信息安全管理与评估复习题 2015.doc

信息系统：计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息安全：保护信息系统的硬件、软件及相关数据，使之不因为偶然或恶意侵犯而遭到破坏、更改及泄露，保证信息系统能够连续、可靠、正常的运行。信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。信息安全风险评估：从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的、人为的和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。风险评估的意义风险评估是了解信息系统安全风险的重要手段。风险评估的最终目的是指导信息系统的安全建设，安全建设的实质是控制信息安全风险。风险评估结果是后续安全建设的依据。信息安全管理与风险评估的关系信息安全风险评估是信息安全风险管理的一个阶段。信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具，能够将信息安全活动的重点放在重要的问题上，能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的，己被广泛应用于各个领域。因此，风险评估是信息安全管理体系和信息安全风险管理的基础，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一，它为实施风险管理和风险控制提供了直接的依据。建立信息安全管理体系6个基本步骤：（1）信息安全管理体系的策划与准备；（2）信息安全管理体系文件的编制；（3）建立信息安全管理框架；（4）信息安全管理体系的运行；（5）信息安全管理体系的审核；（6）信息安全管理体系的管理评审。信息安全风险评估依据1. 政策法规2. 国际标准3. 国家标准4. 行业标准信息安全风险评估原则1. 可控性原则2. 完整性原则3. 最小影响原则4. 保密原则TCSEC：可信计算机系统评估标准（Trusted Computer System Evaluation Criteria, TCSEC），将安全分为4个方面（安全政策、可说明性、安全保障和文档）和7个安全级别（从低到高依次为D、C1、C2、B1、B2、B3和A级）。IT治理是组织根据自身文化和信息化水平构建适合组织发展的架构并实施的一种管理过程，是平衡IT资源和组织利益相关者之间IT决策权力归属与责任分配的一种管理模式，旨在规避IT风险和增加IT收益，实现IT目标与组织业务目标的融合。2PRINCE2，结构化的项目管理方法，其过程模型由8个管理过程组成。3ITIL：信息技术基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订，现由英国商务部OGC(Office of Government Commerce)负责管理，主要适用于IT服务管理(ITSM)。4. COBIT模型：COBIT(Control Objectives for Information and related Technology)是目前国际上通用的信息系统审计的标准，由ISACA（The Information System Audit and Control Association，美国信息系统审计与控制协会）在1996年公布。2012年4月，ISACA官方正式发布COBIT5.0。COBIT5.0提出了能使组织在一套包含7个驱动因素整体方法下、建立有效治理和管理框架的5个原则，以优化信息和技术的投资及使用以满足相关者的利益。标准间的相互关系： COBIT、ITIL、ISO/IEC 27001和PRINCE2在管理IT上各有优势，如COBIT重点在于IT控制和IT度量评价；ITIL重点在于IT过程管理，强调IT支持和IT交付：ISO/IEC 27001重点在于IT安全控制；PRINCE2重点在于项目管理，强调项目的可控性，明确项目管理中人员角色的具体职责，同时实现项目管理质量的不断改进。资产识别工作内容1. 回顾评估范围内的业务2. 识别信息资产，进行合理分类3. 确定每类信息资产的安全需求4. 为每类信息资产的重要性赋值威胁识别工作内容1. 威胁识别2. 威胁分类3. 威胁赋值4. 