信息安全管理與評估復(fù)習(xí)題2015

1、信息系統(tǒng)：計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。信息安全：保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因為偶然或惡意侵犯而遭到破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行。信息安全管理體系（Information Security Management System，ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合。信息安全風(fēng)險評估：從風(fēng)險管

2、理角度，運(yùn)用定性、定量的科學(xué)分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產(chǎn)所面臨的、人為的和自然的威脅，以及威脅事件一旦發(fā)生可能遭受的危害程度，有針對性地提出抵御威脅的安全等級防護(hù)對策和整改措施，從而最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。風(fēng)險評估的意義風(fēng)險評估是了解信息系統(tǒng)安全風(fēng)險的重要手段。風(fēng)險評估的最終目的是指導(dǎo)信息系統(tǒng)的安全建設(shè)，安全建設(shè)的實質(zhì)是控制信息安全風(fēng)險。風(fēng)險評估結(jié)果是后續(xù)安全建設(shè)的依據(jù)。信息安全管理與風(fēng)險評估的關(guān)系信息安全風(fēng)險評估是信息安全風(fēng)險管理的一個階段。信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險控制和審核批準(zhǔn)活動。風(fēng)險評估使得組織能夠準(zhǔn)確定位風(fēng)險管理的策略、實踐和工

3、具，能夠?qū)⑿畔踩顒拥闹攸c(diǎn)放在重要的問題上，能夠選擇成本效益合理的和適用的安全對策?；陲L(fēng)險評估的風(fēng)險管理方法被實踐證明是有效的和實用的，己被廣泛應(yīng)用于各個領(lǐng)域。因此，風(fēng)險評估是信息安全管理體系和信息安全風(fēng)險管理的基礎(chǔ)，是對現(xiàn)有網(wǎng)絡(luò)的安全性進(jìn)行分析的第一手資料，也是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最重要的內(nèi)容之一，它為實施風(fēng)險管理和風(fēng)險控制提供了直接的依據(jù)。建立信息安全管理體系6個基本步驟：（1）信息安全管理體系的策劃與準(zhǔn)備；（2）信息安全管理體系文件的編制；（3）建立信息安全管理框架；（4）信息安全管理體系的運(yùn)行；（5）信息安全管理體系的審核；（6）信息安全管理體系的管理評審。信息安全風(fēng)險評估依據(jù)1. 政策

4、法規(guī)2. 國際標(biāo)準(zhǔn)3. 國家標(biāo)準(zhǔn)4. 行業(yè)標(biāo)準(zhǔn)信息安全風(fēng)險評估原則1. 可控性原則2. 完整性原則3. 最小影響原則4. 保密原則TCSEC：可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria, TCSEC），將安全分為4個方面（安全政策、可說明性、安全保障和文檔）和7個安全級別（從低到高依次為D、C1、C2、B1、B2、B3和A級）。IT治理是組織根據(jù)自身文化和信息化水平構(gòu)建適合組織發(fā)展的架構(gòu)并實施的一種管理過程，是平衡IT資源和組織利益相關(guān)者之間IT決策權(quán)力歸屬與責(zé)任分配的一種管理模式，旨在規(guī)避IT風(fēng)險和增加IT收益，實現(xiàn)IT目標(biāo)

5、與組織業(yè)務(wù)目標(biāo)的融合。2PRINCE2，結(jié)構(gòu)化的項目管理方法，其過程模型由8個管理過程組成。3ITIL：信息技術(shù)基礎(chǔ)架構(gòu)庫(Information Technology Infrastructure Library, ITIL)由英國政府部門CCTA(Central Computing and Telecommunications Agency)在20世紀(jì)80年代末制訂，現(xiàn)由英國商務(wù)部OGC(Office of Government Commerce)負(fù)責(zé)管理，主要適用于IT服務(wù)管理(ITSM)。4. COBIT模型：COBIT(Control Objectives for Informati

6、on and related Technology)是目前國際上通用的信息系統(tǒng)審計的標(biāo)準(zhǔn)，由ISACA（The Information System Audit and Control Association，美國信息系統(tǒng)審計與控制協(xié)會）在1996年公布。2012年4月，ISACA官方正式發(fā)布COBIT5.0。COBIT5.0提出了能使組織在一套包含7個驅(qū)動因素整體方法下、建立有效治理和管理框架的5個原則，以優(yōu)化信息和技術(shù)的投資及使用以滿足相關(guān)者的利益。標(biāo)準(zhǔn)間的相互關(guān)系： COBIT、ITIL、ISO/IEC 27001和PRINCE2在管理IT上各有優(yōu)勢，如COBIT重點(diǎn)在于IT控制和IT度

