系統(tǒng)規(guī)劃與管理師案例分析當天每日一練試題地址：www.shc2b.com/exam/ExamDayAL.aspx?t1=29

往期系統(tǒng)規(guī)劃與管理師每日一練試題匯總：www.shc2b.com/class27-29-1.aspx

系統(tǒng)規(guī)劃與管理師案例分析每日一練試題（2020/8/21）在線測試：www.shc2b.com/exam/ExamDayAL.aspx?t1=29&day=2020/8/21

點擊查看：更多系統(tǒng)規(guī)劃與管理師習題與指導

系統(tǒng)規(guī)劃與管理師案例分析每日一練試題內(nèi)容（2020/8/21）

請詳細閱讀有關信息安全管理方面的說明，回答問題1、問題2和問題3，并將解答填入答題紙的對應欄內(nèi)。

【說明】

（1）2017年5月12日，新型“蠕蟲”勒索病毒W(wǎng)annaCry在全球大規(guī)模爆發(fā)，這是一起利用NSA黑客武器庫泄露的“永恒之藍”發(fā)起的病毒攻擊事件。國內(nèi)連續(xù)校園網(wǎng)的電腦以及部分企業(yè)中了該病毒，造成許多高校畢業(yè)生的論文以及企業(yè)單位的文檔被鎖，需要支付高額贖金才能解密。

（2）2017年6月27日，烏克蘭、俄羅斯、印度及歐洲多個國家遭遇新型勒索病毒Petya的襲擊。政府、銀行。電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機場都不同程度受到了影響，國內(nèi)已有個別企業(yè)用戶疑似遭到襲擊。

（3）“永恒之藍”會掃描開發(fā)445等端口的安裝有Windows操作系統(tǒng)的機器，并利用相關系統(tǒng)漏洞，無需任何操作，只有開機上網(wǎng)，就能在電腦和服務器中植入勒索病毒，并進行大規(guī)模爆發(fā)性傳播。

【問題1】（共5分）

《計算機信息安全保護等級劃分準則》中規(guī)定的計算機信息系統(tǒng)安全保護能力共分為幾個等級？

【問題2】（共8分）

請描述在建立信息安全管理體系（ISMS）中使用的模型原理

【問題3】（共12分）

（1）針對上述病毒應該采用什么樣應對措施？

（2）從信息安全管理角度應采取哪些預防措施？

信管網(wǎng)wch289：
信息安全保護等級從低到高共分五級。 ＜br＞ ＜br＞pdca模型 ＜br＞plan規(guī)劃和設計isms模型 ＜br＞do實施和運行isms模型 ＜br＞check檢查和評審isms模型 ＜br＞act改進isms模型 ＜br＞ ＜br＞ ＜br＞

信管網(wǎng)guokui520：
1.五個等級。自主保護級，系統(tǒng)審計保護級，安全標記保護級，結(jié)構(gòu)化保護級，訪問驗證保護級。 2.isms是整個管理體系的一部分，它是基于業(yè)務風險的方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。（它包括：組織架構(gòu)、方針政策、規(guī)劃活動、職責、實踐程序、過程和資源） 3.（1）不打開來歷不明的鏈接，安裝殺毒軟件，備份隔離重要文件，系統(tǒng)升級到最新版本，啟用防火墻，關閉危險的端口、如445端口。 （2）定義信息安全策略，定義信息安全管理體系范圍，進行信息安全風險評估，確定管理目標和選擇管理措施，準備信息安全適用性申明。

信管網(wǎng)guokui520：
1.五個等級。自主保護級，安全審計保護級，系統(tǒng)保護及，結(jié)構(gòu)化保護級，訪問驗證保護級。 2. 3.（1）不打開來歷不明的鏈接，安裝殺毒軟件，備份隔離重要文件，系統(tǒng)升級、打補丁。 （2）制定安全管理策略，授權(quán)管理，備份重要文件。系統(tǒng)升級、打補丁。

信管網(wǎng)hyf_lhn：
5個等級，用戶自主保護級 系統(tǒng)審計保護級 安全標記保護級 結(jié)構(gòu)化保護級  訪回驗證保護級

信管網(wǎng)guokui520：
1.《計算機信息安全保護等級劃分準則》中規(guī)定的計算機信息系統(tǒng)安全保護能力共分為5個等級。分別是：自主保護級，系統(tǒng)審計保護級，安全標記保護級，結(jié)構(gòu)化保護級，訪問驗證保護級。 2.isms是整個管理體系的一部分。它是基于業(yè)務風險的方法，來建立、實施、運行、監(jiān)視、審計、保持和改進信息安全的。 3.（1）應對措施：備份重要文件，不點擊來歷不明的鏈接，下載安裝殺毒軟件，開啟防火墻，升級系統(tǒng)到最新版本、打上最新系統(tǒng)補丁，關閉危險端口，例如445端口。 （2）預防措施：定義信息安全策略，定義信息安全管理體系的范圍，確定安全管理的目標和選擇安全管理措施，進行信息安全風險評估，準備信息安全適用性申明。