构建威胁场景脆弱性识别原则（1）全面考虑和突出重点相结合的原则（2）局部与整体相结合的原则（3）层次化原则（4）手工与自动化工具相结合的原则风险处理计划控制措施选择1. 接受风险2. 避免风险3. 转移风险4. 降低风险5. 处置残留风险规划阶段的信息安全风险评估评估着重以下几方面：（1）是否依据相关规则，建立了与业务战略一致的信息系统安全规划，并得到最高管理者的认可；（2）系统规划中是否明确信息系统开发的组织、业务变更的管理、开发优先级；（3）系统规划中是否考虑信息系统的威胁、环境，并制定总体的安全方针；（4）系统规划中是否描述信息系统预期使用的信息，包括预期的应用、信息资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等；（5）系统规划中是否描述所有与信息系统安全相关的运行环境，包括物理和人员的安全配置，以及明确相关的法规、组织安全政策、专门技术和知识等。实施阶段的信息安全风险评估开发、技术、产品获取过程的评估要点包括： （1）法律、政策、适用标准和指导方针。直接或间接影响信息系统安全需求的特定法津；影响信息系统安全需求、产品选择的政府政策、国际或国家标准；（2）信息系统的功能需要：安全需求是否有效地支持系统的功能；（3）成本效益风险：是否根据信息系统的资产、威胁和脆弱性的分析结果，确定在符合相关法律、政策、标准和功能需要的前提下选择最合适的安全措施；（4）评估保证级别，是否明确系统建设后应进行怎样的测试和检查，从而确定是否满足项目建设、实施规范的要求。系统交付实施过程的评估要点包括： （1）根据实际建设的系统，详细分析资产、面临的威胁和脆弱性；（2）根据系统建设目标和安全需求，对系统的安全功能进行验收测试；评价安全措施能否抵御安全威胁；（3）评估是否建立了与整体安全策略一致的组织管理制度；（4）对系统实现的风险控制效果与预期设计的符合性进行判断，如存在较大的不符合，应重新进行信息系统安全策略的设计与调整。运维阶段的信息安全风险评估（1）资产评估：在真实环境下较为细致的评估，包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加；（2）威胁评估：应全面地分析威胁的可能性和影响程度。对非故意威胁导致安全事件的评估可以参照安全事件的发生概率；对故意威胁导致安全事件的评估主要就威胁的各个影响因素做出专业判断；（3）脆弱性评估：是全面的脆弱性评估，包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透测试的方式实施；安全保障设备的脆弱性评估，应考虑安全功能的实现情况和安全保障设备本身的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性试的方式实施；安全保障设备的脆弱性评估，应考虑安全功能的实现情况和安全保障设备本身的脆弱性；管理脆弱性评估可以采取文档、记录核查等方式进行验证； （4）风险计算：根据风险计算的相关方法，对重要资产的风险进行定性或定量的风险分析，描述不同资产的风险高低状况。 建立信息安全管理体系的步骤（1）信息安全管理体系的策划与准备；（2）信息安全管理体系文件的编制； （3）建立信息安全管理框架；（4）信息安全管理体系的运行；（5）信息安全管理体系的审核；（6）信息安全管理体系的管理评审。编写信息安全管理体系文件的作用 阐述声明的作用； 规定、指导的作用； 记录、证实的作用； 评价信息安全管理体系的作用； 保障信息安全改进的作用； 平衡培训要求的作用。信息安全策略（Information Security Policy）本质上说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目的就是对组织中成员阐明如何使用组织中的信息系统资源，如何处理敏感信息，如何采用安全技术产品，用户在使用信息时应当承担的责任，详细描述对员工的安全意识和技能要求，列出被组织禁止的行为。信息安全策略可以分为两个层次：一个是信息安全方针，另一个是具体的信息安全策略。所谓信息安全方针就是组织的信息安全委员会或管理部门制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则进行指示。