【正文】 第 3章 制定應(yīng)急計(jì)劃 內(nèi)容提要 ? ◎什么是應(yīng)急計(jì)劃 ? ◎應(yīng)急計(jì)劃的組成 ? ◎組合應(yīng)急計(jì)劃 ? ◎測(cè)試應(yīng)急計(jì)劃 什么是應(yīng)急計(jì)劃 ? 應(yīng)急計(jì)劃（ CP）的概念 應(yīng)急計(jì)劃（ CP）是指為處理意外事件做好準(zhǔn)備的全部過程。 CP 的內(nèi)容包括：探測(cè)事件的發(fā)生、對(duì)事件做出響應(yīng)以及從事件中恢復(fù)。 CP 的主要目標(biāo)：意外事件發(fā)生后，要在普通業(yè)務(wù)活動(dòng)遭受最小損失和破壞的條件下，恢復(fù)到普通操作模式 ——— 換句話說，是確保事情回到原來的狀態(tài)。 即使是在意外發(fā)生時(shí)，理想的 CP 應(yīng)該確保信息系統(tǒng)可以被機(jī)構(gòu)持續(xù)使用。 什么是應(yīng)急計(jì)劃 ? 應(yīng)急計(jì)劃的組成 應(yīng)急計(jì)劃有 3 個(gè)基本組成部分 ： ? 事故響應(yīng)計(jì)劃（ IRP） ? 災(zāi)難恢復(fù)計(jì)劃（ DRP） ? 業(yè)務(wù)連續(xù)性計(jì)劃（ BCP） IRP 把焦點(diǎn)放在對(duì)事件的及時(shí)響應(yīng)上 。 DRP則把焦點(diǎn)放在恢復(fù)主要場(chǎng)所（ primary site）的操作上。如果主要場(chǎng)所的操作不能被迅速恢復(fù)，例如，當(dāng)損失非常嚴(yán)重的時(shí)候，或者會(huì)在長(zhǎng)時(shí)間內(nèi)影響機(jī)構(gòu)的正?；顒?dòng)的時(shí)候， BCP 就會(huì)和 DRP 同時(shí)出現(xiàn)，使業(yè)務(wù)能夠在一個(gè)可供選擇的位置上繼續(xù)下去，直到機(jī)構(gòu)可以重新使用其主要場(chǎng)所或者選擇一個(gè)新的主要場(chǎng)所。 什么是應(yīng)急計(jì)劃 ? 應(yīng)急計(jì)劃的制定 根據(jù)一個(gè)機(jī)構(gòu)的大小及其商業(yè)理念，信息技術(shù)和信息安全主管可以： ? 把 CP的這三個(gè)組成部分作為一個(gè)整體的計(jì)劃來創(chuàng)建并開發(fā)， ? 單獨(dú)創(chuàng)建這 3 個(gè)部分，與一組能夠?qū)崿F(xiàn)持續(xù)性的連鎖程序組合起來。 在典型情況下，大型復(fù)雜機(jī)構(gòu)會(huì)單獨(dú)創(chuàng)建并開發(fā) 3 個(gè) CP 組成部分，因?yàn)槊總€(gè)組成部分在范圍、適用性和設(shè)計(jì)上都是不同的。小型機(jī)構(gòu)則趨向于采用單一計(jì)劃方法，由一組直截了當(dāng)?shù)幕謴?fù)策略組成。 什么是應(yīng)急計(jì)劃 ? 創(chuàng)建應(yīng)急計(jì)劃的 6 個(gè)步驟 ? 確定任務(wù)或業(yè)務(wù)的關(guān)鍵功能。確定出機(jī)構(gòu)中必需能進(jìn)行持續(xù)操作的操作區(qū)域。在災(zāi)難事件中，這些區(qū)域必須具有最高的優(yōu)先權(quán)，以允許資源（ 時(shí)間、金錢、人員等）的最佳分配。 ? 確定支持關(guān)鍵功能的資源。這些資源可能包括人員、計(jì)算能力、應(yīng)用程序、數(shù)據(jù)、服務(wù)、物理基礎(chǔ)設(shè)施以及文檔（表格，報(bào)告等）。 ? 預(yù)測(cè)潛在的突發(fā)事故或?yàn)?zāi)難。機(jī)構(gòu)先假定一個(gè)潛在的災(zāi)難，并且確定它會(huì)影響哪些功能。 ? 選擇應(yīng)急計(jì)劃策略。確定每個(gè)潛在災(zāi)難場(chǎng)面的應(yīng)付方法，并且擬出一個(gè)計(jì)劃以準(zhǔn)備對(duì)災(zāi)難做出響應(yīng)。 ? 實(shí)施選定的策略。一旦選定應(yīng)急計(jì)劃策略，機(jī)構(gòu)必須做出恰當(dāng)?shù)臏?zhǔn)備，草擬出策略，并且對(duì)員工進(jìn)行培訓(xùn)。 ? 測(cè)試和修訂應(yīng)急計(jì)劃。因?yàn)槁┒纯赡軙?huì)突然出現(xiàn)在計(jì)劃及其實(shí)施過程中。 什么是應(yīng)急計(jì)劃 ? 應(yīng)急計(jì)劃和應(yīng)急操作參與團(tuán)隊(duì) ? 事故響應(yīng)團(tuán)隊(duì)：通過探測(cè)、評(píng)估事故并對(duì)事故做出響應(yīng)來管理和執(zhí)行事故響應(yīng)計(jì)劃。 ? 