3)遏制

遏制的目的是限制事件影響的范圍，同時也限制了潛在的損失和破壞，避免事件升級。 在遏制階段，通常要進行以下活動：首先，啟動應急響應計劃。其次，確定適當自勻口向應方式。IRT在掌握相關的信息后，應當就此事件來選擇最適當的響應方式。這些選擇包括恢復運行、在線響應與離線響應、識別攻擊者、起訴和懲戒等。再次，實施遏制行動。遏制措施可能會因事件的類別和級別不同而完全不同。常見的可選遏制措施有：完全關閉所有系統(tǒng)；

拔掉網線；修改所有防火墻和路山器的過濾規(guī)則，拒絕來自發(fā)起攻擊的嫌疑主機的所有流量；封鎖或刪除被攻破的登錄賬號；提高系統(tǒng)、服務和網絡行為的監(jiān)控級別；設置誘餌服務器作為陷阱；關閉服務；反擊攻擊者的系統(tǒng)等。應急響應組織應根據組織業(yè)務特點、事件性質來合理選擇并實施遏制／封鎖／隔離措施，以使損失最小化，同時確保遏制／封鎖鄺鬲離措施對各業(yè)務的影響最小。實施遏制措施后，應匯總相關數據，估計損失和遏制效果。最后，需考慮用戶在遏制工作中的角色。遏制工作應該由專業(yè)的IRT來完成。在應急響應策略文件中，建議一般用戶遇到異常情況時，遵守以下行為規(guī)范：在沒有向專家咨詢之前不要關閉系統(tǒng)或者從網絡上斷開；按照組織的報告程序要求報告任何可疑的／異常的現象；繼續(xù)監(jiān)控并記錄可疑的現象，直到處理該類安全事件的人員到達；不要修改系統(tǒng)或應用軟件；除非得到管理層同意，不要告訴媒體任何信息。