信息安全方针必须要在ISMS实施的前期制定出来，阐明最高管理层的承诺，提出组织管理信息安全的方法，由管理层批准，指导ISMS 的所有实施工作。信息安全策略是在信息安全方针的基础上，根据风险评估的结果，为降低信息安全风险，保证控制措施的有效执行而制定的具体明确的信息安全实施规则。定义ISMS的范围 组织所有的信息系统； 组织的部分信息系统； 特定的信息系统。实施信息安全风险评估 首先，组织应当确定的风险评估方法; 其次，组织利用已确定的风险评估方法识别风险; 之后，组织进行分析并评价风险。信息安全风险管理主要包括以下几种措施： 接受风险 规避风险 转移风险 降低风险信息安全事件是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。通常情况下，信息安全事件的发生是由于自然的、人为的或者软硬件自身存在缺陷或故障造成的。信息安全事故由单个或一系列有害或意外信息安全事件组成，它们具有损害业务运作和威胁信息安全的极大可能性。1. 管理评审的定义指组织的最高管理者按规定的时间间隔对信息安全管理体系进行评审，以确保体系的持续适宜性、充分性和有效性。管理评审过程应确保收集到必要的信息，以供管理者进行评价，管理评审应形成文件。 信息安全管理认证是第三方依据程序对产品、过程、服务符合规定的要求给予书面保证（合格证书），认证的基础是标准，认证的方法包括对产品特性的抽样检验和对组织体系的审核与评定，认证的证明方式是认证证书与认证标志。认证是第三方所从事的活动，通过认证活动，组织可以对外提供某种信任与保证，如产品质量保证、信息安全保证等。 信息安全认证包括两类：一类为ISMS认证，另一类为信息安全产品认证。4、如果某个网站允许用户上传任意类型的文件，黑客最可能进行的攻击是（ )A、拒绝服务攻击B、口令破解C、文件上传漏洞攻击D、SQL注入攻击某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的内附范围内，应考虑是否接受此风险或进一步增加相应的安全措施。（正确）网络监听不是主动攻击类型。（正确）关于Linux操作系统，下面说法正确的是（ ）？ A. 有特定的厂商对系统进行维护B. 是世界上占市场份额最大的操作系统C. 系统的安装和使用比Windows系统简单D. 完全开源的，可以根据具体要求对系统进行修改目前国内对信息安全人员的资格认证为（ ）。 A. 国际注册信息安全专家（简称CISSP) B. 国际注册信息系统审计师（简称CISA) C. 注册信息安全专业人员（简称CISP) D. 以上资格都是 我国第一部保护计算机信息系统安全的专门法规是（）A、计算机信息网络国际联网管理暂行规定B、中华人民共和国信息安全法C、中华人民共和国电信条例D、中华人民共和国计算机信息系统安全保护条例40、对秘密级、机密级信息系统每几年至少进行一次保密检查或者系统测评？（）A、一 B、二 C、三D、四以下不属于信息安全管理员的职责的是（）A、制定网络设备安全配置规则B、对信息安全产品的购置提出建议C、对系统管理员的操作行为进行指导和监督D、负责信息安全保障工作的具体组织协调60、根据国家标准信息安全技术 信息安全事件分类分级指南（GB/Z 20986-2007），对信息安全事件进行分级需考虑的主要因素中，说法不正确的是（）A、信息系统自身的重要程度B、对信息系统及数据遭破坏而导致损失的程度C、该事件对社会造成影响的范围和程度D、建造和运维该信息系统的经费数额中华人民共和国电子签名法是我国首部真正意义上的信息网络环境下的单行法律。（）对于涉密信息系统实行分级保护，确定涉密信息系统安全等级，主要考虑的因素包括涉密信息的涉密等级、涉密信息系统的重要性、到破坏后对国计民生造成的危害性和涉密信息系统必须达到的安全保护水平。（）数据信息是信息系统的重要资产。（）信息安全产品是信息系统的重要组成部分。（）人员管理是信息安全工作的核心内容。（）信息安全防护是一个“过程”，而非一个“程序”。（）电子签名的主要目的是防抵赖、防止否认，一边给仲裁机构提供证据。（）通过网络扫描可以判断目标主机的操作系统类型。（）口令破解攻击包括（字典破解（Dictionary attack）、混合字典攻击（Hybrid attack）、暴力破解（Brute force attack）。木马是一种基于远程控制的黑客工具，具有隐藏性和授权性的特点。RSA算法的安全是基于分解两个大素数的积的困难。P2