信息安全应急响应管理过程的遏制

3)遏制

遏制的目的是限制事件影响的范围，同时也限制了潜在的损失和破坏，避免事件升级。 在遏制阶段，通常要进行以下活动：首先，启动应急响应计划。其次，确定适当自匀口向应方式。IRT在掌握相关的信息后，应当就此事件来选择最适当的响应方式。这些选择包括恢复运行、在线响应与离线响应、识别攻击者、起诉和惩戒等。再次，实施遏制行动。遏制措施可能会因事件的类别和级别不同而完全不同。常见的可选遏制措施有：完全关闭所有系统；

拔掉网线；修改所有防火墙和路山器的过滤规则，拒绝来自发起攻击的嫌疑主机的所有流量；封锁或删除被攻破的登录账号；提高系统、服务和网络行为的监控级别；设置诱饵服务器作为陷阱；关闭服务；反击攻击者的系统等。应急响应组织应根据组织业务特点、事件性质来合理选择并实施遏制／封锁／隔离措施，以使损失最小化，同时确保遏制／封锁邝鬲离措施对各业务的影响最小。实施遏制措施后，应汇总相关数据，估计损失和遏制效果。最后，需考虑用户在遏制工作中的角色。遏制工作应该由专业的IRT来完成。在应急响应策略文件中，建议一般用户遇到异常情况时，遵守以下行为规范：在没有向专家咨询之前不要关闭系统或者从网络上断开；按照组织的报告程序要求报告任何可疑的／异常的现象；继续监控并记录可疑的现象，直到处理该类安全事件的人员到达；不要修改系统或应用软件；除非得到管理层同意，不要告诉媒体任何信息。