事故遏制策略。IR最關鍵的部分之一是阻止事故或者限制其范圍與影響。 事故遏制策略根據(jù)事故及其造成的損失而不同。但在事故被阻止或遏制住之前， 必須識別出受影響部分。現(xiàn)在還不適宜對受影響部分進行詳細分析；那些任務需在事故之后，在討論過程中執(zhí)行。取而代之的是，對信息和系統(tǒng)做出一個的簡單的識別可以決定要采取哪些遏制措施。事故遏制策略強調兩個任務：阻止事故和恢復對受影響系統(tǒng)的控制。

IR團隊能夠通過幾項策略來阻止事故并恢復控制。如果事故產生于機構外部，最簡單和直接的辦法是中斷受影響的通信線路。當然，如果機構的一切業(yè)務都依賴于該線路，這樣做勢必過于極端；如果事故并不影響關鍵的功能部分，也許對其進行監(jiān)控和另行限制會更可行。一些機構使用的方案是動態(tài)的使用過濾規(guī)則對某些類型的網(wǎng)絡訪問進行限制。例如，如果一個威脅代理正利用簡單網(wǎng)絡控制協(xié)議( SNMP)的漏洞攻擊網(wǎng)絡，那么在一般IP端口使用數(shù)據(jù)塊過濾器填補漏洞，就能在不危及網(wǎng)絡中其他服務安全的情況下阻止攻擊。根據(jù)攻擊的性質以及機構的技術能力，有時特殊控制可以為制定更為持久的控制策略贏得寶貴的時間。其他的遏制策略列舉如下：

*中止受威脅的用戶賬號

*重新配置防火墻以阻斷有問題的數(shù)據(jù)流量

*暫時中止受威脅的進程和服務

*關閉應用程序或服務器，例如電子郵件服務器

*關閉所有計算機和網(wǎng)絡設備

顯而易見，只有當失去全部系統(tǒng)控制時，才會使用最后這個策略，此時睢一的希望是將數(shù)據(jù)保存在計算機內以便事故解決后能夠恢復操作。IR團隊采用IRP 里描述的程序來確定關閉時間的長度。

再次考慮本章開始時的情景，如果發(fā)生的不是火災，而是一次病毒攻擊事故， 那該怎么辦？如果關鍵事故響應人員患病在家、去度假或因為其他原因不在，那又該如何？想一想在你的班上或辦公室里有多少人常常都不在，很多業(yè)務都涉及到出差，員工需要外出參加會議，研討會，培訓，度假或其他多種要求。考慮到這些可能性，那么準備的重要性就變得清楚了，每個人都應該知道怎樣處理一個事故，而并不是只有CISO和系統(tǒng)管理員才應該知道這些。

事故升級。一個事故可能在涉及范圍或者嚴重程度上加劇到IRP不能夠充分處理的程度。與知道如何處理一個事故同樣重要的是，要知道到哪種程度應該按下應急按鈕并把事故升級為災難，或者是把事故轉交給外部機構，例如執(zhí)法機構或其他公共事務響應單位。在業(yè)務影響分析中，每個機構必須確定出臨界點， 以識別一個事故何時被認為是災難。這些標準必須包含在事故響應計劃當中。 正如其他部分討論到的，機構也必須記錄什么時候可以包含外部響應者。事故升級是一種一旦發(fā)生就不能取消的事情，因此在什么時候和什么地方應該使用它是非常重要的。