首先，网络安全攻击事件的进行可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击，针对每一类攻击事件都需提供抑制方法，以及可操作性的技术规范和指导。

抑制是对攻击所影响的范围、程度进行扼制，通过采取各种方法，控制、阻断、转移安全攻击。

抑制阶段主要是针对前面检测阶段发现的攻击特征，比如攻击利用的端口、服务、攻击源、攻击利用系统漏洞等，采取有针对性的安全补救工作，以防止攻击进一步加深和扩大。

抑制阶段的风险是可能对正常业务造成影响，如系统中了蠕虫病毒后要拔掉网线，遭到DDoS攻击时会在网络设备上做一些安全配置，由于简单口令遭到入侵后要更改口令会对系统的业务造成中断或延迟，所以在采取抑制措施时，必须充分考虑其风险。

根除阶段是在抑制的基础上，对引起该类安全问题的最终技术原因在技术上进行完全的杜绝，并对这类安全问题所造成的后果进行弥补和消除。

在根除阶段，采取措施最大的风险主要是在系统升级或补丁时可能造成系统故障，所以必须做好备份工作。

在进入抑制和根除阶段之前，应形成安全事件应急响应方案，并对方案的实施获取必要的管理授权。

抑制和根除阶段的工作流程：

第一步：应急处理方案获得授权。

第二步：系统维护人员、安全技术人员和第三方安全事件应急服务人员共同测试应急处理方案验证效果。

第三步：系统维护人员、安全技术人员和第三方安全事件应急服务人员共同测试应急处理方案是否影响系统运行，对系统的影响程度不可接受时返回检测阶段。

第四步：实施应急处理方案。

第五步：当实施应急处理方案失败的情况下，采取应变和回退措施，并返回到检测阶段。

此阶段工作中应注意以下两点。

1、第三方安全事件应急服务人员仅在必要时参加。

2、测试工作根据实际情况可以选择口头演练、试验室测试、现网局部测试3种方式进行。

抑制和根除阶段操作说明：应急处理方案由相关人员和第三方安全事件应急服务人员共同制定，根据流程需进行严格和充分的测试，但是由于抑制和根除操作需要对系统作相关设置，加上一些系统实际情况较为特殊和复杂，必须根据系统实际情况制定实施应急处理方案失败的应变和回退措施。

抑制和根除阶段操作的复杂度为“复杂”。

具体执行操作人员包括系统维护人员、安全技术人员、第三方安全事件应急服务人员。

04恢复阶段

恢复阶段是指通过采取一系列的措施将系统恢复到正常业务状态。

下面所阐述的内容未包含恢复阶段的全部技术内容，尤其是与各个业务系统实际情况相结合的部分，有关此部分的内容应在各业务系统的应急预案和业务连续性计划中体现。

介绍的恢复方式包含2种。

一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化；二是在应急处理方案中未列明所有系统变化的情况下，重装系统。

恢复阶段工作内容;

主要内容是将系统恢复到正常的任务状态。

在系统遭到入侵后，攻击者一定会对入侵的系统进行更改。

同时，攻击者还会想尽各种办法使这种修改不被系统维护人员发现。

从而达到隐藏自己的目的。

在根除阶段能彻底恢复配置和清除系统上的恶意文件，并且能够确定系统在所有变化完全根除的情况下，通过直接恢复业务系统的方式来恢复系统。

这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对业务的影响较小。

在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已达干净时，就一定要彻底地重装系统。

简单地说，系统重装往往是系统最可靠的系统恢复手段。

恢复阶段工作流程:如果应急处理方案中列明所有系统变化，删除并恢复所有变化，实施安全加固。

如果存在应急处理方案中未列明所有的系统变化，备份重要数据，低级格式化磁盘。

严格按照系统的初始化安全策略安装和加固.

恢复阶段操作说明:恢复阶段操作对系统的影响较大，操作系统需要停止，安全加固后对系统再次快照，审计合格后方可上线运行。

操作的复杂度为“普通”，但必须严格按照操作步骤执行。

操作人员一般仅为企业内部系统维护人员。

重装系统: