信息系统安全评测与风险评估试题及答案 .pdfVIP

信息系统安全评测与风险评估试题

姓名分数

19716-2005

20269信息系统安全管理要求

20270网络基础安全技术要求

20271信息系统通用安全技术要求

资产赋值风险赋值

一：填空题（36分）

1•信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（

），严格的（）以及极具

魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数

据（必威体育官网网址性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，

即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬

件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分

为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）

6.脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆

弱性赋值）

7.风险的三个要素是资产（脆弱性）和（威胁）

8.应急响应计划应包含准则，（）预防和预警机制

（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原

则、必威体育官网网址原则

10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术

与管理标准，对信息系统及由其处理、传输和存储的信息的必威体育官网网址性、完

整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以

及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资

产价值来判断安全事件一旦发生对组织造成的影响

11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全

风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的

一个阶段

12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评

估

13.

64

二：问答题：（分）

1.什么是安全域？目前中国划分安全域的方法大致有哪些？

10分）

1.安全域是将一个大型信息系统中具有某种相似性的子系统聚

集在一起。目前，中国划分安全域的方法大致归纳有资产价值相似性

安全域，业务应用相似性安全域，安全需求相似性安全域和安全威胁

相似性安全域。

2.数据安全评测是主要应用哪三种方法进行评测？你如何理解？

（10分）

国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法

进行测评

访谈：指测评人员通过与信息系统有关人员进行交流，讨论

等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种

方法

检查：指测评人员通过对测评对对象进行观察，检查和分析等活动，

获取证据证明信息系统安全等级保护措施是否有效的一种方法测试：

指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行

为等活动，然后查看，分析输出结果，获取证据以证明信息系统安全

等级保护措施是否有效的一种访求

3.国家标准中把主机评测分为哪八个环节？你如何理解？

10

（分）

身份鉴别自主访问控制强制访问控制安全审计剩于信息保护入侵防

范恶意代码防范

4.什么是资产和资产价值？什么是威胁和威胁识别？什么是脆弱性？

(14分)资产是对组织具有价值的信息或资源，是安全策略保护的对

象资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的

属性，也是进行资产识别的租用内容。威胁指可能导致对系统或组织

危害的事故潜在的起因。脆弱性指可能被威胁利用的资产或若干资产

的薄弱环节。

脆弱性识别，指分析和度量可能被威胁利用的资产薄弱环节的过