信息安全服务高级工程师知识重点

第一部分：信息平安概述1,网络与信息平安保障工作文件汇总2013年的文要着重看，具体参照复印的《网络与信息平安保障工作文件汇编》。第二部分：信息平安政策法规与标准1,北京市经济和信息化委员会通告《2013年第1号》2,关于加强信息平安管理体系认证平安管理的通知【2010】394号3,关于做好信息技术服务外包平安管理工作的通知京经信委函【2013】203号信息平安部分。第三部分：1,什么是风险？答：风险是指特定威胁利用资产的弱点，由此导致资产受损或破坏的潜在可能。2,什么是风险管理？答：是指在可接受的成本范围内，识别,限制和降低或解除（可能影响信息系统的）平安风险的动态过程。3,什么是ISMS？答：ISMS即信息平安管理体系，是基于业务风险方法，建立,实施,运行,监视,保持和改进信息平安的体系，是一个组织整改管理体系的一部分。4,什么是残余风险？答：是指实施风险处置后仍旧残留的风险。5,什么是信息？答：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此须要妥当爱护。6,信息的三个最基本属性是什么？答：CIA，即保密性,完整性,可用性。7,信息资产的分类分几类，分别是什么？答：6类，分别是硬件,软件,数据,文档,人员,服务性设施，也叫有形资产。无形资产例如企业文化，企业形象客户关系等。8,如何才算是信息平安？答：爱护信息的保密性,完整性,可用性不受破坏。9,信息平安服务体系主要包括哪三类服务？答：信息平安询问服务,信息平安实施服务,信息平安培训服务。10,服务类别,组件和实例之间的关系是什么？答：将相对独立的服务尽量细分为服务组件，将具有相同或相近服务界面的服务组件归并为统一服务类别。11,信息平安服务分类？服务类别服务组件目标对象代码名称代码名称组织的信息系统及其全部支持的业务系统和管理A信息平安询问服务A01信息平安规划A02信息平安管理体系询问A03信息平安风险评估A04信息平安应急管理询问A05业务连续性管理询问A99其他信息平安询问服务B信息平安实施服务B01信息平安设计组织的信息系统个人的信息设备B02信息平安产品部署B03信息平安开发B04信息平安加固和优化B05信息平安检查和测试B06信息平安监控B07信息平安应急处理B08信息平安通告B09备份和复原B10数据修复B11电子认证服务B12信息平安监理B13信息平安审计B99其他信息平安实施服务C信息平安培训服务C01信息平安培训信息平安相关人员Z其他信息平安服务12,信息平安询问服务的服务界面分为哪五个方面？答：服务对象,服务供需,服务特性,服务质量,服务组件。13,信息平安管理体系分为哪几个步骤？答：面对组织建立,实施,运行,监视,评审,保持和改进信息平安的体系。14,什么是信息平安规划？答：信息平安规划主要是从组织核心业务,核心价值动身，依据组织的发展战略，通过风险评估等方式提取组织的平安需求，对相应的平安保障目标,任务,措施和步骤进行规划。15,信息平安风险评估应贯穿哪几个阶段？答：信息平安风险评估应贯穿于信息系统的规划,设计,实施,运行维护以及废弃各个阶段。16,什么是渗透性测试？答：渗透性测试是指信息平安服务供应者的专业人员模拟攻击行为，对目标系统实施渗透，意图找到“非法”进入目标系统并获得相关权限的途径，从而测试目标系统平安限制措施的有效性。17,信息平安监控主要通过哪些方式对各系统进行监控？答：监控工具或平台。18,信息平安应急管理体系是什么？答：针对各类突发信息平安事务，供应实施层面的应急响应和应急演练。响应方式可以按事务特点和级别，分为现场和远程两种。在设备,系统,业务,组织等不同层面进行测试和演练，演练的方式分为桌面演练,模拟演练和实战演练。19,信息平安培训服务的服务组件包袱哪些？答：针对信息平安专业人员的资质培训,针对服务需求方特定要求的定制培训等。20,信息平安询问实施总体安排分为哪几个阶段？答,项目打算,现状调研,架构设计,总体规划,体系建设,落地实施。21,信息平安技术架构设计分为哪几个层面？答：终端,应用,系统,网络,物理。22,信息平安技术架构设计分为哪几类？答：身份认证,访问限制,内容平安,监控审计,备份复原。23,信息平安管理体系基础分为哪些方面？