2014《信息安全测评与风险评估》期末复习.pdfVIP

2014 《信息安全测评与风险评估》期末复习 备注：加粗字体为考纲范围 填空： 信息安全测评的科学方法: 系统科学/系统工程的方法 贯标：指测评人员在测评活动中严格遵循相关标准的行为。 测评的三种方法：访谈、检查、测试。 信息安全测评的科学精神：怀疑、批判、创新、求实、协作。 相关组织： 与信息安全相关的国际标准化组织: 国际标准化组织(ISO) 国际电工委员会(IEC) 国际电信联盟(ITU) Internet 工程任务组(IETF) 与信息安全相关的国外标准化组织: 美国国家标准和技术委员会(NIST) 英国标准化协会(BSI) 与信息安全相关的国内标准化组织: 全国信息技术安全标准化技术委员会(CITS) 信息安全测评概念： 指测评人员在系统工程思想的指导下，遵照国家相关标准、规范和流程，通过设计各种测 评案例，对一个信息系统的安全性能和功能进行“标准符合性”论证的过程。 测评流程：现场测评准备现场测评和结果记录结果确认和资料归还 “蘑菇”模型示意图： 1 / 14 2014 《信息安全测评与风险评估》期末复习 安全域概念：将一个大型信息系统中具有某种相似性的子系统“聚集”在一起。 我国信息系统5 个安全级别： 按计算机信息系统遭受破坏后给个人、机构、社会和国家带来的不同影响程度，将信息系统安全等级 划分为5 个安全级别： 第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、 社会秩序和公共利益； 第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或则对社会秩 序和公共利益造成损害，但不损害国家利益； 第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； 第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严 重损害； 第五级：信息系统受到破坏后，会对国家安全造成特别严重的损害。 风险评估的基本要素：资产、资产威胁、威胁、脆弱性、风险、残余风险、安全需求、安全措 施。 资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 资产价值：资产的重要程度和敏感程度。 威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、 能力、资源、动机、途径、可能性和后果。 脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。 风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由 安全事件发生的可能性及其造成的影响这两种指标来衡量。 残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。 安全需求：为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。 安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾 难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 内网、外网概念： 内网：指那些与Internet 之间采取了“可靠的技术隔离手段”的企事业机构专用网络。 外网：指那些与Internet 相连并向外提供服务的企事业机构的专用网络。 选择：20 单选+10 多选 主机安全测评 1. 身份鉴别 5. 入侵防范 2. 访问控制 6. 恶意代码防范 3. 安全审计 7. 系统资源控制 4. 剩余信息保护 8. 备份与恢复 2 / 14 2014 《信息安全测评与风险评估》期末复习 1. 身份鉴别： a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更 换。 c) 应启用登录失败处理功能，可采取结束会话、限制非法