事故遏制策略。IR最關(guān)鍵的部分之一是阻止事故或者限制其范圍與影響。 事故遏制策略根據(jù)事故及其造成的損失而不同。但在事故被阻止或遏制住之前， 必須識別出受影響部分。現(xiàn)在還不適宜對受影響部分進行詳細分析；那些任務(wù)需在事故之后，在討論過程中執(zhí)行。取而代之的是，對信息和系統(tǒng)做出一個的簡單的識別可以決定要采取哪些遏制措施。事故遏制策略強調(diào)兩個任務(wù)：阻止事故和恢復(fù)對受影響系統(tǒng)的控制。

IR團隊能夠通過幾項策略來阻止事故并恢復(fù)控制。如果事故產(chǎn)生于機構(gòu)外部，最簡單和直接的辦法是中斷受影響的通信線路。當(dāng)然，如果機構(gòu)的一切業(yè)務(wù)都依賴于該線路，這樣做勢必過于極端；如果事故并不影響關(guān)鍵的功能部分，也許對其進行監(jiān)控和另行限制會更可行。一些機構(gòu)使用的方案是動態(tài)的使用過濾規(guī)則對某些類型的網(wǎng)絡(luò)訪問進行限制。例如，如果一個威脅代理正利用簡單網(wǎng)絡(luò)控制協(xié)議( SNMP)的漏洞攻擊網(wǎng)絡(luò)，那么在一般IP端口使用數(shù)據(jù)塊過濾器填補漏洞，就能在不危及網(wǎng)絡(luò)中其他服務(wù)安全的情況下阻止攻擊。根據(jù)攻擊的性質(zhì)以及機構(gòu)的技術(shù)能力，有時特殊控制可以為制定更為持久的控制策略贏得寶貴的時間。其他的遏制策略列舉如下：

*中止受威脅的用戶賬號

*重新配置防火墻以阻斷有問題的數(shù)據(jù)流量

*暫時中止受威脅的進程和服務(wù)

*關(guān)閉應(yīng)用程序或服務(wù)器，例如電子郵件服務(wù)器

*關(guān)閉所有計算機和網(wǎng)絡(luò)設(shè)備

顯而易見，只有當(dāng)失去全部系統(tǒng)控制時，才會使用最后這個策略，此時睢一的希望是將數(shù)據(jù)保存在計算機內(nèi)以便事故解決后能夠恢復(fù)操作。IR團隊采用IRP 里描述的程序來確定關(guān)閉時間的長度。

再次考慮本章開始時的情景，如果發(fā)生的不是火災(zāi)，而是一次病毒攻擊事故， 那該怎么辦？如果關(guān)鍵事故響應(yīng)人員患病在家、去度假或因為其他原因不在，那又該如何？想一想在你的班上或辦公室里有多少人常常都不在，很多業(yè)務(wù)都涉及到出差，員工需要外出參加會議，研討會，培訓(xùn)，度假或其他多種要求。考慮到這些可能性，那么準備的重要性就變得清楚了，每個人都應(yīng)該知道怎樣處理一個事故，而并不是只有CISO和系統(tǒng)管理員才應(yīng)該知道這些。

事故升級。一個事故可能在涉及范圍或者嚴重程度上加劇到IRP不能夠充分處理的程度。與知道如何處理一個事故同樣重要的是，要知道到哪種程度應(yīng)該按下應(yīng)急按鈕并把事故升級為災(zāi)難，或者是把事故轉(zhuǎn)交給外部機構(gòu)，例如執(zhí)法機構(gòu)或其他公共事務(wù)響應(yīng)單位。在業(yè)務(wù)影響分析中，每個機構(gòu)必須確定出臨界點， 以識別一個事故何時被認為是災(zāi)難。這些標準必須包含在事故響應(yīng)計劃當(dāng)中。 正如其他部分討論到的，機構(gòu)也必須記錄什么時候可以包含外部響應(yīng)者。事故升級是一種一旦發(fā)生就不能取消的事情，因此在什么時候和什么地方應(yīng)該使用它是非常重要的。