答：建立ISMS,实施和运行ISMS,监视和评审ISMS,保持和改进ISMS。24,建立并管理ISMS的内容有哪些？答：①依据组织业务特征,组织,地理位置,资产,技术以及任何删减的细微环节和合理性来确定ISMS范围；②依据组织业务特征,组织,地理位置,资产和技术确定ISMS方针；③确定组织的风险评估方法；④识别风险；⑤分析并评价风险；⑥识别和评价风险处理的选择；7选择风险处理的限制目标和限制方式；⑧管理层批准建议的残留风险；⑨获得管理层对实施和运行ISMS的授权；10打算适用性声明。25,信息平安管理体系基础的订正措施和预防措施有哪些？订正措施：确定不符合的缘由；评价确保不符合不在发生所需的措施；确定和实施所需的订正措施；记录所实行实施的结果；评审所实行的订正措施；预防措施：识别潜在不符合及其缘由；评价预防不符合发生所需的措施；确定并实施所需的预防措施；记录所实行措施的结果；评审所实行的预防措施；26,限制域,限制目标,限制措施分别合计为多少项？答：限制目标39项，限制措施133项。27,什么叫资产？答：资产（Asset）任何对组织具有价值的东西，包括计算机硬件,通信设施,建筑物,数据库,文档信息,软件,信息服务和人员等，全部这些资产都须要妥当爱护。28,什么是威胁？答：威胁（Threat）可能对资产或组织造成损害的某种平安时间发生的潜在缘由，通常须要识别出威胁源。29,什么是弱点？答：弱点（Vulnerability）也称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。30,什么是风险？答：风险（Risk）特定威胁利用资产的弱点，导致资产受损或破坏的潜在可能。31,什么是严峻性？答,严峻性（Impact）弱点一旦被威胁利用儿造成的意外事务可能给组织带来的冲击，包括直接或间接的损失或损害。32,什么是限制措施？答：限制措施（Control）也称为平安措施或对策，即通过防范威胁,削减弱点,限制意外事务带来影响等途径来消减风险的机制,方法和措施。33,什么是残余风险？答：在实施平安措施之后仍旧存在的风险。34,风险评估要素关系图35,风险分析原理36,风险评估前应实行哪些措施？确定风险评估的目标；确定风险评估的范围；组建适当的评估管理与实施团队；进行系统调研；确定评估依据和方法；制定风险评估方案；获得最高管理者对风险评估工作的支持。37,风险评估实施流程图（略）38,风险评估实施应分为几级？答：5级，分别是很高,高,中等,低,很低。39,威胁如何分类？答：威胁可以通过威胁主体,资源,动机,途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。40,具体描述风险计算的方法？风险值=R（A，T，V）=R（L（T，V），F（Ia，Va））。R表示平安风险计算函数A表示资产T表示威胁V表示脆弱性Ia表示平安事务所作用的资产价值Va表示脆弱性严峻程度L表示威胁利用资产的脆弱性导致平安事务的可能性F表示平安事务发生后造成的损失41,什么是ITSS？ITSS的来源是？答：ITSS是InformaitonTechonlogyServiceStandards，即信息技术服务标准，是一套体系化的信息技术服务标准库.ITSS是在工业和信息化部软件服务业司的指导下，由国家信息技术服务标准工作组组织探讨指定的。42,信息技术服务的核心要素是什么？答：是人员,过程,技术和资源。人员是IT服务的载体，是IT服务发展的主导力气。43,IT服务的生命周期包括哪些？答：包括规划设计,部署实施,服务运营,持续改进和监督管理。44,CMMI的成熟度分几级，分别是什么？答：分5级，第一级完成级，第二级管理级，第三级定义级，第四级量化管理级，第五级持续优化级。45,ISO20000分为哪两部分？答：第一部分管理规范，IT服务管理标准介绍，定义了服务供应者交付管理服务的需求。第二部分实施准则，实践指导，描述了服务管理流程的最佳实践，描述了IT服务管理流程质量标准。46,COBIT5的过程参考模型（1）规划过程域：调整（Align）,规划（Plan）,组织（Organize）（2）建立过程域：建立（Build）,获得（Acquier）,实施（Implement）（3）执行过程域：交付（Deliver）,服务（Service）,支持（Support）（4）监视过程域：监视（Monitor）,评价（Evaluate）,评估（Assess）47,信息平安运维实施过程管理主要分为哪几个方面？