信息系統(tǒng)安全評(píng)測與風(fēng)險(xiǎn)評(píng)估試題及答案

1、信息系統(tǒng)安全評(píng)測與風(fēng)險(xiǎn)評(píng)估試題姓名分?jǐn)?shù) GB/T19716-2005GB/T20269信息系統(tǒng)安全管理要求GB/T20270網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271信息系統(tǒng)通用安全技術(shù)要求資產(chǎn)賦值風(fēng)險(xiǎn)賦值一：填空題（ 36 分）1. 信息安全評(píng)測實(shí)際上蘊(yùn)含著豐富的思想內(nèi)涵，嚴(yán)肅的（），嚴(yán)謹(jǐn)?shù)模ǎ?，?yán)格的（）以及極具魅力的評(píng)測技巧，是一個(gè)科學(xué)和藝術(shù)圓滿結(jié)合的領(lǐng)域。2. 在評(píng)測一個(gè)信息系統(tǒng)的數(shù)據(jù)安全時(shí)，國家標(biāo)準(zhǔn)要求從數(shù)據(jù)完整性，數(shù)據(jù)（保密性）和數(shù)據(jù)的（備份）與恢復(fù)三個(gè)環(huán)節(jié)來考慮。3. 資產(chǎn)分類的方法較多，大體歸納為2 種，一種是“自然形態(tài)” ，即按照系統(tǒng)組成成分和服務(wù)內(nèi)容來分類，如分成“數(shù)據(jù)，軟件（

2、硬件），服務(wù)（人員），其他”六大類，還可以按照“信息形態(tài)”將資產(chǎn)分為“信息，（信息載體）和（信息環(huán)境）三大類。4. 資產(chǎn)識(shí)別包括資產(chǎn)分類和（資產(chǎn)賦值）兩個(gè)環(huán)節(jié)。5. 威脅的識(shí)別可以分為重點(diǎn)識(shí)別和（全面識(shí)別）6脆弱性識(shí)別分為脆弱性發(fā)現(xiàn)（脆弱性分類）脆弱性驗(yàn)證和（脆弱性賦值）7. 風(fēng)險(xiǎn)的三個(gè)要素是資產(chǎn)（ 脆弱性）和（ 威脅）8. 應(yīng)急響應(yīng)計(jì)劃應(yīng)包含準(zhǔn)則，（）預(yù)防和預(yù)警機(jī)制（） （）和附件6 個(gè)基本要素。9.信息安全風(fēng)險(xiǎn)評(píng)估的原則包括可控性原則、完整性原則、最小影響原則、保密原則10.信息安全風(fēng)險(xiǎn)評(píng)估概念信息安全風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、 傳輸和存儲(chǔ)的信息的保密

3、性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程，它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響11.信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的關(guān)系信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的一個(gè)階段，只是在更大的風(fēng)險(xiǎn)管理流程中的一個(gè)評(píng)估風(fēng)險(xiǎn)的一個(gè)階段12.信息安全風(fēng)險(xiǎn)評(píng)估的分類基線風(fēng)險(xiǎn)評(píng)估、詳細(xì)風(fēng)險(xiǎn)評(píng)估、聯(lián)合風(fēng)險(xiǎn)評(píng)估13.二：問答題：（ 64 分）1. 什么是安全域？目前中國劃分安全域的方法大致有哪些？ （10分）1. 安全域是將一個(gè)大型信息系統(tǒng)中具有某種相似性的子系統(tǒng)聚集在一起。目前，中國劃分安全域的方法大致歸納有資產(chǎn)價(jià)值相似性安全域

4、，業(yè)務(wù)應(yīng)用相似性安全域，安全需求相似性安全域和安全威脅相似性安全域。2. 數(shù)據(jù)安全評(píng)測是主要應(yīng)用哪三種方法進(jìn)行評(píng)測？你如何理解？（ 10 分）國家標(biāo)準(zhǔn)中要求信息安全評(píng)測工程師使用訪談、檢查、測試三種方法進(jìn)行測評(píng)訪談：指測評(píng)人員通過與信息系統(tǒng)有關(guān)人員進(jìn)行交流，討論等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法檢查：指測評(píng)人員通過對(duì)測評(píng)對(duì)對(duì)象進(jìn)行觀察，檢查和分析等活動(dòng)，獲取證據(jù)證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法測試：指測評(píng)人員通過對(duì)測評(píng)對(duì)象按照預(yù)定的方法 /工具使其產(chǎn)生特定的行為等活動(dòng)，然后查看，分析輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種訪求3

