事故响应
真正的事故一旦被确定和正确分类,IR团队的工作就要从检测阶段转移到响应阶段。制定响应措施是为了阻止事故、削弱其影响以及为从事故中恢复提供信息。在事故响应阶段,IR团队及其他部门采取的一系列行动措施必须迅速且同时执行。一份有效的IRP会排列并记录上述措施,以便在事故中台邑及时参照。这些措施包括通知关键人员、任务安排以及事故的文档记录。
通知关键人员。一旦IR团队确定事故发生,必须按合理的次序通知相应人员。多数响应部门,诸如消防队或军队,都为紧急情况保留执勤人员。执勤名单是一种文档记录,它包含在事故发生时需要通知人员的联系信息。
有两种方法启动执勤名单:顺序启动和分级启动。顺序执勤名单需要一个联系人,以呼叫记录上的每一个人员。分级执勤名单需要第一个人呼叫记录上的指定人员,再由他们依次呼叫其他的人员,等等。每一种方案都有其长处和短处,分级系统更迅速一些,因为同一时间能通知更多的人员,但由于消息在每人之间传递,可能会产生歪曲。而顺序系统则更准确一些,但由于只是一个人传递消息,所以会慢一些。
报警消息是对事故的描述,它含有足够的信息以使每一个响应人员了解需要执行IRP的哪一部分,而不会对通知进程造成阻挠。需要知道的是,并非每个人都会在执勤名单目录上,这一点是很重要的——因为上面只记录那些必须对具体的真正事故做出响应的人员。如同IRP任何一部分一样,执勤名单必须得到周期性地维护、测试以及演练来保持其有效性。
在这个阶段,执勤名单外的其他关键人员,比如一般主管,也必须被告知事故的发生。这要在事故被确定之后,但又要在媒体或外界了解之前。此外,一些事故作为安全上的训练考虑,需要告知员工,而一些作为安全尺度考虑,则不需要。 另外,如果确定事故与内部信息资源无关,或者说如果事故只是大规模攻击的一 部分,则需要通知其他的机构。例如,1999年末,Mafiaboy对多用途高可见度售货网络进行分布式拒绝服务攻击时,许多遭受攻击的目标机构纷纷向外界寻求帮助。在通常情况下,IR计划者应当预先确定通知谁以及何时通知,还应该提供对所需执行的附加措施的指导。
事故的文档记录。一旦事故被确定且开始通知进程以后,团队应该开始记录事故文档。文档记录中应包含当事故发生时,由谁、怎样、何时、何地、为什么以及怎样采取每一个行动。这种文档用来在事故之后作为对事故当中所采取的措施是否合理和有效的探讨研究。需要的话,它也可证实机构已尽其所能防止事故扩散。在法律上,万一事故对机构内外人员或使用目标机构系统的其他单位造成负面影响,应有的注意( clue care)标准可以保护机构。在以后的培训期间,事故文档也可用来模拟IRP的未来形式。