检查阶段。检查的目的是确认入侵事件是否发生，如果实际发生服务器被黑客入侵事件，评价危害、范围和发展速度，事件是否会进一步升级。然后根据评价结果通知相关人员进入阻挡黑客攻击过程。

抑制阶段。遏制的目的是控制事件影响的范围、损失和破坏的进一步扩大，避免事件的进一步升级。

例如，在感染蠕虫的事件中，有必要在网络水平上关闭传播的端口。否则，安全人员在本机器中杀菌时，蠕虫会感染其他服务器。对于被黑客攻击的服务，可以在最初的时间利用ACL和防火墙隔离攻击者，关闭服务，拔下网络线或关闭服务器等方式。如果紧急人员只想在第一时间检查后门和入侵痕迹，在此期间，攻击者可能会从该机器转移到其他服务器。具体的控制方式需要紧急响应者综合考虑对业务的影响和控制效果，判断的标准是对业务的影响最小、控制效果最好。

根除阶段。根除了找到系统的脆弱性进行修复，去除攻击者的后门、webshell等，安装rootkits的机器需要重新安装操作系统，防止杀人不完全被黑客再次进入。

恢复阶段。恢复阶段是根除攻击源、修复系统后恢复在线，也称为恢复业务的连续性。然后消除抑制阶段添加的临时战略。

跟踪总结阶段。业务系统恢复后，需要整理事件总结报告，包括事件发生和各部门介入处理的时间线，事件可能造成的损失。复盘安全事件发生的根本原因是根据经验教训进一步优化安全战略。优化安全战略时，必须从技术、人员、管理、工程等多个维度来考虑。安全本身不是纯粹的技术问题，只有技术手段才能解决一部分安全问题。

事件管理和问题管理是ITIL的两个核心模块，对应急响应也有重要的参考意义。事件管理的核心思想是迅速解决问题，尽快恢复业务系统的可用性，结果重要的业务系统中断的每一分钟都会给公司带来损失，问题管理的核心思想是通过处理一个或一种事件，总结其性，解决彻底的解决办法，从根本上消除这种事件的发生。