文档介绍:信息系统安全评测与风险评估试题
姓名分数
- GB/T19716-2005
GB/T20269 信息系统安全管理要求
GB/T20270 网络基础安全技术要求
GB/T20271 信息系统通用安全技术要求
资产赋值风险赋值
一:填空题(36分)
,严肃的( ),严谨的( ),严格的( )以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。
,国家标准要求从数据完整性,数据(保密性)和数据的(备份)与恢复三个环节来考虑。
,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(硬件),服务(人员),其他”六大类,还可以按照“信息形态”将资产分为“信息,(信息载体)和(信息环境)三大类。
(资产赋值)两个环节。
(全面识别)
(脆弱性分类)脆弱性验证和(脆弱性赋值
)
( 脆弱性)和( 威胁)
,( )预防和预警机制( ) ( )和附件6个基本要素。
可控性原则、完整性原则、最小影响原则、保密原则
信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响
信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段
基线风险评估、详细风险评估、联合风险评估
13.
二:问答题:(64分)
什么是安全域?目前中国划分安全域的方法大致有哪些?(10分)
安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。
数据安全评测是主要应用哪三种方法进行评测?你如何理解?(10分)
国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评
访谈:指测评人员通过与信息系统有关人员进行交流,讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法
检查:指测评人员通过对测评对对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法
测试:指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,然后查看,分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种访求
国家标准中把主机评测分为哪八个环节?你如何理解?(10分)
身份鉴别自主访问控制强制访问控制安全审计剩于信息保护入侵防范恶意代码防范
什么是资产和资产价值?什么是威胁和威胁识别?什么是脆弱性?
(14分)
资产是对组织具有价值的信息或资源,是安全策略保护的对