企業(yè)信息系統(tǒng)安全評測與風險評價試題

1、【最新資料，WOR文檔，可編輯修改】信息系統(tǒng)安全評測與風險評估試題姓名 分數(shù)GB/T20269 信息系統(tǒng)安全管理要求GB/T20270 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271 信息系統(tǒng)通用安全技術(shù)要求資產(chǎn)賦值 風險賦值一：填空題（ 36 分）1. 信息安全評測實際上蘊含著豐富的思想內(nèi)涵，嚴肅的（），嚴謹?shù)模?），嚴格的（ ）以及極具魅力的評測技巧，是一個科學和藝 術(shù)圓滿結(jié)合的領(lǐng)域。2. 在評測一個信息系統(tǒng)的數(shù)據(jù)安全時，國家標準要求從數(shù)據(jù)完整性，數(shù)據(jù)（保 密性）和數(shù)據(jù)的（備份）與恢復(fù)三個環(huán)節(jié)來考慮。3. 資產(chǎn)分類的方法較多，大體歸納為 2 種，一種是“自然形態(tài)”，即按照系統(tǒng) 組成成分和服務(wù)內(nèi)容來

2、分類，如分成“數(shù)據(jù)，軟件（硬件），服務(wù)（人員）， 其他”六大類，還可以按照“信息形態(tài)”將資產(chǎn)分為“信息，（信息載體）和 （信息環(huán)境 ）三大類。4. 資產(chǎn)識別包括資產(chǎn)分類和（資產(chǎn)賦值）兩個環(huán)節(jié)。5. 威脅的識別可以分為重點識別和（全面識別）6脆弱性識別分為脆弱性發(fā)現(xiàn)（脆弱性分類）脆弱性驗證和（脆弱性賦值）7. 風險的三個要素是資產(chǎn)（ 脆弱性）和（ 威脅）8. 應(yīng)急響應(yīng)計劃應(yīng)包含準則，（）預(yù)防和預(yù)警機制（）和附件 6 個基本要素。9. 信息安全風險評估的原則包括 可控性原則、完整性原則、最小影響原則、保密原則10. 信息安全風險評估概念信息安全風險評估是依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及

3、由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程，它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦 發(fā)生對組織造成的影響11. 信息安全風險評估和風險管理的關(guān)系信息安全風險評估是信息安全風險管理的一個階段，只是在更大的風險 管理流程中的一個評估風險的一個階段12. 信息安全風險評估的分類基線風險評估、詳細風險評估、聯(lián)合風險評估13.二：問答題：（ 64 分）1. 什么是安全域？目前中國劃分安全域的方法大致有哪些？（ 10 分）1. 安全域是將一個大型信息系統(tǒng)中具有某種相似性的子系統(tǒng)聚集在一起。目前，中國劃分

4、安全域的方法大致歸納有資產(chǎn)價值相似性安全域，業(yè)務(wù)應(yīng)用 相似性安全域，安全需求相似性安全域和安全威脅相似性安全域。2. 數(shù)據(jù)安全評測是主要應(yīng)用哪三種方法進行評測？你如何理解？（ 10 分）國家標準中要求信息安全評測工程師使用訪談、檢查、測試三種方法進行測評訪談：指測評人員通過與信息系統(tǒng)有關(guān)人員進行交流，討論等活動，獲取 證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法 檢查：指測評人員通過對測評對對象進行觀察，檢查和分析等活動，獲取 證據(jù)證明信息系統(tǒng)安全等級保護措施是否有效的一種方法 測試：指測評人員通過對測評對象按照預(yù)定的方法 / 工具使其產(chǎn)生特定的行 為等活動，然后查看，分析輸出結(jié)果，獲

5、取證據(jù)以證明信息系統(tǒng)安全等級 保護措施是否有效的一種訪求3. 國家標準中把主機評測分為哪八個環(huán)節(jié)？你如何理解？（ 10 分） 身份鑒別 自主訪問控制 強制訪問控制 安全審計 剩于信息保護 入侵防 范 惡意代碼防范4. 什么是資產(chǎn)和資產(chǎn)價值？什么是威脅和威脅識別？什么是脆弱性？ （14 分）資產(chǎn)是對組織具有價值的信息或資源，是安全策略保護的對象 資產(chǎn)價值是資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性， 也是進行資產(chǎn)識別的租用內(nèi)容。威脅指可能導致對系統(tǒng)或組織危害的事故潛在的起因。 脆弱性指可能被威脅利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性識別，指分析和度量可能被威脅利用的資產(chǎn)薄弱環(huán)節(jié)的過5.

