不要讓你領導的IT部門由于一個安全事故而陷入混亂。試著按照本文所介紹的七個步驟建立一套事故處理程序。

每一天，IT部門遇到安全事故的可能性都在不斷的增加。你肯定不想在制定出應對攻擊的合理計劃之前就陷入到危機當中。如果想要保證系統(tǒng)及其資源的安全的話，做好應對事故的準備是非常重要的。對事故的處理要同計劃和程序的制定開始。

要想恢復系統(tǒng)的正常運行，為每種類型的安全事故都制定一個應對計劃是至關緊要的。最常見的安全事故有以下幾類：

特權的提高：用戶或是訪客的特權增加。

數據變更：未經授權的用戶對文檔進行了變更。

數據丟失：系統(tǒng)中的數據被轉移。

拒絕服務：對系統(tǒng)的合法訪問被拒絕。

有的時候，某個安全事故可能兼具多種類型的特點。例如，網站內容的涂銷既是特權的提高又是數據的變更。

基本行動

不同的事故需要不同的應對。但是，在處理任何事故的時候，都應該遵循下面這七個基本的步驟。

第一步：將所有的信息歸檔

當事故發(fā)生的時候，你需要將所有與安全問題有關的信息都進行歸檔處理。形式不用過于復雜?？梢圆捎肳ord文檔的格式，也可以記錄在黑板上。這樣做的目的在于在不損害信息并且不破壞可能的證據的情況下捕捉詳細信息。在采取進一步的行動之前，要先確定事故確實是發(fā)生了。

第二步：進行適當的聯(lián)系

根據事故嚴重性的不同，第一個電話可能是打給某個服務供應商的，也可能是打給公司內部的法律部門，讓它來收集證據的。不管發(fā)生的事故屬于那種類型，你都要做到心中有數，知道該與那些部門和個人取得聯(lián)系。

第三步：控制事態(tài)發(fā)展

要集中精力控制事態(tài)的發(fā)展，將系統(tǒng)受到的損害限制在最低限度。要確定事故是否還在發(fā)生當中，是否需要被監(jiān)控，確定是否應該采取行動來阻止事故的進一步發(fā)展。

第四步：尋找失敗原因

要仔細查找原因，看看事故是怎樣發(fā)生的。確定應該采取什么樣的行動來避免此類事故的再次發(fā)生。

第五步：解決問題　修復系統(tǒng)

為了確保同樣的安全事故以后不再發(fā)生，應用適當的方法來解決問題是十分必要的。這可能非常簡單，僅僅給操作系統(tǒng)打個補丁或是給防火墻或路由器添加一項新的規(guī)則就可以了。在彌補了安全漏洞之后，要對在事故當中受到損害的系統(tǒng)進行修復。

第六步：加強監(jiān)控

當系統(tǒng)通過修復恢復運行之后，要繼續(xù)對其進行監(jiān)控，并且要加大監(jiān)控的力度，防止事故的再次發(fā)生。要確定已經消除了造成事故的隱患，系統(tǒng)已經恢復了正常的功能。

第七步：吸取教訓

黑客的攻擊是永遠不可能停止的。要從事故當中吸取教訓，防止同樣的黑客再卷土重來。要確切的查清楚到底發(fā)生了什么事情，為了避免此類事故的再次出現(xiàn)要采取那些必要的行動。

最后的思考

對安全事故的處理并不是無章可循的。只要事先做好充分的計劃和準備，對網絡安全事故的處理就能夠有章有法的進行，IT部門就不會陷入混亂。