃和程序的制定開始。

要想恢復(fù)系統(tǒng)的正常運行，為每種類型的安全事故都制定一個應(yīng)對計劃是至關(guān)緊要的。最常見的安全事故有以下幾類：

特權(quán)的提高：用戶或是訪客的特權(quán)增加。

數(shù)據(jù)變更：未經(jīng)授權(quán)的用戶對文檔進行了變更。

數(shù)據(jù)丟失：系統(tǒng)中的數(shù)據(jù)被轉(zhuǎn)移。

拒絕服務(wù)：對系統(tǒng)的合法訪問被拒絕。

有的時候，某個安全事故可能兼具多種類型的特點。例如，網(wǎng)站內(nèi)容的涂銷既是特權(quán)的提高又是數(shù)據(jù)的變更。

基本行動

不同的事故需要不同的應(yīng)對。但是，在處理任何事故的時候，都應(yīng)該遵循下面這七個基本的步驟。

第一步：將所有的信息歸檔

當(dāng)事故發(fā)生的時候，你需要將所有與安全問題有關(guān)的信息都進行歸檔處理。形式不用過于復(fù)雜?？梢圆捎肳ord文檔的格式，也可以記錄在黑板上。這樣做的目的在于在不損害信息并且不破壞可能的證據(jù)的情況下捕捉詳細信息。在采取進一步的行動之前，要先確定事故確實是發(fā)生了。

第二步：進行適當(dāng)?shù)穆?lián)系

根據(jù)事故嚴重性的不同，第一個電話可能是打給某個服務(wù)供應(yīng)商的，也可能是打給公司內(nèi)部的法律部門，讓它來收集證據(jù)的。不管發(fā)生的事故屬于那種類型，你都要做到心中有數(shù)，知道該與那些部門和個人取得聯(lián)系。

第三步：控制事態(tài)發(fā)展

要集中精力控制事態(tài)的發(fā)展，將系統(tǒng)受到的損害限制在最低限度。要確定事故是否還在發(fā)生當(dāng)中，是否需要被監(jiān)控，確定是否應(yīng)該采取行動來阻止事故的進一步發(fā)展。

第四步：尋找失敗原因

要仔細查找原因，看看事故是怎樣發(fā)生的。確定應(yīng)該采取什么樣的行動來避免此類事故的再次發(fā)生。

第五步：解決問題　修復(fù)系統(tǒng)

為了確保同樣的安全事故以后不再發(fā)生，應(yīng)用適當(dāng)?shù)姆椒▉斫鉀Q問題是十分必要的。這可能非常簡單，僅僅給操作系統(tǒng)打個補丁或是給防火墻或路由器添加一項新的規(guī)則就可以了。在彌補了安全漏洞之后，要對在事故當(dāng)中受到損害的系統(tǒng)進行修復(fù)。

第六步：加強監(jiān)控

當(dāng)系統(tǒng)通過修復(fù)恢復(fù)運行之后，要繼續(xù)對其進行監(jiān)控，并且要加大監(jiān)控的力度，防止事故的再次發(fā)生。要確定已經(jīng)消除了造成事故的隱患，系統(tǒng)已經(jīng)恢復(fù)了正常的功能。

第七步：吸取教訓(xùn)

黑客的攻擊是永遠不可能停止的。要從事故當(dāng)中吸取教訓(xùn)，防止同樣的黑客再卷土重來。要確切的查清楚到底發(fā)生了什么事情，為了避免此類事故的再次出現(xiàn)要采取那些必要的行動。

最后的思考

對安全事故的處理并不是無章可循的。只要事先做好充分的計劃和準備，對網(wǎng)絡(luò)安全事故的處理就能夠有章有法的進行，IT部門就不會陷入混亂。