1.4　攻擊

你可能會(huì)面臨多種方式和多個(gè)角度的攻擊。你可以根據(jù)攻擊的類(lèi)型、表現(xiàn)的攻擊風(fēng)險(xiǎn)以及可能用來(lái)緩解攻擊的控制措施對(duì)攻擊進(jìn)行具體區(qū)分。

1.4.1　攻擊類(lèi)型

攻擊通常分為四類(lèi)：攔截（interception）、中斷（interruption）、篡改（modification）和偽造（fabrication）。每類(lèi)都會(huì)影響CIA三要素中的一個(gè)或多個(gè)原則，如圖1-3所示。

攻擊類(lèi)型與效果之間的界限比較模糊。你可能會(huì)將攻擊歸類(lèi)為多種類(lèi)型，或多種效果。

1. 攔截

攔截攻擊允許未經(jīng)授權(quán)的用戶(hù)訪問(wèn)數(shù)據(jù)、應(yīng)用程序或環(huán)境，這種攻擊主要針對(duì)機(jī)密性的攻擊。攔截的形式可能包括未經(jīng)授權(quán)的查看或復(fù)制文件、竊聽(tīng)通話或讀取他人的電子郵件，你可以針對(duì)靜態(tài)或動(dòng)態(tài)數(shù)據(jù)（“靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)”部分將對(duì)其概念進(jìn)行解釋?zhuān)┻M(jìn)行處理。當(dāng)正確執(zhí)行時(shí)，可能很難檢測(cè)到攔截攻擊。

2. 中斷

中斷攻擊會(huì)使你的資產(chǎn)暫時(shí)或永久無(wú)法使用。這些攻擊通常會(huì)影響可用性，也會(huì)影響完整性。你可以把郵件服務(wù)器DoS攻擊歸類(lèi)為可用性攻擊。

另外，如果攻擊者操控?cái)?shù)據(jù)庫(kù)在其上運(yùn)行的進(jìn)程以阻止對(duì)其包含數(shù)據(jù)的訪問(wèn)，由于可能會(huì)發(fā)生數(shù)據(jù)丟失或損壞的情況，因此你可能將其看作完整性攻擊。你也可以將其視為兩種攻擊的結(jié)合。你還可以把這種數(shù)據(jù)庫(kù)攻擊視為篡改攻擊，而不是中斷攻擊。

3. 篡改

篡改攻擊涉及資產(chǎn)篡改。這類(lèi)攻擊主要是對(duì)完整性的攻擊，但也可視為對(duì)可用性的攻擊。如果以未經(jīng)授權(quán)的方式訪問(wèn)文件并更改其中的數(shù)據(jù)，則會(huì)影響文件數(shù)據(jù)的完整性。但是，如果文件是管理服務(wù)行為的配置文件（如作為Web服務(wù)器的文件），則更改文件的內(nèi)容可能會(huì)影響該服務(wù)的可用性。如果你在Web服務(wù)的文件中更改配置，導(dǎo)致服務(wù)處理加密連接的方式發(fā)生改變，你甚至可以稱(chēng)之為對(duì)機(jī)密性的攻擊。

4. 偽造

偽造攻擊涉及使用系統(tǒng)生成的數(shù)據(jù)、流程、通信或其他類(lèi)似的資料。與后兩種攻擊類(lèi)型一樣，偽造攻擊主要影響完整性，但也可能影響可用性。在數(shù)據(jù)庫(kù)中生成虛假信息就是一種偽造攻擊。你也可以生成電子郵件，這是傳播惡意軟件的常用方法。如果你生成足夠多的額外進(jìn)程、網(wǎng)絡(luò)流量、電子郵件、Web流量或任何其他消耗資源的東西，就可以使處理這類(lèi)流量的服務(wù)無(wú)法由合法用戶(hù)使用，從而進(jìn)行可用性攻擊。

1.4.2　威脅、漏洞和風(fēng)險(xiǎn)

為了更具體地討論攻擊，此處需要引入幾個(gè)新的術(shù)語(yǔ)。當(dāng)想了解攻擊如何影響自己時(shí)，你可以從威脅、漏洞和相關(guān)風(fēng)險(xiǎn)的角度進(jìn)行分析。