7、量評價；ITIL重點(diǎn)在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付：ISO/IEC 27001重點(diǎn)在于IT安全控制；PRINCE2重點(diǎn)在于項目管理，強(qiáng)調(diào)項目的可控性，明確項目管理中人員角色的具體職責(zé)，同時實現(xiàn)項目管理質(zhì)量的不斷改進(jìn)。資產(chǎn)識別工作內(nèi)容1. 回顧評估范圍內(nèi)的業(yè)務(wù)2. 識別信息資產(chǎn)，進(jìn)行合理分類3. 確定每類信息資產(chǎn)的安全需求4. 為每類信息資產(chǎn)的重要性賦值威脅識別工作內(nèi)容1. 威脅識別2. 威脅分類3. 威脅賦值4. 構(gòu)建威脅場景脆弱性識別原則（1）全面考慮和突出重點(diǎn)相結(jié)合的原則（2）局部與整體相結(jié)合的原則（3）層次化原則（4）手工與自動化工具相結(jié)合的原則風(fēng)險處理計劃控制措施選擇1. 接

8、受風(fēng)險2. 避免風(fēng)險3. 轉(zhuǎn)移風(fēng)險4. 降低風(fēng)險5. 處置殘留風(fēng)險規(guī)劃階段的信息安全風(fēng)險評估評估著重以下幾方面：（1）是否依據(jù)相關(guān)規(guī)則，建立了與業(yè)務(wù)戰(zhàn)略一致的信息系統(tǒng)安全規(guī)劃，并得到最高管理者的認(rèn)可；（2）系統(tǒng)規(guī)劃中是否明確信息系統(tǒng)開發(fā)的組織、業(yè)務(wù)變更的管理、開發(fā)優(yōu)先級；（3）系統(tǒng)規(guī)劃中是否考慮信息系統(tǒng)的威脅、環(huán)境，并制定總體的安全方針；（4）系統(tǒng)規(guī)劃中是否描述信息系統(tǒng)預(yù)期使用的信息，包括預(yù)期的應(yīng)用、信息資產(chǎn)的重要性、潛在的價值、可能的使用限制、對業(yè)務(wù)的支持程度等；（5）系統(tǒng)規(guī)劃中是否描述所有與信息系統(tǒng)安全相關(guān)的運(yùn)行環(huán)境，包括物理和人員的安全配置，以及明確相關(guān)的法規(guī)、組織安全政策、專門技術(shù)和知

9、識等。實施階段的信息安全風(fēng)險評估開發(fā)、技術(shù)、產(chǎn)品獲取過程的評估要點(diǎn)包括： （1）法律、政策、適用標(biāo)準(zhǔn)和指導(dǎo)方針。直接或間接影響信息系統(tǒng)安全需求的特定法津；影響信息系統(tǒng)安全需求、產(chǎn)品選擇的政府政策、國際或國家標(biāo)準(zhǔn)；（2）信息系統(tǒng)的功能需要：安全需求是否有效地支持系統(tǒng)的功能；（3）成本效益風(fēng)險：是否根據(jù)信息系統(tǒng)的資產(chǎn)、威脅和脆弱性的分析結(jié)果，確定在符合相關(guān)法律、政策、標(biāo)準(zhǔn)和功能需要的前提下選擇最合適的安全措施；（4）評估保證級別，是否明確系統(tǒng)建設(shè)后應(yīng)進(jìn)行怎樣的測試和檢查，從而確定是否滿足項目建設(shè)、實施規(guī)范的要求。系統(tǒng)交付實施過程的評估要點(diǎn)包括： （1）根據(jù)實際建設(shè)的系統(tǒng)，詳細(xì)分析資產(chǎn)、面臨的威脅和

10、脆弱性；（2）根據(jù)系統(tǒng)建設(shè)目標(biāo)和安全需求，對系統(tǒng)的安全功能進(jìn)行驗收測試；評價安全措施能否抵御安全威脅；（3）評估是否建立了與整體安全策略一致的組織管理制度；（4）對系統(tǒng)實現(xiàn)的風(fēng)險控制效果與預(yù)期設(shè)計的符合性進(jìn)行判斷，如存在較大的不符合，應(yīng)重新進(jìn)行信息系統(tǒng)安全策略的設(shè)計與調(diào)整。運(yùn)維階段的信息安全風(fēng)險評估（1）資產(chǎn)評估：在真實環(huán)境下較為細(xì)致的評估，包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運(yùn)行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等。本階段資產(chǎn)識別是前期資產(chǎn)識別的補(bǔ)充與增加；（2）威脅評估：應(yīng)全面地分析威脅的可能性和影響程度。對非故意威脅導(dǎo)致安全事件的評估可以參照安全事件的發(fā)生概率；對故意威脅導(dǎo)致安全事件的

