确认恶意程式码爆发是否已经发生。

这个步骤的目标是要确定是否已经发生恶意程式码爆发。恶意程式码爆发的典型征兆包含下列的一些或全部状况：
>用户抱怨接达互联网缓慢，系统资源减少，磁碟接达缓慢，或系统启动缓慢；
>主机入侵侦测系统（HIDS），或抗电脑病毒或恶意程式码侦测软件产生一些警告；
>网络的使用明显增加；
>周边路由器或防火墙已经记录到一些违反接达进入；
>侦测到来源于内部互联网规约地址的对外简单邮递传送规约(SMTP)通讯激增；
>侦测到大量的埠扫描以及连结失败的企图；
>系统管理者注意到不寻常的典型网络通讯流来源；
>许多主机上的保安控制如抗电脑病毒软件与个人防火墙遭到关闭；
>一般性的系统不稳定与失败；

若发现上述的任何一项征兆，资讯科技人员应该立即检查并验证所有可疑活动，以便确定爆发是否发生。一旦确认这是恶意程式码引致的违反保安事件，搜集关于该恶意程式码的资讯是很重要的，因为这是遏制与杜绝程序所必需的。

若这种恶意程式码已经从抗电脑病毒与恶意程式码侦测软件的覆检以及防火墙与路由器记录档检查中得知存在一段时间，就可以从抗电脑病毒软件经销商网站获得该恶意程式码的资讯。下列问题能够帮助辨别恶意程式码的特征：
>这是那一种类的恶意程式码（网络蠕虫，大量邮件蠕虫，或是特洛伊木马等？）
>这种恶意程式码如何散播（透过具漏洞的网络服务攻击？还是透过大量邮件）？
>如果恶意程式码透过攻击具漏洞的网络服务来散播，那什么漏洞会遭到攻击？处理该漏洞的修补程式是否已经公布？什么服务或埠会遭到攻击？
>恶意程式码是否在受感染的系统上植入后门？
>如何从受影响的系统上移除恶意程式码？有任何可用的移除工具吗？

执行初步评估

一旦一项爆发已经辨别出来，资讯科技人员应该评估爆发的范围、损害及冲击，以便做有效处理。

记录所有采取的措施

资讯科技人员应该记录所有处理爆发的采取措施以及任何反应的结果。这些记录有助确认和评估事故，为检控提供证据，并为及后的事故处理阶段提供有用的资料。整个保安事故应变过程都应保留记录。

<回上一页