Процедуры восстановления - архивные копии
Нельзя преувеличить роль хорошей стратегии архивных копий. Архивные копии файловой системы не только защищают вас в случае аппаратного сбоя или случайного удаления файлов, но также защищают вас от несанкционированных изменений, сделанных злоумышленником. Не имея копии исходной версии файлов, трудно произвести обратные изменения в файлах после того, как их изменил атакующий.
Архивные копии, особенно ежедневные, могут быть полезны при слежении за действиями злоумышленника. Просмотр старых архивных копий поможет установить, когда он в первый раз проник в вашу систему. Злоумышленники могут создавать файлы, которые потом уда- ляют, но эти файлы могут сохраниться на архивной ленте. Архивные копии могут также использоваться для протоколирования деятельнос- ти злоумышленника при описании ее сотрудникам МВД.
Хорошая стратегия архивных копий должна определять, что как минимум один раз в месяц производится сброс информации всей АС на ленты. Частичные дампы должны производиться как минимум два раза в неделю, а в идеале ежедневно. Следует использовать специальные команды, предназначенные для выполнения архивных копий (например, "dump" в UNIX или "BACKUP" в VMS), а не простые команды копирования файлов при производстве архивных копий, так как эти средства разработаны для облегчения восстановления.