信息安全管理體系-自己整理

第三章信息安全管理體系一、判斷題1。雖然在安全評估過程中采取定量評估能獲得準確的分析結(jié)果，但是由于參數(shù)確定較為困難，往往實際評估多采取定性評估,或者定性和定量評估相結(jié)合的方法。定性安全風(fēng)險評估結(jié)果中,級別較高的安全風(fēng)險應(yīng)當(dāng)優(yōu)先采取控制措施予以應(yīng)對。3。通常在風(fēng)險評估的實踐中,綜合利用基線評估和詳細評估的優(yōu)點，將二者結(jié)合起來。二、單選題1。下列關(guān)于風(fēng)險的說法,是錯誤的。風(fēng)險是客觀存在的導(dǎo)致風(fēng)險的外因是普遍存在的安全威脅導(dǎo)致風(fēng)險的外因是普遍存在的安全脆弱性風(fēng)險是指一種可能性2。下列關(guān)于風(fēng)險的說法，是正確的.A。可以采取適當(dāng)措施，完全清除風(fēng)險B。任何措施都無法完全清除風(fēng)險C。風(fēng)險是對安全事件的確定描述D。風(fēng)險是固有的，無法被控制3。風(fēng)險管理的首要任務(wù)是。A。風(fēng)險識別和評估風(fēng)險轉(zhuǎn)嫁C。風(fēng)險控制接受風(fēng)險4。關(guān)于資產(chǎn)價值的評估，說法是正確的。A。資產(chǎn)的價值指采購費用B。資產(chǎn)的價值無法估計C。資產(chǎn)價值的定量評估要比定性評估簡單容易D。資產(chǎn)的價值與其重要性密切相關(guān)5。采取適當(dāng)?shù)陌踩刂拼胧?，可以對風(fēng)險起到作用。A。促進B。增加減緩清楚6。當(dāng)采取了安全控制措施后，剩余風(fēng)險可接受風(fēng)險的時候,說明風(fēng)險管理是有效的。等于大于小于不等于7。安全威脅是產(chǎn)生安全事件的。A。內(nèi)因B。外因C?根本原因D。不相關(guān)因素8。安全脆弱性是產(chǎn)生安全事件的。內(nèi)因B。外因C。根本原因不相關(guān)因素9。安全審計是一種很常見的安全控制措施，它在信息安全保障體系中，屬于措施。保護檢測響應(yīng)恢復(fù)根據(jù)風(fēng)險管理的看法，資產(chǎn)價值,脆弱性，被安全威脅,風(fēng)險。存在利用導(dǎo)致具有B。具有存在利用導(dǎo)致導(dǎo)致存在具有利用D。利用導(dǎo)致存在具有11。根據(jù)定量風(fēng)險評估的方法，下列表達式正確的是.SLE=AVXEFALE=AVXEFALE=SLEXEFALE=SLEXAV關(guān)于安全審計目的描述錯誤的是。A。識別和分析未經(jīng)授權(quán)的動作或攻擊B。記錄用戶活動和系統(tǒng)管理C。將動作歸結(jié)到為其負責(zé)的實體D。實現(xiàn)對安全事件的應(yīng)急響應(yīng)安全審計跟蹤是。安全審計系統(tǒng)檢測并追蹤安全事件的過程安全審計系統(tǒng)收集易于安全審計的數(shù)據(jù)人利用日志信息進行安全事件分析和追溯的過程對計算機系統(tǒng)中的某種行為的詳盡跟蹤和觀察14。在安全評估過程中，采手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性.問卷調(diào)查B。人員訪談C。滲透性測試手工檢查三、多選題1。下列因素，會對最終的風(fēng)險評估結(jié)果產(chǎn)生影響。A。管理制度B。資產(chǎn)價值C。威脅D。脆弱性E。安全措施2。下列因素與資產(chǎn)價值評估有關(guān)。A。購買資產(chǎn)發(fā)生的費用B。軟硬件費用C。運行維護資產(chǎn)所需成本D。資產(chǎn)被破壞所造成的損失E。人工費用安全控制措施可以分為。管理類技術(shù)類人員類操作類檢測類對于計算機系統(tǒng)，由環(huán)境因素所產(chǎn)生的安全隱患包括。惡劣的溫度、濕度、灰塵、地震、風(fēng)災(zāi)、火災(zāi)等強電、磁場等C。雷電D。人為的破壞四、問答題1。簡述信息安全風(fēng)險的計算過程。2。一個公司投資50萬美元建立一個網(wǎng)絡(luò)運營中心，經(jīng)過評估，最大的風(fēng)險是發(fā)生火災(zāi)，每次火災(zāi)大概造成45％的資產(chǎn)損失,經(jīng)過統(tǒng)計，該地區(qū)每5年發(fā)生一次火災(zāi),試通過定量分析的方法，計算風(fēng)險造成的損失。3。簡述信息安全脆弱性的分類及其內(nèi)容.答案一、判斷題1。對2.對3。對二、單選題1oC2.B3。A4.D5。7.B6.C7.B9.B10。B11.A12。D13。A14。C三、多選題1。BCDE2°ACD3.ABD4。ABCD四、問答題1。簡述信息安全風(fēng)險的計算過程。答：風(fēng)險計算的過程是:（1）對信息資產(chǎn)進行識別，并對資產(chǎn)賦值；（2）對威脅進行分析，并對威脅發(fā)生的可能性賦值；（3）識別信息資產(chǎn)的脆弱性,并對脆弱性的嚴重程度賦值；（4）根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；（5）結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計算信息資產(chǎn)的風(fēng)險值。一個公司投資50萬美元建立一個網(wǎng)絡(luò)運營中心，經(jīng)過評估，最大的風(fēng)險是發(fā)生火災(zāi),每次火災(zāi)大概造成45％的資產(chǎn)損失,經(jīng)過統(tǒng)計，該地區(qū)每5年發(fā)生一次火災(zāi)，試通過定量分析的方法，計算風(fēng)險造成的損失.答：資產(chǎn)價值A(chǔ)V=50萬美元暴露因子EF=45%單一損失期望SLE=AVXEF=22。5萬美元年度發(fā)生率AR0=20%年度損失期望ALE=SLEXAR0=4。5萬美元3。簡述信息安全脆弱性的分類及其內(nèi)容。答:信息安全脆弱性的分類及其內(nèi)容如下表所示脆弱性分類名稱包含內(nèi)容技術(shù)物理安全物理設(shè)備的訪問控制、電力供應(yīng)等

脆弱性網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)傳輸加密、訪問控制、網(wǎng)絡(luò)設(shè)備安全漏洞、設(shè)備配置安全等系統(tǒng)安全系統(tǒng)軟件安全漏洞、系統(tǒng)軟件配