由于恢复阶段可以采取重装系统这一简单有效的办法达到初始运行状态，因此再介绍一下重装系统的步骤和需要注意的事项。

1、重装系统时应采取的步骤

（1）重新安装操作系统之前要确定所有资料已经备份。

备份的资料要保证是没有被攻击者改变的干净的资料。

（2）低级格式化硬盘，确保所有磁盘分区为系统的安全分区。

（3）操作系统、Web主目录、日志分别安装在不同的分区，注意权限配置。

（4）不要安装不需要的软件、协议和服务，尽量最小化安装。

（5）安全加固请参阅安全配制文档并打上所有的补丁。

（6）安装应用软件如IIS，应参照安全配置文档进行配置。

（7）安装操作系统和应用软件的最新补丁。

（8）恢复备份的资料。

（9）恢复业务系统。

2、重装系统时的注意事项

（1）为了彻底消除攻击者可能留下的安全隐患，一定进行低级格式化。

这样做将删除所有的资料并且没有办法再恢复，所以一定要做好备份工作。

（2）在重新安装系统的时候要严格遵守系统安装的各项规定。

（3）系统在安装和安全配置没有全部做好之前，严禁连接网络。

（4）恢复系统的应用和数据的时候，要对应用和数据进行检查。

以免其中存在的漏洞随着数据恢复被安装在系统上。

安全加固及系统初始化:在系统重装完毕后，正式上线以前，必须做好以下两件事情。

1、安全加固进行系统的安全加固工作；尤其要注意对引发安全事件的漏洞的修复和加固的处理，如果手册上没有，要及时对手册进行更新。

2、安全快照在进行安全加固后，按照第一阶段介绍的方法做好系统的安全快照

05跟进阶段

跟进（Follow-up）阶段的目的是通过对系统的审计（进行完整的检测流程），确认系统有没有被再入侵。

在检测过程中特别应该注意的是检查抑制和根除阶段的工作效果。

同时回顾、总结并整合发生应急响应事件过程中的相关信息。

提高事件处理人员技能，以应付将来发生的类似场景。

提高安全事件应急响应的处理能力。

跟进的意义在于：

（1）基于吸取的教训重新评估和修改安全事件应急响应相关措施；

（2）调整组织的安全技术策略；

（3）调整组织的安全管理策略和资源配置；

（4）促进安全事件应急响应能力和组织机构的建设。

跟进阶段对抑制或根除的效果进行审计，从而为确认系统没有被再次入侵提供了帮助。

跟进阶段工作内容：

跟进阶段是应急响应的最后一个阶段，主要是对抑制或根除的效果进行审计，确认系统没有被再次入侵。

下面将详细说明跟进阶段的工作要如何进行、在何时进行比较合适、具体的工作流程、要思考和总结的问题以及需要报告的内容。

跟进阶段的主要任务是确认系统有没有被再入侵，确认系统有没有被再入侵是通过对抑制或根除的效果进行审计完成的。

这种审计是一个需要定期进行的过程。

通常，第一次审计应该在一定期限之内进行，以后再进行复查，并输出跟进阶段的报告内容，包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等。