信息安全管理与评估复习题 汇编Word文件下载.docx
《信息安全管理与评估复习题 汇编Word文件下载.docx》由会员分享,可在线阅读,更多相关《信息安全管理与评估复习题 汇编Word文件下载.docx(8页珍藏版)》请在冰豆网上搜索。
(2)信息安全管理体系文件的编制;
(3)建立信息安全管理框架;
(4)信息安全管理体系的运行;
(5)信息安全管理体系的审核;
(6)信息安全管理体系的管理评审。
信息安全风险评估依据
1.政策法规
2.国际标准
3.国家标准
4.行业标准
信息安全风险评估原则
1.可控性原则
2.完整性原则
3.最小影响原则
4.保密原则
TCSEC:
可信计算机系统评估标准(TrustedComputerSystemEvaluationCriteria,TCSEC),将安全分为4个方面(安全政策、可说明性、安全保障和文档)和7个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。
IT治理是组织根据自身文化和信息化水平构建适合组织发展的架构并实施的一种管理过程,是平衡IT资源和组织利益相关者之间IT决策权力归属与责任分配的一种管理模式,旨在规避IT风险和增加IT收益,实现IT目标与组织业务目标的融合。
2.PRINCE2,结构化的项目管理方法,其过程模型由8个管理过程组成。
3.ITIL:
信息技术基础架构库(InformationTechnologyInfrastructureLibrary,ITIL)由英国政府部门CCTA(CentralComputingandTelecommunicationsAgency)在20世纪80年代末制订,现由英国商务部OGC(OfficeofGovernmentCommerce)负责管理,主要适用于IT服务管理(ITSM)。
4.COBIT模型:
COBIT(ControlObjectivesforInformationandrelatedTechnology)是目前国际上通用的信息系统审计的标准,由ISACA(TheInformationSystemAuditandControlAssociation,美国信息系统审计与控制协会)在1996年公布。
2012年4月,ISACA官方正式发布COBIT5.0。
COBIT5.0提出了能使组织在一套包含7个驱动因素整体方法下、建立有效治理和管理框架的5个原则,以优化信息和技术的投资及使用以满足相关者的利益。
标准间的相互关系:
COBIT、ITIL、ISO/IEC27001和PRINCE2在管理IT上各有优势,
如COBIT重点在于IT控制和IT度量评价;
ITIL重点在于IT过程管理,强调IT支持和IT交付:
ISO/IEC27001重点在于IT安全控制;
PRINCE2重点在于项目管理,强调项目的可控性,明确项目管理中人员角色的具体职责,同时实现项目管理质量的不断改进。
资产识别工作内容
1.回顾评估范围内的业务
2.识别信息资产,进行合理分类
3.确定每类信息资产的安全需求
4.为每类信息资产的重要性赋值
威胁识别工作内容
1.威胁识别
2.威胁分类
3.威胁赋值
4.构建威胁场景
脆弱性识别原则
(1)全面考虑和突出重点相结合的原则
(2)局部与整体相结合的原则
(3)层次化原则
(4)手工与自动化工具相结合的原则
风险处理计划控制措施选择
1.接受风险
2.避免风险
3.转移风险
4.降低风险
5.处置残留风险
规划阶段的信息安全风险评估
评估着重以下几方面:
(1)是否依据相关规则,建立了与业务战略一致的信息系统安全规划,并得到最高管理者的认可;
(2)系统规划中是否明确信息系统开发的组织、业务变更的管理、开发优先级;
(3)系统规划中是否考虑信息系统的威胁、环境,并制定总体的安全方针;
(4)系统规划中是否描述信息系统预期使用的信息,包括预期的应用、信息资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等;
(5)系统规划中是否描述所有与信息系统安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全政策、专门技术和知识等。
实施阶段的信息安全风险评估
开发、技术、产品获取过程的评估要点包括:
(1)法律、政策、适用标准和指导方针。
直接或间接影响信息系统安全需求的特定法津;
影响信息系统安全需求、产品选择的政府政策、国际或国家标准;
(2)信息系统的功能需要:
安全需求是否有效地支持系统的功能;
(3)成本效益风险:
是否根据信息系统的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政策、标准和功能需要的前提下选择最合适的安全措施;
(4)评估保证级别,是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设、实施规范的要求。
系统交付实施过程的评估要点包括:
(1)根据实际建设的系统,详细分析资产、面临的威胁和脆弱性;
(2)根据系统建设目标和安全需求,对系统的安全功能进行验收测试;
评价安全措施能否抵御安全威胁;
(3)评估是否建立了与整体安全策略一致的组织管理制度;
(4)对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行信息系统安全策略的设计与调整。
运维阶段的信息安全风险评估
(1)资产评估:
在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。
本阶段资产识别是前期资产识别的补充与增加;
(2)威胁评估:
应全面地分析威胁的可能性和影响程度。
对非故意威胁导致安全事件的评估可以参照安全事件的发生概率;
对故意威胁导致安全事件的评估主要就威胁的各个影响因素做出专业判断;
(3)脆弱性评估:
是全面的脆弱性评估,包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。
技术脆弱性评估可以采取核查、扫描、案例验证、渗透测试的方式实施;
安全保障设备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆弱性。
技术脆弱性评估可以采取核查、扫描、案例验证、渗透性试的方式实施;
安全保障设备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆弱性;
