信息安全管理與評(píng)估復(fù)習(xí)題 2015

1、信息系統(tǒng)：計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。信息安全：保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换驉阂馇址付獾狡茐摹⒏募靶孤?，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行。信息安全管理體系（Information Security Management System，ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。信息安全風(fēng)險(xiǎn)評(píng)估：從風(fēng)險(xiǎn)管

2、理角度，運(yùn)用定性、定量的科學(xué)分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產(chǎn)所面臨的、人為的和自然的威脅，以及威脅事件一旦發(fā)生可能遭受的危害程度，有針對(duì)性地提出抵御威脅的安全等級(jí)防護(hù)對(duì)策和整改措施，從而最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。風(fēng)險(xiǎn)評(píng)估的意義風(fēng)險(xiǎn)評(píng)估是了解信息系統(tǒng)安全風(fēng)險(xiǎn)的重要手段。風(fēng)險(xiǎn)評(píng)估的最終目的是指導(dǎo)信息系統(tǒng)的安全建設(shè)，安全建設(shè)的實(shí)質(zhì)是控制信息安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估結(jié)果是后續(xù)安全建設(shè)的依據(jù)。信息安全管理與風(fēng)險(xiǎn)評(píng)估的關(guān)系信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的一個(gè)階段。信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定隨后的風(fēng)險(xiǎn)控制和審核批準(zhǔn)活動(dòng)。風(fēng)險(xiǎn)評(píng)估使得組織能夠準(zhǔn)確定位風(fēng)險(xiǎn)管理的策略、實(shí)踐和工

3、具，能夠?qū)⑿畔踩顒?dòng)的重點(diǎn)放在重要的問題上，能夠選擇成本效益合理的和適用的安全對(duì)策。基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理方法被實(shí)踐證明是有效的和實(shí)用的，己被廣泛應(yīng)用于各個(gè)領(lǐng)域。因此，風(fēng)險(xiǎn)評(píng)估是信息安全管理體系和信息安全風(fēng)險(xiǎn)管理的基礎(chǔ)，是對(duì)現(xiàn)有網(wǎng)絡(luò)的安全性進(jìn)行分析的第一手資料，也是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最重要的內(nèi)容之一，它為實(shí)施風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制提供了直接的依據(jù)。建立信息安全管理體系6個(gè)基本步驟：（1）信息安全管理體系的策劃與準(zhǔn)備；（2）信息安全管理體系文件的編制；（3）建立信息安全管理框架；（4）信息安全管理體系的運(yùn)行；（5）信息安全管理體系的審核；（6）信息安全管理體系的管理評(píng)審。信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)1. 政策

4、法規(guī)2. 國際標(biāo)準(zhǔn)3. 國家標(biāo)準(zhǔn)4. 行業(yè)標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估原則1. 可控性原則2. 完整性原則3. 最小影響原則4. 保密原則TCSEC：可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria, TCSEC），將安全分為4個(gè)方面（安全政策、可說明性、安全保障和文檔）和7個(gè)安全級(jí)別（從低到高依次為D、C1、C2、B1、B2、B3和A級(jí)）。IT治理是組織根據(jù)自身文化和信息化水平構(gòu)建適合組織發(fā)展的架構(gòu)并實(shí)施的一種管理過程，是平衡IT資源和組織利益相關(guān)者之間IT決策權(quán)力歸屬與責(zé)任分配的一種管理模式，旨在規(guī)避IT風(fēng)險(xiǎn)和增加IT收益，實(shí)現(xiàn)IT目標(biāo)

5、與組織業(yè)務(wù)目標(biāo)的融合。2PRINCE2，結(jié)構(gòu)化的項(xiàng)目管理方法，其過程模型由8個(gè)管理過程組成。3ITIL：信息技術(shù)基礎(chǔ)架構(gòu)庫(Information Technology Infrastructure Library, ITIL)由英國政府部門CCTA(Central Computing and Telecommunications Agency)在20世紀(jì)80年代末制訂，現(xiàn)由英國商務(wù)部OGC(Office of Government Commerce)負(fù)責(zé)管理，主要適用于IT服務(wù)管理(ITSM)。4. COBIT模型：COBIT(Control Objectives for Informati

6、on and related Technology)是目前國際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)，由ISACA（The Information System Audit and Control Association，美國信息系統(tǒng)審計(jì)與控制協(xié)會(huì)）在1996年公布。2012年4月，ISACA官方正式發(fā)布COBIT5.0。COBIT5.0提出了能使組織在一套包含7個(gè)驅(qū)動(dòng)因素整體方法下、建立有效治理和管理框架的5個(gè)原則，以優(yōu)化信息和技術(shù)的投資及使用以滿足相關(guān)者的利益。標(biāo)準(zhǔn)間的相互關(guān)系： COBIT、ITIL、ISO/IEC 27001和PRINCE2在管理IT上各有優(yōu)勢(shì)，如COBIT重點(diǎn)在于IT控制和IT度

