事故遏制策略。IR最關(guān)鍵的部分之一是阻止事故或者限制其范圍與影響。 事故遏制策略根據(jù)事故及其造成的損失而不同。但在事故被阻止或遏制住之前， 必須識(shí)別出受影響部分?，F(xiàn)在還不適宜對(duì)受影響部分進(jìn)行詳細(xì)分析；那些任務(wù)需在事故之后，在討論過程中執(zhí)行。取而代之的是，對(duì)信息和系統(tǒng)做出一個(gè)的簡(jiǎn)單的識(shí)別可以決定要采取哪些遏制措施。事故遏制策略強(qiáng)調(diào)兩個(gè)任務(wù)：阻止事故和恢復(fù)對(duì)受影響系統(tǒng)的控制。

IR團(tuán)隊(duì)能夠通過幾項(xiàng)策略來阻止事故并恢復(fù)控制。如果事故產(chǎn)生于機(jī)構(gòu)外部，最簡(jiǎn)單和直接的辦法是中斷受影響的通信線路。當(dāng)然，如果機(jī)構(gòu)的一切業(yè)務(wù)都依賴于該線路，這樣做勢(shì)必過于極端；如果事故并不影響關(guān)鍵的功能部分，也許對(duì)其進(jìn)行監(jiān)控和另行限制會(huì)更可行。一些機(jī)構(gòu)使用的方案是動(dòng)態(tài)的使用過濾規(guī)則對(duì)某些類型的網(wǎng)絡(luò)訪問進(jìn)行限制。例如，如果一個(gè)威脅代理正利用簡(jiǎn)單網(wǎng)絡(luò)控制協(xié)議( SNMP)的漏洞攻擊網(wǎng)絡(luò)，那么在一般IP端口使用數(shù)據(jù)塊過濾器填補(bǔ)漏洞，就能在不危及網(wǎng)絡(luò)中其他服務(wù)安全的情況下阻止攻擊。根據(jù)攻擊的性質(zhì)以及機(jī)構(gòu)的技術(shù)能力，有時(shí)特殊控制可以為制定更為持久的控制策略贏得寶貴的時(shí)間。其他的遏制策略列舉如下：

*中止受威脅的用戶賬號(hào)

*重新配置防火墻以阻斷有問題的數(shù)據(jù)流量

*暫時(shí)中止受威脅的進(jìn)程和服務(wù)

*關(guān)閉應(yīng)用程序或服務(wù)器，例如電子郵件服務(wù)器

*關(guān)閉所有計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備

顯而易見，只有當(dāng)失去全部系統(tǒng)控制時(shí)，才會(huì)使用最后這個(gè)策略，此時(shí)睢一的希望是將數(shù)據(jù)保存在計(jì)算機(jī)內(nèi)以便事故解決后能夠恢復(fù)操作。IR團(tuán)隊(duì)采用IRP 里描述的程序來確定關(guān)閉時(shí)間的長(zhǎng)度。

再次考慮本章開始時(shí)的情景，如果發(fā)生的不是火災(zāi)，而是一次病毒攻擊事故， 那該怎么辦？如果關(guān)鍵事故響應(yīng)人員患病在家、去度假或因?yàn)槠渌虿辉冢怯衷撊绾危肯胍幌朐谀愕陌嗌匣蜣k公室里有多少人常常都不在，很多業(yè)務(wù)都涉及到出差，員工需要外出參加會(huì)議，研討會(huì)，培訓(xùn)，度假或其他多種要求?？紤]到這些可能性，那么準(zhǔn)備的重要性就變得清楚了，每個(gè)人都應(yīng)該知道怎樣處理一個(gè)事故，而并不是只有CISO和系統(tǒng)管理員才應(yīng)該知道這些。

事故升級(jí)。一個(gè)事故可能在涉及范圍或者嚴(yán)重程度上加劇到IRP不能夠充分處理的程度。與知道如何處理一個(gè)事故同樣重要的是，要知道到哪種程度應(yīng)該按下應(yīng)急按鈕并把事故升級(jí)為災(zāi)難，或者是把事故轉(zhuǎn)交給外部機(jī)構(gòu)，例如執(zhí)法機(jī)構(gòu)或其他公共事務(wù)響應(yīng)單位。在業(yè)務(wù)影響分析中，每個(gè)機(jī)構(gòu)必須確定出臨界點(diǎn)， 以識(shí)別一個(gè)事故何時(shí)被認(rèn)為是災(zāi)難。這些標(biāo)準(zhǔn)必須包含在事故響應(yīng)計(jì)劃當(dāng)中。 正如其他部分討論到的，機(jī)構(gòu)也必須記錄什么時(shí)候可以包含外部響應(yīng)者。事故升級(jí)是一種一旦發(fā)生就不能取消的事情，因此在什么時(shí)候和什么地方應(yīng)該使用它是非常重要的。