信息系統(tǒng)安全評測與風險評估試題及答案

信息系統(tǒng)安全評測與風險評估試題姓名 分數(shù)“://docin/p-41729651.html“GB/T19716-2023GB/T20269信息系統(tǒng)安全治理要求GB/T20270網絡根底安全技術要求GB/T20271信息系統(tǒng)通用安全技術要求資產賦值風險賦值一：填空題〔36分〕信息安全評測實際上蘊含著豐富的思想內涵嚴峻〔 嚴謹?shù)摹?，嚴格的〔 〕以及極具魅力的評測技巧，是一個科學和藝術圓滿結合的領域。在評測一個信息系統(tǒng)的數(shù)據安全時，國家標準要求從數(shù)據完整性，數(shù)據〔保密性〕和數(shù)據的〔備份〕與恢復三個環(huán)節(jié)來考慮。資產分類的方法較多，大體歸納為2效勞〔人員，其他”六大類，還可以依據“信息形態(tài)”將資產分為〔信息載體〕和〔信息環(huán)境〕三大類。資產識別包括資產分類和〔資產賦值〕兩個環(huán)節(jié)。威逼的識別可以分為重點識別和〔全面識別〕脆弱性識別分為脆弱性覺察〔脆弱性分類〕脆弱性驗證和〔脆弱性賦值〕風險的三個要素是資產〔脆弱性〕和〔威逼〕應急響應打算應包含準則〕預防和預警機制〔 〕〔 〕6信息安全風險評估的原則包括可控性原則、完整性原則、最小影響原則、保密原則信息安全風險評估概念產價值來推斷安全大事一旦發(fā)生對組織造成的影響信息安全風險評估和風險治理的關系的風險治理流程中的一個評估風險的一個階段信息安全風險評估的分類基線風險評估、具體風險評估、聯(lián)合風險評估〔64分〕分〕安全域是將一個大型信息系統(tǒng)中具有某種相像性的子系統(tǒng)聚攏在一起。目前，中國劃分安全域的方法大致歸納有資產價值相像性安全域，業(yè)務應用相像性安全域，安全需求相像性安全域和安全威逼相像性安全域。數(shù)據安全評測是主要應用哪三種方法進展評測？你如何理解？〔10分〕國家標準中要求信息安全評測工程師使用訪談、檢查、測試三種方法進展測評訪談：指測評人員通過與信息系統(tǒng)有關人員進展溝通，爭論等活動，獵取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法檢查：指測評人員通過對測評對對象進展觀看，檢查和分析等活動，獵取證據證明信息系統(tǒng)安全等級保護措施是否有效的一種方法/工具使其產生特定的行為等活動，然后查看，分析輸出結果，獵取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種訪求國家標準中把主機評測分為哪八個環(huán)節(jié)？你如何理解？〔10分〕身份鑒別自主訪問把握強制訪問把握安全審計剩于信息保護入侵防范惡意代碼防范什么是資產和資產價值？什么是威逼和威逼識別？什么是脆弱性？〔14分〕資產是對組織具有價值的信息或資源，是安全策略保護的對象資產價值是資產的重要程度或敏感程度的表征。資產價值是資產的屬性，也是進展資產識別的租用內容。威逼指可能導致對系統(tǒng)或組織危害的事故潛在的起因。脆弱性指可能被威逼利用的資產或假設干資產的薄弱環(huán)節(jié)。脆弱性識別，指分析和度量可能被威逼利用的資產薄弱環(huán)節(jié)的過〔20分〕2.風險評估指，依照國家有關標準對信息系統(tǒng)及由其處理，傳輸和存儲的信息的保密性，完整性和可用性等安全屬性進展分析和評價的過程。它要分析資產面臨的威逼及威逼利用脆弱性導致安全大事的可能性，并結合安全大事所涉及的資產價值來推斷安全大事一但發(fā)生對組織造成的影響。風險計算的形式化表示為：風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示風險計算函數(shù)T表示威逼V表示脆弱性計算大事發(fā)生的可能性=L〔威逼消滅的頻率，脆弱性〕=L(T,V)安全大事造成的損失=F(資產價值，脆弱性嚴峻程度)=F(Ia,Va)風評考試不受偶然的或者惡意的緣由而遭到破壞、更改、泄露，系統(tǒng)連續(xù)牢靠正常運行，信息效勞不中斷?！