7、量評(píng)價(jià)；ITIL重點(diǎn)在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付：ISO/IEC 27001重點(diǎn)在于IT安全控制；PRINCE2重點(diǎn)在于項(xiàng)目管理，強(qiáng)調(diào)項(xiàng)目的可控性，明確項(xiàng)目管理中人員角色的具體職責(zé)，同時(shí)實(shí)現(xiàn)項(xiàng)目管理質(zhì)量的不斷改進(jìn)。資產(chǎn)識(shí)別工作內(nèi)容1. 回顧評(píng)估范圍內(nèi)的業(yè)務(wù)2. 識(shí)別信息資產(chǎn)，進(jìn)行合理分類3. 確定每類信息資產(chǎn)的安全需求4. 為每類信息資產(chǎn)的重要性賦值威脅識(shí)別工作內(nèi)容1. 威脅識(shí)別2. 威脅分類3. 威脅賦值4. 構(gòu)建威脅場景脆弱性識(shí)別原則（1）全面考慮和突出重點(diǎn)相結(jié)合的原則（2）局部與整體相結(jié)合的原則（3）層次化原則（4）手工與自動(dòng)化工具相結(jié)合的原則風(fēng)險(xiǎn)處理計(jì)劃控制措施選擇1. 接

8、受風(fēng)險(xiǎn)2. 避免風(fēng)險(xiǎn)3. 轉(zhuǎn)移風(fēng)險(xiǎn)4. 降低風(fēng)險(xiǎn)5. 處置殘留風(fēng)險(xiǎn)規(guī)劃階段的信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估著重以下幾方面：（1）是否依據(jù)相關(guān)規(guī)則，建立了與業(yè)務(wù)戰(zhàn)略一致的信息系統(tǒng)安全規(guī)劃，并得到最高管理者的認(rèn)可；（2）系統(tǒng)規(guī)劃中是否明確信息系統(tǒng)開發(fā)的組織、業(yè)務(wù)變更的管理、開發(fā)優(yōu)先級(jí)；（3）系統(tǒng)規(guī)劃中是否考慮信息系統(tǒng)的威脅、環(huán)境，并制定總體的安全方針；（4）系統(tǒng)規(guī)劃中是否描述信息系統(tǒng)預(yù)期使用的信息，包括預(yù)期的應(yīng)用、信息資產(chǎn)的重要性、潛在的價(jià)值、可能的使用限制、對(duì)業(yè)務(wù)的支持程度等；（5）系統(tǒng)規(guī)劃中是否描述所有與信息系統(tǒng)安全相關(guān)的運(yùn)行環(huán)境，包括物理和人員的安全配置，以及明確相關(guān)的法規(guī)、組織安全政策、專門技術(shù)和知

9、識(shí)等。實(shí)施階段的信息安全風(fēng)險(xiǎn)評(píng)估開發(fā)、技術(shù)、產(chǎn)品獲取過程的評(píng)估要點(diǎn)包括： （1）法律、政策、適用標(biāo)準(zhǔn)和指導(dǎo)方針。直接或間接影響信息系統(tǒng)安全需求的特定法津；影響信息系統(tǒng)安全需求、產(chǎn)品選擇的政府政策、國際或國家標(biāo)準(zhǔn)；（2）信息系統(tǒng)的功能需要：安全需求是否有效地支持系統(tǒng)的功能；（3）成本效益風(fēng)險(xiǎn)：是否根據(jù)信息系統(tǒng)的資產(chǎn)、威脅和脆弱性的分析結(jié)果，確定在符合相關(guān)法律、政策、標(biāo)準(zhǔn)和功能需要的前提下選擇最合適的安全措施；（4）評(píng)估保證級(jí)別，是否明確系統(tǒng)建設(shè)后應(yīng)進(jìn)行怎樣的測(cè)試和檢查，從而確定是否滿足項(xiàng)目建設(shè)、實(shí)施規(guī)范的要求。系統(tǒng)交付實(shí)施過程的評(píng)估要點(diǎn)包括： （1）根據(jù)實(shí)際建設(shè)的系統(tǒng)，詳細(xì)分析資產(chǎn)、面臨的威脅和

