面业务事项提醒。操作步骤如下：

MES系统、统计系统（或线下纸质单据）中进行日常业务处理；

3、参考答案（评分建议：答对每一个步骤要点给2分，全部答对给10分）

网络故障的排查通常按照OSI七层模型，自下而上的思路进行：

第一步：首先查看IP地址、网关等配置是否正确；

第二步：检查物理层网络线缆，包括光纤、网线等是否存在硬件故障；

第三步：检查数据链路层，包括VLAN配置、广播域划分、直连接口是否可以ping通;

第四步：检查网络层，检查网络设备（路由器、交换机）配置，查看设备状态，检查路由表；

第五步：如果路由正常，进一步检查是否存在数据包的过滤，包括访问控制列表（ACL）

防火墙对某些端口是否过滤策略。

4、参考答案（评分建议，答对每一个步骤要点给2分，全部答对给10分）

第一步：尝试远程登录、连通ERP系统的各台服务器，如无法远程访问，则立即去机房或联系相关人员进行现场查看。

第二步：到现场后如发现服务器存在硬件故障报警，并无法在本地登录服务器，应尝试重启服务器，如不成功则立即切换至备用服务器。

第三步：如可正常登录ERP系统服务器，则先查看网络连接情况，如网络连接正常，则继续查看其他，如网络连接不正常，重启网卡。如仍不行，立即切换至备用服务器，并排查网络故障。

第四步：查看服务器的防病毒系统是否存在报警。如无报警，则尝试重启服务器。如防病毒系统有报警，立即断网并切换至备用服务器。之后隔离并提取病毒样本，并交由专业人员对病毒进行分析，给出处置建议。

第五步：查看进程中ERP业务系统所需各项服务是否正常开启，如服务停用，尝试重启服务，如不行则尝试重启业务系统或重启服务器。如仍不行则立即切换至备用服务器，并排查业务系统和操作系统问题。

5、参考答案

第一步：会同网络管理员查看防火墙、IDS VPN等安全设备日志，确认可疑的网络行为，初步判断入侵时间点、攻击目标和攻击源信息。

第二步：会同主机管理员登录被攻击目标服务器，查看操作系统、应用系统、中间件或数据库的日志，判断可疑的登录、修改等操作行为，并排查可疑的系统文件、系统进程、注册表信息、用户帐户及权限，确认黑客入侵的方式和基本流程，初步判断攻击目的和方法。

第三步：判断黑客攻击致使业务中断的原因，并依此提出业务恢复建议。

第四步：根据各方面信息进行汇总分析，判断黑客是否存在进一步渗透攻击的行为，跟踪检查相关网络区域和服务器，准确判断黑客攻击影响范围。

第五步：联系有关部门追查攻击源信息，判断威胁来源地，获取可能的黑客身份信息，以评估其攻击目的。

第六步：根据所有掌握的情况进行安全事件总结分析，描述完整的安全事件轨迹，并给出安全整改建议，避免今后再次发生类似事件。

（评分建议，答对每一个步骤要点给2分，全部答对给10分）

案例分析二

1、参考答案

（1）、组织架构；（2）、专业人员类型；（3）、检查指标项及检查记录表；（4）、检查资产列表；

（5）、基于总部要求形成自查方案；（6）、自查结果分析；（7）、自查报告编制及上报;（8）、自查结果通告；（9）、总结及整改措施。

（评分建议：答对每一个要点给1分，全部答对并有详述的给10分）

2、参考答案

（1）、结构安全；（2）、访问控制；（3）、安全审计；（4）、边界完整性；（5）、入侵防范；

（6）、恶意代码防范；（7）网络设备防护。

（评分建议：答对6个以下的每个要点给1分，答对6个要点及以上给8分，全部回答得10分）

3、参考答案

Windows主机加固项：（1）、帐号口令安全；（2）、文件访问及共享权限配置；（3）、系统服务最小化；（4）、安装操作系统补丁；（5）、日志审计安全；（6）、安装防病毒软件；

（7）、开启系统防火墙；（8）、远程登录安全。

（评分建议：答对每一个要点给1分，答对5个及以上给5分）

加固流程：（1）、进行加固风险分析；（2）、制定回退方案；（3）、制定加固方案和计划；

（4）、执行变更审批流程；（5）、进行加固操作；（6）、形成加固记录或报告。

（评分建议：答对每一个要点给1分，答对5个及以上给5分）