管理脆弱性评估可以采取文档、记录核查等方式进行验证;
(4)风险计算:
根据风险计算的相关方法,对重要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。
建立信息安全管理体系的步骤
编写信息安全管理体系文件的作用
×
阐述声明的作用;
规定、指导的作用;
记录、证实的作用;
评价信息安全管理体系的作用;
保障信息安全改进的作用;
平衡培训要求的作用。
信息安全策略(InformationSecurityPolicy)本质上说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担的责任,详细描述对员工的安全意识和技能要求,列出被组织禁止的行为。
信息安全策略可以分为两个层次:
一个是信息安全方针,另一个是具体的信息安全策略。
所谓信息安全方针就是组织的信息安全委员会或管理部门制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则进行指示。
信息安全方针必须要在ISMS实施的前期制定出来,阐明最高管理层的承诺,提出组织管理信息安全的方法,由管理层批准,指导ISMS的所有实施工作。
信息安全策略是在信息安全方针的基础上,根据风险评估的结果,为降低信息安全风险,保证控制措施的有效执行而制定的具体明确的信息安全实施规则。
定义ISMS的范围
组织所有的信息系统;
组织的部分信息系统;
特定的信息系统。
实施信息安全风险评估
首先,组织应当确定的风险评估方法;
其次,组织利用已确定的风险评估方法识别风险;
之后,组织进行分析并评价风险。
信息安全风险管理主要包括以下几种措施:
接受风险
规避风险
转移风险
降低风险
信息安全事件是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
通常情况下,信息安全事件的发生是由于自然的、人为的或者软硬件自身存在缺陷或故障造成的。
信息安全事故由单个或一系列有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大可能性。
1.管理评审的定义
指组织的最高管理者按规定的时间间隔对信息安全管理体系进行评审,以确保体系的持续适宜性、充分性和有效性。
管理评审过程应确保收集到必要的信息,以供管理者进行评价,管理评审应形成文件。
*信息安全管理认证是第三方依据程序对产品、过程、服务符合规定的要求给予书面保证(合格证书),认证的基础是标准,认证的方法包括对产品特性的抽样检验和对组织体系的审核与评定,认证的证明方式是认证证书与认证标志。
认证是第三方所从事的活动,通过认证活动,组织可以对外提供某种信任与保证,如产品质量保证、信息安全保证等。
*信息安全认证包括两类:
一类为ISMS认证,另一类为信息安全产品认证。
4、如果某个网站允许用户上传任意类型的文件,黑客最可能进行的攻击是()
A、拒绝服务攻击
B、口令破解
C、文件上传漏洞攻击
D、SQL注入攻击
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的内附范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
(正确)
网络监听不是主动攻击类型。
关于Linux操作系统,下面说法正确的是()?
A.有特定的厂商对系统进行维护
B.是世界上占市场份额最大的操作系统
C.系统的安装和使用比Windows系统简单
D.完全开源的,可以根据具体要求对系统进行修改
目前国内对信息安全人员的资格认证为()。
A.国际注册信息安全专家(简称CISSP)
B.国际注册信息系统审计师(简称CISA)
C.注册信息安全专业人员(简称CISP)
D.以上资格都是
我国第一部保护计算机信息系统安全的专门法规是()
A、《计算机信息网络国际联网管理暂行规定》
B、《中华人民共和国信息安全法》
C、《中华人民共和国电信条例》
D、《中华人民共和国计算机信息系统安全保护条例》
40、对秘密级、机密级信息系统每几年至少进行一次保密检查或者系统测评?
()
A、一B、二C、三D、四
以下不属于信息安全管理员的职责的是()
A、制定网络设备安全配置规则
B、对信息安全产品的购置提出建议
C、对系统管理员的操作行为进行指导和监督
D、负责信息安全保障工作的具体组织协调
60、根据国家标准《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007),对信息安全事件进行分级需考虑的主要因素中,说法不正确的是()
A、信息系统自身的重要程度
B、对信息系统及数据遭破坏而导致损失的程度
C、该事件对社会造成影响的范围和程度
D、建造和运维该信息系统的经费数额\
《中华人民共和国电子签名法》是我国首部真正意义上的信息网络环境下的单行法律。
(√)
对于涉密信息系统实行分级保护,确定涉密信息系统安全等级,主要考虑的因素包括涉密信息的涉密等级、涉密信息系统的重要性、到破坏后对国计民生造成的危害性和涉密信息系统必须达到的安全保护水平。
数据信息是信息系统的重要资产。
信息安全产品是信息系统的重要组成部分。
人员管理是信息安全工作的核心内容。
信息安全防护是一个“过程”,而非一个“程序”。
电子签名的主要目的是防抵赖、防止否认,一边给仲裁机构提供证据。
通过网络扫描可以判断目标主机的操作系统类型。
口令破解攻击包括(字典破解(Dictionaryattack)、混合字典攻击(Hybridattack)、暴力破解(Bruteforceattack)。
木马是一种基于远程控制的黑客工具,具有隐藏性和授权性的特点。
RSA算法的安全是基于分解两个大素数的积的困难。
P2DR的含义是:
策略、保护、探测、反应。
PKI的主要组成包括CA、RA、CR
现代病毒木马融合了进程注入、注册表隐藏、漏洞扫描新技术
溢出攻击的核心是修改堆栈记录中进程的返回地址
网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑用户的方便性、管理的复杂性、对现有系统的影响及对不同平台的支持。
从安全属性对各种网络攻击进行分类,阻断攻击是针对可用性的攻击
Smurf攻击。
Smurf攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。
子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击
升级会员 