10、脆弱性；（2）根據(jù)系統(tǒng)建設(shè)目標(biāo)和安全需求，對(duì)系統(tǒng)的安全功能進(jìn)行驗(yàn)收測(cè)試；評(píng)價(jià)安全措施能否抵御安全威脅；（3）評(píng)估是否建立了與整體安全策略一致的組織管理制度；（4）對(duì)系統(tǒng)實(shí)現(xiàn)的風(fēng)險(xiǎn)控制效果與預(yù)期設(shè)計(jì)的符合性進(jìn)行判斷，如存在較大的不符合，應(yīng)重新進(jìn)行信息系統(tǒng)安全策略的設(shè)計(jì)與調(diào)整。運(yùn)維階段的信息安全風(fēng)險(xiǎn)評(píng)估（1）資產(chǎn)評(píng)估：在真實(shí)環(huán)境下較為細(xì)致的評(píng)估，包括實(shí)施階段采購的軟硬件資產(chǎn)、系統(tǒng)運(yùn)行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等。本階段資產(chǎn)識(shí)別是前期資產(chǎn)識(shí)別的補(bǔ)充與增加；（2）威脅評(píng)估：應(yīng)全面地分析威脅的可能性和影響程度。對(duì)非故意威脅導(dǎo)致安全事件的評(píng)估可以參照安全事件的發(fā)生概率；對(duì)故意威脅導(dǎo)致安全事件的

11、評(píng)估主要就威脅的各個(gè)影響因素做出專業(yè)判斷；（3）脆弱性評(píng)估：是全面的脆弱性評(píng)估，包括運(yùn)行環(huán)境中物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)脆弱性評(píng)估可以采取核查、掃描、案例驗(yàn)證、滲透測(cè)試的方式實(shí)施；安全保障設(shè)備的脆弱性評(píng)估，應(yīng)考慮安全功能的實(shí)現(xiàn)情況和安全保障設(shè)備本身的脆弱性。技術(shù)脆弱性評(píng)估可以采取核查、掃描、案例驗(yàn)證、滲透性試的方式實(shí)施；安全保障設(shè)備的脆弱性評(píng)估，應(yīng)考慮安全功能的實(shí)現(xiàn)情況和安全保障設(shè)備本身的脆弱性；管理脆弱性評(píng)估可以采取文檔、記錄核查等方式進(jìn)行驗(yàn)證； （4）風(fēng)險(xiǎn)計(jì)算：根據(jù)風(fēng)險(xiǎn)計(jì)算的相關(guān)方法，對(duì)重要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或定量的風(fēng)險(xiǎn)分析，描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況

12、。 建立信息安全管理體系的步驟（1）信息安全管理體系的策劃與準(zhǔn)備；（2）信息安全管理體系文件的編制； （3）建立信息安全管理框架；（4）信息安全管理體系的運(yùn)行；（5）信息安全管理體系的審核；（6）信息安全管理體系的管理評(píng)審。編寫信息安全管理體系文件的作用Ò 闡述聲明的作用；Ò 規(guī)定、指導(dǎo)的作用；Ò 記錄、證實(shí)的作用；Ò 評(píng)價(jià)信息安全管理體系的作用；Ò 保障信息安全改進(jìn)的作用；Ò 平衡培訓(xùn)要求的作用。信息安全策略（Information Security Policy）本質(zhì)上說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護(hù)

13、的一個(gè)計(jì)劃，其目的就是對(duì)組織中成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶在使用信息時(shí)應(yīng)當(dāng)承擔(dān)的責(zé)任，詳細(xì)描述對(duì)員工的安全意識(shí)和技能要求，列出被組織禁止的行為。信息安全策略可以分為兩個(gè)層次：一個(gè)是信息安全方針，另一個(gè)是具體的信息安全策略。所謂信息安全方針就是組織的信息安全委員會(huì)或管理部門制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則進(jìn)行指示。信息安全方針必須要在ISMS實(shí)施的前期制定出來，闡明最高管理層的承諾，提出組織管理信息安全的方法，由管理層批準(zhǔn)，指導(dǎo)ISMS 的所有實(shí)施工作。信息安全策略是在信息安全方針的基礎(chǔ)上，

14、根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，為降低信息安全風(fēng)險(xiǎn)，保證控制措施的有效執(zhí)行而制定的具體明確的信息安全實(shí)施規(guī)則。定義ISMS的范圍Ò 組織所有的信息系統(tǒng)；Ò 組織的部分信息系統(tǒng)；Ò 特定的信息系統(tǒng)。實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估Ò 首先，組織應(yīng)當(dāng)確定的風(fēng)險(xiǎn)評(píng)估方法;Ò 其次，組織利用已確定的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn);Ò 之后，組織進(jìn)行分析并評(píng)價(jià)風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施：Ò 接受風(fēng)險(xiǎn)Ò 規(guī)避風(fēng)險(xiǎn)Ò 轉(zhuǎn)移風(fēng)險(xiǎn)Ò 降低風(fēng)險(xiǎn)信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防

