企业信息系统安全评测与风险评估试题.docxVIP

企业信息系统安全评测与风险评估试题 【最新资料，WORD文档，可编辑修改】信息系统平安评测与风险评估试题姓名分数GB/T20269 信息系统平安管理要求GB/T20270 网络根底平安技术要求GB/T20271 信息系统通用平安技术要求资产赋值风险赋值一：填空题〔36分〕1.信息平安评测事实上蕴含着丰富的思想内涵，严厉?的〔〕，严谨的〔〕，严格的〔〕以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。2.在评测一个信息系统的数据平安时，国家标准要求从数据完好性，数据〔保密性〕和数据的〔备份〕与复原三个环节来考虑。3.资产分类的方法较多，大体归纳为2种，一种是“自然形态〞，即根据系统组成成分和效劳内容来分类，如分成“数据，软件〔硬件〕，效劳〔人员〕，其他〞六大类，还可以根据“信息形态〞将资产分为“信息，〔信息载体〕和〔信息环境〕三大类。4.资产识别包括资产分类和〔资产赋值〕两个环节。5.威逼的识别可以分为重点识别和〔全面识别〕6．脆弱性识别分为脆弱性发觉〔脆弱性分类〕脆弱性验证和〔脆弱性赋值〕7.风险的三个要素是资产〔脆弱性〕和〔威逼〕8.应急响应方案应包含准那么，〔〕预防和预警机制〔〕〔〕和附件6个根本要素。9.信息平安风险评估的原那么包括可控性原那么、完好性原那么、最小影响原那么、保密原那么10.信息平安风险评估概念信息平安风险评估是根据有关信息平安技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完好性和可用性等平安属性进展评价的过程，它要评估资产面临的威逼以及威逼利用脆弱性导致平安大事的可能性，并结合平安大事所涉及的资产价值来推断平安大事一旦发生对组织造成的影响11.信息平安风险评估和风险管理的关系信息平安风险评估是信息平安风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息平安风险评估的分类基线风险评估、具体风险评估、结合风险评估13.二：问答题：〔64分〕1.什么是平安域？目前中国划分平安域的方法大致有哪些？〔10分〕1.平安域是将一个大型信息系统中具有某种相像性的子系统聚集在一起。目前，中国划分平安域的方法大致归纳有资产价值相像性平安域，业务应用相像性平安域，平安需求相像性平安域和平安威逼相像性平安域。2.数据平安评测是主要应用哪三种方法进展评测？你如何理解？〔10分〕国家标准中要求信息平安评测工程师用法访谈、检查、测试三种方法进展测评访谈：指测评人员通过与信息系统有关人员进展沟通，争论等活动，猎取证据以证明信息系统平安等级爱护措施是否有效的一种方法检查：指测评人员通过对测评对对象进展观看，检查和分析等活动，猎取证据证明信息系统平安等级爱护措施是否有效的一种方法测试：指测评人员通过对测评对象根据预定的方法/工具使其产生特定的行为等活动，然后查看，分析输出结果，猎取证据以证明信息系统平安等级爱护措施是否有效的一种访求3.国家标准中把主机评测分为哪八个环节？你如何理解？〔10分〕身份鉴别自主访问掌握强迫访问掌握平安审计剩于信息爱护入侵防范恶意代码防范4.什么是资产和资产价值？什么是威逼和威逼识别？什么是脆弱性？〔14分〕资产是对组织具有价值的信息或资源，是平安策略爱护的对象资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进展资产识别的租用内容。威逼指可能导致对系统或组织危害的事故潜在的起因。脆弱性指可能被威逼利用的资产或假设干资产的薄弱环节。脆弱性识别，指分析和度量可能被威逼利用的资产薄弱环节的过5.什么是风险评估？如何进展风险计算？〔20分〕2.风险评估指，按照国家有关标准对信息系统及由其处理，传输和存储的信息的保密性，完好性和可用性等平安属性进展分析和评价的过程。它要分析资产面临的威逼及威逼利用脆弱性导致平安大事的可能性，并结合平安大事所涉及的资产价值来推断平安大事一但发生对组织造成的影响。风险计算的形式化表示为：风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示风险计算函数T表示威逼V表示脆弱性计算大事发生的可能性=L〔威逼出现的频率，脆弱性〕=L (T,V)平安大事造成的损失=F (资产价值，脆弱性严峻程度)=F(Ia,Va)风评考试1.信息平安：是指信息网络的硬件、软件及其系统中的数据受到爱护，不受偶尔的或者恶意的缘由而遭到破坏、更改、泄露，系统连续牢靠正常运行，信息效劳不中断。信息平安的属性，保密性、完好性、可用性、〔CIA〕可控性、不行否认性2.信息平安管理：是其于风险的信息平安管理，即始终以风险为主线进展信息平安的管理3.BS7799已成为国际公认的信息平安管理权威标准。4.在AS/NZS 4360:199