1、信息系统安全评测与风险评估试题姓名 分数http:/ GB/T19716-2005GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值 风险赋值一:填空题(36 分)1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的( ) ,严谨的( ) ,严格的( )以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据(保密性)和数据的(备份)与恢复三个环节来考虑。3.资产分类的方法较多,大体归纳为 2 种,一种是“自然形态” ,即按照系统组成成分和服务内容来
2、分类,如分成“数据,软件(硬件) ,服务(人员) ,其他”六大类,还可以按照“信息形态”将资产分为“信息, (信息载体)和(信息环境 )三大类。4.资产识别包括资产分类和(资产赋值)两个环节。5.威胁的识别可以分为重点识别和(全面识别)6脆弱性识别分为脆弱性发现(脆弱性分类)脆弱性验证和(脆弱性赋值)7.风险的三个要素是资产( 脆弱性)和( 威胁)8.应急响应计划应包含准则, ( )预防和预警机制( ) ( )和附件 6 个基本要素。9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统
3、及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二:问答题:(64 分)1. 什么是安全域?目前中国划分安全域的方法大致有哪些?(10 分)1. 安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。目前,中国划分安全域的方
4、法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。2. 数据安全评测是主要应用哪三种方法进行评测?你如何理解?(10 分)国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评访谈:指测评人员通过与信息系统有关人员进行交流,讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法检查:指测评人员通过对测评对对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法测试:指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,然后查看,分析输出结果,获取证据以证明信息系统安全等级
5、保护措施是否有效的一种访求3. 国家标准中把主机评测分为哪八个环节?你如何理解?(10分)身份鉴别 自主访问控制 强制访问控制 安全审计 剩于信息保护 入侵防范 恶意代码防范4. 什么是资产和资产价值?什么是威胁和威胁识别?什么是脆弱性? (14 分)资产是对组织具有价值的信息或资源,是安全策略保护的对象资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的租用内容。威胁指可能导致对系统或组织危害的事故潜在的起因。脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。脆弱性识别,指分析和度量可能被威胁利用的资产薄弱环节的过5. 什么是风险评估?如何进行风险计算? (20
6、 分)2. 风险评估指,依照国家有关标准对信息系统及由其处理,传输和存储的信息的保密性,完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一但发生对组织造成的影响。风险计算的形式化表示为:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)R 表示风险计算函数T 表示威胁V 表示脆弱性计算事件发生的可能性=L(威胁出现的频率,脆弱性) =L (T,V)安全事件造成的损失=F ( 资产价值,脆弱性严重程度)=F(Ia,Va)风评考试1.信息安全:是指信息网络的硬件、软件及其系统中的数据受到
7、保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,信息服务不中断。信息安全的属性,保密性、完整性、可用性、 (CIA)可控性、不可否认性2.信息安全管理:是其于风险的信息安全管理,即始终以风险为主线进行信息安全的管理3.BS7799 已成为国际公认的信息安全管理权威标准。4.在 AS/NZS 4360:1999 中风险管理分为建立环境、风险识别、风险分析、风险评估、风险处置 5 个基本步聚和风险沟通和咨询、监控和评审 2 个附加环节5.信息安全管理体系(ISMS)采取了一种叫做 PDCA 的管理模式,请简述其内容答:PDCA 是一种循环过程,所以我们通常把它叫做 PD
8、CA 循环,并把这个循环图叫做“戴明环”6.简述确定 ISMS 的范围和边界时需要考虑的方面?答:根据公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围7.列举 ISMS 的 11 个控制领域?答:信息方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统安全要求、信息安全事件管理、业务连续性管理、符合性8、信息安全管理体系文件的层次?答:手册、程序文件、作业指导书、记录9、建立信息安全方针应考虑哪些方面?答:根据业务、组织、位置、资产和技术等方面的特性和信息安全在公司业务中的重要程度确定信息安全管理体系的方针10、
9、风险管理包括哪些过程?答:资产识别与做人、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制11、风险处置措施有哪些?答:规避风险,采取有效的控制措施避免风险的发生接受风险,在一定程度上有意识、有目的地接受风险风险转移,转移相关业务风险到其他方面12、信息安全具有哪几种性质?答:脆弱性、连续性、可靠性、威胁性13、资产有哪些类别?答:物理资产、人员资产、软件资产、文件资产、服务资产、形象资产14、实施风险评估需要哪些步骤?答:资产识别与估价、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制15、资产赋值应包含哪几个方面的赋值?答
10、:保密性、完整性、可用性16、资产各个等级分值如何划分?资产评价准则是什么?答:等级 标识 描述5 很高 非常重要,其属性破坏后可能对组织造成非常严重的损失4 高 重要,其安全属性破坏后可能对组织造成比较严重的损失3 高 比较重要,其安全属性破坏后可能对组织造成中等程度的损失2 低 不太重要,其安全属性破坏后可能对组织造成较低的损失1 很低 不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计17、脆弱性的有哪些类型?识别脆弱性时主要应关注哪些对象?并列举答: 技术脆弱性、管理脆弱性物理环境 从机房场地、机房防火、机房配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防
11、护、机房设备管理等方面进行识别网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信鉴别机制、密码保护等方面进行识别技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别18
12、、出几个关于资产脆弱性例子答:设备维护措施不完善、物理访问控制不健全、口令不当、权限分配不合理19、资产值和风险值的计算函数各是什么?其中各个字母的含义是什么?资产值计算方式资产值为 A 保密性为 c(Confidentiality) 完整性为 i(Integrity) 可用性为a(Possibility)A=c+i+a风险值计算 威胁频率=T 脆弱性严重度 =V 则安全事件发生可能性 F=根号(T*V)安全事件的损失 L=根号(A*V)风险值 R=L*F20、风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置 5 个基本步骤和风险沟通和咨询、监控和评审 2 个附加环节21、GB/T19715.1信息技术安全管理指南 第一部分:信息技术安全概念和模型 (ISO/IEC 13335-1:1996)GB/T19715.2信息技术安全管理指南 第二部分:管理和规划信息技术安全 (ISO/IEC 13335-1:1996)22、GB/T19716-2005 信息安全管理实用规则 (ISO/IEC17799:2000 )23、BS7799 信息安全管理标准是一 在国际上得到广泛重视的标准