15、護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。通常情況下，信息安全事件的發(fā)生是由于自然的、人為的或者軟硬件自身存在缺陷或故障造成的。信息安全事故由單個(gè)或一系列有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大可能性。1. 管理評(píng)審的定義指組織的最高管理者按規(guī)定的時(shí)間間隔對(duì)信息安全管理體系進(jìn)行評(píng)審，以確保體系的持續(xù)適宜性、充分性和有效性。管理評(píng)審過程應(yīng)確保收集到必要的信息，以供管理者進(jìn)行評(píng)價(jià)，管理評(píng)審應(yīng)形成文件。ß 信息安全管理認(rèn)證是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定的要求給予書面保證（合格證書），認(rèn)證的基礎(chǔ)是標(biāo)準(zhǔn)，認(rèn)證的方法包括對(duì)產(chǎn)品特性的抽樣檢驗(yàn)和對(duì)組織

16、體系的審核與評(píng)定，認(rèn)證的證明方式是認(rèn)證證書與認(rèn)證標(biāo)志。認(rèn)證是第三方所從事的活動(dòng)，通過認(rèn)證活動(dòng)，組織可以對(duì)外提供某種信任與保證，如產(chǎn)品質(zhì)量保證、信息安全保證等。ß 信息安全認(rèn)證包括兩類：一類為ISMS認(rèn)證，另一類為信息安全產(chǎn)品認(rèn)證。4、如果某個(gè)網(wǎng)站允許用戶上傳任意類型的文件，黑客最可能進(jìn)行的攻擊是（ )A、拒絕服務(wù)攻擊B、口令破解C、文件上傳漏洞攻擊D、SQL注入攻擊某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險(xiǎn)的結(jié)果仍處于不可接受的內(nèi)附范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。（正確）網(wǎng)絡(luò)監(jiān)聽不是主動(dòng)攻擊類型。（正確）關(guān)于Linux操作系統(tǒng)，下面說法正確的是（ ）？ A

17、. 有特定的廠商對(duì)系統(tǒng)進(jìn)行維護(hù)B. 是世界上占市場份額最大的操作系統(tǒng)C. 系統(tǒng)的安裝和使用比Windows系統(tǒng)簡單D. 完全開源的，可以根據(jù)具體要求對(duì)系統(tǒng)進(jìn)行修改目前國內(nèi)對(duì)信息安全人員的資格認(rèn)證為（ ）。 A. 國際注冊(cè)信息安全專家（簡稱CISSP) B. 國際注冊(cè)信息系統(tǒng)審計(jì)師（簡稱CISA) C. 注冊(cè)信息安全專業(yè)人員（簡稱CISP) D. 以上資格都是 我國第一部保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專門法規(guī)是（）A、計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定B、中華人民共和國信息安全法C、中華人民共和國電信條例D、中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例40、對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每幾年至少進(jìn)行一次保密檢

18、查或者系統(tǒng)測(cè)評(píng)？（）A、一 B、二 C、三D、四以下不屬于信息安全管理員的職責(zé)的是（）A、制定網(wǎng)絡(luò)設(shè)備安全配置規(guī)則B、對(duì)信息安全產(chǎn)品的購置提出建議C、對(duì)系統(tǒng)管理員的操作行為進(jìn)行指導(dǎo)和監(jiān)督D、負(fù)責(zé)信息安全保障工作的具體組織協(xié)調(diào)60、根據(jù)國家標(biāo)準(zhǔn)信息安全技術(shù) 信息安全事件分類分級(jí)指南（GB/Z 20986-2007），對(duì)信息安全事件進(jìn)行分級(jí)需考慮的主要因素中，說法不正確的是（）A、信息系統(tǒng)自身的重要程度B、對(duì)信息系統(tǒng)及數(shù)據(jù)遭破壞而導(dǎo)致?lián)p失的程度C、該事件對(duì)社會(huì)造成影響的范圍和程度D、建造和運(yùn)維該信息系統(tǒng)的經(jīng)費(fèi)數(shù)額中華人民共和國電子簽名法是我國首部真正意義上的信息網(wǎng)絡(luò)環(huán)境下的單行法律。（）對(duì)于涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù)，確定涉密信息系統(tǒng)安全等級(jí)，主要考慮的因素包括涉密信息的涉密等級(jí)、涉密信息系統(tǒng)的重要性、到破