1. 威脅

我在本章開(kāi)篇談到你可能遇到的攻擊類(lèi)型時(shí)，談到了幾種可能損害你資產(chǎn)的攻擊類(lèi)型，如未經(jīng)授權(quán)篡改數(shù)據(jù)等?？傊?，威脅是指有可能造成損害的東西。威脅往往傾向于在特定環(huán)境下發(fā)生，特別是在信息安全領(lǐng)域。例如，一種病毒可能對(duì)Windows操作系統(tǒng)有影響，但不太可能對(duì)Linux操作系統(tǒng)產(chǎn)生影響。

2. 漏洞

漏洞是指弱點(diǎn)或脆弱性，威脅可以利用漏洞給你造成傷害。漏洞可能涉及正在運(yùn)行的特定操作系統(tǒng)或應(yīng)用程序，辦公樓的物理位置，布滿(mǎn)服務(wù)器導(dǎo)致溫度超過(guò)空調(diào)系統(tǒng)處理能力的數(shù)據(jù)中心，缺少備用發(fā)電機(jī)或其他因素。

3. 風(fēng)險(xiǎn)

風(fēng)險(xiǎn)是指壞事發(fā)生的可能性。要想使環(huán)境中出現(xiàn)風(fēng)險(xiǎn)，需要同時(shí)擁有威脅和可利用的漏洞。例如，如果你在木質(zhì)建筑附近生火，則既有威脅（火災(zāi)），也有相應(yīng)的漏洞（木質(zhì)結(jié)構(gòu)）。在這種情況下，你肯定面臨風(fēng)險(xiǎn)。

同樣，如果你有同樣的火災(zāi)威脅，但是采用了混凝土建筑，由于沒(méi)有威脅可利用的漏洞，因此就不會(huì)面臨風(fēng)險(xiǎn)。你可能會(huì)爭(zhēng)辯，火焰溫度足夠高時(shí)可能會(huì)損壞混凝土，但這種可能性要小得多。

我們經(jīng)常談到計(jì)算環(huán)境中潛在的但不太可能的攻擊。最好的策略是花時(shí)間減少最可能的攻擊。如果你把資源投向每一次可能發(fā)生的攻擊，無(wú)論可能性多低，你都會(huì)分散精力，反而造成最需要的地方缺乏保護(hù)。

4. 影響

一些組織，如美國(guó)國(guó)家安全局（National Security Agency，NSA），在威脅/漏洞/風(fēng)險(xiǎn)方程式中添加了一個(gè)稱(chēng)為“影響”的因素。影響將所受威脅的資產(chǎn)價(jià)值納入考慮，并利用它來(lái)計(jì)算后期風(fēng)險(xiǎn)。在備份磁帶示例中，如果你認(rèn)為未加密的磁帶中只有你收藏的巧克力餅干配方，那么實(shí)際上你可能沒(méi)有風(fēng)險(xiǎn)，因?yàn)楸┞兜臄?shù)據(jù)不包含任何敏感內(nèi)容，而且你可以從源數(shù)據(jù)進(jìn)行額外的備份。在這種情況下，你可以放心地說(shuō)沒(méi)有風(fēng)險(xiǎn)。

1.4.3　風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理流程可以抵消環(huán)境中的風(fēng)險(xiǎn)。圖1-4顯示了典型的高水平風(fēng)險(xiǎn)管理流程。

如你所見(jiàn)，你需要確定重要資產(chǎn)，找出它們面臨的潛在威脅，評(píng)估漏洞，然后采取措施緩解這些風(fēng)險(xiǎn)。

1. 確定資產(chǎn)

風(fēng)險(xiǎn)管理流程的第一步，也是最重要的一部分，就是確定你正在保護(hù)的資產(chǎn)。如果不能列舉你的資產(chǎn)并評(píng)估各項(xiàng)資產(chǎn)的重要性，那么對(duì)它們進(jìn)行保護(hù)就會(huì)成為一項(xiàng)艱巨的任務(wù)。

雖然這聽(tīng)起來(lái)可能非常簡(jiǎn)單，但實(shí)際存在的問(wèn)題會(huì)比表面上看來(lái)更復(fù)雜，特別是在大型企業(yè)中。在許多情況下，一個(gè)組織可能有不同代的硬件、從其他公司收購(gòu)的未知領(lǐng)域的資產(chǎn)，以及大量在用的未登記的虛擬主機(jī)，其中任何一項(xiàng)對(duì)業(yè)務(wù)連續(xù)運(yùn)行都至關(guān)重要。