6、 什么是風險評估？如何進行風險計算？ （20 分）2. 風險評估指，依照國家有關(guān)標準對信息系統(tǒng)及由其處理，傳輸和存儲的信 息的保密性，完整性和可用性等安全屬性進行分析和評價的過程。它要分析資產(chǎn)面臨的威脅及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一但發(fā)生對組織造成的影響。 風險計算的形式化表示為：風險值二R(A,T,V)=R(L(T,V),F(la,Va)R表示風險計算函數(shù)T 表示威脅V表示脆弱性計算事件發(fā)生的可能性二L (威脅出現(xiàn)的頻率，脆弱性)=L (T,V) 安全事件造成的損失 =F ( 資產(chǎn)價值，脆弱性嚴重程度 )=F(la,Va)風評考試1. 信

7、息安全：是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶 然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常運行，信息服務(wù)不中 斷。信息安全的屬性，保密性、完整性、可用性、(CIA)可控性、不可否認性2. 信息安全管理：是其于風險的信息安全管理，即始終以風險為主線進行信息 安全的管理3. BS7799已成為國際公認的信息安全管理權(quán)威標準。4. 在AS/NZS4360:1999中風險管理分為建立環(huán)境、風險識別、風險分析、風險評估、風險處置 5個基本步聚和風險溝通和咨詢、監(jiān)控和評審2 個附加環(huán)節(jié)5信息安全管理體系(ISMS采取了一種叫做PDCA勺管理模式，請簡述其內(nèi)容答：PDCA是

8、一種循環(huán)過程，所以我們通常把它叫做 PDCA循環(huán)，并把這個循 環(huán)圖叫做“戴明環(huán)”6、簡述確定ISMS的范圍和邊界時需要考慮的方面？答：根據(jù)公司所從事的業(yè)務(wù)、性質(zhì)、辦公地點、各種信息資產(chǎn)、擁有技術(shù)的 特點確定信息安全管理體系的范圍7、列舉ISMS的11個控制領(lǐng)域？答：信息方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安 全、通信和操作管理、訪問控制、信息系統(tǒng)安全要求、信息安全事件管理、業(yè) 務(wù)連續(xù)性管理、符合性8、信息安全管理體系文件的層次？答：手冊、程序文件、作業(yè)指導書、記錄9、建立信息安全方針應(yīng)考慮哪些方面？答：根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性和信息安全在公司業(yè) 務(wù)中的重要

9、程度確定信息安全管理體系的方針10、風險管理包括哪些過程？答：資產(chǎn)識別與做人、威脅評估、脆弱性評估、對現(xiàn)有安全控制的識別、風 險評價、風險處理、殘余風險、風險控制11 、風險處置措施有哪些？答：規(guī)避風險，采取有效的控制措施避免風險的發(fā)生 接受風險，在一定程度上有意識、有目的地接受風險 風險轉(zhuǎn)移，轉(zhuǎn)移相關(guān)業(yè)務(wù)風險到其他方面12、信息安全具有哪幾種性質(zhì)？答：脆弱性、連續(xù)性、可靠性、威脅性13、資產(chǎn)有哪些類別？答：物理資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)、文件資產(chǎn)、服務(wù)資產(chǎn)、形象資產(chǎn)14、實施風險評估需要哪些步驟？答：資產(chǎn)識別與估價、威脅評估、脆弱性評估、對現(xiàn)有安全控制的識別、 風險評價、風險處理、殘余風險、風

10、險控制15、資產(chǎn)賦值應(yīng)包含哪幾個方面的賦值？答：保密性、完整性、可用性16、資產(chǎn)各個等級分值如何劃分？資產(chǎn)評價準則是什么？答：等級標識描述5很高非常重要，其屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3高比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成很小的損失，甚至忽略不計17、脆弱性的有哪些類型？識別脆弱性時主要應(yīng)關(guān)注哪些對象？并列舉答： 技術(shù)脆弱性、管理脆弱性物理環(huán)境 從機房場地、機房防火、機房配電、機房防靜電、機房接地與防 雷、電磁防護、通

11、信線路的保護、機房區(qū)域防護、機房設(shè)備管理等 方面進行識別網(wǎng)絡(luò)結(jié)構(gòu) 從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策 略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別系統(tǒng)軟件 從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審 計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等 方面進行識別應(yīng)用中間件 從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別應(yīng)用系統(tǒng) 從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信鑒別機 制、密碼保護等方面進行識別技術(shù)管理 從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維 護、業(yè)務(wù)連續(xù)性等方面進行識別組織管理 從安全策略、組織安全、資產(chǎn)分類與控制

12、、人員安全、符合性等方 面進行識別18、出幾個關(guān)于資產(chǎn)脆弱性例子答：設(shè)備維護措施不完善、物理訪問控制不健全、口令不當、權(quán)限分配不合 理19、資產(chǎn)值和風險值的計算函數(shù)各是什么？其中各個字母的含義是什么？資產(chǎn)值計算方式資產(chǎn)值為A 保密性為c( Confidentiality )完整性為i( Integrity)可用性為a( Possibility )A=c+i+a風險值計算威脅頻率 =T 脆弱性嚴重度 =V 則安全事件發(fā)生可能性F二根號(T*V)安全事件的損失 L= 根號(A*V)風險值R=L*F20、風險管理分為建立環(huán)境、風險識別、風險分析、風險評價、風險處置 5 個基本步驟和風險溝通和咨詢、監(jiān)控和評審 2個附加環(huán)節(jié)21、 GB/T19715.1信息技