信息系统安全评测与风险评估试题及答案(.)

1、word.word.信息系统安全评测与风险评估试题姓名分数19716-200520269 信息系统安全管理要求20270 网络基础安全技术要求20271 信息系统通用安全技术要求资产赋值 风险赋值一：填空题（36）信息安全评测实际上蕴含着丰富的思想内涵， 严肃的（，严谨的（，严格的（）以及极魅力的评测技巧，是一个科学和艺术圆满结合的领域。.资产分类的方法较多，大体归纳为2（硬件，服务（人员，其他”六大类，还可以按照“信息形态”将（信息载体）和（信息环境 ）三大类。资产识别包括资产分类和（资产赋值）两个环节。威胁的识别可以分为重点识别和（全面识别）（脆弱性分类（脆弱性赋值）风险的三个要素是资产（

2、）和（ 威胁）应急响应计划应包含准则， （）预防和预警机制（）（）69.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念产价值来判断安全事件一旦发生对组织造成的影响信息安全风险评估和风险管理的关系的风险管理流程中的一个评估风险的一个阶段信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.（64）什么是安全域？目前中国划分安全域的方法大致有哪些？（10）安全域是将一个大型信息系统中具有某种相似性的子系统聚安全域和安全威胁相似性安全域。解？（10）国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评访谈：指测评人员通

3、过与信息系统有关人员进行交流，讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法检查：指测评人员通过对测评对对象进行观察，检查和分析等活动，获取证据证明信息系统安全等级保护措施是否有效的一种方法测试：指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动，然后查看，分析输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种访求国家标准中把主机评测分为哪八个环节？你如何理解？（10）身份鉴别 自主访问控制 强制访问控制 安全审计 剩于信息保护 入侵防范 恶意代码防范脆弱性？ （14）象资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行

4、资产识别的租用内容。威胁指可能导致对系统或组织危害的事故潜在的起因。 脆弱性识别，指分析和度量可能被威胁利用的资产薄弱环节的过什么是风险评估？如何进行风险计算？ （20）2.价值来判断安全事件一但发生对组织造成的影响。风险计算的形式化表示为： 风险值()(L()()RTV 表示脆弱性计算事件发生的可能性（威胁出现的频率，脆弱性） ()安全事件造成的损失 (资产价值，脆弱性严重程度)() 风评考试保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常运行，信息服务不中断。（）可否认性主线进行信息安全的管理37799 已成为国际公认的信息安全管理权威标准。在 4360:1999析、

5、风险评估、52加环节信息安全管理体系（）内容答：是一种循环过程，所以我们通常把它叫做循环，并把这个循环图叫做“戴明环”简述确定的范围和边界时需要考虑的方面？拥有技术的特点确定信息安全管理体系的范围11答：信息方针、信息安全组织、资产管理、人力资源安全、物信息安全事件管理、业务连续性管理、符合性8、信息安全管理体系文件的层次？答：手册、程序文件、作业指导书、记录9、建立信息安全方针应考虑哪些方面？答：根据业务、组织、位置、资产和技术等方面的特性和信息安全在公司业务中的重要程度确定信息安全管理体系的方针10、风险管理包括哪些过程？答：资产识别与做人、威胁评估、脆弱性评估、对现有安全控制的识别、风险

6、评价、风险处理、残余风险、风险控制11、风险处置措施有哪些？答：规避风险，采取有效的控制措施避免风险的发生接受风险，在一定程度上有意识、有目的地接受风险风险转移，转移相关业务风险到其他方面12、信息安全具有哪几种性质？答：脆弱性、连续性、可靠性、威胁性13、资产有哪些类别？答：物理资产、人员资产、软件资产、文件资产、服务资产、形象资产14、实施风险评估需要哪些步骤？答：资产识别与估价、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制15、资产赋值应包含哪几个方面的赋值？ 答：保密性、完整性、可用性16、资产各个等级分值如何划分？资产评价准则是什么答：等级标识描

7、述5很高非常重要，其属性破坏后可能对组造成非常严重的损失4高重要，其安全属性破坏后可能对组造成比较严重的损失3高比较重要，其安全属性破坏后可能组织造成中等程度的损失2低不太重要，其安全属性破坏后可能组织造成较低的损失1成很小的损失，甚至忽略不计17并列举答： 技术脆弱性、管理脆弱性物理环境 从机房场地、机房防火、机房配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制

8、、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别通信鉴别机制、密码保护等方面进行识别技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别符合性等方面进行识别18、出几个关于资产脆弱性例子答：设备维护措施不完善、物理访问控制不健全、口令不当、权限分配不合理19是什么？资产值计算方式资产值为A 保密性为c() 完整性为i() 可用性为a()风险值计算威胁频率 脆弱性严重度 则 安全事件发生可能性根号(T*V) 安全事件的损失根风险值*F20、风险管理分为建立环境、风险识别、风险分析、风险评价、风险5219715.1（ 133