信息安全管理之应急计划的组成部分事故响应二

事故遏制策略。IR最关键的部分之一是阻止事故或者限制其范围与影响。 事故遏制策略根据事故及其造成的损失而不同。但在事故被阻止或遏制住之前， 必须识别出受影响部分。现在还不适宜对受影响部分进行详细分析；那些任务需在事故之后，在讨论过程中执行。取而代之的是，对信息和系统做出一个的简单的识别可以决定要采取哪些遏制措施。事故遏制策略强调两个任务：阻止事故和恢复对受影响系统的控制。

IR团队能够通过几项策略来阻止事故并恢复控制。如果事故产生于机构外部，最简单和直接的办法是中断受影响的通信线路。当然，如果机构的一切业务都依赖于该线路，这样做势必过于极端；如果事故并不影响关键的功能部分，也许对其进行监控和另行限制会更可行。一些机构使用的方案是动态的使用过滤规则对某些类型的网络访问进行限制。例如，如果一个威胁代理正利用简单网络控制协议( SNMP)的漏洞攻击网络，那么在一般IP端口使用数据块过滤器填补漏洞，就能在不危及网络中其他服务安全的情况下阻止攻击。根据攻击的性质以及机构的技术能力，有时特殊控制可以为制定更为持久的控制策略赢得宝贵的时间。其他的遏制策略列举如下：

*中止受威胁的用户账号

*重新配置防火墙以阻断有问题的数据流量

*暂时中止受威胁的进程和服务

*关闭应用程序或服务器，例如电子邮件服务器

*关闭所有计算机和网络设备

显而易见，只有当失去全部系统控制时，才会使用最后这个策略，此时睢一的希望是将数据保存在计算机内以便事故解决后能够恢复操作。IR团队采用IRP 里描述的程序来确定关闭时间的长度。

再次考虑本章开始时的情景，如果发生的不是火灾，而是一次病毒攻击事故， 那该怎么办？如果关键事故响应人员患病在家、去度假或因为其他原因不在，那又该如何？想一想在你的班上或办公室里有多少人常常都不在，很多业务都涉及到出差，员工需要外出参加会议，研讨会，培训，度假或其他多种要求。考虑到这些可能性，那么准备的重要性就变得清楚了，每个人都应该知道怎样处理一个事故，而并不是只有CISO和系统管理员才应该知道这些。

事故升级。一个事故可能在涉及范围或者严重程度上加剧到IRP不能够充分处理的程度。与知道如何处理一个事故同样重要的是，要知道到哪种程度应该按下应急按钮并把事故升级为灾难，或者是把事故转交给外部机构，例如执法机构或其他公共事务响应单位。在业务影响分析中，每个机构必须确定出临界点， 以识别一个事故何时被认为是灾难。这些标准必须包含在事故响应计划当中。 正如其他部分讨论到的，机构也必须记录什么时候可以包含外部响应者。事故升级是一种一旦发生就不能取消的事情，因此在什么时候和什么地方应该使用它是非常重要的。