信息系统安全评测与风险评估试题及答案.doc

信息系统安全评测与风险评估试题 姓名 分数 /phtml GB/T19716-2005 GB/T20269 信息系统安全管理要求 GB/T20270 网络基础安全技术要求 GB/T20271 信息系统通用安全技术要求 资产赋值 风险赋值 一：填空题（36分） 1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（ ），严谨的（ ），严格的（ ）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。 2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（必威体育官网网址性）和数据的（备份）与恢复三个环节来考虑。 3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境 ）三大类。 4.资产识别包括资产分类和（资产赋值）两个环节。 5.威胁的识别可以分为重点识别和（全面识别） 6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值） 7.风险的三个要素是资产（ 脆弱性）和（ 威胁） 8.应急响应计划应包含准则，（ ）预防和预警机制（ ） （ ）和附件6个基本要素。 9.信息安全风险评估的原则包括 可控性原则、完整性原则、最小影响原则、必威体育官网网址原则 10.信息安全风险评估概念 信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的必威体育官网网址性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响 11.信息安全风险评估和风险管理的关系 信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段 12.信息安全风险评估的分类 基线风险评估、详细风险评估、联合风险评估 13. 二：问答题：（64分） 什么是安全域？目前中国划分安全域的方法大致有哪些？（10分） 安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。目前，中国划分安全域的方法大致归纳有资产价值相似性安全域，业务应用相似性安全域，安全需求相似性安全域和安全威胁相似性安全域。 数据安全评测是主要应用哪三种方法进行评测？你如何理解？（10分） 国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评 访谈：指测评人员通过与信息系统有关人员进行交流，讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法 检查：指测评人员通过对测评对对象进行观察，检查和分析等活动，获取证据证明信息系统安全等级保护措施是否有效的一种方法 测试：指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动，然后查看，分析输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种访求 国家标准中把主机评测分为哪八个环节？你如何理解？（10分） 身份鉴别 自主访问控制 强制访问控制 安全审计 剩于信息保护 入侵防范 恶意代码防范 什么是资产和资产价值？什么是威胁和威胁识别？什么是脆弱性？ （14分） 资产是对组织具有价值的信息或资源，是安全策略保护的对象 资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的租用内容。 威胁指可能导致对系统或组织危害的事故潜在的起因。 脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。 脆弱性识别，指分析和度量可能被威胁利用的资产薄弱环节的过 什么是风险评估？如何进行风险计算？ （20分） 风险评估指，依照国家有关标准对信息系统及由其处理，传输和存储的信息的必威体育官网网址性，完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一但发生对组织造成的影响。 风险计算的形式化表示为： 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)) R表示风险计算函数 T表示威胁 V表示脆弱性 计算事件发生的可能性=L（威胁出现的频率，脆弱性）=L (T,V) 安全事件造成的损失=F (资产价值，脆弱性严重程度)=F(Ia,Va) 风评考试 1.信息安全：是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意 的原因而遭到破坏、更改、泄露，系统连续可靠正常运行，信息服务不中断。 信息安全的属性，必威体育官网网址性、完整性、可用性、（CIA）可控性、不可否认性 2.信