【正文】 當(dāng)災(zāi)難爆發(fā)， DRP 被啟動時，有時最好的計劃也不足以解決實際的事故。 ? 啟動執(zhí)勤名單：執(zhí)勤名單和普通員工電話表用于通知需要的輔助人員，或者只是告訴職員不用上班，直到災(zāi)難結(jié)束為止。 危機(jī)管理 危機(jī)管理團(tuán)隊?wèi)?yīng)盡快在災(zāi)難現(xiàn)場附近建立控制中心，它的人員應(yīng)當(dāng)來自該機(jī)構(gòu)的各個職能部門，以利于相互的交流和合作。災(zāi)難恢復(fù)團(tuán)隊?wèi)?yīng)當(dāng)和危機(jī)管理團(tuán)隊緊密聯(lián)系以確保災(zāi)難期間可以進(jìn)行完整及時的交流。 危機(jī)管理 災(zāi)難恢復(fù)計劃也必須涉及另一個過程，即危機(jī)管理，許多機(jī)構(gòu)都單獨對這個過程進(jìn)行了計劃。 ? 第一張卡上有個人緊急信息 ——— 緊急情況下應(yīng)該通知的人、健康狀況和識別表單； ? 第二張卡上有一套指令，該指令指導(dǎo)緊急情況下該如何做。例如簡單地用動態(tài)主機(jī)控制協(xié)議（ DHCP）分配網(wǎng)絡(luò)地址代替靜態(tài)地址能使系統(tǒng)在沒有技術(shù)支持的情形下易于快速地重新建立連接。 ? 如果首要方案無法使用，總結(jié)出針對不同系統(tǒng)組件的可選實施方案：這些組件包括預(yù)備設(shè)備，它們是購買的或租用的，或者是與災(zāi)難恢復(fù)服務(wù)機(jī)構(gòu)的合同中規(guī)定的。 ? 災(zāi)難文檔：用于以后確定災(zāi)難是怎樣發(fā)生的以及發(fā)生原因。 ? 明確優(yōu)先級別：災(zāi)難響應(yīng)中，總是首先考慮保護(hù)人身安全。應(yīng)急計劃團(tuán)隊在災(zāi)難恢復(fù)計劃中必須考慮如下幾點： ? 明確角色與責(zé)任：指派給災(zāi)難恢復(fù)團(tuán)隊的每個人應(yīng)當(dāng)知道自己在事故期間的職責(zé)。 災(zāi)難計劃 根據(jù)把每種潛在災(zāi)難分為各級威脅的方法，應(yīng)急計劃團(tuán)隊進(jìn)行災(zāi)難計劃制定。 ? 緩慢發(fā)生的災(zāi)難 隨著時間的流逝，緩慢地降低機(jī)構(gòu)的經(jīng)受災(zāi)難的能力。 ? 人為災(zāi)難 ? 恐怖主義事件，包括網(wǎng)絡(luò)恐怖主義或者黑客集攻擊事件 ? 戰(zhàn)爭行為，以及有些人類行為 ? 自然災(zāi)害 ? 火災(zāi) 龍卷風(fēng)或風(fēng)暴 ? 水災(zāi) 颶風(fēng)或臺風(fēng) ? 地震 海嘯 ? 閃電 靜電釋放 ? 塌方或泥石流 灰塵污染 災(zāi)難分類 另一種方式是根據(jù)災(zāi)難發(fā)展的速度來給它們分類： ? 迅速出現(xiàn)的災(zāi)難 突然發(fā)生，少有警告，奪取人們的生命并且破壞生產(chǎn)方式。 DRP 的重要作用是： 決定如何在機(jī)構(gòu)的主要場所重建正常的工作。 災(zāi)難恢復(fù) 應(yīng)急計劃（ CP） 團(tuán)隊創(chuàng)建 災(zāi)難恢復(fù)計劃（ DRP）。依據(jù)犯罪的類型選擇合適的執(zhí)法機(jī)構(gòu)。（黑客自夸） ? 恢復(fù)機(jī)構(gòu)內(nèi)利益共同團(tuán)成員之間的信任。 ? 連續(xù)監(jiān)視系統(tǒng)。必須檢查受到威脅的服務(wù)和進(jìn)程，然后整理并恢復(fù)它們。 ? 從備份中恢復(fù)數(shù)據(jù)。 ? 評估監(jiān)控能力（如果提出）。這個過程包括以下步驟： 事故恢復(fù) ? 確定造成事故發(fā)生以及傳播的漏洞，解決它們。 IR團(tuán)隊利用這些信息來評估信息和信息系統(tǒng)的當(dāng)前狀態(tài)，并且把它和已知的狀態(tài)相比較。 ? 事故損壞性評估 指確定信息的機(jī)密性、完整性和有效性以及信息資產(chǎn)受到的破壞范圍的過程。