对症下药——抢救被入侵的系统

如果允许我们停机进行处理，我们可以拆下系统上的硬盘，接入其它系统，然后通过文件恢复软件来恢复这些被删除的文件，但是，对于数据库表中内容的删除，我们只能通过留下的纸质文档，来自己慢慢修正。

在这里我们就可以知道，备份并不能解决所有的系统入侵问题，但仍然是最快、最有效恢复系统正常的方式之一。通过这我们还可以知道，及时发现系统已经被入侵对于抢救系统中的机密数据是多么的重要。

三、 以破坏系统或业务正常运行为目的的系统入侵恢复

当攻击者入侵系统的目的，就是为了让系统或系统中的正常业务不能正常运行，如果我们发现不及时，当这类系统入侵事件攻击成功后，就会造成系统意外停机事件和业务意外中断事件。

处理这类系统入侵事件时，已经没有必需再考虑系统需不需要停机处理的问题了，既然系统都已经不能正常运行了，考虑这些都是多余的，最紧要的就是尽快恢复系统正常运行。对于这类事件，也有下列这几种类别，每种类别的处理方式也是有一点区别的：

1、 系统运行正常，但业务已经中断

对于此类系统入侵事件，我们可以不停机进行处理，直接以系统在线方式通过备份来恢复业务的正常运行，但在恢复前要确定系统被入侵的具体时间，以及什么时候的备份可以使用，然后按本文前面介绍的相关系统入侵恢复方式来恢复系统和业务到正常状态。

对于没有冗余系统的企业，如果当时非常迫切需要系统业务能够正常运行，那么，也只有在通过备份恢复业务正常运行后直接使用它。但在没有修复系统或应用程序漏洞之前，必需安排专人实时监控系统的运行状况，包括网络连接状况，系统进程状况，通过提高IDS/IPS的检测力度，添加相应的防火墙检测规则来暂时保护系统安全。