11、評估主要就威脅的各個影響因素做出專業(yè)判斷；（3）脆弱性評估：是全面的脆弱性評估，包括運(yùn)行環(huán)境中物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)脆弱性評估可以采取核查、掃描、案例驗證、滲透測試的方式實施；安全保障設(shè)備的脆弱性評估，應(yīng)考慮安全功能的實現(xiàn)情況和安全保障設(shè)備本身的脆弱性。技術(shù)脆弱性評估可以采取核查、掃描、案例驗證、滲透性試的方式實施；安全保障設(shè)備的脆弱性評估，應(yīng)考慮安全功能的實現(xiàn)情況和安全保障設(shè)備本身的脆弱性；管理脆弱性評估可以采取文檔、記錄核查等方式進(jìn)行驗證； （4）風(fēng)險計算：根據(jù)風(fēng)險計算的相關(guān)方法，對重要資產(chǎn)的風(fēng)險進(jìn)行定性或定量的風(fēng)險分析，描述不同資產(chǎn)的風(fēng)險高低狀況

12、。 建立信息安全管理體系的步驟（1）信息安全管理體系的策劃與準(zhǔn)備；（2）信息安全管理體系文件的編制； （3）建立信息安全管理框架；（4）信息安全管理體系的運(yùn)行；（5）信息安全管理體系的審核；（6）信息安全管理體系的管理評審。編寫信息安全管理體系文件的作用 闡述聲明的作用； 規(guī)定、指導(dǎo)的作用； 記錄、證實的作用； 評價信息安全管理體系的作用； 保障信息安全改進(jìn)的作用； 平衡培訓(xùn)要求的作用。信息安全策略（Information Security Policy）本質(zhì)上說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護(hù)的一個計劃，其目的就是對組織中成員闡明如何使用組織中的信息系統(tǒng)資源，如何

13、處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶在使用信息時應(yīng)當(dāng)承擔(dān)的責(zé)任，詳細(xì)描述對員工的安全意識和技能要求，列出被組織禁止的行為。信息安全策略可以分為兩個層次：一個是信息安全方針，另一個是具體的信息安全策略。所謂信息安全方針就是組織的信息安全委員會或管理部門制定的一個高層文件，用于指導(dǎo)組織如何對資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則進(jìn)行指示。信息安全方針必須要在ISMS實施的前期制定出來，闡明最高管理層的承諾，提出組織管理信息安全的方法，由管理層批準(zhǔn)，指導(dǎo)ISMS 的所有實施工作。信息安全策略是在信息安全方針的基礎(chǔ)上，根據(jù)風(fēng)險評估的結(jié)果，為降低信息安全風(fēng)險，保證控制措施的有效執(zhí)行而制定的具

14、體明確的信息安全實施規(guī)則。定義ISMS的范圍 組織所有的信息系統(tǒng)； 組織的部分信息系統(tǒng)； 特定的信息系統(tǒng)。實施信息安全風(fēng)險評估 首先，組織應(yīng)當(dāng)確定的風(fēng)險評估方法; 其次，組織利用已確定的風(fēng)險評估方法識別風(fēng)險; 之后，組織進(jìn)行分析并評價風(fēng)險。信息安全風(fēng)險管理主要包括以下幾種措施： 接受風(fēng)險 規(guī)避風(fēng)險 轉(zhuǎn)移風(fēng)險 降低風(fēng)險信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。通常情況下，信息安全事件的發(fā)生是由于自然的、人為的或者軟硬件自身存在缺陷或故障造成的。信息安全事故由單個或一系列有害或意外信息安全事件組成，它

