被入侵系统的恢复指南（1）

　　本文主要讲述UNIX或者NT系统如果被侵入，应该如何应对。

　　注意:你在系统恢复过程中的所有步骤都应该与你所在组织的网络安全策略相符。

1.商讨安全策略

　　如果你的组织没有自己的安全策略，那么需要按照以下步骤建立自己的安全策略：

1.1.和管理人员协商

　　将入侵事故通知管理人员，可能在有的组织中很重要。在be aware进行事故恢复的时候，网络管理人员能够得到内部各部门的配合。也应该明白入侵可能引起传媒的注意。

1.2.和法律顾问协商

　　在开始你的恢复工作之前，你的组织需要决定是否进行法律调查。

　　注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以，对于法律方面的问题建议你咨询自己的法律顾问。你的法律顾问能够告诉你入侵者应该承担的法律责任(民事的或者是刑事的)，以及有关的法律程序。

　　现在，是你决定如何处理这起事故的时候了，你可以加强自己系统的安全或者选择报警。

　　如果你想找出入侵者是谁，建议你与管理人员协商并咨询法律顾问，看看入侵者是否触犯了地方或者全国的法律。根据这些，你可以报案，看看警方是否愿意对此进行调查。

　　针对与入侵事件，你应该与管理人员和法律顾问讨论以下问题：

　　如果你要追踪入侵者或者跟踪网络连接，是否会触犯法律。

　　如果你的站点已经意识到入侵但是没有采取措施阻止，要承担什么法律责任。

　　入侵者是否触犯了全国或者本地的法律。

　　是否需要进行调查。

　　是否应该报警。