信息安全管理體系-自己整理

1、第三章信息安全管理體系一、判斷題1 .雖然在安全評估過程中采取定量評估能獲得準(zhǔn)確的分析結(jié)果，但是由于參數(shù)確定較為困難，往往實(shí)際評估多采取定性評估，或者定性和定量評估相結(jié)合的方法。2 .定性安全風(fēng)險評估結(jié)果中，級別較高的安全風(fēng)險應(yīng)當(dāng)優(yōu)先采取控制措施予以應(yīng)對。3 .通常在風(fēng)險評估的實(shí)踐中，綜合利用基線評估和詳細(xì)評估的優(yōu)點(diǎn)，將二者結(jié)合起來。二、單選題1 .下列關(guān)于風(fēng)險的說法，是錯誤的。A.風(fēng)險是客觀存在的B.導(dǎo)致風(fēng)險的外因是普遍存在的安全威脅C.導(dǎo)致風(fēng)險的外因是普遍存在的安全脆弱性D.風(fēng)險是指一種可能性2 .下列關(guān)于風(fēng)險的說法，是正確的。A.可以采取適當(dāng)措施，完全清除風(fēng)險B.任何措施都無法完全清除風(fēng)

2、險C.風(fēng)險是對安全事件的確定描述D.風(fēng)險是固有的，無法被控制3 .風(fēng)險管理的首要任務(wù)是。A.風(fēng)險識別和評估B.風(fēng)險轉(zhuǎn)嫁C.風(fēng)險控制D.接受風(fēng)險4 .關(guān)于資產(chǎn)價值的評估，說法是正確的。A.資產(chǎn)的價值指采購費(fèi)用B.資產(chǎn)的價值無法估計C.資產(chǎn)價值的定量評估要比定性評估簡單容易D.資產(chǎn)的價值與其重要性密切相關(guān)5 .采取適當(dāng)?shù)陌踩刂拼胧梢詫︼L(fēng)險起到作用。A.促進(jìn)B.增加C.減緩D.清楚6 .當(dāng)采取了安全控制措施后，剩余風(fēng)險可接受風(fēng)險的時候,說明風(fēng)險管理是有效的。A.等于B.大于C.小于D.不等于7 .安全威脅是產(chǎn)生安全事件的。A.內(nèi)因8 .外因C.根本原因D.不相關(guān)因素8 .安全脆弱性是產(chǎn)生安全事

3、件的A.內(nèi)因B.外因C.根本原因D.不相關(guān)因素9 .安全審計是一種很常見的安全控制措施，它在信息安全保障體系中，屬于措施。A.保護(hù)B.檢測C.響應(yīng)D.恢復(fù)10 .根據(jù)風(fēng)險管理的看法，資產(chǎn)價值，脆弱性，被安全威脅,風(fēng)險。A.存在利用導(dǎo)致具有B.具有存在利用導(dǎo)致C.導(dǎo)致存在具有利用D.利用導(dǎo)致存在具有11 .根據(jù)定量風(fēng)險評估的方法，下列表達(dá)式正確的是A.SLE=AWEFB.ALE=AWEFC.ALE=SLEEFD.ALE=SLEAV12 .關(guān)于安全審計目的描述錯誤的是。A.識別和分析未經(jīng)授權(quán)的動作或攻擊B.記錄用戶活動和系統(tǒng)管理C.將動作歸結(jié)到為其負(fù)責(zé)的實(shí)體D.實(shí)現(xiàn)對安全事件的應(yīng)急響應(yīng)13 .安全

4、審計跟蹤是。A.安全審計系統(tǒng)檢測并追蹤安全事件的過程B.安全審計系統(tǒng)收集易于安全審計的數(shù)據(jù)C.人利用日志信息進(jìn)行安全事件分析和追溯的過程D.對計算機(jī)系統(tǒng)中的某種行為的詳盡跟蹤和觀察14 .在安全評估過程中，采取手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。A.問卷調(diào)查B.人員訪談C.滲透性測試D.手工檢查三、多選題1 .下列因素，會對最終的風(fēng)險評估結(jié)果產(chǎn)生影響。A.管理制度B.資產(chǎn)價值C.威脅D.脆弱性E.安全措施2 .下列因素與資產(chǎn)價值評估有關(guān)。A.購買資產(chǎn)發(fā)生的費(fèi)用B.軟硬件費(fèi)用C.運(yùn)行維護(hù)資產(chǎn)所需成本D.資產(chǎn)被破壞所造成的損失E.人工費(fèi)用3 .安全控制措施可以分為。A.管理類B.技術(shù)類

5、C.人員類D.操作類E.檢測類4 .對于計算機(jī)系統(tǒng)，由環(huán)境因素所產(chǎn)生的安全隱患包括。A.惡劣的溫度、濕度、灰塵、地震、風(fēng)災(zāi)、火災(zāi)等B.強(qiáng)電、磁場等C.雷電D.人為的破壞四、問答題1 .簡述信息安全風(fēng)險的計算過程。2 .一個公司投資50萬美元建立一個網(wǎng)絡(luò)運(yùn)營中心，經(jīng)過評估，最大的風(fēng)險是發(fā)生火災(zāi)，每次火災(zāi)大概造成45%的資產(chǎn)損失，經(jīng)過統(tǒng)計，該地區(qū)每5年發(fā)生一次火災(zāi)，試通過定量分析的方法，計算風(fēng)險造成的損失。3 .簡述信息安全脆弱性的分類及其內(nèi)容。答案一、判斷題1.對2.對3.對二、單選題1.C2.B3.A4.D5.C6.C7.B8.A9.B10.B11.A12.D13.A14.C三、多選題1.BC

6、DE2.ACD3.ABD4.ABCD四、問答題1. 簡述信息安全風(fēng)險的計算過程。答：風(fēng)險計算的過程是：（ 1）對信息資產(chǎn)進(jìn)行識別，并對資產(chǎn)賦值；（ 2）對威脅進(jìn)行分析，并對威脅發(fā)生的可能性賦值；（ 3）識別信息資產(chǎn)的脆弱性，并對脆弱性的嚴(yán)重程度賦值；（ 4）根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；（ 5）結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計算信息資產(chǎn)的風(fēng)險值。2. 一個公司投資50萬美元建立一個網(wǎng)絡(luò)運(yùn)營中心，經(jīng)過評估，最大的風(fēng)險是發(fā)生火災(zāi)，每次火災(zāi)大概造成45的資產(chǎn)損失，經(jīng)過統(tǒng)計，該地區(qū)每年發(fā)生一次火災(zāi)，試通過定量分析的方法，計算風(fēng)險造成的損失。答：資產(chǎn)價值A(chǔ)V=50萬美元暴露因子EF=45%單一損失期望SLE=AAEF=22.5萬美元年度發(fā)生率ARO=20%年度損失期望ALE=SLEARO=4.5萬美元3. 簡述信息安全脆弱性的分類及其內(nèi)容。答：信息安全脆弱性的分類及其內(nèi)容如下表所示:脆弱性分類名稱包含內(nèi)容技木脆弱性物理安全物理設(shè)備的訪問控制、電力供應(yīng)等網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)傳輸加密、訪問控制、網(wǎng)絡(luò)設(shè)備安全漏洞、設(shè)備配置安全等系統(tǒng)安全系統(tǒng)軟件安全漏洞、