信息系統(tǒng)安全評(píng)測(cè)與風(fēng)險(xiǎn)評(píng)估試題及答案

信息系統(tǒng)安全評(píng)測(cè)與風(fēng)險(xiǎn)評(píng)估試題姓名 分?jǐn)?shù)“://docin/p-41729651.html“GB/T19716-2023GB/T20269信息系統(tǒng)安全治理要求GB/T20270網(wǎng)絡(luò)根底安全技術(shù)要求GB/T20271信息系統(tǒng)通用安全技術(shù)要求資產(chǎn)賦值風(fēng)險(xiǎn)賦值一：填空題〔36分〕信息安全評(píng)測(cè)實(shí)際上蘊(yùn)含著豐富的思想內(nèi)涵嚴(yán)峻〔 嚴(yán)謹(jǐn)?shù)摹?，嚴(yán)格的〔 〕以及極具魅力的評(píng)測(cè)技巧，是一個(gè)科學(xué)和藝術(shù)圓滿結(jié)合的領(lǐng)域。在評(píng)測(cè)一個(gè)信息系統(tǒng)的數(shù)據(jù)安全時(shí)，國(guó)家標(biāo)準(zhǔn)要求從數(shù)據(jù)完整性，數(shù)據(jù)〔保密性〕和數(shù)據(jù)的〔備份〕與恢復(fù)三個(gè)環(huán)節(jié)來(lái)考慮。資產(chǎn)分類的方法較多，大體歸納為2效勞〔人員，其他”六大類，還可以依據(jù)“信息形態(tài)”將資產(chǎn)分為〔信息載體〕和〔信息環(huán)境〕三大類。資產(chǎn)識(shí)別包括資產(chǎn)分類和〔資產(chǎn)賦值〕兩個(gè)環(huán)節(jié)。威逼的識(shí)別可以分為重點(diǎn)識(shí)別和〔全面識(shí)別〕脆弱性識(shí)別分為脆弱性覺(jué)察〔脆弱性分類〕脆弱性驗(yàn)證和〔脆弱性賦值〕風(fēng)險(xiǎn)的三個(gè)要素是資產(chǎn)〔脆弱性〕和〔威逼〕應(yīng)急響應(yīng)打算應(yīng)包含準(zhǔn)則〕預(yù)防和預(yù)警機(jī)制〔 〕〔 〕6信息安全風(fēng)險(xiǎn)評(píng)估的原則包括可控性原則、完整性原則、最小影響原則、保密原則信息安全風(fēng)險(xiǎn)評(píng)估概念產(chǎn)價(jià)值來(lái)推斷安全大事一旦發(fā)生對(duì)組織造成的影響信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)治理的關(guān)系的風(fēng)險(xiǎn)治理流程中的一個(gè)評(píng)估風(fēng)險(xiǎn)的一個(gè)階段信息安全風(fēng)險(xiǎn)評(píng)估的分類基線風(fēng)險(xiǎn)評(píng)估、具體風(fēng)險(xiǎn)評(píng)估、聯(lián)合風(fēng)險(xiǎn)評(píng)估〔64分〕分〕安全域是將一個(gè)大型信息系統(tǒng)中具有某種相像性的子系統(tǒng)聚攏在一起。目前，中國(guó)劃分安全域的方法大致歸納有資產(chǎn)價(jià)值相像性安全域，業(yè)務(wù)應(yīng)用相像性安全域，安全需求相像性安全域和安全威逼相像性安全域。數(shù)據(jù)安全評(píng)測(cè)是主要應(yīng)用哪三種方法進(jìn)展評(píng)測(cè)？你如何理解？〔10分〕國(guó)家標(biāo)準(zhǔn)中要求信息安全評(píng)測(cè)工程師使用訪談、檢查、測(cè)試三種方法進(jìn)展測(cè)評(píng)訪談：指測(cè)評(píng)人員通過(guò)與信息系統(tǒng)有關(guān)人員進(jìn)展溝通，爭(zhēng)論等活動(dòng)，獵取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法檢查：指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)對(duì)象進(jìn)展觀看，檢查和分析等活動(dòng)，獵取證據(jù)證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法/工具使其產(chǎn)生特定的行為等活動(dòng)，然后查看，分析輸出結(jié)果，獵取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種訪求國(guó)家標(biāo)準(zhǔn)中把主機(jī)評(píng)測(cè)分為哪八個(gè)環(huán)節(jié)？你如何理解？〔10分〕身份鑒別自主訪問(wèn)把握強(qiáng)制訪問(wèn)把握安全審計(jì)剩于信息保護(hù)入侵防范惡意代碼防范什么是資產(chǎn)和資產(chǎn)價(jià)值？什么是威逼和威逼識(shí)別？什么是脆弱性？〔14分〕資產(chǎn)是對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象資產(chǎn)價(jià)值是資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)展資產(chǎn)識(shí)別的租用內(nèi)容。威逼指可能導(dǎo)致對(duì)系統(tǒng)或組織危害的事故潛在的起因。脆弱性指可能被威逼利用的資產(chǎn)或假設(shè)干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性識(shí)別，指分析和度量可能被威逼利用的資產(chǎn)薄弱環(huán)節(jié)的過(guò)〔20分〕2.風(fēng)險(xiǎn)評(píng)估指，依照國(guó)家有關(guān)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)及由其處理，傳輸和存儲(chǔ)的信息的保密性，完整性和可用性等安全屬性進(jìn)展分析和評(píng)價(jià)的過(guò)程。它要分析資產(chǎn)面臨的威逼及威逼利用脆弱性導(dǎo)致安全大事的可能性，并結(jié)合安全大事所涉及的資產(chǎn)價(jià)值來(lái)推斷安全大事一但發(fā)生對(duì)組織造成的影響。風(fēng)險(xiǎn)計(jì)算的形式化表示為：風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示風(fēng)險(xiǎn)計(jì)算函數(shù)T表示威逼V表示脆弱性計(jì)算大事發(fā)生的可能性=L〔威逼消滅的頻率，脆弱性〕=L(T,V)安全大事造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)峻程度)=F(Ia,Va)風(fēng)評(píng)考試不受偶然的或者惡意的緣由而遭到破壞、更改、泄露，系統(tǒng)連續(xù)牢靠正常運(yùn)行，信息效勞不中斷?！