操作系统或业务系统遭到非法入侵时，应及时修改数据库管理员密码。

这道题的答案是**错误**。以下是详细解析： ### 核心原因分析 当操作系统或业务系统遭到非法入侵时，首要且最关键的应急措施是**隔离受影响的系统**和**切断网络连接**，而不是立即修改数据库管理员密码。理由如下： 1. **保护现场与证据留存**： * 在发生安全事件后，系统日志、内存数据、进程状态等都可能是追踪攻击者来源、分析攻击手法的重要证据。 * 立即修改密码或其他操作可能会覆盖日志、改变系统状态，从而破坏证据链，增加后续溯源和取证的难度。 2. **防止攻击者仍在系统中**： * 如果攻击者已经获得了系统的高级权限（如 Root 或 Administrator），他们可能已经安装了后门、木马或键盘记录器。 * 在这种情况下，直接在受感染的系统上修改密码，新密码可能会被攻击者窃取，导致修改无效，甚至让攻击者掌握新的凭证。 3. **正确的应急响应流程**： 标准的网络安全应急响应通常遵循以下步骤（PDCERF 模型等）： * **准备 (Preparation)** * **检测 (Detection)**：确认入侵事实。 * **抑制 (Containment)**：**这是第一步关键动作**。应立即断开网络连接、隔离受损主机，防止攻击扩散或数据继续泄露。 * **根除 (Eradication)**：在隔离环境下，清除恶意软件、修补漏洞。 * **恢复 (Recovery)**：在确保系统干净后，恢复业务，并在此时**重置所有相关账户的密码**（包括数据库管理员密码）。 * **跟踪 (Follow-up)**：总结报告，改进策略。 ### 正确做法 在发现非法入侵后，应按以下顺序操作： 1. **立即断网/隔离**：防止攻击者进一步控制其他系统或窃取更多数据。 2. **保留现场**：不要随意重启服务器或删除文件，以便进行 forensic analysis（数字取证）。 3. **评估损失与范围**：确定哪些系统、哪些账户受到影响。 4. **清除威胁**：使用干净的环境或工具清除恶意程序。 5. **重置凭证**：在确认系统安全后，再修改数据库管理员及其他关键账户的密码，并确保新密码强度足够。 6. **补丁与加固**：修复导致入侵的安全漏洞。 ### 总结 “及时修改数据库管理员密码”虽然是必要的安全措施，但**不是在入侵发生时的第一响应动作**。在未隔离系统和清除威胁前修改密码，不仅可能无效，还可能破坏取证现场。因此，该说法是错误的。