企业该如何去面对网络安全事件（2）

　　4、网络、系统及应用程序数据恢复

　　在收集完所有的证据后，就可以将被攻击影响到的对象全部恢复正常运行，以便可以正常使用。是否能够及时的恢复系统到正常状态，得依靠另一个安全手段，就是备份恢复计划，对于一些大型企业，有时也被称为灾难恢复计划，不管怎么说，事先对所保护的重要数据做一个安全的备份是一定需要的，它直接影响到事件响应过程中恢复的及时性和可能性。

　　在恢复系统后，你应当确保系统漏洞已经被修补完成，系统已经更新了最新的补丁包，并且已经重新对修补过的系统做了新的备份，这样，才能让这些受到攻击恢复正常后的系统重新连入到网络当中。如果当时还没有最新的安全补丁，而又必需马上恢复系统运行的话，你可以先实施一些针对性的安全措施，然后再将系统连入到网络当中，但要时刻注意，并在有补丁时马上更新它，并重新备份。

　　恢复的方法及恢复内容的多少，得看你的系统受损的情况来决定，例如，系统中只是开放了一些不正常的端口，那就没有必要恢复整个系统，只要将这些端口关闭，然后堵住产生攻击的漏洞就可以了。如果系统中的重要文件已经被修改或删除，系统不能正常运行，而这些文件又不能够被修复，就只能恢复整个系统了。恢复时，即可以通过手工操作方式来达到恢复目的，也可以通过一些专业的备份恢复软件来进行恢复，甚至，在有些大中型企业，由于数据多，而且非常重要，对系统稳定性和连续性有很高的要求，例如一些网站类企业，就会使用一个备用系统，来提供冗余，当一套系统遭到攻击停运后，另一套系统就会自动接替它运行，这样，就能让事件响应小组人员有足够多的时间进行各项操作，而且不会影响到网络系统的正常访问。

　　恢复在整个事件处理步骤当中是比较独特的，将它放在哪一步来执行，你应当以你的保护目标来决定，例如，当你保护的首要目标是为了尽快恢复网络系统或服务能够正常访问，如果有备用系统的，因为备用系统已经接替受攻击的系统运行了，就可以按上述步骤中的顺序来进行操作，而对于只有备份文件的，如果想要系统最快速度地恢复正常运行，可以先将整个受损系统做一个镜像，然后就可以迅速恢复备份，投入运行。

　　其实，任何处理步骤，说白了，就只是让你养成一种对某种事件处理过程的通用习惯性思维和工作流程而已。