信息系统安全评测与风险评估试题及答案.doc
- 格式:doc
- 大小:36.00 KB
- 文档页数:6
信息系统安全评测与风险评估试题
姓名分数
一:填空题(36分)
1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。
2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据()性和数据的()与恢复三个环节来考虑。
3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(),服务(),其他”六大类,还可以按照“信息形态”将资产分为“信息,()和()三大类。
4.资产识别包括资产分类和()两个环节。
5.威胁的识别可以分为重点识别和()
6.脆弱性识别分为脆弱性发现()脆弱性验证和()
7.风险的三个要素是资产()和()
8.应急响应计划应包含准则,()预防和预警机制()()和附件6个基本要素。
二:问答题:(64分)
1.什么是安全域?目前中国划分安全域的方法大致有哪些?(10
分)
2.数据安全评测是主要应用哪三种方法进行评测?你如何理
解?(10分)
3.国家标准中把主机评测分为哪八个环节?你如何理解?(10
分)
4.什么是资产和资产价值?什么是威胁和威胁识别?什么是脆
弱性?(14分)
5.什么是风险评估?如何进行风险计算?(20分)
答案
一:填空题答案:
1.科学精神工作作风
2.保密性备份
3.硬件人员信息载体和信息环境
4.资产赋值
5.全面识别
6.脆弱性分类脆弱性赋值
7.脆弱性威胁
8.角色及职责应急响应流程
二:问答题答案:
1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在
一起。目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。
2.国家标准中要求信息安全评测工程师使用“访谈”,“检查”和“测
试”这三种方法进行评测。
访谈:指评测人员通过与信息系统有关人员进行交流,讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。
检查:指评测人员通过对测评对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法。
测试:指评测人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,然后查看,分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。
3.身份鉴别自主访问控制强制访问控制安全审计剩余信息保护
入侵防范恶意代码防范
4.资产是对组织具有价值的信息或资源,是安全策略保护的对象
资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的租用内容。
威胁指可能导致对系统或组织危害的事故潜在的起因。
脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。
脆弱性识别,指分析和度量可能被威胁利用的资产薄弱环节的过程
5.风险评估指,依照国家有关标准对信息系统及由其处理,传输和
存储的信息的保密性,完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事
件一但发生对组织造成的影响。
风险计算的形式化表示为:
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))
R表示风险计算函数
T表示威胁
V表示脆弱性
计算事件发生的可能性=L(威胁出现的频率,脆弱性)=L (T,V) 安全事件造成的损失=F (资产价值,脆弱性严重程度)=F(Ia,Va)