欢迎来到天天文库
浏览记录
ID:21056001
大小:38.50 KB
页数:10页
时间:2018-10-19
《信息系统安全评测与风险评估试题及答案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息系统安全评测与风险评估试题姓名分数http://www.docin.com/p-41729651.htmlGB/T19716-2005GB/T20269信息系统安全管理要求GB/T20270网络基础安全技术要求GB/T20271信息系统通用安全技术要求资产赋值风险赋值一:填空题(36分)1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据(保密性)和数据的(备份)与恢复三个
2、环节来考虑。3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(硬件),服务(人员),其他”六大类,还可以按照“信息形态”将资产分为“信息,(信息载体)和(信息环境)三大类。4.资产识别包括资产分类和(资产赋值)两个环节。5.威胁的识别可以分为重点识别和(全面识别)6.脆弱性识别分为脆弱性发现(脆弱性分类)脆弱性验证和(脆弱性赋值)7.风险的三个要素是资产(脆弱性)和(威胁)8.应急响应计划应包含准则,()预防和预警机制()()和附件6个基本要素。9.信息安全
3、风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险
4、评估、详细风险评估、联合风险评估13.二:问答题:(64分)1.什么是安全域?目前中国划分安全域的方法大致有哪些?(10分)1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。1.数据安全评测是主要应用哪三种方法进行评测?你如何理解?(10分)国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评访谈:指测评人员通过与信息系统有关人员进行交流,讨论等活动,获取证据以证明信息
5、系统安全等级保护措施是否有效的一种方法检查:指测评人员通过对测评对对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法测试:指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,然后查看,分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种访求2.国家标准中把主机评测分为哪八个环节?你如何理解?(10分)身份鉴别自主访问控制强制访问控制安全审计剩于信息保护入侵防范恶意代码防范3.什么是资产和资产价值?什么是威胁和威胁识别?什么是脆弱性?(14分)资产是对组织具
6、有价值的信息或资源,是安全策略保护的对象资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的租用内容。威胁指可能导致对系统或组织危害的事故潜在的起因。脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。脆弱性识别,指分析和度量可能被威胁利用的资产薄弱环节的过1.什么是风险评估?如何进行风险计算?(20分)1.风险评估指,依照国家有关标准对信息系统及由其处理,传输和存储的信息的保密性,完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安
7、全事件所涉及的资产价值来判断安全事件一但发生对组织造成的影响。风险计算的形式化表示为:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示风险计算函数T表示威胁V表示脆弱性计算事件发生的可能性=L(威胁出现的频率,脆弱性)=L(T,V)安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va)风评考试1.信息安全:是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,信息服务不中断。信息安全的属性,保密性、完整性、可用性、(CIA)
8、可控性、不可否认性2.信息安全管理:是其于风险的信息安全管理,即始终以风险为主线进行信息安全的管理3.BS7799已成为国际公认的信息安全管理权威标准。4.在AS/NZS4360:1999中风险管理分为建立环境、风险识别、风险分析、风险评估、风险处置5个基本步聚和风险沟通和咨询、监控和评审2个附加环节5
此文档下载收益归作者所有