5、.國家標(biāo)準(zhǔn)中把主機(jī)評(píng)測分為哪八個(gè)環(huán)節(jié)？你如何理解？（ 10 分）身份鑒別 自主訪問控制 強(qiáng)制訪問控制 安全審計(jì) 剩于信息保護(hù)入侵防范 惡意代碼防范4. 什么是資產(chǎn)和資產(chǎn)價(jià)值？什么是威脅和威脅識(shí)別？什么是脆弱性？ （14 分）資產(chǎn)是對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象資產(chǎn)價(jià)值是資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的租用內(nèi)容。威脅指可能導(dǎo)致對(duì)系統(tǒng)或組織危害的事故潛在的起因。脆弱性指可能被威脅利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性識(shí)別，指分析和度量可能被威脅利用的資產(chǎn)薄弱環(huán)節(jié)的過5. 什么是風(fēng)險(xiǎn)評(píng)估？如何進(jìn)行風(fēng)險(xiǎn)計(jì)算？ （20 分）2. 風(fēng)險(xiǎn)評(píng)估指，依照

6、國家有關(guān)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)及由其處理，傳輸和存儲(chǔ)的信息的保密性，完整性和可用性等安全屬性進(jìn)行分析和評(píng)價(jià)的過程。它要分析資產(chǎn)面臨的威脅及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一但發(fā)生對(duì)組織造成的影響。風(fēng)險(xiǎn)計(jì)算的形式化表示為：風(fēng)險(xiǎn)值 =R(A,T,V)=R(L(T,V),F(Ia,Va) R 表示風(fēng)險(xiǎn)計(jì)算函數(shù)T 表示威脅 V 表示脆弱性計(jì)算事件發(fā)生的可能性 =L（威脅出現(xiàn)的頻率，脆弱性） =L (T,V) 安全事件造成的損失 =F (資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度 )=F(Ia,Va)風(fēng)評(píng)考試1.信息安全：是指信息網(wǎng)絡(luò)的硬件、 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然

7、的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常運(yùn)行，信息服務(wù)不中斷。信息安全的屬性，保密性、完整性、可用性、（ CIA ）可控性、不可否認(rèn)性2.信息安全管理：是其于風(fēng)險(xiǎn)的信息安全管理，即始終以風(fēng)險(xiǎn)為主線進(jìn)行信息安全的管理3.BS7799 已成為國際公認(rèn)的信息安全管理權(quán)威標(biāo)準(zhǔn)。4.在 AS/NZS 4360:1999 中風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置 5 個(gè)基本步聚和風(fēng)險(xiǎn)溝通和咨詢、 監(jiān)控和評(píng)審 2 個(gè)附加環(huán)節(jié)5.信息安全管理體系（ ISMS ）采取了一種叫做PDCA 的管理模式，請(qǐng)簡述其內(nèi)容答： PDCA 是一種循環(huán)過程，所以我們通常把它叫做PDCA 循

8、環(huán)，并把這個(gè)循環(huán)圖叫做“戴明環(huán)”6.簡述確定 ISMS 的范圍和邊界時(shí)需要考慮的方面？答：根據(jù)公司所從事的業(yè)務(wù)、性質(zhì)、辦公地點(diǎn)、各種信息資產(chǎn)、擁有技術(shù)的特點(diǎn)確定信息安全管理體系的范圍7.列舉 ISMS 的 11 個(gè)控制領(lǐng)域？答：信息方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)安全要求、信息安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性8、信息安全管理體系文件的層次？答：手冊、程序文件、作業(yè)指導(dǎo)書、記錄9、建立信息安全方針應(yīng)考慮哪些方面？答：根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性和信息安全在公司業(yè)務(wù)中的重要程度確定信息安全管理體系的方針10、風(fēng)險(xiǎn)管理