災(zāi)難恢復(fù)團(tuán)隊(duì)：通過探測(cè)、評(píng)估事故和對(duì)事故做出響應(yīng)，并且還通過重建主要業(yè)務(wù)場(chǎng)所上的操作來管理和執(zhí)行災(zāi)難恢復(fù)計(jì)劃。 ? 業(yè)務(wù)連續(xù)團(tuán)隊(duì)：在突發(fā)性或?yàn)?zāi)難性事故發(fā)生時(shí)，通過建立和立即實(shí)施事故現(xiàn)場(chǎng)之外的操作來管理和執(zhí)行業(yè)務(wù)持續(xù)性計(jì)劃。 3 個(gè)團(tuán)隊(duì)在 CP 團(tuán)隊(duì)中都有作為代表的成員，在大型機(jī)構(gòu)中，這些團(tuán)隊(duì)是截然不同的實(shí)體，有著互不重疊的成員；在小型機(jī)構(gòu)中，這 4 個(gè)團(tuán)隊(duì)則可能會(huì)包括重疊的人員。 應(yīng)急計(jì)劃的組成 應(yīng)急計(jì)劃（ CP） 包含 3 個(gè)主要組成部分：事故響應(yīng)、災(zāi)難恢復(fù)以及業(yè)務(wù)連續(xù)性計(jì)劃。無論一個(gè)機(jī)構(gòu)是采取單一計(jì)劃方法還是帶有連鎖程序的多重計(jì)劃方法，每一個(gè) CP 的組成部分都必須得到重視以及完整的制定。 美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)（ NIST）中的計(jì)算機(jī)安全資源中心（ CSRC， Computersecurity Resource Center）這樣描述了 CP的必要性： CP應(yīng)該同任何通用支持系統(tǒng)，包括應(yīng)用程序使用的網(wǎng)絡(luò)備份、應(yīng)急及恢復(fù)計(jì)劃相并列。 CP應(yīng)該確保接口系統(tǒng)得到確認(rèn)以及應(yīng)急 /災(zāi)難計(jì)劃的協(xié)調(diào)一致。 事故響應(yīng) 計(jì)劃 在 CP 中， 意外事件被稱為事故 。 當(dāng)?shù)? 2 章中確定的威脅中的某一個(gè)變成真實(shí)的攻擊時(shí)，只要它具有以下所有的特征，它便被分類為信息安全事故： ? 它直接針對(duì)信息資產(chǎn) ? 它有實(shí)際的成功機(jī)會(huì) ? 它威脅到信息資源和資產(chǎn)的機(jī)密性、完整性和可用性 然后，事故響應(yīng)登場(chǎng)， IR 是一個(gè)響應(yīng)方法，而不是預(yù)防方法。 事故響應(yīng)計(jì)劃（ IRP）由一組詳細(xì)的步驟和程序組成 ，這些步驟和程序負(fù)責(zé)預(yù)測(cè)、探測(cè)以及減輕可能危及信息資源和資產(chǎn)的意外事件的影響。 IRP 被激活的時(shí)候通常是在一個(gè)事故導(dǎo)致最小損害 ——— 這個(gè)最小值由機(jī)構(gòu)預(yù)先設(shè)置的標(biāo)準(zhǔn)決定，此時(shí)業(yè)務(wù)操作受到很小或沒有受到毀壞。 事故響應(yīng) 計(jì)劃 準(zhǔn)備計(jì)劃 做事故響應(yīng)計(jì)劃要求 對(duì)信息系統(tǒng)及其所面臨的威脅有詳細(xì)的了解 。 事故響應(yīng)（ IR） 計(jì)劃團(tuán)隊(duì)希望制定一系列預(yù)先設(shè)定的響應(yīng)措施，用以在事故響應(yīng)的各個(gè)步驟中指導(dǎo)團(tuán)隊(duì)和信息安全人員。對(duì)事故響應(yīng)措施的預(yù)先設(shè)定使得機(jī)構(gòu)能夠?qū)μ綔y(cè)到的事故做出迅速而有效的響應(yīng)，而不會(huì)出現(xiàn)一片混亂的情況或者浪費(fèi)時(shí)間和工夫 。 IR 團(tuán)隊(duì)由專業(yè)人員組成，他們能夠處理使信息系統(tǒng)和功能區(qū)受到影響的事故。 團(tuán)隊(duì)的每位成員必須了解他的具體職責(zé)，與其他成員一同努力，并完成 IRP 的目標(biāo)。 事故探測(cè) 每一個(gè)事故響應(yīng)（ IR）團(tuán)隊(duì)所面臨的挑戰(zhàn)在于識(shí)別一個(gè)探測(cè)到的活動(dòng)是正常使用系統(tǒng)的結(jié)果還是真正的事故。最終用戶的初始報(bào)告、入侵檢測(cè)系統(tǒng)、基于主機(jī)和網(wǎng)絡(luò)的病毒探測(cè)軟件以及系統(tǒng)管理員，都是追蹤和探測(cè)候選事故的方法 。 在報(bào)告候選事故方面的悉心訓(xùn)練可以使最終用戶、平臺(tái)技術(shù)支持人員以及所有安全人員能夠?qū)㈥P(guān)鍵信息傳遞給 IR 團(tuán)隊(duì)。 為了使得對(duì)真正事故的探測(cè)更為可靠， 劃定了事故征兆的 3 種類型： 可能的 、 很可能的 以及 確定的 。 事故探測(cè) ?