一旦確定了正在使用的資產(chǎn)，確定哪些是關(guān)鍵業(yè)務(wù)資產(chǎn)就完全是另一個(gè)問(wèn)題了。要準(zhǔn)確確定哪些是對(duì)開(kāi)展業(yè)務(wù)真正關(guān)鍵的資產(chǎn)，通常需要考慮使用該資產(chǎn)的功能、支持該資產(chǎn)本身的功能，以及涉及的其他潛在功能。

2. 識(shí)別威脅

在列舉關(guān)鍵資產(chǎn)后，你可以開(kāi)始識(shí)別可能對(duì)這些資產(chǎn)造成影響的威脅。通過(guò)框架來(lái)討論威脅的性質(zhì)通常很有用，使用前面討論的CIA三要素或Parkerian六角模型就能很好地實(shí)現(xiàn)這一目的。

例如，我們使用Parkerian六角模型來(lái)檢查用于處理信用卡支付的應(yīng)用程序可能面臨的威脅。

·機(jī)密性。如果你不恰當(dāng)?shù)乇┞稊?shù)據(jù)，就可能會(huì)遭到潛在破壞。

·完整性。如果數(shù)據(jù)損壞，你可能會(huì)錯(cuò)誤地處理付款流程。

·可用性。如果系統(tǒng)或應(yīng)用程序出現(xiàn)故障，你將無(wú)法處理付款。

·擁有。如果你丟失了備份介質(zhì)，你可能會(huì)遭到潛在破壞。

·真實(shí)性。如果你沒(méi)有真實(shí)的客戶(hù)信息，你可能正在處理欺詐性交易。

·實(shí)用性。如果你收集的數(shù)據(jù)無(wú)效或不正確，那么數(shù)據(jù)的實(shí)用性將受到限制。

在評(píng)估系統(tǒng)威脅時(shí)，這顯然有很高的要求，但也確實(shí)能夠立即指出存在的一些問(wèn)題。你需要關(guān)注數(shù)據(jù)控制權(quán)丟失、維護(hù)準(zhǔn)確的數(shù)據(jù)以及保持系統(tǒng)正常運(yùn)行等方面。根據(jù)這些信息，你可以開(kāi)始查看漏洞的區(qū)域和潛在風(fēng)險(xiǎn)。

3. 評(píng)估漏洞

在評(píng)估漏洞時(shí)，你需要在潛在威脅的背景下進(jìn)行評(píng)估。任何資產(chǎn)都可能面臨數(shù)千或數(shù)百萬(wàn)個(gè)可能對(duì)其造成影響的威脅，但其中只有一小部分緊密相關(guān)。在前一節(jié)中，你了解了信用卡交易系統(tǒng)面臨的潛在威脅。

讓我們查看發(fā)現(xiàn)的這些問(wèn)題，嘗試確定其中是否存在漏洞。

·機(jī)密性。如果你不恰當(dāng)?shù)乇┞稊?shù)據(jù)，那么數(shù)據(jù)可能會(huì)遭到破壞。你的敏感數(shù)據(jù)在靜態(tài)狀態(tài)和動(dòng)態(tài)狀態(tài)下都會(huì)被加密，系統(tǒng)定期由外部滲透測(cè)試公司進(jìn)行測(cè)試。這不是風(fēng)險(xiǎn)。

·完整性。如果數(shù)據(jù)被損壞，你可能會(huì)錯(cuò)誤地處理付款。作為處理流程的一部分，你需要仔細(xì)驗(yàn)證支付數(shù)據(jù)是否正確。無(wú)效數(shù)據(jù)會(huì)被拒絕交易。這不是風(fēng)險(xiǎn)。

·可用性。如果系統(tǒng)或應(yīng)用程序出現(xiàn)故障，你將無(wú)法處理付款。支付處理系統(tǒng)后端的數(shù)據(jù)庫(kù)沒(méi)有冗余。如果數(shù)據(jù)庫(kù)癱瘓，你就無(wú)法處理付款。這是風(fēng)險(xiǎn)。

·擁有。如果你丟失了備份介質(zhì)，數(shù)據(jù)可能會(huì)遭到破壞。你的備份介質(zhì)已加密，并由信使隨身攜帶。這不是風(fēng)險(xiǎn)。

·真實(shí)性。如果沒(méi)有真實(shí)的客戶(hù)信息，你可能正在處理欺詐性交易。很難確保有效的付款和客戶(hù)信息屬于進(jìn)行交易的個(gè)人。你沒(méi)有好的方法來(lái)做這件事。這是風(fēng)險(xiǎn)。

