事故恢復(fù)

一旦事故已經(jīng)受到抑制，并且系統(tǒng)控制已經(jīng)恢復(fù)，就可以開始進行事故恢復(fù)了。如同在事故響應(yīng)階段過程中一樣，第一個任務(wù)是通知合適的人員。幾乎同時，IR團隊必須全面地了解損失程度以便確定必須做些什么工作才能恢復(fù)系統(tǒng)。 每個有關(guān)人員都應(yīng)該根據(jù)IRP中關(guān)于事故恢復(fù)的適當(dāng)部分來開始恢復(fù)操作。

立即確定信息的機密性、完整性和有效性以及信息資產(chǎn)受到的破壞范圍的過程叫做事故損壞性評估。事故評估可能會花費數(shù)天或者數(shù)周的時間，這取決于損壞的程度。損害可以從較小程度（一個好奇黑客的窺探）一直到很嚴(yán)重（一個蠕蟲或病毒對數(shù)百個計算機系統(tǒng)的感染）。同事故響應(yīng)文檔一樣，系統(tǒng)日志、入侵檢測日志、配置日志和其他的文檔也提供了關(guān)于損害的類型、范圍和程度的信息。IR 團隊利用這些信息來評估信息和信息系統(tǒng)的當(dāng)前狀態(tài)，并且把它和已知的狀態(tài)相比較。如果事故是犯罪的一部分或者導(dǎo)致民事訴訟，則記錄真實事故所造成損害的個人必須接受培訓(xùn)以收集并保存證據(jù)。

一旦損害的程度被確定下來，恢復(fù)過程就開始了。這個過程包括以下步驟：

*確定造成事故發(fā)生以及傳播的漏洞，解決它們。

*重點關(guān)注那些不能成功阻止或限制事故的安全措施，以及從一開始就缺少的安全措施，安裝、替換或者升級。

*評估監(jiān)控能力（如果提出）。改進探測和報告方法，或者安裝新的監(jiān)控設(shè)施。

*從備份中恢復(fù)數(shù)據(jù)。IR團隊必須理解機構(gòu)所使用的備份策略，恢復(fù)備份中包含的數(shù)據(jù)，然后使用適當(dāng)?shù)幕謴?fù)過程，從逐漸增加的備份或數(shù)據(jù)庫日志中重新創(chuàng)建在上次備份以后創(chuàng)建或修改的所有數(shù)據(jù)。

*恢復(fù)使用中的服務(wù)和進程。必須檢查受到威脅的服務(wù)和進程，然后整理并恢復(fù)它們。如果服務(wù)或進程在重新獲得系統(tǒng)控制的過程中受到中斷，則它們需要在線恢復(fù)。

*連續(xù)監(jiān)視系統(tǒng)。如果一個事故曾經(jīng)發(fā)生，那么它很可能再次發(fā)生。黑客經(jīng)常在聊天室里自夸他們的功績并且向同伴們挑戰(zhàn)。如果談話被傳播出來，其他受到誘導(dǎo)的人可能會試圖采用同樣或者不同的辦法攻擊你的系統(tǒng)。因此在整個IR過程期間保持警惕是很重要的。

*恢復(fù)機構(gòu)內(nèi)利益共同團成員之間的信任。IR可能希望發(fā)行一個簡短的備忘錄略述事故，并且確保事故得到處理以及損害受到控制。如果只是一場較小的事故，則可以這樣做。如果事故較大或者對系統(tǒng)或數(shù)據(jù)造成了嚴(yán)重的損害，別要向用戶保證能盡快地恢復(fù)正常操作，其目的是防止恐慌或者混亂引起機構(gòu)內(nèi)部操作的其他混亂。

在恢復(fù)常規(guī)職責(zé)之前，IR團隊必須進行事后回顧(AAR，after-action review)。 事后回顧對出現(xiàn)的事件進行全面而又詳細的檢查，’檢查的時間段從該事件第一次被探測到，一直持續(xù)到最后恢復(fù)。所有關(guān)鍵操作人員都要回顧他們自己的記錄并且檢查IR文檔的準(zhǔn)確性和精確性。團隊的所有成員則要回顧他們在事故期間的行為，并確定出IR計劃在哪些地方是有效的、無效的或者是應(yīng)該改進的。這個練習(xí)允許團隊不斷改進IRP，AAR可以作為一種訓(xùn)練的案例被使用到對未來員工的培訓(xùn)過程中。IR團隊的活動至此結(jié)束。