這些標(biāo)準(zhǔn)必須包含在事故響應(yīng)計劃當(dāng)中。要知道到哪種程度應(yīng)該按下應(yīng)急按鈕并把事故升級為災(zāi)難，或者是把事故轉(zhuǎn)交給外部機(jī)構(gòu)。 ? 動態(tài)的使用過濾規(guī)則對某些類型的網(wǎng)絡(luò)訪問進(jìn)行限制。 對信息和系統(tǒng)做出一個的簡單的識別可以決定要采取哪些遏制措施 : ? 如果事故產(chǎn)生于機(jī)構(gòu)外部，最簡單和直接的辦法是中斷受影響的通信線路。 ? 在以后的培訓(xùn)期間，事故文檔也可用來模擬 IRP 的未來形式。 ? 這種文檔用來在事故之后作為對事故當(dāng)中所采取的措施是否合理和有效的探討研究。 事故響應(yīng) ? 事故的文檔記錄 一旦事故被確定且開始通知進(jìn)程以后，團(tuán)隊?wèi)?yīng)該開始記錄事故文檔。每一種方案都有其長處和短處，分級系統(tǒng)更迅速一些，因為同一時間能通知更多的人員，但由于消息在每人之間傳遞，可能會產(chǎn)生歪曲。執(zhí)勤名單是一種文檔記錄，它包含在事故發(fā)生時需要通知人員的聯(lián)系信息。這些措施包括通知關(guān)鍵人員、任務(wù)安排以及事故的文檔記錄。 事故響應(yīng) 真正的事故一旦被確定和正確分類，事故響應(yīng)（ IR）團(tuán)隊的工作就要從檢測階段轉(zhuǎn)移到響應(yīng)階段。 ? 違反政策：如果機(jī)構(gòu)的處理信息或信息安全的政策被違反，則事故發(fā)生。 ? 完整性喪失：用戶報告說出現(xiàn)了被破壞的數(shù)據(jù)文件、垃圾數(shù)據(jù)或看似錯誤的數(shù)據(jù) 。一個機(jī)構(gòu)的網(wǎng)頁如果遭到損壞，這就是一個事故；如果機(jī)構(gòu)遭到勒索，要求用金錢來交換其客戶的信用卡信息，那么，事故也已經(jīng)發(fā)生了。 ? 助手或伙伴的通知：如果一個商業(yè)伙伴或另一個有關(guān)機(jī)構(gòu)報告說有一個來自你的計算機(jī)系統(tǒng)的攻擊，那么，事故就已經(jīng)發(fā)生了 。這些工具過去常用來進(jìn)行攻擊態(tài)勢研究。如果被更改，而系統(tǒng)管理員又不能完全確定這是一個授權(quán)人員的作為，那么事故就已經(jīng)發(fā)生了 。 ? 日志的變更：明智的系統(tǒng)管理員會把系統(tǒng)日志與數(shù)據(jù)一同備份。 ? 隱匿賬號的使用：許多網(wǎng)絡(luò)服務(wù)器都保留有默認(rèn)賬號、屬于前任員工的、不享有遠(yuǎn)程訪問權(quán)限的休假員工的，或是用于系統(tǒng)測試的虛擬賬號。 ? IDS 的通知：如果機(jī)構(gòu)已經(jīng)安裝并正確配置了基于主機(jī)和網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ IDS），那么 IDS 的通知就表明一個事故正在進(jìn)行中 （可能錯報）。 ? 出現(xiàn)新賬號：定期檢查用戶賬號能發(fā)現(xiàn)管理員并不曾創(chuàng)建或并未記錄的賬號，一個具有超級權(quán)限但未記錄的新賬號極有可能是一個真正的事故。 事故探測 ? 很可能的征兆 以下 4 種候選事件可能成為真正事故： ? 預(yù)料時間段之外的活動：如果機(jī)構(gòu)的網(wǎng)絡(luò)傳送水平超出了原來衡量的基準(zhǔn)線的值，如果這種活動發(fā)生在機(jī)構(gòu)少數(shù)員工作時，可能性就會變得更高。 ? 異常的計算機(jī)資源消耗：例如，內(nèi)存或硬盤使用空間的猛然增加或下降。 事故探測 ? 可能的征兆 以下 4 種候選事件可能成為真正事故： ? 陌生文件的出現(xiàn)：例如，用戶可能在家里或辦公室的計算機(jī)上發(fā)現(xiàn)陌生的文件，而管理員也可能會發(fā)現(xiàn)一些邏輯上可疑的或不屬于授權(quán)用戶的不明文件。 在報告候選事故方面的悉心訓(xùn)練可以使最終用戶、平臺技術(shù)支持人員以及所有安全人員能夠?qū)㈥P(guān)鍵信息