·實(shí)用性。如果你收集的數(shù)據(jù)無(wú)效或不正確，則該數(shù)據(jù)的實(shí)用性將受到限制。為了保護(hù)數(shù)據(jù)的實(shí)用性，你需要檢查信用卡號(hào)碼，確保賬單地址和電子郵件地址有效，并采取其他措施確保你的數(shù)據(jù)的準(zhǔn)確性。這不是風(fēng)險(xiǎn)。

這些示例是你執(zhí)行流程的高級(jí)視圖，用于展示任務(wù)。你可以從中再次看到一些值得關(guān)注的領(lǐng)域，即在真實(shí)性和可用性方面，你可以開(kāi)始評(píng)估可能存在風(fēng)險(xiǎn)的領(lǐng)域。

4. 評(píng)估風(fēng)險(xiǎn)

一旦確定了給定資產(chǎn)的威脅和漏洞，就可以評(píng)估總體風(fēng)險(xiǎn)。正如前文所述，風(fēng)險(xiǎn)是威脅和漏洞的結(jié)合。沒(méi)有與漏洞匹配的威脅或沒(méi)有與威脅匹配的漏洞將不構(gòu)成風(fēng)險(xiǎn)。

例如，以下情況既是潛在威脅，也屬于漏洞領(lǐng)域：

·可用性。如果系統(tǒng)或應(yīng)用程序出現(xiàn)故障，你將無(wú)法處理付款。你的支付處理系統(tǒng)后端的數(shù)據(jù)庫(kù)沒(méi)有冗余，因此如果數(shù)據(jù)庫(kù)出現(xiàn)故障，你將無(wú)法處理支付。

在這種情況下，既有威脅又有相應(yīng)的漏洞，這意味著你可能會(huì)因?yàn)閿?shù)據(jù)庫(kù)后端的單點(diǎn)故障而喪失處理信用卡支付流程的能力。一旦以這種方式解決了威脅和漏洞，就可以緩解這些風(fēng)險(xiǎn)。

5. 緩解風(fēng)險(xiǎn)

為了緩解風(fēng)險(xiǎn)，你可以對(duì)各種威脅采取針對(duì)性措施。這些措施稱(chēng)為控制措施?？刂品譃槿?lèi)：物理控制、邏輯控制和管理控制。

物理控制可保護(hù)系統(tǒng)所在的物理環(huán)境或存儲(chǔ)數(shù)據(jù)的位置，還包括對(duì)出入環(huán)境的控制訪問(wèn)。物理控制包括柵欄、大門(mén)、鎖、護(hù)柱、防護(hù)裝置和攝像機(jī)，以及維護(hù)物理環(huán)境的系統(tǒng)，如制熱和空調(diào)系統(tǒng)、滅火系統(tǒng)和備用發(fā)電機(jī)。

物理控制看似不是信息安全不可或缺的一部分，卻是最關(guān)鍵的控制之一。如果你不能對(duì)系統(tǒng)和數(shù)據(jù)實(shí)施物理保護(hù)，那么設(shè)置任何其他控制都將變得無(wú)關(guān)緊要。如果攻擊者可以物理地訪問(wèn)你的系統(tǒng)，他們就可以竊取或破壞系統(tǒng)，使你無(wú)法使用，而這是最好的情況。最壞情況是，攻擊者將能夠直接訪問(wèn)你的應(yīng)用程序和數(shù)據(jù)，并竊取你的信息和資源，或?qū)⑵淦茐囊怨┳约菏褂谩?/p>

邏輯控制，有時(shí)也稱(chēng)為技術(shù)控制，用于保護(hù)處理、傳輸和存儲(chǔ)數(shù)據(jù)的系統(tǒng)、網(wǎng)絡(luò)和環(huán)境。邏輯控制包括密碼、加密、訪問(wèn)控制、防火墻和入侵檢測(cè)系統(tǒng)等。

邏輯控制能夠防止未經(jīng)授權(quán)的行為，如果你的邏輯控制能夠正確執(zhí)行而且成功實(shí)施，那么攻擊者或未經(jīng)授權(quán)的用戶(hù)在不破壞控制的情況下將無(wú)法訪問(wèn)你的應(yīng)用程序和數(shù)據(jù)。

