3)遏制

遏制的目的是限制事件影響的范圍，同時也限制了潛在的損失和破壞，避免事件升級。 在遏制階段，通常要進(jìn)行以下活動：首先，啟動應(yīng)急響應(yīng)計(jì)劃。其次，確定適當(dāng)自勻口向應(yīng)方式。IRT在掌握相關(guān)的信息后，應(yīng)當(dāng)就此事件來選擇最適當(dāng)?shù)捻憫?yīng)方式。這些選擇包括恢復(fù)運(yùn)行、在線響應(yīng)與離線響應(yīng)、識別攻擊者、起訴和懲戒等。再次，實(shí)施遏制行動。遏制措施可能會因事件的類別和級別不同而完全不同。常見的可選遏制措施有：完全關(guān)閉所有系統(tǒng)；

拔掉網(wǎng)線；修改所有防火墻和路山器的過濾規(guī)則，拒絕來自發(fā)起攻擊的嫌疑主機(jī)的所有流量；封鎖或刪除被攻破的登錄賬號；提高系統(tǒng)、服務(wù)和網(wǎng)絡(luò)行為的監(jiān)控級別；設(shè)置誘餌服務(wù)器作為陷阱；關(guān)閉服務(wù)；反擊攻擊者的系統(tǒng)等。應(yīng)急響應(yīng)組織應(yīng)根據(jù)組織業(yè)務(wù)特點(diǎn)、事件性質(zhì)來合理選擇并實(shí)施遏制／封鎖／隔離措施，以使損失最小化，同時確保遏制／封鎖鄺鬲離措施對各業(yè)務(wù)的影響最小。實(shí)施遏制措施后，應(yīng)匯總相關(guān)數(shù)據(jù)，估計(jì)損失和遏制效果。最后，需考慮用戶在遏制工作中的角色。遏制工作應(yīng)該由專業(yè)的IRT來完成。在應(yīng)急響應(yīng)策略文件中，建議一般用戶遇到異常情況時，遵守以下行為規(guī)范：在沒有向?qū)＜易稍冎安灰P(guān)閉系統(tǒng)或者從網(wǎng)絡(luò)上斷開；按照組織的報(bào)告程序要求報(bào)告任何可疑的／異常的現(xiàn)象；繼續(xù)監(jiān)控并記錄可疑的現(xiàn)象，直到處理該類安全事件的人員到達(dá)；不要修改系統(tǒng)或應(yīng)用軟件；除非得到管理層同意，不要告訴媒體任何信息。