信息系统安全评测与风险评估试题及答案

信息系统安全评测与风险评估试题姓名 分数“://docin/p-41729651.html“GB/T19716-2023GB/T20269信息系统安全治理要求GB/T20270网络根底安全技术要求GB/T20271信息系统通用安全技术要求资产赋值风险赋值一：填空题〔36分〕信息安全评测实际上蕴含着丰富的思想内涵严峻〔 严谨的〔 ，严格的〔 〕以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据〔保密性〕和数据的〔备份〕与恢复三个环节来考虑。资产分类的方法较多，大体归纳为2效劳〔人员，其他”六大类，还可以依据“信息形态”将资产分为〔信息载体〕和〔信息环境〕三大类。资产识别包括资产分类和〔资产赋值〕两个环节。威逼的识别可以分为重点识别和〔全面识别〕脆弱性识别分为脆弱性觉察〔脆弱性分类〕脆弱性验证和〔脆弱性赋值〕风险的三个要素是资产〔脆弱性〕和〔威逼〕应急响应打算应包含准则〕预防和预警机制〔 〕〔 〕6信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则信息安全风险评估概念产价值来推断安全大事一旦发生对组织造成的影响信息安全风险评估和风险治理的关系的风险治理流程中的一个评估风险的一个阶段信息安全风险评估的分类基线风险评估、具体风险评估、联合风险评估〔64分〕分〕安全域是将一个大型信息系统中具有某种相像性的子系统聚拢在一起。目前，中国划分安全域的方法大致归纳有资产价值相像性安全域，业务应用相像性安全域，安全需求相像性安全域和安全威逼相像性安全域。数据安全评测是主要应用哪三种方法进展评测？你如何理解？〔10分〕国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进展测评访谈：指测评人员通过与信息系统有关人员进展沟通，争论等活动，猎取证据以证明信息系统安全等级保护措施是否有效的一种方法检查：指测评人员通过对测评对对象进展观看，检查和分析等活动，猎取证据证明信息系统安全等级保护措施是否有效的一种方法/工具使其产生特定的行为等活动，然后查看，分析输出结果，猎取证据以证明信息系统安全等级保护措施是否有效的一种访求国家标准中把主机评测分为哪八个环节？你如何理解？〔10分〕身份鉴别自主访问把握强制访问把握安全审计剩于信息保护入侵防范恶意代码防范什么是资产和资产价值？什么是威逼和威逼识别？什么是脆弱性？〔14分〕资产是对组织具有价值的信息或资源，是安全策略保护的对象资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进展资产识别的租用内容。威逼指可能导致对系统或组织危害的事故潜在的起因。脆弱性指可能被威逼利用的资产或假设干资产的薄弱环节。脆弱性识别，指分析和度量可能被威逼利用的资产薄弱环节的过〔20分〕2.风险评估指，依照国家有关标准对信息系统及由其处理，传输和存储的信息的保密性，完整性和可用性等安全属性进展分析和评价的过程。它要分析资产面临的威逼及威逼利用脆弱性导致安全大事的可能性，并结合安全大事所涉及的资产价值来推断安全大事一但发生对组织造成的影响。风险计算的形式化表示为：风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示风险计算函数T表示威逼V表示脆弱性计算大事发生的可能性=L〔威逼消灭的频率，脆弱性〕=L(T,V)安全大事造成的损失=F(资产价值，脆弱性严峻程度)=F(Ia,Va)风评考试不受偶然的或者恶意的缘由而遭到破坏、更改、泄露，系统连续牢靠正常运行，信息效劳不中断。〔CIA〕可控性、不行否认性信息安全治理：是其于风险的信息安全治理，即始终以风险为主线进展信息安全的治理BS7799已成为国际公认的信息安全治理权威标准。AS/NZS4360:1999中风险治理分为建立环境、风险识别、风险分析、风险评估、52个附加环节信息安全治理体系〔ISMS〕PDCA的治理模式，请简述其内容答：PDCA是一种循环过程，所以我们通常把它叫做PDCA循环，并把这个循环图叫做“戴明环”简述确定ISMS的范围和边界时需要考虑的方面？答：依据公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全治理体系的范围列举ISMS11个把握领域？答：信息方针、信息安全组织、资产治理、人力资源安全、物理和环境安全、通信和操作治理、访问把握、信息系统安全要求、信息安全大事治理、业务连续性治理、符合性8、信息安全治理体系文件的层次？答：手册、程序文件、作业指导书、记录9、建立信息安全方针应考虑哪些方面？答：依据业务、组织、位置、资产和技术等方面的特性和信息安全在公司业务中的重要程度确定信息安全治理体系的方针10、风险治理包括哪些过程？答：资产识别与做人、威逼评估、脆弱性评估、对现有安全把握的识别、风险评价、风险处理、剩余风险、风险把握11、风险处置措施有哪些？答：躲避风险，实行有效的把握措施避开风险的发生承受风险，在确定程度上有意识、有目的地承受风险风险转移，转移相关业务风险到其他方面12、信息安全具有哪几种性质？答：脆弱性、连续性、牢靠性、威逼性13、资产有哪些类别？答：物理资产、人员资产、软件资产、文件资产、效劳资产、形象资产14、实施风险评估需要哪些步骤？答：资产识别与估价、威逼评估、脆弱性评估、对现有安全把握的识别、风险评价、风险处理、剩余风险、风险把握15、资产赋值应包含哪几个方面的赋值？答：保密性、完整性、可用性16、资产各个等级分值如何划分？资产评价准则是什么？答：等级 标识 描述5 很高 格外重要，其属性破坏后可能对组织造成格外严峻的损失4 高 重要，其安全属性破坏后可能对组织造成比较严峻的损失3 高 比较重要，其安全属性破坏后可能对组织造成中等程度的损失2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失1 很低不重要，其安全属性破坏后对组织造成很小的损失，甚至无视不计17举答：技术脆弱性、治理脆弱性物理环境从机房场地、机房防火、机房配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备治理等方面进展识别网络构造从网络构造设计、边界保护、外部访问把握策略、内部访问把握策略、网络设备安全配置等方面进展识别大事审计、访问把握、系统配置、注册表加固、网络安全、系统治理等方面进展识别应用中间件从协议安全、交易完整性、数据完整性等方面进展识别应用系统从审计机制、审计存储、访问把握策略、数据完整性、通信鉴别机制、密码保护等方面进展识别技术治理从物理和环境安全、通信与操作治理、访问把握、系统开发与维护、业务连续性等方面进展识别组织治理从安全策略、组织安全、资产分类与把握、人员安全、符合性等方面进展识别18、出几个关于资产脆弱性例子答：设备维护措施不完善、物理访问把握不健全、口令不当、权限安排不合理19么？资产值计算方式资产值为A 保密性为c(Confidentiality)完整性为i(Integrity)可用性为a(a(Possibility)A=c+i+a风险值计算威逼频率=T 脆弱性严峻度=V则安全大事发生可能性F=根号(T*V)安全大事的损失 L=根号(A*V)风险值 R=L*F20、风险治理分