管理控制是基于規(guī)則、法律、政策、程序、指導(dǎo)方針和其他“紙質(zhì)”文件的。管理控制規(guī)定了你環(huán)境中的用戶(hù)應(yīng)該采取的行為。根據(jù)所涉及的環(huán)境和控制，管理控制可以代表不同等級(jí)的權(quán)限。你可以設(shè)置簡(jiǎn)單的規(guī)則，如“在一天結(jié)束時(shí)關(guān)掉咖啡壺”，目的是避免物理安全問(wèn)題（晚上燒毀大樓）。你還可能有更嚴(yán)格的管理控制規(guī)則，如要求每隔90天更改密碼。

執(zhí)行能力是管理控制的重要部分。如果你沒(méi)有權(quán)力或能力使人們遵守你的控制規(guī)則，那么使用這些規(guī)則比不使用更糟糕，因?yàn)樗鼈儗⒅圃戾e(cuò)誤的安全感。例如，如果你創(chuàng)建了一項(xiàng)策略，規(guī)定員工不能將業(yè)務(wù)資源用于個(gè)人用途，那么你需要確保這項(xiàng)措施能夠強(qiáng)制執(zhí)行。在高度安全的環(huán)境之外，這可能是一項(xiàng)艱巨的任務(wù)。你需要監(jiān)控電話和移動(dòng)電話的使用、Web訪問(wèn)、電子郵件使用、即時(shí)消息對(duì)話、安裝的軟件以及其他可能被濫用的領(lǐng)域。如果你不愿意投入大量資源來(lái)監(jiān)管和處理違反政策的行為，那么很快將出現(xiàn)一個(gè)無(wú)法執(zhí)行的政策。下一次審計(jì)并要求出示執(zhí)行政策的證據(jù)時(shí)，你將面臨問(wèn)題。

1.4.4　事件響應(yīng)

如果風(fēng)險(xiǎn)管理工作沒(méi)有像你希望的那樣徹底，或者意想不到的事情讓你措手不及，那么你可以采用事件響應(yīng)來(lái)應(yīng)對(duì)。你應(yīng)該將事件響應(yīng)指向最有可能給你的組織帶來(lái)困擾的項(xiàng)目，而且你應(yīng)該已經(jīng)將其確定為風(fēng)險(xiǎn)管理工作的一部分。

你對(duì)這類(lèi)事件的響應(yīng)應(yīng)盡可能根據(jù)記錄的事件響應(yīng)計(jì)劃，這些計(jì)劃應(yīng)由在事件中預(yù)計(jì)執(zhí)行計(jì)劃的人員定期審查、測(cè)試和實(shí)施。你不會(huì)想要等到真正的緊急情況發(fā)生時(shí)，才發(fā)現(xiàn)擱置在架子上的文檔已經(jīng)過(guò)時(shí)，引用的流程或系統(tǒng)已經(jīng)發(fā)生了很大變化或不再存在。

高等級(jí)事件響應(yīng)流程包括準(zhǔn)備、檢測(cè)和分析、遏制、清除、恢復(fù)和事后活動(dòng)。接下來(lái)，我將更詳細(xì)地介紹這些階段。

1. 準(zhǔn)備

事件響應(yīng)的準(zhǔn)備階段包括你可以預(yù)先開(kāi)展的所有活動(dòng)，從而更好地處理事件。這通常包括制定管理事件響應(yīng)和處置的政策和程序，對(duì)事件處置人員和預(yù)計(jì)報(bào)告事件的人員進(jìn)行培訓(xùn)和教育，以及制訂和維護(hù)計(jì)劃文件。

事件響應(yīng)準(zhǔn)備階段的重要性不容低估。如果準(zhǔn)備不充分，就很難很好地進(jìn)行事件響應(yīng)，或者按照你沒(méi)有實(shí)踐過(guò)的計(jì)劃進(jìn)行。出現(xiàn)緊急情況時(shí)，不是決定需要做什么，需要誰(shuí)做，以及如何做的時(shí)候。

2. 檢測(cè)和分析

檢測(cè)和分析階段是指行動(dòng)開(kāi)始的時(shí)候。在這個(gè)階段，你將進(jìn)行問(wèn)題檢測(cè)，并確定是否真的是一起事件，并做出適當(dāng)?shù)捻憫?yīng)。

大多數(shù)情況下，你在檢測(cè)時(shí)將使用安全工具或服務(wù)，如入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）、防病毒（AntiVirus，AV）軟件、防火墻日志、代理日志、安全信息與事件監(jiān)視（Security Information and Event Monitoring，SIEM）工具或安全托管服務(wù)提供商（Managed Security Service Provider，MSSP）的告警。

