1、word.word.信息系統安全評測與風險評估試題姓名分數19716-200520269 信息系統安全管理要求20270 網絡基礎安全技術要求20271 信息系統通用安全技術要求資產賦值 風險賦值一：填空題（36）信息安全評測實際上蘊含著豐富的思想內涵， 嚴肅的（，嚴謹的（，嚴格的（）以及極魅力的評測技巧，是一個科學和藝術圓滿結合的領域。.資產分類的方法較多，大體歸納為2（硬件，服務（人員，其他”六大類，還可以按照“信息形態”將（信息載體）和（信息環境 ）三大類。資產識別包括資產分類和（資產賦值）兩個環節。威脅的識別可以分為重點識別和（全面識別）（脆弱性分類（脆弱性賦值）風險的三個要素是資產（

2、）和（ 威脅）應急響應計劃應包含準則， （）預防和預警機制（）（）69.信息安全風險評估的原則包括可控性原則、完整性原則、最小影響原則、保密原則10.信息安全風險評估概念產價值來判斷安全事件一旦發生對組織造成的影響信息安全風險評估和風險管理的關系的風險管理流程中的一個評估風險的一個階段信息安全風險評估的分類基線風險評估、詳細風險評估、聯合風險評估13.（64）什么是安全域？目前中國劃分安全域的方法大致有哪些？（10）安全域是將一個大型信息系統中具有某種相似性的子系統聚安全域和安全威脅相似性安全域。解？（10）國家標準中要求信息安全評測工程師使用訪談、檢查、測試三種方法進行測評訪談：指測評人員通

3、過與信息系統有關人員進行交流，討論等活動，獲取證據以證明信息系統安全等級保護措施是否有效的一種方法檢查：指測評人員通過對測評對對象進行觀察，檢查和分析等活動，獲取證據證明信息系統安全等級保護措施是否有效的一種方法測試：指測評人員通過對測評對象按照預定的方法/工具使其產生特定的行為等活動，然后查看，分析輸出結果，獲取證據以證明信息系統安全等級保護措施是否有效的一種訪求國家標準中把主機評測分為哪八個環節？你如何理解？（10）身份鑒別 自主訪問控制 強制訪問控制 安全審計 剩于信息保護 入侵防范 惡意代碼防范脆弱性？ （14）象資產價值是資產的重要程度或敏感程度的表征。資產價值是資產的屬性，也是進行

4、資產識別的租用內容。威脅指可能導致對系統或組織危害的事故潛在的起因。 脆弱性識別，指分析和度量可能被威脅利用的資產薄弱環節的過什么是風險評估？如何進行風險計算？ （20）2.價值來判斷安全事件一但發生對組織造成的影響。風險計算的形式化表示為： 風險值()(L()()RTV 表示脆弱性計算事件發生的可能性（威脅出現的頻率，脆弱性） ()安全事件造成的損失 (資產價值，脆弱性嚴重程度)() 風評考試保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常運行，信息服務不中斷。（）可否認性主線進行信息安全的管理37799 已成為國際公認的信息安全管理權威標準。在 4360:1999析、

5、風險評估、52加環節信息安全管理體系（）內容答：是一種循環過程，所以我們通常把它叫做循環，并把這個循環圖叫做“戴明環”簡述確定的范圍和邊界時需要考慮的方面？擁有技術的特點確定信息安全管理體系的范圍11答：信息方針、信息安全組織、資產管理、人力資源安全、物信息安全事件管理、業務連續性管理、符合性8、信息安全管理體系文件的層次？答：手冊、程序文件、作業指導書、記錄9、建立信息安全方針應考慮哪些方面？答：根據業務、組織、位置、資產和技術等方面的特性和信息安全在公司業務中的重要程度確定信息安全管理體系的方針10、風險管理包括哪些過程？答：資產識別與做人、威脅評估、脆弱性評估、對現有安全控制的識別、風險

6、評價、風險處理、殘余風險、風險控制11、風險處置措施有哪些？答：規避風險，采取有效的控制措施避免風險的發生接受風險，在一定程度上有意識、有目的地接受風險風險轉移，轉移相關業務風險到其他方面12、信息安全具有哪幾種性質？答：脆弱性、連續性、可靠性、威脅性13、資產有哪些類別？答：物理資產、人員資產、軟件資產、文件資產、服務資產、形象資產14、實施風險評估需要哪些步驟？答：資產識別與估價、威脅評估、脆弱性評估、對現有安全控制的識別、風險評價、風險處理、殘余風險、風險控制15、資產賦值應包含哪幾個方面的賦值？ 答：保密性、完整性、可用性16、資產各個等級分值如何劃分？資產評價準則是什么答：等級標識描

7、述5很高非常重要，其屬性破壞后可能對組造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組造成比較嚴重的損失3高比較重要，其安全屬性破壞后可能組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能組織造成較低的損失1成很小的損失，甚至忽略不計17并列舉答： 技術脆弱性、管理脆弱性物理環境 從機房場地、機房防火、機房配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區域防護、機房設備管理等方面進行識別網絡結構 從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別系統軟件 從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制

8、、新系統配置、注冊表加固、網絡安全、系統管理等方面進行識別應用中間件 從協議安全、交易完整性、數據完整性等方面進行識別通信鑒別機制、密碼保護等方面進行識別技術管理 從物理和環境安全、通信與操作管理、訪問控制、系統開發與維護、業務連續性等方面進行識別符合性等方面進行識別18、出幾個關于資產脆弱性例子答：設備維護措施不完善、物理訪問控制不健全、口令不當、權限分配不合理19是什么？資產值計算方式資產值為A 保密性為c() 完整性為i() 可用性為a()風險值計算威脅頻率 脆弱性嚴重度 則 安全事件發生可能性根號(T*V) 安全事件的損失根風險值*F20、風險管理分為建立環境、風險識別、風險分析、風險評價、風險5219715.1（ 133