信息系统安全评测与风险评估试题及答案

信息系统安全评测与风险评估试题姓名分数/p-41729651.htmlGB/T19716-2005GB/T20269信息系统安全管理要求GB/T20270网络基础安全技术要求GB/T20271信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。4.资产识别包括资产分类和（资产赋值）两个环节。5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）环境安全、通信和操作管理、访问控制、信息系统安全要求、信息安全事件管理、业务连续性管理、符合性8、信息安全管理体系文件的层次？答：手册、程序文件、作业指导书、记录9、建立信息安全方针应考虑哪些方面？答：根据业务、组织、位置、资产和技术等方面的特性和信息安全在公司业务中的重要程度确定信息安全管理体系的方针10、风险管理包括哪些过程？答：资产识别与做人、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制11、风险处置措施有哪些？答：规避风险，采取有效的控制措施避免风险的发生接受风险，在一定程度上有意识、有目的地接受风险风险转移，转移相关业务风险到其他方面12、信息安全具有哪几种性质？答：脆弱性、连续性、可靠性、威胁性13、资产有哪些类别？答：物理资产、人员资产、软件资产、文件资产、服务资产、形象资产14、实施风险评估需要哪些步骤？答：资产识别与估价、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制15、资产赋值应包含哪几个方面的赋值？答：保密性、完整性、可用性16、资产各个等级分值如何划分？资产评价准则是什么？答：等级标识描述5很高非常重要，其属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3高比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成很小的损失，甚至忽略不计17、脆弱性的有哪些类型？识别脆弱性时主要应关注哪些对象？并列举答：技术脆弱性、管理脆弱性物理环境从机房场地、机房防火、机房配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信鉴别机制、密码保护等方面进行识别技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别18、出几个关于资产脆弱性例子答：设备维护措施不完善、物理访问控制不健全、口令不当、权限分配不合理19、资产值和风险值的计算函数各是什么？其中各个字母的含义是什么？资产值计算方式资产值为A保密性为c(Confidentiality)完整性为i(Integrity)可用性为a(Possibility)A=c+i+a风险值计算威胁频率=T脆弱性严重度=V则安全事件发生可能性F=根号(T*V)安全事件的损失L=根号(A*V)风险值R=L*F20、风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置5个基本步骤和风险沟通和咨询、监控和评审2个附加环节21、GB/T19715.1——《信息技术安全管理指南第一部分：信息技术安全概念和模型》（ISO/IEC13335-1:1996）GB/T19715.2——《信