這一階段的分析過(guò)程，通常會(huì)結(jié)合工具或服務(wù)（通常是SIEM工具）的自動(dòng)化操作和人為判斷。雖然通常可以使用某個(gè)閾值來(lái)表示既定時(shí)間內(nèi)特定數(shù)量的事件是正常的，或者特定事件的組合是不正常的（兩次登錄失敗，然后是成功登錄、更改密碼和創(chuàng)建新賬戶(hù)），但是你通常需要在某個(gè)時(shí)間進(jìn)行人為干預(yù)。人為干預(yù)可能包括：審查各種安全、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施設(shè)備的輸出日志，與事件報(bào)告方聯(lián)系，以及對(duì)情況進(jìn)行總體評(píng)估。（不幸的是，對(duì)于事件處置人員來(lái)說(shuō)，這些情況通常發(fā)生在周五下午4點(diǎn)或周日凌晨2點(diǎn)。）

當(dāng)事件處置人員評(píng)估情況時(shí)，將決定該問(wèn)題是否構(gòu)成事件，評(píng)估事件的危急程度，并聯(lián)系進(jìn)入下一階段所需的其他一切資源。

3. 遏制、清除和恢復(fù)

遏制、清除和恢復(fù)階段占據(jù)事件解決過(guò)程的大部分，至少短期內(nèi)是這樣的。

遏制即采取特定的控制措施，確保情況不會(huì)造成更多損害，或者至少減少持續(xù)的損害。如果問(wèn)題涉及由遠(yuǎn)程攻擊者主動(dòng)控制、感染惡意軟件的服務(wù)器，這可能意味著斷開(kāi)服務(wù)器與網(wǎng)絡(luò)的連接，設(shè)置防火墻規(guī)則阻止攻擊者，更新入侵防御系統(tǒng)（Intrusion Prevention System，IPS）上的簽名或規(guī)則以阻止來(lái)自惡意軟件的流量。

在清除期間，將嘗試從你的環(huán)境中消除問(wèn)題的影響。對(duì)于感染了惡意軟件的服務(wù)器，你已經(jīng)隔離了系統(tǒng)，并切斷了與命令控制網(wǎng)絡(luò)的連接?，F(xiàn)在，你需要從服務(wù)器中清除惡意軟件，并確保它們不會(huì)在你的環(huán)境中的其他地方存在。這可能需要對(duì)環(huán)境中的其他主機(jī)進(jìn)行額外掃描，確保不存在惡意軟件，還可能需要檢查服務(wù)器和網(wǎng)絡(luò)上的日志，確定受感染的服務(wù)器與哪些系統(tǒng)進(jìn)行了通信。對(duì)于惡意軟件，特別是最新的惡意軟件或變種，這可能是一項(xiàng)棘手的任務(wù)。在懷疑是否已經(jīng)從環(huán)境中清除了惡意軟件或攻擊者時(shí)，你應(yīng)該謹(jǐn)慎行事。

最后，你需要恢復(fù)到事件發(fā)生前的狀態(tài)。恢復(fù)可能涉及從備份介質(zhì)還原設(shè)備或數(shù)據(jù)、重建系統(tǒng)或重新加載應(yīng)用程序。同樣，這可能是一項(xiàng)比最初看起來(lái)更痛苦的任務(wù)，因?yàn)槟銓?duì)情況的了解可能不完整，或者你并不清楚狀況。你可能會(huì)發(fā)現(xiàn)無(wú)法驗(yàn)證備份介質(zhì)是否干凈可用，或者是否受到感染，或者備份介質(zhì)是否完全損壞。應(yīng)用程序安裝包可能丟失，配置文件可能不可用，或者可能會(huì)發(fā)生許多其他問(wèn)題。

4. 事后活動(dòng)

與準(zhǔn)備階段一樣，事后活動(dòng)也很容易被忽視，但應(yīng)該確保你不會(huì)忽視它。這一階段通常稱(chēng)為post-mortem（拉丁語(yǔ)“死后”的意思），你嘗試確定發(fā)生了什么，為什么這些事件會(huì)發(fā)生，以及你能做些什么來(lái)防止其再次發(fā)生。這一階段的目的不是指責(zé)（盡管有時(shí)確實(shí)會(huì)發(fā)生這種情況），而是從根本上防止這類(lèi)事件發(fā)生或緩解未來(lái)此類(lèi)事件產(chǎn)生的影響。