9、包括哪些過程？答：資產(chǎn)識(shí)別與做人、威脅評(píng)估、脆弱性評(píng)估、對(duì)現(xiàn)有安全控制的識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理、殘余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)控制11、風(fēng)險(xiǎn)處置措施有哪些？答：規(guī)避風(fēng)險(xiǎn)，采取有效的控制措施避免風(fēng)險(xiǎn)的發(fā)生接受風(fēng)險(xiǎn)，在一定程度上有意識(shí)、有目的地接受風(fēng)險(xiǎn)風(fēng)險(xiǎn)轉(zhuǎn)移，轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面12、信息安全具有哪幾種性質(zhì)？答：脆弱性、連續(xù)性、可靠性、威脅性13、資產(chǎn)有哪些類別？答：物理資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)、文件資產(chǎn)、服務(wù)資產(chǎn)、形象資產(chǎn)14、實(shí)施風(fēng)險(xiǎn)評(píng)估需要哪些步驟？答：資產(chǎn)識(shí)別與估價(jià)、威脅評(píng)估、脆弱性評(píng)估、對(duì)現(xiàn)有安全控制的識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理、殘余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)控制15、資產(chǎn)賦值應(yīng)包含哪幾個(gè)方面的賦值？答：保密性

10、、完整性、可用性16、資產(chǎn)各個(gè)等級(jí)分值如何劃分？資產(chǎn)評(píng)價(jià)準(zhǔn)則是什么？答：等級(jí)5標(biāo)識(shí)很高描述非常重要，其屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失3高比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失1很低不重要，其安全屬性破壞后對(duì)組織造成很小的損失，甚至忽略不計(jì)17、脆弱性的有哪些類型？識(shí)別脆弱性時(shí)主要應(yīng)關(guān)注哪些對(duì)象？并列舉答： 技術(shù)脆弱性、管理脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)

11、結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件 從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng) 從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別18、出幾個(gè)關(guān)于資產(chǎn)脆弱性例子答：設(shè)備維護(hù)措施

12、不完善、物理訪問控制不健全、口令不當(dāng)、權(quán)限分配不合理19、資產(chǎn)值和風(fēng)險(xiǎn)值的計(jì)算函數(shù)各是什么？其中各個(gè)字母的含義是什么？資產(chǎn)值計(jì)算方式資產(chǎn)值為A保密性為c(Confidentiality ) 完整性為i( Integrity ) 可用性為a(Possibility )A=c+i+a風(fēng)險(xiǎn)值計(jì)算威脅頻率 =T脆弱性嚴(yán)重度 =V 則安全事件發(fā)生可能性F=根號(hào) (T*V)安全事件的損失L= 根號(hào) (A*V)風(fēng)險(xiǎn)值R=L*F20、風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置 5 個(gè)基本步驟和風(fēng)險(xiǎn)溝通和咨詢、監(jiān)控和評(píng)審 2 個(gè)附加環(huán)節(jié)21、GB/T19715.1信息技術(shù)安全管理指南第一部分：

13、信息技術(shù)安全概念和模型（ISO/IEC 13335-1:1996）GB/T19715.2信息技術(shù)安全管理指南 第二部分：管理和規(guī)劃信息技術(shù)安全（ISO/IEC 13335-1:1996）22、GB/T19716-2005 信息安全管理實(shí)用規(guī)則 （ISO/IEC17799:2000）23、BS7799 信息安全管理標(biāo)準(zhǔn)是一 在國際上得到廣泛重視的標(biāo)準(zhǔn)物業(yè)安保培訓(xùn)方案為規(guī)范保安工作，使保安工作系統(tǒng)化/ 規(guī)范化 ,最終使保安具備滿足工作需要的知識(shí)和技能，特制定本教學(xué)教材大綱。一、課程設(shè)置及內(nèi)容全部課程分為專業(yè)理論知識(shí)和技能訓(xùn)練兩大科目。其中專業(yè)理論知識(shí)內(nèi)容包括：保安理論知識(shí)、消防業(yè)務(wù)知識(shí)、職業(yè)道德、