睠IA〕可控性、不行否認(rèn)性信息安全治理：是其于風(fēng)險(xiǎn)的信息安全治理，即始終以風(fēng)險(xiǎn)為主線進(jìn)展信息安全的治理BS7799已成為國(guó)際公認(rèn)的信息安全治理權(quán)威標(biāo)準(zhǔn)。AS/NZS4360:1999中風(fēng)險(xiǎn)治理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、52個(gè)附加環(huán)節(jié)信息安全治理體系〔ISMS〕PDCA的治理模式，請(qǐng)簡(jiǎn)述其內(nèi)容答：PDCA是一種循環(huán)過(guò)程，所以我們通常把它叫做PDCA循環(huán)，并把這個(gè)循環(huán)圖叫做“戴明環(huán)”簡(jiǎn)述確定ISMS的范圍和邊界時(shí)需要考慮的方面？答：依據(jù)公司所從事的業(yè)務(wù)、性質(zhì)、辦公地點(diǎn)、各種信息資產(chǎn)、擁有技術(shù)的特點(diǎn)確定信息安全治理體系的范圍列舉ISMS11個(gè)把握領(lǐng)域？答：信息方針、信息安全組織、資產(chǎn)治理、人力資源安全、物理和環(huán)境安全、通信和操作治理、訪問(wèn)把握、信息系統(tǒng)安全要求、信息安全大事治理、業(yè)務(wù)連續(xù)性治理、符合性8、信息安全治理體系文件的層次？答：手冊(cè)、程序文件、作業(yè)指導(dǎo)書、記錄9、建立信息安全方針應(yīng)考慮哪些方面？答：依據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性和信息安全在公司業(yè)務(wù)中的重要程度確定信息安全治理體系的方針10、風(fēng)險(xiǎn)治理包括哪些過(guò)程？答：資產(chǎn)識(shí)別與做人、威逼評(píng)估、脆弱性評(píng)估、對(duì)現(xiàn)有安全把握的識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理、剩余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)把握11、風(fēng)險(xiǎn)處置措施有哪些？答：躲避風(fēng)險(xiǎn)，實(shí)行有效的把握措施避開風(fēng)險(xiǎn)的發(fā)生承受風(fēng)險(xiǎn)，在確定程度上有意識(shí)、有目的地承受風(fēng)險(xiǎn)風(fēng)險(xiǎn)轉(zhuǎn)移，轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面12、信息安全具有哪幾種性質(zhì)？答：脆弱性、連續(xù)性、牢靠性、威逼性13、資產(chǎn)有哪些類別？答：物理資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)、文件資產(chǎn)、效勞資產(chǎn)、形象資產(chǎn)14、實(shí)施風(fēng)險(xiǎn)評(píng)估需要哪些步驟？答：資產(chǎn)識(shí)別與估價(jià)、威逼評(píng)估、脆弱性評(píng)估、對(duì)現(xiàn)有安全把握的識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理、剩余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)把握15、資產(chǎn)賦值應(yīng)包含哪幾個(gè)方面的賦值？答：保密性、完整性、可用性16、資產(chǎn)各個(gè)等級(jí)分值如何劃分？資產(chǎn)評(píng)價(jià)準(zhǔn)則是什么？答：等級(jí) 標(biāo)識(shí) 描述5 很高 格外重要，其屬性破壞后可能對(duì)組織造成格外嚴(yán)峻的損失4 高 重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)峻的損失3 高 比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2 低 不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失1 很低不重要，其安全屬性破壞后對(duì)組織造成很小的損失，甚至無(wú)視不計(jì)17舉答：技術(shù)脆弱性、治理脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備治理等方面進(jìn)展識(shí)別網(wǎng)絡(luò)構(gòu)造從網(wǎng)絡(luò)構(gòu)造設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)把握策略、內(nèi)部訪問(wèn)把握策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)展識(shí)別大事審計(jì)、訪問(wèn)把握、系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)治理等方面進(jìn)展識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)展識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)把握策略、數(shù)據(jù)完整性、通信鑒別機(jī)制、密碼保護(hù)等方面進(jìn)展識(shí)別技術(shù)治理從物理和環(huán)境安全、通信與操作治理、訪問(wèn)把握、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)展識(shí)別組織治理從安全策略、組織安全、資產(chǎn)分類與把握、人員安全、符合性等方面進(jìn)展識(shí)別18、出幾個(gè)關(guān)于資產(chǎn)脆弱性例子答：設(shè)備維護(hù)措施不完善、物理訪問(wèn)把握不健全、口令不當(dāng)、權(quán)限安排不合理19么？資產(chǎn)值計(jì)算方式資產(chǎn)值為A 保密性為c(Confidentiality)完整性為i(Integrity)可用性為a(a(Possibility)A=c+i+a風(fēng)險(xiǎn)值計(jì)算威逼頻率=T 脆弱性嚴(yán)峻度=V則安全大事發(fā)生可能性F=根號(hào)(T*V)安全大事的損失 L=根號(hào)(A*V)風(fēng)險(xiǎn)值 R=L*F20、風(fēng)險(xiǎn)治理分