信息系統(tǒng)安全評測與風險評估試題及答案

1、.：.；信息系統(tǒng)平安評測與風險評價試題 姓名 分數(shù) 一：填空題36分1.信息平安評測實踐上蘊含著豐富的思想內(nèi)涵，嚴肅的 ，嚴謹?shù)?，嚴厲的 以及極具魅力的評測技巧，是一個科學和藝術圓滿結合的領域。2.在評測一個信息系統(tǒng)的數(shù)據(jù)平安時，國家規(guī)范要求從數(shù)據(jù)完好性，數(shù)據(jù) 性和數(shù)據(jù)的 與恢復三個環(huán)節(jié)來思索。3.資產(chǎn)分類的方法較多，大體歸納為2種，一種是“自然形狀，即按照系統(tǒng)組成成分和效力內(nèi)容來分類，如分成“數(shù)據(jù)，軟件 ，效力 ，其他六大類，還可以按照“信息形狀將資產(chǎn)分為“信息， 和 三大類。4.資產(chǎn)識別包括資產(chǎn)分類和 兩個環(huán)節(jié)。5.要挾的識別可以分為重點識別和 6脆弱性識別分為脆弱性發(fā)現(xiàn) 脆弱性驗證和

2、7.風險的三個要素是資產(chǎn) 和 8.應急呼應方案應包含準那么， 預防和預警機制 和附件6個根本要素。二：問答題：64分什么是平安域？目前中國劃分平安域的方法大致有哪些？10分數(shù)據(jù)平安評測是主要運用哪三種方法進展評測？他如何了解？10分國家規(guī)范中把主機評測分為哪八個環(huán)節(jié)？他如何了解？10分什么是資產(chǎn)和資產(chǎn)價值？什么是要挾和要挾識別？什么是脆弱性？ 14分什么是風險評價？如何進展風險計算？ 20分 答案一：填空題答案：科學精神 任務作風 嚴密性 備份硬件 人員 信息載體和信息環(huán)境資產(chǎn)賦值全面識別脆弱性分類 脆弱性賦值脆弱性 要挾角色及職責 應急呼應流程 二：問答題答案：平安域是將一個大型信息系統(tǒng)中具

3、有某種類似性的子系統(tǒng)聚集在一同。目前，中國劃分平安域的方法大致歸納有資產(chǎn)價值類似性平安域，業(yè)務運用類似性平安域，平安需求類似性平安域和平安要挾類似性平安域。國家規(guī)范中要求信息平安評測工程師運用“訪談，“檢查和“測試這三種方法進展評測。訪談：指評測人員經(jīng)過與信息系統(tǒng)有關人員進展交流，討論等活動，獲取證據(jù)以證明信息系統(tǒng)平安等級維護措施能否有效的一種方法。檢查：指評測人員經(jīng)過對測評對象進展察看，檢查和分析等活動，獲取證據(jù)證明信息系統(tǒng)平安等級維護措施能否有效的一種方法。測試：指評測人員經(jīng)過對測評對象按照預定的方法/工具使其產(chǎn)生特定的行為等活動，然后查看，分析輸出結果，獲取證據(jù)以證明信息系統(tǒng)平安等級維護

4、措施能否有效的一種方法。身份鑒別 自主訪問控制 強迫訪問控制 平安審計 剩余信息維護 入侵防備 惡意代碼防備 資產(chǎn)是對組織具有價值的信息或資源，是平安戰(zhàn)略維護的對象資產(chǎn)價值是資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性，也是進展資產(chǎn)識別的租用內(nèi)容。要挾指能夠?qū)е聦ο到y(tǒng)或組織危害的事故潛在的原因。脆弱性指能夠被要挾利用的資產(chǎn)或假設干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性識別，指分析和度量能夠被要挾利用的資產(chǎn)薄弱環(huán)節(jié)的過程風險評價指，按照國家有關規(guī)范對信息系統(tǒng)及由其處置，傳輸和存儲的信息的嚴密性，完好性和可用性等平安屬性進展分析和評價的過程。它要分析資產(chǎn)面臨的要挾及要挾利用脆弱性導致平安事件的能夠性，并結合平安事件所涉及的資產(chǎn)價值來判別平安事件一但發(fā)生對組織呵斥的影響。風險計算的方式化表示為： 風險值=R(A,T,V)=R(L(T,V),F(Ia,Va)R表示風險計算函數(shù)T表示要挾V表示脆