14、法律常識(shí)、保安禮儀、救護(hù)知識(shí)。作技能訓(xùn)練內(nèi)容包括：崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二培訓(xùn)的及要求培訓(xùn)目的1）保安人員培訓(xùn)應(yīng)以保安理論知識(shí)、消防知識(shí)、法律常識(shí)教學(xué)為主，在教學(xué)過程中，應(yīng)要求學(xué)員全面熟知保安理論知識(shí)及消防專業(yè)知識(shí)，在工作中的操作與運(yùn)用，并基本掌握現(xiàn)場保護(hù)及處理知識(shí)2 ）職業(yè)道德課程的教學(xué)應(yīng)根據(jù)不同的崗位元而予以不同的內(nèi)容，使保安在各自不同的工作崗位上都能養(yǎng)成具有本職業(yè)特點(diǎn)的良好職業(yè)道德和行為規(guī)范）法律常識(shí)教學(xué)是理論課的主要內(nèi)容之一，要求所有保安都應(yīng)熟知國家有關(guān)法律、法規(guī)，成為懂法、知法、守法的公民，運(yùn)用法律這一有力武器與違法犯罪分子作斗爭。工作入口門衛(wèi)守護(hù)，定點(diǎn)守衛(wèi)及區(qū)

15、域巡邏為主要內(nèi)容，在日常管理和發(fā)生突發(fā)事件時(shí)能夠運(yùn)用所學(xué)的技能保護(hù)公司財(cái)產(chǎn)以及自身安全。2、培訓(xùn)要求1）保安理論培訓(xùn)通過培訓(xùn)使保安熟知保安工作性質(zhì)、地位、任務(wù)、及工作職責(zé)權(quán)限，同時(shí)全面掌握保安專業(yè)知識(shí)以及在具體工作中應(yīng)注意的事項(xiàng)及一般情況處置的原則和方法。2）消防知識(shí)及消防器材的使用通過培訓(xùn)使保安熟知掌握消防工作的方針任務(wù)和意義，熟知各種防火的措施和消防器材設(shè)施的操作及使用方法，做到防患于未燃，保護(hù)公司財(cái)產(chǎn)和員工生命財(cái)產(chǎn)的安全。3) 法律常識(shí)及職業(yè)道德教育通過法律常識(shí)及職業(yè)道德教育，使保安樹立法律意識(shí)和良好的職業(yè)道德觀念，能夠運(yùn)用法律知識(shí)正確處理工作中發(fā)生的各種問題；增強(qiáng)保安人員愛崗敬業(yè)、無私

16、奉獻(xiàn)更好的為公司服務(wù)的精神。4) 工作技能培訓(xùn)其中專業(yè)理論知識(shí)內(nèi)容包括：保安理論知識(shí)、消防業(yè)務(wù)知識(shí)、職業(yè)道德、法律常識(shí)、保安禮儀、救護(hù)知識(shí)。作技能訓(xùn)練內(nèi)容包括：崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二培訓(xùn)的及要求培訓(xùn)目的安全生產(chǎn)目標(biāo)責(zé)任書為了進(jìn)一步落實(shí)安全生產(chǎn)責(zé)任制，做到“責(zé)、權(quán)、利”相結(jié)合，根據(jù)我公司2015 年度安全生產(chǎn)目標(biāo)的內(nèi)容，現(xiàn)與財(cái)務(wù)部 簽訂如下安全生產(chǎn)目標(biāo)：一、目標(biāo)值：1 、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。2 、現(xiàn)金安全保管，不發(fā)生盜竊事故。3 、每月足額提取安全生產(chǎn)費(fèi)用，保障安全生產(chǎn)投入資金的到位。4 、安全培訓(xùn)合格率為 100% 。二、本單位安全工作上必

17、須做到以下內(nèi)容：1 、對(duì)本單位的安全生產(chǎn)負(fù)直接領(lǐng)導(dǎo)責(zé)任，必須模范遵守公司的各項(xiàng)安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴(yán)格履行本人的安全職責(zé)，確保安全責(zé)任制在本單位全面落實(shí)，并全力支持安全工作。2 、保證公司各項(xiàng)安全管理制度和管理辦法在本單位內(nèi)全面實(shí)施，并自覺接受公司安全部門的監(jiān)督和管理。3 、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當(dāng)“安全與交貨期、質(zhì)量”發(fā)生矛盾時(shí)，堅(jiān)持安全第一的原則。4 、參加生產(chǎn)碰頭會(huì)時(shí)，首先匯報(bào)本單位的安全生產(chǎn)情況和安全問題落實(shí)情況；在安排本單位生產(chǎn)任務(wù)時(shí)，必須安排安全工作內(nèi)容，并寫入記錄。5 、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。6 、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。7 、以身作則，不違章指揮、不違章操作。對(duì)發(fā)現(xiàn)的各類違章現(xiàn)象負(fù)有查禁的責(zé)任，