1、word.word.信息系統(tǒng)安全評(píng)測(cè)與風(fēng)險(xiǎn)評(píng)估試題姓名分?jǐn)?shù)19716-200520269 信息系統(tǒng)安全管理要求20270 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求20271 信息系統(tǒng)通用安全技術(shù)要求資產(chǎn)賦值 風(fēng)險(xiǎn)賦值一：填空題（36）信息安全評(píng)測(cè)實(shí)際上蘊(yùn)含著豐富的思想內(nèi)涵， 嚴(yán)肅的（，嚴(yán)謹(jǐn)?shù)模ǎ瑖?yán)格的（）以及極魅力的評(píng)測(cè)技巧，是一個(gè)科學(xué)和藝術(shù)圓滿結(jié)合的領(lǐng)域。.資產(chǎn)分類的方法較多，大體歸納為2（硬件，服務(wù)（人員，其他”六大類，還可以按照“信息形態(tài)”將（信息載體）和（信息環(huán)境 ）三大類。資產(chǎn)識(shí)別包括資產(chǎn)分類和（資產(chǎn)賦值）兩個(gè)環(huán)節(jié)。威脅的識(shí)別可以分為重點(diǎn)識(shí)別和（全面識(shí)別）（脆弱性分類（脆弱性賦值）風(fēng)險(xiǎn)的三個(gè)要素是資產(chǎn)（

2、）和（ 威脅）應(yīng)急響應(yīng)計(jì)劃應(yīng)包含準(zhǔn)則， （）預(yù)防和預(yù)警機(jī)制（）（）69.信息安全風(fēng)險(xiǎn)評(píng)估的原則包括可控性原則、完整性原則、最小影響原則、保密原則10.信息安全風(fēng)險(xiǎn)評(píng)估概念產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的關(guān)系的風(fēng)險(xiǎn)管理流程中的一個(gè)評(píng)估風(fēng)險(xiǎn)的一個(gè)階段信息安全風(fēng)險(xiǎn)評(píng)估的分類基線風(fēng)險(xiǎn)評(píng)估、詳細(xì)風(fēng)險(xiǎn)評(píng)估、聯(lián)合風(fēng)險(xiǎn)評(píng)估13.（64）什么是安全域？目前中國(guó)劃分安全域的方法大致有哪些？（10）安全域是將一個(gè)大型信息系統(tǒng)中具有某種相似性的子系統(tǒng)聚安全域和安全威脅相似性安全域。解？（10）國(guó)家標(biāo)準(zhǔn)中要求信息安全評(píng)測(cè)工程師使用訪談、檢查、測(cè)試三種方法進(jìn)行測(cè)評(píng)訪談：指測(cè)評(píng)人員通

3、過與信息系統(tǒng)有關(guān)人員進(jìn)行交流，討論等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法檢查：指測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)對(duì)象進(jìn)行觀察，檢查和分析等活動(dòng)，獲取證據(jù)證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法測(cè)試：指測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的行為等活動(dòng)，然后查看，分析輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種訪求國(guó)家標(biāo)準(zhǔn)中把主機(jī)評(píng)測(cè)分為哪八個(gè)環(huán)節(jié)？你如何理解？（10）身份鑒別 自主訪問控制 強(qiáng)制訪問控制 安全審計(jì) 剩于信息保護(hù) 入侵防范 惡意代碼防范脆弱性？ （14）象資產(chǎn)價(jià)值是資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行

4、資產(chǎn)識(shí)別的租用內(nèi)容。威脅指可能導(dǎo)致對(duì)系統(tǒng)或組織危害的事故潛在的起因。 脆弱性識(shí)別，指分析和度量可能被威脅利用的資產(chǎn)薄弱環(huán)節(jié)的過什么是風(fēng)險(xiǎn)評(píng)估？如何進(jìn)行風(fēng)險(xiǎn)計(jì)算？ （20）2.價(jià)值來判斷安全事件一但發(fā)生對(duì)組織造成的影響。風(fēng)險(xiǎn)計(jì)算的形式化表示為： 風(fēng)險(xiǎn)值()(L()()RTV 表示脆弱性計(jì)算事件發(fā)生的可能性（威脅出現(xiàn)的頻率，脆弱性） ()安全事件造成的損失 (資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)() 風(fēng)評(píng)考試保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常運(yùn)行，信息服務(wù)不中斷。（）可否認(rèn)性主線進(jìn)行信息安全的管理37799 已成為國(guó)際公認(rèn)的信息安全管理權(quán)威標(biāo)準(zhǔn)。在 4360:1999析、

