3)遏制

遏制的目的是限制事件影響的范圍，同時也限制了潛在的損失和破壞，避免事件升級。 在遏制階段，通常要進行以下活動：首先，啟動應急響應計劃。其次，確定適當自勻口向應方式。IRT在掌握相關的信息后，應當就此事件來選擇最適當的響應方式。這些選擇包括恢復運行、在線響應與離線響應、識別攻擊者、起訴和懲戒等。再次，實施遏制行動。遏制措施可能會因事件的類別和級別不同而完全不同。常見的可選遏制措施有：完全關閉所有系統；

拔掉網線；修改所有防火墻和路山器的過濾規則，拒絕來自發起攻擊的嫌疑主機的所有流量；封鎖或刪除被攻破的登錄賬號；提高系統、服務和網絡行為的監控級別；設置誘餌服務器作為陷阱；關閉服務；反擊攻擊者的系統等。應急響應組織應根據組織業務特點、事件性質來合理選擇并實施遏制／封鎖／隔離措施，以使損失最小化，同時確保遏制／封鎖鄺鬲離措施對各業務的影響最小。實施遏制措施后，應匯總相關數據，估計損失和遏制效果。最后，需考慮用戶在遏制工作中的角色。遏制工作應該由專業的IRT來完成。在應急響應策略文件中，建議一般用戶遇到異常情況時，遵守以下行為規范：在沒有向專家咨詢之前不要關閉系統或者從網絡上斷開；按照組織的報告程序要求報告任何可疑的／異常的現象；繼續監控并記錄可疑的現象，直到處理該類安全事件的人員到達；不要修改系統或應用軟件；除非得到管理層同意，不要告訴媒體任何信息。