系統(tǒng)規(guī)劃與管理師案例分析當天每日一練試題地址：www.jycxcx.com/exam/ExamDayAL.aspx?t1=29

往期系統(tǒng)規(guī)劃與管理師每日一練試題匯總：www.jycxcx.com/class/27/e29_1.html

系統(tǒng)規(guī)劃與管理師案例分析每日一練試題（2025/6/24）在線測試：www.jycxcx.com/exam/ExamDayAL.aspx?t1=29&day=2025/6/24

點擊查看：更多系統(tǒng)規(guī)劃與管理師習題與指導

系統(tǒng)規(guī)劃與管理師案例分析每日一練試題內容（2025/6/24）

請詳細閱讀有關信息安全管理方面的說明，回答問題1、問題2和問題3，并將解答填入答題紙的對應欄內。

【說明】

（1）2017年5月12日，新型“蠕蟲”勒索病毒WannaCry在全球大規(guī)模爆發(fā)，這是一起利用NSA黑客武器庫泄露的“永恒之藍”發(fā)起的病毒攻擊事件。國內連接校園網的電腦以及部分企業(yè)中了該病毒，造成許多高校畢業(yè)生的論文以及企業(yè)單位的文檔被鎖，需要支付高額贖金才能解密。

（2）2017年6月27日，烏克蘭、俄羅斯、印度及歐洲多個國家遭遇新型勒索病毒Petya的襲擊。政府、銀行。電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機場都不同程度受到了影響，國內已有個別企業(yè)用戶疑似遭到襲擊。

（3）“永恒之藍”會掃描開發(fā)445等端口的安裝有Windows操作系統(tǒng)的機器，并利用相關系統(tǒng)漏洞，無需任何操作，只有開機上網，就能在電腦和服務器中植入勒索病毒，并進行大規(guī)模爆發(fā)性傳播。

【問題1】（共5分）

《計算機信息安全保護等級劃分準則》中規(guī)定的計算機信息系統(tǒng)安全保護能力共分為幾個等級？

【問題2】（共8分）

請描述在建立信息安全管理體系（ISMS）中使用的模型原理

【問題3】（共12分）

（1）針對上述病毒應該采用什么樣應對措施？

（2）從信息安全管理角度應采取哪些預防措施？

信管網新一12**：
第一級：用戶自主保護級 第二級：系統(tǒng)審計保護級 第三級：安全標記保護級 第四級：結構化保護級 第五級：訪問驗證保護級 使用pdca模型作為建立信息安全管理體系的模型 p-建立信息安全管理體系及風險評估，根據風險評估結果、法律法規(guī)要求、組織確定控制目標與控制措施； d-實施并運行信息安全管理體系 c-監(jiān)視并評審信息安全管理體系，對安全措施的實施情況進行符合性檢查。 a-改進信息安全管理體系，根據isms審核、管理評審的結果及其他相關信息，采取糾正和預防措施，實現(xiàn)ismsd的持續(xù)改進。 應對措施 1.針對此病毒特征，利用防火墻，關閉企事業(yè)互聯(lián)網入口的445等端口。 2對于企事業(yè)單位內部的計算機及服務器安裝相關的操作系統(tǒng)及軟件的安全補丁。 3若發(fā)現(xiàn)有計算機感染，需要立刻斷開網絡連接，進行處理，避免在局域網內爆發(fā)大規(guī)模的預防措施。 預防措施 1建立信息安全保障機制及相應的緊急事件應急體系，明確人員的分工和責任。 2使用網絡安全產品，確保企事業(yè)互聯(lián)網出入口的安全。 使用技術手段，確保企事業(yè)單位內部的計算機和服務器的病毒軟件和操作布丁是最新 4建立容災備份及回復機制，雖重要數(shù)據有備份和恢復方法并進行定期演練。

信管網柿子愛上**：
5個用戶自主保護級、系統(tǒng)審計保護級、安全標記、結構化保護級、訪問控制基于風險管理的方法，用于建立、實施、執(zhí)行、監(jiān)控、評審、支持和監(jiān)督信息安全的科學管理體系。1.定義信息安全策略 2.定義信息安全管理體系的范圍 3.風險評估 4.定義管理目標選擇管理措施 5.準備信息安全適用性說明

信管網cnit**************：
1.用戶自主保護級2系統(tǒng)審計保護級.3.安全標記保護劑4.結構化保護級5.訪問驗證保護級安裝防病毒軟件

信管網rk20**：
關閉445端口的網絡訪問策略，對中毒電腦進行斷網，避免病毒進一步傳播。 網絡安全設備進行防護，防火墻，waf，ips入侵監(jiān)測等 終端安裝殺毒軟件防護，定期更新病毒庫 定期信息安全教育和培訓 定期進行安全漏洞掃描和漏洞整改 定期進行安全審計

信管網cnit**************：
用戶自主保護級 系統(tǒng)審計保護級 安全標記保護級 結構化保護級 訪問驗證保護級設立防火墻 關閉危險端口 安裝殺毒軟件 不點擊來路不明鏈接 打上最新系統(tǒng)補丁 定義信息安全管理策略 明確信息安全管理角色與職責 識別信息安全管理范圍，內容