信息系统安全评测与风险评估试题及答案

信息系统安全评测与风险评估试题姓名分数一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（）性和数据的（）与恢复三个环节来考虑。3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（），服务（），其他”六大类，还可以按照“信息形态”将资产分为“信息，（）和（）三大类。4.资产识别包括资产分类和（）两个环节。5.威胁的识别可以分为重点识别和（）6．脆弱性识别分为脆弱性发现（）脆弱性验证和（）7.风险的三个要素是资产（）和（）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）2.数据安全评测是主要应用哪三种方法进行评测？你如何理解？（10分）3.国家标准中把主机评测分为哪八个环节？你如何理解？（10分）4.什么是资产和资产价值？什么是威胁和威胁识别？什么是脆弱性？（14分）5.什么是风险评估？如何进行风险计算？（20分）答案一：填空题答案：1.科学精神工作作风2.保密性备份3.硬件人员信息载体和信息环境4.资产赋值5.全面识别6.脆弱性分类脆弱性赋值7.脆弱性威胁8.角色及职责应急响应流程二：问答题答案：1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。目前，中国划分安全域的方法大致归纳有资产价值相似性安全域，业务应用相似性安全域，安全需求相似性安全域和安全威胁相似性安全域。2.国家标准中要求信息安全评测工程师使用“访谈”，“检查”和“测试”这三种方法进行评测。访谈：指评测人员通过与信息系统有关人员进行交流，讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。检查：指评测人员通过对测评对象进行观察，检查和分析等活动，获取证据证明信息系统安全等级保护措施是否有效的一种方法。测试：指评测人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动，然后查看，分析输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。3.身份鉴别自主访问控制强制访问控制安全审计剩余信息保护入侵防范恶意代码防范4.资产是对组织具有价值的信息或资源，是安全策略保护的对象资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的租用内容。威胁指可能导致对系统或组织危害的事故潜在的起因。脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。脆弱性识别，指分析和度量可能被威胁利用的资产薄弱环节的过程5.风险评估指，依照国家有关标准对信息系统及由其处理，传输和存储的信息的保密性，完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一但发生对组织造成的影响。风险计算的形式化表示为：风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示风险计算函数T表示威胁V表示脆弱性计算事件发生的可能性=L（威胁出现的频率，脆弱性）=L(T,V)安全事件造成的损失=F(资产价值，脆弱性严重程度)=F(Ia,Va)