15、們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大可能性。1. 管理評審的定義指組織的最高管理者按規(guī)定的時間間隔對信息安全管理體系進(jìn)行評審，以確保體系的持續(xù)適宜性、充分性和有效性。管理評審過程應(yīng)確保收集到必要的信息，以供管理者進(jìn)行評價，管理評審應(yīng)形成文件。 信息安全管理認(rèn)證是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定的要求給予書面保證（合格證書），認(rèn)證的基礎(chǔ)是標(biāo)準(zhǔn)，認(rèn)證的方法包括對產(chǎn)品特性的抽樣檢驗和對組織體系的審核與評定，認(rèn)證的證明方式是認(rèn)證證書與認(rèn)證標(biāo)志。認(rèn)證是第三方所從事的活動，通過認(rèn)證活動，組織可以對外提供某種信任與保證，如產(chǎn)品質(zhì)量保證、信息安全保證等。 信息安全認(rèn)證包括兩類：一類為ISMS認(rèn)證，另

16、一類為信息安全產(chǎn)品認(rèn)證。4、如果某個網(wǎng)站允許用戶上傳任意類型的文件，黑客最可能進(jìn)行的攻擊是（ )A、拒絕服務(wù)攻擊B、口令破解C、文件上傳漏洞攻擊D、SQL注入攻擊某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖螅瑲堄囡L(fēng)險的結(jié)果仍處于不可接受的內(nèi)附范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進(jìn)一步增加相應(yīng)的安全措施。（正確）網(wǎng)絡(luò)監(jiān)聽不是主動攻擊類型。（正確）關(guān)于Linux操作系統(tǒng)，下面說法正確的是（ ）？ A. 有特定的廠商對系統(tǒng)進(jìn)行維護(hù)B. 是世界上占市場份額最大的操作系統(tǒng)C. 系統(tǒng)的安裝和使用比Windows系統(tǒng)簡單D. 完全開源的，可以根據(jù)具體要求對系統(tǒng)進(jìn)行修改目前國內(nèi)對信息安全人員的資格認(rèn)證為（ ）。 A. 國際

17、注冊信息安全專家（簡稱CISSP) B. 國際注冊信息系統(tǒng)審計師（簡稱CISA) C. 注冊信息安全專業(yè)人員（簡稱CISP) D. 以上資格都是 我國第一部保護(hù)計算機(jī)信息系統(tǒng)安全的專門法規(guī)是（）A、計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定B、中華人民共和國信息安全法C、中華人民共和國電信條例D、中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例40、對秘密級、機(jī)密級信息系統(tǒng)每幾年至少進(jìn)行一次保密檢查或者系統(tǒng)測評？（）A、一 B、二 C、三D、四以下不屬于信息安全管理員的職責(zé)的是（）A、制定網(wǎng)絡(luò)設(shè)備安全配置規(guī)則B、對信息安全產(chǎn)品的購置提出建議C、對系統(tǒng)管理員的操作行為進(jìn)行指導(dǎo)和監(jiān)督D、負(fù)責(zé)信息安全保障工作的具體

18、組織協(xié)調(diào)60、根據(jù)國家標(biāo)準(zhǔn)信息安全技術(shù) 信息安全事件分類分級指南（GB/Z 20986-2007），對信息安全事件進(jìn)行分級需考慮的主要因素中，說法不正確的是（）A、信息系統(tǒng)自身的重要程度B、對信息系統(tǒng)及數(shù)據(jù)遭破壞而導(dǎo)致?lián)p失的程度C、該事件對社會造成影響的范圍和程度D、建造和運(yùn)維該信息系統(tǒng)的經(jīng)費(fèi)數(shù)額中華人民共和國電子簽名法是我國首部真正意義上的信息網(wǎng)絡(luò)環(huán)境下的單行法律。（）對于涉密信息系統(tǒng)實行分級保護(hù)，確定涉密信息系統(tǒng)安全等級，主要考慮的因素包括涉密信息的涉密等級、涉密信息系統(tǒng)的重要性、到破壞后對國計民生造成的危害性和涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平。（）數(shù)據(jù)信息是信息系統(tǒng)的重要資產(chǎn)。（）信息安全產(chǎn)品是信息系統(tǒng)的重要組成部分。（）人員管理是信息安全工作的核心內(nèi)容。（）信息安全防護(hù)是一個“過程”，而非一個“程序”。（）電子簽名的主要目的是防抵賴、防止否認(rèn)，一邊給仲裁機(jī)構(gòu)提供證據(jù)。（）通過網(wǎng)絡(luò)掃描可以判斷目標(biāo)主機(jī)的操作系統(tǒng)類型。（）口令破解攻擊包括（字典破解（Dictionary attack）、混合字典攻擊（Hybrid attack）、暴力破解（Brute force attack）。木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱藏性和授權(quán)性的特點(diǎn)。RSA算法的安全是基于分解兩個大素數(shù)的積的困難。P2