信息系统安全评测与风险评估试题及答案.pdf

二：问答题：（64分） 1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10 分） 2.数据安全评测是主要应用哪三种方法进行评测？你如何理 解？（10分） 3. 国家标准中把主机评测分为哪八个环节？你如何理解？（ 10 分） 4. 什么是资产和资产价值？什么是威胁和威胁识别？什么是脆 弱性？（14分） 5.什么是风险评估？如何进行风险计算？（20分） 答案 一：填空题答案： 1. 科学精神工作作风 2. 保密性备份 3. 硬件人员信息载体和信息环境 4. 资产赋值 5. 全面识别 6. 脆弱性分类脆弱性赋值 7. 脆弱性威胁 8. 角色及职责应急响应流程 二：问答题答案： 1. 安全域是将一个大型信息系统中具有某种相似性的子系统聚集在 一起。目前，中国划分安全域的方法大致归纳有资产价值相似性 安全域，业务应用相似性安全域，安全需求相似性安全域和安全 威胁相似性安全域。 2. 国家标准中要求信息安全评测工程师使用 “访谈”，“检查”和 “测 试”这三种方法进行评测。 访谈：指评测人员通过与信息系统有关人员进行交流，讨论等活 动，获取证据以证明信息系统安全等级保护措施是否有效的一种 方法。 检查：指评测人员通过对测评对象进行观察，检查和分析等活动， 获取证据证明信息系统安全等级保护措施是否有效的一种方法。 测试：指评测人员通过对测评对象按照预定的方法/工具使其产生 特定的行为等活动，然后查看，分析输出结果，获取证据以证明 信息系统安全等级保护措施是否有效的一种方法。 3. 身份鉴别自主访问控制强制访问控制安全审计剩余信息保护入侵 防范恶意代码防范 4. 资产是对组织具有价值的信息或资源，是安全策略保护的对象 资产价值是资产的重要程度或敏感程度的表征。资产价值是资产 的属性，也是进行资产识别的租用内容。 威胁指可能导致对系统或组织危害的事故潜在的起因。 脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。 脆弱性识别，指分析和度量可能被威胁利用的资产薄弱环节的过 程 5. 风险评估指，依照国家有关标准对信息系统及由其处理，传输和 存储的信息的保密性，完整性和可用性等安全属性进行分析和评 价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全 事件的可能性，并结合安全事件所涉及的资产价值来判断安全事 件一但发生对组织造成的影响。 风险计算的形式化表示为： 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)) R表示风险计算函数 T表示威胁 V表示脆弱性 计算事件发生的可能性=L（威胁出现的频率，脆弱性）=L(T,V) 安全事件造成的损失=F(资产价值，脆弱性严重程度)=F(Ia,Va)