是否有黑客?
系统为什么会发生灾难?是偶然的事故吗?或者是出现了什么愚蠢的错误?还是有黑客在作怪?
要学会识别黑客的攻击,采取适当的对应措施。大家一定要明白,如果真的是有黑客在作怪的话,必须要迅速采取一些“关闭大门”的措施。
停止攻击。如果必须的话,通过关闭网络来隔离系统。如果是服务器遇到了问题,并且可以锁定是哪台服务器遇到了黑客攻击的话,可以关闭该服务器。你是否有记录服务器活动日志呢?是否是在远端服务器上进行这项工作呢?(如果是的话,这确实是一个非常好的习惯。)然后,如果可能的话,迅速对黑客做出识别。你可能能够封锁黑客的攻击途径,关闭通路,在几分钟之内完成系统的备分。
记录远端用户的身份,并将这些用户的身份迅速保存起来,以防黑客抢在你之前抹去这些身份。如果你不能迅速识别黑客身份的话,就一定要给自己充分详细的活动资料以备日后的调查。即使是最狡猾的黑客也难免会留下蛛丝马迹的。
观察公司内所有的服务器用户。在这些用户当中,有没有人能够进入服务器的安全通道呢?有的时候,“黑客”行为是偶然发生的。某个应用程序可能会由于用户的介入而变得混乱,而对系统造成破坏。有的时候,用户难免会犯一些错误。要了解那些用户/工作站可能出现问题,迅速对其进行检查。
最后,不管系统故障的发生原因如何,是由黑客攻击引起的,还是其他的什么原因,都要考虑系统镜像工具的应用。这种工具在很多场合都在应用,比如说美国宇航局控制中心在应对像哥伦比亚号航天飞机失事这样的灾难性事故时。应用系统镜像工具有什么好处呢?一旦你的应用程序重新恢复商业应用,你可以重建系统出现问题是的确切数据。这不仅可以帮助你判断什么地方出了问题,还可以帮你找到系统自身存在的弱点。要记住,理想的灾难恢复不仅仅是要恢复系统的运行,还要重建一个更为稳定和安全的系统。