睠IA〕可控性、不行否認性信息安全治理：是其于風險的信息安全治理，即始終以風險為主線進展信息安全的治理BS7799已成為國際公認的信息安全治理權威標準。AS/NZS4360:1999中風險治理分為建立環(huán)境、風險識別、風險分析、風險評估、52個附加環(huán)節(jié)信息安全治理體系〔ISMS〕PDCA的治理模式，請簡述其內容答：PDCA是一種循環(huán)過程，所以我們通常把它叫做PDCA循環(huán)，并把這個循環(huán)圖叫做“戴明環(huán)”簡述確定ISMS的范圍和邊界時需要考慮的方面？答：依據公司所從事的業(yè)務、性質、辦公地點、各種信息資產、擁有技術的特點確定信息安全治理體系的范圍列舉ISMS11個把握領域？答：信息方針、信息安全組織、資產治理、人力資源安全、物理和環(huán)境安全、通信和操作治理、訪問把握、信息系統(tǒng)安全要求、信息安全大事治理、業(yè)務連續(xù)性治理、符合性8、信息安全治理體系文件的層次？答：手冊、程序文件、作業(yè)指導書、記錄9、建立信息安全方針應考慮哪些方面？答：依據業(yè)務、組織、位置、資產和技術等方面的特性和信息安全在公司業(yè)務中的重要程度確定信息安全治理體系的方針10、風險治理包括哪些過程？答：資產識別與做人、威逼評估、脆弱性評估、對現(xiàn)有安全把握的識別、風險評價、風險處理、剩余風險、風險把握11、風險處置措施有哪些？答：躲避風險，實行有效的把握措施避開風險的發(fā)生承受風險，在確定程度上有意識、有目的地承受風險風險轉移，轉移相關業(yè)務風險到其他方面12、信息安全具有哪幾種性質？答：脆弱性、連續(xù)性、牢靠性、威逼性13、資產有哪些類別？答：物理資產、人員資產、軟件資產、文件資產、效勞資產、形象資產14、實施風險評估需要哪些步驟？答：資產識別與估價、威逼評估、脆弱性評估、對現(xiàn)有安全把握的識別、風險評價、風險處理、剩余風險、風險把握15、資產賦值應包含哪幾個方面的賦值？答：保密性、完整性、可用性16、資產各個等級分值如何劃分？資產評價準則是什么？答：等級 標識 描述5 很高 格外重要，其屬性破壞后可能對組織造成格外嚴峻的損失4 高 重要，其安全屬性破壞后可能對組織造成比較嚴峻的損失3 高 比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2 低 不太重要，其安全屬性破壞后可能對組織造成較低的損失1 很低不重要，其安全屬性破壞后對組織造成很小的損失，甚至無視不計17舉答：技術脆弱性、治理脆弱性物理環(huán)境從機房場地、機房防火、機房配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設備治理等方面進展識別網絡構造從網絡構造設計、邊界保護、外部訪問把握策略、內部訪問把握策略、網絡設備安全配置等方面進展識別大事審計、訪問把握、系統(tǒng)配置、注冊表加固、網絡安全、系統(tǒng)治理等方面進展識別應用中間件從協(xié)議安全、交易完整性、數(shù)據完整性等方面進展識別應用系統(tǒng)從審計機制、審計存儲、訪問把握策略、數(shù)據完整性、通信鑒別機制、密碼保護等方面進展識別技術治理從物理和環(huán)境安全、通信與操作治理、訪問把握、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進展識別組織治理從安全策略、組織安全、資產分類與把握、人員安全、符合性等方面進展識別18、出幾個關于資產脆弱性例子答：設備維護措施不完善、物理訪問把握不健全、口令不當、權限安排不合理19么？資產值計算方式資產值為A 保密性為c(Confidentiality)完整性為i(Integrity)可用性為a(a(Possibility)A=c+i+a風險值計算威逼頻率=T 脆弱性嚴峻度=V則安全大事發(fā)生可能性F=根號(T*V)安全大事的損失 L=根號(A*V)風險值 R=L*F20、風險治理分