（1）策划（Plan）（2）实施（Do）（3）检查（Check）（4）改进（Act）48,ITSS实施原理分为哪五个阶段？答：需求分析阶段,规划设计阶段,部署实施阶段,优化改进阶段,实施过程管控。49,实施ITSS的成果及胜利要素包括哪些方面？答：政策法规,标准规范,业务需求,意识意愿,团队人员,管理体系,工具平台,相关资源,测量评价。50,什么是信息平安工程？答：信息平安工程ISSE，它解决用户的信息保障需求，是系统工程学,系统选购 ,风险管理,认证和认可以及生命期支持的一部分。51,信息平安工程的意义？答：开放和平安的冲突突出；弱点使其易于受到各种攻击；平安专业人员将发开人员,系统集成人员,用户有更加紧密的合作的前提条件。52,工程实施阶段的主要监理目标有哪些？答：加强工程实施方案的合法性,合理性,与设计方案的符合性；促使工程中所运用的产品和服务符合承建合同及国家相关法律,法规和标准；明确工程实施安排，对于安排的调整必需合理,受控；促使工程实施过程满足承建合同的要求，并与工程设计方案,工程安排相符。53,什么是应急响应？答：应急响应也叫紧急响应，是平安事务发生后快速实行的措施和行动，它是平安事务响应的一种快速实现方式。54,应急响应的目的？答：目的是快速复原系统的保密性,完整性,和可用性，阻挡和减小平安事务带来的影响。55,应急响应服务的特点有哪些？答：技术困难性与专业性；知识阅历的依靠性；突发性强；须要广泛的协调与合作。56,应急响应服务的形式有哪些？答：远程应急响应服务和本地应急响应服务。57,我国信息平安事务分级方法答：特殊重大事务（1级）,重大事务（2级）,较大事务（3级）,一般事务（4级）58,应急响应预案的主要内容有哪些？具体的组织体系结构及人员职责应急响应安排各小组成员的联络信息供应商联络信息，包括离站存储和备用站点的外部联系点系统复原或处理的标准操作规程和检查列表支持系统运行所需的硬件,软件,固件和其他资源的设备和系统需求清单供应商服务水平协议（SLA）,与其他机构的互惠协议和其他关键记录备用站点的描述和说明在安排制定前进行BIA，包含关于系统各部分相互关系,风险,优先级别等应急响应安排文档的保存和分发方法59,信息平安等级爱护管理方法分为几个阶段，分别是什么？答：五个阶段，主要对信息系统定级,备案,建设整改,等级测评和监督检查。60,受侵害的客体指等级爱护对象（即定级对象）受到破坏时所侵害的客体主要由几个方面，分别是什么？答：3个方面，①公民,法人和其他组织的合法权益②设备秩序,公共利益③国家平安。61,确定业务信息平安等级业务信息平安被破坏时所侵害的客体对相应客体的侵害程度一般损害严峻损害特殊严峻损害公民,法人和其他组织的合法权益第一级第二级第二级社会秩序,公共利益第二级第三级第四级国家平安第三级第四级第五级62,信息系统备案应依据什么标准执行？答：信息系统运营运用单位和受理备案的公共机关应依据《信息平安等级爱护备案实施细则》公信安【2007】1360号的要求办理信息系统备案工作。63,平安建设整改工作依据的标准有哪些？答：《信息系统平安等级爱护基本要求》（GB/T22239-2008）《信息系统通用平安技术要求》（GB/T20271）《信息系统平安管理要求》（GB/T20269）《信息系统等级爱护平安设计技术要求》（GB/T24856-2009）等。64,等级测评是什么？和等级爱护有什么关系？答：等级测评是测评机构依据国家信息平安等级爱护制度规定，受有关单位托付，依据有关管理规范和技术标准，对非涉及国家隐私信息系统平安等级爱护状况进行检测评估的活动。等级测评工作是等级爱护整体工作的一个重要组成部分。65,信息系统等级爱护的监督检查方式有哪些？答：备案单位的定期自查行业主管部门的督导检查公安机关的监督检查66,信息系统等级爱护基本要求的主要内容有哪些？答：管理类平安要求与信息系统中各种角色参加的活动有关，主要通过限制各种角色的活动，从政策,制度,规范,流程以及记录等方面做出规定来实现。