5、風(fēng)險(xiǎn)評(píng)估、52加環(huán)節(jié)信息安全管理體系（）內(nèi)容答：是一種循環(huán)過程，所以我們通常把它叫做循環(huán)，并把這個(gè)循環(huán)圖叫做“戴明環(huán)”簡(jiǎn)述確定的范圍和邊界時(shí)需要考慮的方面？擁有技術(shù)的特點(diǎn)確定信息安全管理體系的范圍11答：信息方針、信息安全組織、資產(chǎn)管理、人力資源安全、物信息安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性8、信息安全管理體系文件的層次？答：手冊(cè)、程序文件、作業(yè)指導(dǎo)書、記錄9、建立信息安全方針應(yīng)考慮哪些方面？答：根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性和信息安全在公司業(yè)務(wù)中的重要程度確定信息安全管理體系的方針10、風(fēng)險(xiǎn)管理包括哪些過程？答：資產(chǎn)識(shí)別與做人、威脅評(píng)估、脆弱性評(píng)估、對(duì)現(xiàn)有安全控制的識(shí)別、風(fēng)險(xiǎn)

6、評(píng)價(jià)、風(fēng)險(xiǎn)處理、殘余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)控制11、風(fēng)險(xiǎn)處置措施有哪些？答：規(guī)避風(fēng)險(xiǎn)，采取有效的控制措施避免風(fēng)險(xiǎn)的發(fā)生接受風(fēng)險(xiǎn)，在一定程度上有意識(shí)、有目的地接受風(fēng)險(xiǎn)風(fēng)險(xiǎn)轉(zhuǎn)移，轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面12、信息安全具有哪幾種性質(zhì)？答：脆弱性、連續(xù)性、可靠性、威脅性13、資產(chǎn)有哪些類別？答：物理資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)、文件資產(chǎn)、服務(wù)資產(chǎn)、形象資產(chǎn)14、實(shí)施風(fēng)險(xiǎn)評(píng)估需要哪些步驟？答：資產(chǎn)識(shí)別與估價(jià)、威脅評(píng)估、脆弱性評(píng)估、對(duì)現(xiàn)有安全控制的識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理、殘余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)控制15、資產(chǎn)賦值應(yīng)包含哪幾個(gè)方面的賦值？ 答：保密性、完整性、可用性16、資產(chǎn)各個(gè)等級(jí)分值如何劃分？資產(chǎn)評(píng)價(jià)準(zhǔn)則是什么答：等級(jí)標(biāo)識(shí)描

7、述5很高非常重要，其屬性破壞后可能對(duì)組造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對(duì)組造成比較嚴(yán)重的損失3高比較重要，其安全屬性破壞后可能組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能組織造成較低的損失1成很小的損失，甚至忽略不計(jì)17并列舉答： 技術(shù)脆弱性、管理脆弱性物理環(huán)境 從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu) 從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件 從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制

8、、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件 從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別通信鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別技術(shù)管理 從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別符合性等方面進(jìn)行識(shí)別18、出幾個(gè)關(guān)于資產(chǎn)脆弱性例子答：設(shè)備維護(hù)措施不完善、物理訪問控制不健全、口令不當(dāng)、權(quán)限分配不合理19是什么？資產(chǎn)值計(jì)算方式資產(chǎn)值為A 保密性為c() 完整性為i() 可用性為a()風(fēng)險(xiǎn)值計(jì)算威脅頻率 脆弱性嚴(yán)重度 則 安全事件發(fā)生可能性根號(hào)(T*V) 安全事件的損失根風(fēng)險(xiǎn)值*F20、風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)5219715.1（ 133