事故恢復(fù)

一旦事故已經(jīng)受到抑制，并且系統(tǒng)控制已經(jīng)恢復(fù)，就可以開(kāi)始進(jìn)行事故恢復(fù)了。如同在事故響應(yīng)階段過(guò)程中一樣，第一個(gè)任務(wù)是通知合適的人員。幾乎同時(shí)，IR團(tuán)隊(duì)必須全面地了解損失程度以便確定必須做些什么工作才能恢復(fù)系統(tǒng)。 每個(gè)有關(guān)人員都應(yīng)該根據(jù)IRP中關(guān)于事故恢復(fù)的適當(dāng)部分來(lái)開(kāi)始恢復(fù)操作。

立即確定信息的機(jī)密性、完整性和有效性以及信息資產(chǎn)受到的破壞范圍的過(guò)程叫做事故損壞性評(píng)估。事故評(píng)估可能會(huì)花費(fèi)數(shù)天或者數(shù)周的時(shí)間，這取決于損壞的程度。損害可以從較小程度（一個(gè)好奇黑客的窺探）一直到很?chē)?yán)重（一個(gè)蠕蟲(chóng)或病毒對(duì)數(shù)百個(gè)計(jì)算機(jī)系統(tǒng)的感染）。同事故響應(yīng)文檔一樣，系統(tǒng)日志、入侵檢測(cè)日志、配置日志和其他的文檔也提供了關(guān)于損害的類(lèi)型、范圍和程度的信息。IR 團(tuán)隊(duì)利用這些信息來(lái)評(píng)估信息和信息系統(tǒng)的當(dāng)前狀態(tài)，并且把它和已知的狀態(tài)相比較。如果事故是犯罪的一部分或者導(dǎo)致民事訴訟，則記錄真實(shí)事故所造成損害的個(gè)人必須接受培訓(xùn)以收集并保存證據(jù)。

一旦損害的程度被確定下來(lái)，恢復(fù)過(guò)程就開(kāi)始了。這個(gè)過(guò)程包括以下步驟：

*確定造成事故發(fā)生以及傳播的漏洞，解決它們。

*重點(diǎn)關(guān)注那些不能成功阻止或限制事故的安全措施，以及從一開(kāi)始就缺少的安全措施，安裝、替換或者升級(jí)。

*評(píng)估監(jiān)控能力（如果提出）。改進(jìn)探測(cè)和報(bào)告方法，或者安裝新的監(jiān)控設(shè)施。

*從備份中恢復(fù)數(shù)據(jù)。IR團(tuán)隊(duì)必須理解機(jī)構(gòu)所使用的備份策略，恢復(fù)備份中包含的數(shù)據(jù)，然后使用適當(dāng)?shù)幕謴?fù)過(guò)程，從逐漸增加的備份或數(shù)據(jù)庫(kù)日志中重新創(chuàng)建在上次備份以后創(chuàng)建或修改的所有數(shù)據(jù)。

*恢復(fù)使用中的服務(wù)和進(jìn)程。必須檢查受到威脅的服務(wù)和進(jìn)程，然后整理并恢復(fù)它們。如果服務(wù)或進(jìn)程在重新獲得系統(tǒng)控制的過(guò)程中受到中斷，則它們需要在線(xiàn)恢復(fù)。

*連續(xù)監(jiān)視系統(tǒng)。如果一個(gè)事故曾經(jīng)發(fā)生，那么它很可能再次發(fā)生。黑客經(jīng)常在聊天室里自夸他們的功績(jī)并且向同伴們挑戰(zhàn)。如果談話(huà)被傳播出來(lái)，其他受到誘導(dǎo)的人可能會(huì)試圖采用同樣或者不同的辦法攻擊你的系統(tǒng)。因此在整個(gè)IR過(guò)程期間保持警惕是很重要的。

*恢復(fù)機(jī)構(gòu)內(nèi)利益共同團(tuán)成員之間的信任。IR可能希望發(fā)行一個(gè)簡(jiǎn)短的備忘錄略述事故，并且確保事故得到處理以及損害受到控制。如果只是一場(chǎng)較小的事故，則可以這樣做。如果事故較大或者對(duì)系統(tǒng)或數(shù)據(jù)造成了嚴(yán)重的損害，別要向用戶(hù)保證能盡快地恢復(fù)正常操作，其目的是防止恐慌或者混亂引起機(jī)構(gòu)內(nèi)部操作的其他混亂。

在恢復(fù)常規(guī)職責(zé)之前，IR團(tuán)隊(duì)必須進(jìn)行事后回顧(AAR，after-action review)。 事后回顧對(duì)出現(xiàn)的事件進(jìn)行全面而又詳細(xì)的檢查，’檢查的時(shí)間段從該事件第一次被探測(cè)到，一直持續(xù)到最后恢復(fù)。所有關(guān)鍵操作人員都要回顧他們自己的記錄并且檢查IR文檔的準(zhǔn)確性和精確性。團(tuán)隊(duì)的所有成員則要回顧他們?cè)谑鹿势陂g的行為，并確定出IR計(jì)劃在哪些地方是有效的、無(wú)效的或者是應(yīng)該改進(jìn)的。這個(gè)練習(xí)允許團(tuán)隊(duì)不斷改進(jìn)IRP，AAR可以作為一種訓(xùn)練的案例被使用到對(duì)未來(lái)員工的培訓(xùn)過(guò)程中。IR團(tuán)隊(duì)的活動(dòng)至此結(jié)束。