基本管理要求的内容分为平安管理制度；平安管理机构；人员平安管理；系统建设管理；系统运维管理。67,在信息系统等级爱护的差级中，二级系统与信息系统的限制点分别是多少？答：二级是175个，三级是290个68,具体说明信息系统等级爱护的基本技术要求答：基本技术要求分为数据完整性,数据保密性和备份复原三类，数据完整性。数据完整性：①应能够检测到系统管理数据,鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时实行必要的复原措施；②应能够检测到系统管理数据,鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时实行必要的复原措施；③应对重要通信供应专用通信协议或平安通信协议服务，避开来自基于通用通信协议的攻击破坏数据完整性。数据保密性：①应采纳加密或其他有效措施实现系统管理数据,鉴别信息和重要业务数据传输保密性②应采纳加密或其他爱护措施实现系统管理数据,鉴别信息和重要业务数据存储保密性③应对重要通信供应专用通信协议或平安通信协议服务，避开来自基于通用协议的攻击破坏数据保密性。备份和复原：①应供应数据本地备份与复原功能，完全数据备份至少每天一次，备份介质场外存放②应建立异地灾难备份中心，配备灾难复原所需的通信线路,网络设备和数据处理设备，供应业务应用的实时无缝切换；③应供应异地实时备份功能，利用通信网络将数据实时备份至灾难备份中心；④应采纳冗余技术设计网络拓扑结构，避开存在网络单点故障；⑤应供应主要网络设备,通信线路和数据处理系统的硬件冗余,保证系统的高可用性。69,信息系统等级爱护的平安需求分析方法分为哪三类？答：S类—业务信息平安爱护类，关注的是爱护数据在存储,传输,处理过程中不被泄露,破坏和免受未授权的修改。A类—系统服务平安爱护类，关注的是爱护系统连续正常的运行，避开因对系统的未授权修改,破坏而导致系统不可用。G类—通用平安爱护类，既关注爱护业务信息的平安性，同时也关注爱护系统的连续可用性。70,新建系统等级爱护方案设计步骤有哪些？答：1,局域网内部抽象处理2,局域网内部平安域之间互联的抽象处理3,局域网之间平安域互联的抽象处理4,局域网平安域与外部单位互联的抽象处理5,平安域内部抽象处理6,行程信息系统抽象模型7,指定总体平安策略8,关于等级边界进行平安限制的规定9,关于各平安域内部的平安限制要求10,关于等级平安域的管理策略71,新建系统等级爱护设计方案72,平安管理制度建设主要内容确定平安管理策略，制定平安管理制度，具体依据《基本要求》中的“平安管理制度”内容，同时可以参照《信息系统平安管理要求》等。高级工程师部分73,什么是IT服务项目？答：IT服务项目是“供方以项目的方式对需方供应IT服务的活动”。74,什么是IT服务项目经理？答：IT服务项目经理是“以项目的形式运用项目管理的方法，代表供方对需方供应IT服务的管理者。”75,IT服务项目经理的主要职责答：识别和管理需方的IT服务需求；明确IT服务目标并形成IT服务方案（安排）；指导,监控IT服务过程，并做到项目信息可视化，满足各项目干系人的沟通要求；平衡IT服务质量,范围,内容,时间和成本等各方面的要求，确保高质量地完成IT服务工作，保证客户满足度。76,ITSS中定义的IT项目管理所需的知识实力实力分类知识实力项专业实力基本理论和方法营销规划和管理服务规划与设计服务转换实力运营管理实力质量管理实力项目管理和监控实力项目管理知识项目群管理团队建设和管理行为实力职业道德规范学习与创新领导力与影响力人际沟通实力压力与心情管理77,产品是什么？分几种类别答：产品是“人们向市场供应的能满足消费者或用户某种需求的任何有形物品或无形服务。”通常有四种类别的产品，分别是服务,软件,硬件,流程性材料。78,什么是IT服务管理？答：IT服务管理（ITServiceManagement，简称ITSM）是一套扶植组织对IT系统的规划,研发,实施和运营进行有效管理的方法，是一套方法论。79,项目管理试图对哪5个变量进行限制？答：时间,成本,质量,范围,风险。80,质量管理体系QMS在哪个标准中定义了在质量方面指挥和限制组织的管理体系？答：ISO9001：200581,基本的管理体系有哪些？答：ISO/IEC20000,I