確定的征兆n以下描述的5種類型的候選事件是真正事故的確定的征兆。 也就是說，它們能清楚地表明事故正在進行或已經(jīng)發(fā)生。在這些情況下，必須采

取迅速的應對措施。

①隱匿賬號的使用：許多網(wǎng)絡服務器都保留有默認賬號，并且還存在這樣一些賬號：屬于前任員工的、不享有遠程訪問權(quán)限的休假員工的，或是用于系統(tǒng)測試的虛擬賬號。如果有任何使用這些賬號訪問系統(tǒng)資源、查詢服務器或參與其他活動，就幾乎可以肯定一個事故已經(jīng)發(fā)生。

②曰志的變更：明智的系統(tǒng)管理員會把系統(tǒng)日志與數(shù)據(jù)一同備份。作為常規(guī)事故掃描的一部分，系統(tǒng)管理員可以將這些日志與聯(lián)機版本相比較，以確定它們是否被更改。如果被更改，而系統(tǒng)管理員又不能完全確定這是一個授權(quán)人員的作為，那么事故就已經(jīng)發(fā)生了。

③黑客工具的出現(xiàn)：網(wǎng)絡管理員有時使用系統(tǒng)漏洞或網(wǎng)絡評估工具來掃描內(nèi)部的計算機和網(wǎng)絡，以確定黑客會在此發(fā)現(xiàn)什么。這些工具過去常用來進行攻擊態(tài)勢研究。但它們卻時常被員工、承包人或外來人員使用，他們通過訪問本地網(wǎng)絡來侵入系統(tǒng)。為了解決這類問題，許多機構(gòu)完全禁止在沒有得到CISO許可的情況下而使用這些工具的行為，這使得任何未授權(quán)的安裝都違反規(guī)定。大多數(shù)進行滲透測試操作的機構(gòu)都要求把所有這類工具的使用限制在特定系統(tǒng)中， 這樣就使得人們不能在一般網(wǎng)絡上使用這類工具，除非正在進行活動的滲透測試。

④助手或伙伴的通知：如果一個商業(yè)伙伴或另一個有關(guān)機構(gòu)報告說有一個來自你的計算機系統(tǒng)的攻擊，那么，事故就已經(jīng)發(fā)生了。

⑤黑客的通知：一些黑客喜歡捉弄他們的攻擊目標。一個機構(gòu)的網(wǎng)頁如果遭到損壞，這就是一個事故；如果機構(gòu)遭到勒索，要求用金錢來交換其客戶的信用卡信息，那么，事故也已經(jīng)發(fā)生了。

發(fā)生真正的事故。一旦下列真正事故被確定后，必須立即采取相應的應對措施：

④可用性喪失：信息或信息系統(tǒng)變得不可用。

②完整性喪失：用戶報告說出現(xiàn)了被破壞的數(shù)據(jù)文件、垃圾數(shù)據(jù)或看似錯誤的數(shù)據(jù)。

③機密性喪失：你被告知敏感信息泄露，或你認為受到保護的信息被泄露。

④違反政策：如果機構(gòu)的處理信息或信息安全的政策被違反，則事故發(fā)生。 
       ⑤違反法律：如果有人違反法律，破壞機構(gòu)信息資源，則事故發(fā)生。