面对被入侵企业服务器,我们能采取哪些补救措施(三)

2011-3-28 18:16:51 来源:本站原创,请勿转载 浏览:72
面对被入侵企业服务器,我们能采取哪些补救措施(三)

  随着当前企业竞争压力巨大,有不少企业采取恶意打击竞争对手的恶劣手段,其手段也包括很多方面,我们接着上两章节讲解黑客受雇以破坏企业系统正常运行和企业正常业务为目的的入侵恢复。

  第三、黑客破坏企业系统、影响企业正常业务运行为目的的系统入侵恢复。当攻击者入侵系统的目的,就是为了让系统或系统中的正常业务不能正常运行,如果我们发现不及时,当这类系统入侵事件攻击成功后,就会造成系统意外停机事件和业务意外中断事件。处理这类系统入侵事件时,已经没有必需再考虑系统需不需要停机处理的问题了,既然系统都已经不能正常运行了,考虑这些都是多余的,最重要的就是尽快恢复系统运行,保证业务正常。对于这类事件,依然会发生多种情况,每个类别的操作方式也是有会不尽相同,下面我们详细讲解下:

  1、系统运行尚且正常,但业务已经中断。对于此类系统入侵事件,我们可以不停机进行处理,直接以系统在线方式通过备份来恢复业务的正常运行,但在恢复前要确定系统被入侵的具体时间,以及什么时候的备份可以使用,然后按本文前面介绍的相关系统入侵恢复方式来恢复系统和业务到正常状态。对于没有冗余系统的企业,如果当时非常迫切需要系统业务能够正常运行,那么,也只有在通过备份恢复业务正常运行后直接使用它。但在没有修复系统或应用程序漏洞之前,必需安排专人实时监控系统的运行状况,包括网络连接状况,系统进程状况,通过提高IDS/IPS的检测力度,添加相应的防火墙检测规则来暂时保护系统安全。


  2、系统不能正常运行,但系统中与业务相关的内容没有受到破坏。此时,我们首要的任务就是尽快让系统恢复正常运行,但是要保证系统中与业务相关的数据不能受到损害。如果与业务相关的重要数据不在系统分区,那么,将系统从网络中断开后,我们就可以通过另外保存的系统完全备份来迅速恢复系统到正常状态,这是最快速的解决方法。但是,如果与业务相关的数据全部或部分存放在系统分区,那么,为了防止当前业务数据的完整性,我们应当先通过像WinPE光盘系统的方式启动Winpe系统,然后将与业务相关的重要数据全部备份到其它独立的存储设备中,再对系统分区进行备份恢复操作。
  如果我们发现系统的完全备份不可用,我们就只能在保证与业务相关的重要数据不损失的情况下,进行全新的操作系统安装方式来恢复系统正常运行,然后再安装业务应用程序,来恢复整个系统业务的正常运行。但是,由于这种方式是重新全新安装的操作系统,因此,如没有特殊的要求,应当对系统和应用程序做好相应的安全防范措施并完全备份后,才将系统连入网络当中。至于剩下的系统恢复工作,可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

  3、系统不能正常运行,系统中的业务也已经被破坏。此时,首先按第二种方式恢复系统正常运行,然后再在系统中重新安装与业务相关应用程序,并且尽量通过备份恢复与业务相关的数据。至于剩下的系统恢复工作,可以按恢复以控制系统为目的的系统入侵恢复方式来进行。
  当系统或业务被破坏不能运行后,造成的影响和损失是肯定的,我们按上述方式这样做的目的,就是为了尽量加快系统和业务恢复正常运行的速度,减少它们停止运行的时间,尽量降低由于系统停机或业务中断造成的影响和损失。在对入侵系统进行恢复处理的过程中,对于一些与企业经营生死相依的特殊业务,例如电子邮件服务器,由于邮件服务器是为员工和客户提供邮件服务器的,如果邮件服务器停用,势必会影响的业务的正常往来。因此,对邮件服务器进行入侵恢复前,在使用本文前面所描述的方法进行进,还应当完成下列的工作:
  a、启用临时邮箱,如果受影响的邮件服务器是企业自身的,可以通过申请其它邮件服务器提供商的邮箱作为临时代替。
  b、用临时邮箱信息尽快通知供货商和合作伙伴。
  c、当我们处理完成这些的工作后,就可以对被入侵的邮件服务器系统作相应的入侵恢复处理,恢复的方式与本文前面描述的方式相同。

  从上面可以看出,企业要时刻防范竞争对手的恶意打击,当前大多数企业已经向智能化、信息化、和数字化迈进,在这方面,服务器必不可少,企业更应该加强防范。护卫神软件文章中心

(0)
(0)