信息系统安全评测与风险评估试题及答案

1、信息系统安全评测与风险评估试题姓名分数GB/T20269信息系统安全管理要求GB/T20270网络基础安全技术要求GB/T20271信息系统通用安全技术要求资产赋值风险赋值一：填空题（ 36 分）1. 信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。3. 资产分类的方法较多，大体归纳为2 种，一种是“自然形态” ，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，

2、还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。资产识别包括资产分类和（资产赋值）两个环节。威胁的识别可以分为重点识别和（全面识别）6脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）风险的三个要素是资产（ 脆弱性）和（ 威胁）8. 应急响应计划应包含准则，（）预防和预警机制（） （）和附件6 个基本要素。9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、 传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资

3、产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（ 64 分）什么是安全域？目前中国划分安全域的方法大致有哪些？ （10分）安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。目前，中国划分安全域的方法大致归纳有资产价值相似性安全域，业务应用相似性安全域，安全需求相似性安全域和安全威胁相似性安全域

4、。数据安全评测是主要应用哪三种方法进行评测？你如何理解？（ 10 分）国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评访谈：指测评人员通过与信息系统有关人员进行交流，讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法检查：指测评人员通过对测评对对象进行观察，检查和分析等活动，获取证据证明信息系统安全等级保护措施是否有效的一种方法测试：指测评人员通过对测评对象按照预定的方法 /工具使其产生特定的行为等活动，然后查看，分析输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种访求3.国家标准中把主机评测分为哪八个环节？你如何理解？（ 10 分）身份鉴别

5、 自主访问控制 强制访问控制 安全审计 剩于信息保护入侵防范 恶意代码防范什么是资产和资产价值？什么是威胁和威胁识别？什么是脆弱性？ （14 分）资产是对组织具有价值的信息或资源，是安全策略保护的对象资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的租用内容。威胁指可能导致对系统或组织危害的事故潜在的起因。脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。脆弱性识别，指分析和度量可能被威胁利用的资产薄弱环节的过什么是风险评估？如何进行风险计算？ （20 分）风险评估指，依照国家有关标准对信息系统及由其处理，传输和存储的信息的保密性，完整性和可用性等安全属性进行分

6、析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一但发生对组织造成的影响。风险计算的形式化表示为：风险值 =R(A,T,V)=R(L(T,V),F(Ia,Va) R 表示风险计算函数T 表示威胁 V 表示脆弱性计算事件发生的可能性 =L（威胁出现的频率，脆弱性） =L (T,V) 安全事件造成的损失 =F (资产价值，脆弱性严重程度 )=F(Ia,Va)风评考试1.信息安全：是指信息网络的硬件、 软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常运行，信息服务不中断。信息安全的属

7、性，保密性、完整性、可用性、（ CIA ）可控性、不可否认性2.信息安全管理：是其于风险的信息安全管理，即始终以风险为主线进行信息安全的管理3.BS7799 已成为国际公认的信息安全管理权威标准。4.在 AS/NZS 4360:1999 中风险管理分为建立环境、风险识别、风险分析、风险评估、风险处置 5 个基本步聚和风险沟通和咨询、 监控和评审 2 个附加环节5.信息安全管理体系（ ISMS ）采取了一种叫做PDCA 的管理模式，请简述其内容答： PDCA 是一种循环过程，所以我们通常把它叫做PDCA 循环，并把这个循环图叫做“戴明环”6.简述确定 ISMS 的范围和边界时需要考虑的方面？答：

8、根据公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围7.列举 ISMS 的 11 个控制领域？答：信息方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统安全要求、信息安全事件管理、业务连续性管理、符合性8、信息安全管理体系文件的层次？答：手册、程序文件、作业指导书、记录9、建立信息安全方针应考虑哪些方面？答：根据业务、组织、位置、资产和技术等方面的特性和信息安全在公司业务中的重要程度确定信息安全管理体系的方针10、风险管理包括哪些过程？答：资产识别与做人、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风

9、险处理、残余风险、风险控制11、风险处置措施有哪些？答：规避风险，采取有效的控制措施避免风险的发生接受风险，在一定程度上有意识、有目的地接受风险风险转移，转移相关业务风险到其他方面12、信息安全具有哪几种性质？答：脆弱性、连续性、可靠性、威胁性13、资产有哪些类别？答：物理资产、人员资产、软件资产、文件资产、服务资产、形象资产14、实施风险评估需要哪些步骤？答：资产识别与估价、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制15、资产赋值应包含哪几个方面的赋值？答：保密性、完整性、可用性16、资产各个等级分值如何划分？资产评价准则是什么？答：等级5标识很高描述

10、非常重要，其属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3高比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成很小的损失，甚至忽略不计17、脆弱性的有哪些类型？识别脆弱性时主要应关注哪些对象？并列举答： 技术脆弱性、管理脆弱性物理环境从机房场地、机房防火、机房配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进

11、行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信鉴别机制、密码保护等方面进行识别技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别18、出几个关于资产脆弱性例子答：设备维护措施不完善、物理访问控制不健全、口令不当、权限分配不合理19、资产值和风险值的计算函数各是什么

12、？其中各个字母的含义是什么？资产值计算方式资产值为A保密性为c(Confidentiality ) 完整性为i( Integrity ) 可用性为a(Possibility )A=c+i+a风险值计算威胁频率 =T脆弱性严重度 =V 则安全事件发生可能性F=根号 (T*V)安全事件的损失L= 根号 (A*V)风险值R=L*F20、风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置 5 个基本步骤和风险沟通和咨询、监控和评审 2 个附加环节21、GB/T19715.1信息技术安全管理指南第一部分：信息技术安全概念和模型（ISO/IEC 13335-1:1996）GB/T19715.2信

13、息技术安全管理指南 第二部分：管理和规划信息技术安全（ISO/IEC 13335-1:1996）22、GB/T19716-2005 信息安全管理实用规则 （ISO/IEC17799:2000）23、BS7799 信息安全管理标准是一 在国际上得到广泛重视的标准其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的安全生产目标责任书为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015 年度安全生产目标的内容，现与财务部 签订如下安全生产目标：一、目标

14、值：、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。、现金安全保管，不发生盗窃事故。、每月足额提取安全生产费用，保障安全生产投入资金的到位。、安全培训合格率为 100%。二、本单位安全工作上必须做到以下内容：、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。、在公司及政府的安全检查中杜绝各类违章现象。、组织本部门积极参加安全检查，做到有检查、有整改，记录全。、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。、虚心接受员工提出的问题，杜绝不接受或盲目指挥