✅ A. 立即断开被入侵系统的网络连接，防止数据进一步泄露或篡改

B. 直接重装操作系统并恢复备份，以最快速度恢复业务运行

C. 通知新闻媒体发布事件声明，避免舆论发酵

D. 第一时间向入侵者发送警告邮件，要求其停止攻击

答案解析

应急响应的首要步骤是控制事态，防止损失扩大。选项A切断网络连接是标准做法，可阻断攻击者的远程控制与数据篡改行为。选项B在未保留证据前重装系统会破坏关键调查线索；选项C发布声明应在内部调查和评估后进行，过早披露可能干扰调查；选项D向攻击者发送警告无效，反可能促使其销毁证据。正确步骤应遵循‘隔离-取证-分析-恢复’的流程。

相关法规：《网络安全法》第二十五条