《信息安全管理与评估复习题_2015》由会员分享,可在线阅读,更多相关《信息安全管理与评估复习题_2015(14页珍藏版)》请在金锄头文库上搜索。
1、信息系统:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息安全:保护信息系统的硬件、软件及相关数据,使之不因为偶然或恶意侵犯而遭到破坏、更改及泄露,保证信息系统能够连续、可靠、正常的运行。信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。信息安全风险评估:从风险管
2、理角度,运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的、人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度,有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。风险评估的意义风险评估是了解信息系统安全风险的重要手段。风险评估的最终目的是指导信息系统的安全建设,安全建设的实质是控制信息安全风险。风险评估结果是后续安全建设的依据。信息安全管理与风险评估的关系信息安全风险评估是信息安全风险管理的一个阶段。信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得组织能够准确定位风险管理的策略、实践和工
3、具,能够将信息安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,己被广泛应用于各个领域。因此,风险评估是信息安全管理体系和信息安全风险管理的基础,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,它为实施风险管理和风险控制提供了直接的依据。建立信息安全管理体系 6 个基本步骤:(1)信息安全管理体系的策划与准备;(2)信息安全管理体系文件的编制;(3)建立信息安全管理框架;(4)信息安全管理体系的运行;(5)信息安全管理体系的审核;(6)信息安全管理体系的管理评审。信息安全风险评估依据1.
4、政策法规2. 国际标准3. 国家标准4. 行业标准信息安全风险评估原则1. 可控性原则2. 完整性原则3. 最小影响原则4. 保密原则TCSEC:可信计算机系统评估标准(Trusted Computer System Evaluation Criteria, TCSEC) ,将安全分为 4 个方面(安全政策、可说明性、安全保障和文档)和 7 个安全级别(从低到高依次为D、C1、C2、B1、B2、B3 和 A 级) 。IT 治理是组织根据自身文化和信息化水平构建适合组织发展的架构并实施的一种管理过程,是平衡 IT 资源和组织利益相关者之间IT 决策权力归属与责任分配的一种管理模式,旨在规避 IT
5、 风险和增加 IT 收益,实现 IT 目标与组织业务目标的融合。2PRINCE2,结构化的项目管理方法,其过程模型由 8 个管理过程组成。3ITIL:信息技术基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门 CCTA(Central Computing and Telecommunications Agency)在 20 世纪 80 年代末制订,现由英国商务部 OGC(Office of Government Commerce)负责管理,主要适用于 IT 服务管理(ITSM)。4. COBIT 模型:COBIT(
6、Control Objectives for Information and related Technology)是目前国际上通用的信息系统审计的标准,由 ISACA(The Information System Audit and Control Association,美国信息系统审计与控制协会)在 1996 年公布。2012 年 4 月,ISACA 官方正式发布 COBIT5.0。COBIT5.0 提出了能使组织在一套包含 7 个驱动因素整体方法下、建立有效治理和管理框架的 5 个原则,以优化信息和技术的投资及使用以满足相关者的利益。标准间的相互关系: COBIT、ITIL、ISO/I
7、EC 27001 和 PRINCE2在管理 IT 上各有优势,如 COBIT 重点在于 IT 控制和 IT 度量评价;ITIL 重点在于 IT 过程管理,强调 IT 支持和 IT 交付:ISO/IEC 27001 重点在于 IT 安全控制;PRINCE2 重点在于项目管理,强调项目的可控性,明确项目管理中人员角色的具体职责,同时实现项目管理质量的不断改进。资产识别工作内容1. 回顾评估范围内的业务2. 识别信息资产,进行合理分类3. 确定每类信息资产的安全需求4. 为每类信息资产的重要性赋值威胁识别工作内容1. 威胁识别2. 威胁分类3. 威胁赋值4. 构建威胁场景脆弱性识别原则(1)全面考虑
8、和突出重点相结合的原则(2)局部与整体相结合的原则(3)层次化原则(4)手工与自动化工具相结合的原则风险处理计划控制措施选择1. 接受风险2. 避免风险3. 转移风险4. 降低风险5. 处置残留风险规划阶段的信息安全风险评估评估着重以下几方面:(1)是否依据相关规则,建立了与业务战略一致的信息系统安全规划,并得到最高管理者的认可;(2)系统规划中是否明确信息系统开发的组织、业务变更的管理、开发优先级;(3)系统规划中是否考虑信息系统的威胁、环境,并制定总体的安全方针;(4)系统规划中是否描述信息系统预期使用的信息,包括预期的应用、信息资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等
9、;(5)系统规划中是否描述所有与信息系统安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全政策、专门技术和知识等。实施阶段的信息安全风险评估开发、技术、产品获取过程的评估要点包括: (1)法律、政策、适用标准和指导方针。直接或间接影响信息系统安全需求的特定法津;影响信息系统安全需求、产品选择的政府政策、国际或国家标准;(2)信息系统的功能需要:安全需求是否有效地支持系统的功能;(3)成本效益风险:是否根据信息系统的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政策、标准和功能需要的前提下选择最合适的安全措施;(4)评估保证级别,是否明确系统建设后应进行怎样的测试和检
10、查,从而确定是否满足项目建设、实施规范的要求。系统交付实施过程的评估要点包括: (1)根据实际建设的系统,详细分析资产、面临的威胁和脆弱性;(2)根据系统建设目标和安全需求,对系统的安全功能进行验收测试;评价安全措施能否抵御安全威胁;(3)评估是否建立了与整体安全策略一致的组织管理制度;(4)对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行信息系统安全策略的设计与调整。运维阶段的信息安全风险评估(1)资产评估:在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加;(
11、2)威胁评估:应全面地分析威胁的可能性和影响程度。对非故意威胁导致安全事件的评估可以参照安全事件的发生概率;对故意威胁导致安全事件的评估主要就威胁的各个影响因素做出专业判断;(3)脆弱性评估:是全面的脆弱性评估,包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透测试的方式实施;安全保障设备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性试的方式实施;安全保障设备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆弱性;管理脆弱性评估可以采取文档、记
12、录核查等方式进行验证; (4)风险计算:根据风险计算的相关方法,对重要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。 建立信息安全管理体系的步骤(1)信息安全管理体系的策划与准备;(2)信息安全管理体系文件的编制; (3)建立信息安全管理框架;(4)信息安全管理体系的运行;(5)信息安全管理体系的审核;(6)信息安全管理体系的管理评审。编写信息安全管理体系文件的作用 阐述声明的作用; 规定、指导的作用; 记录、证实的作用; 评价信息安全管理体系的作用; 保障信息安全改进的作用; 平衡培训要求的作用。信息安全策略(Information Security Policy)本质上说
13、是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担的责任,详细描述对员工的安全意识和技能要求,列出被组织禁止的行为。信息安全策略可以分为两个层次:一个是信息安全方针,另一个是具体的信息安全策略。所谓信息安全方针就是组织的信息安全委员会或管理部门制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则进行指示。信息安全方针必须要在 ISMS 实施的前期制定出来,阐明最高管理层的承诺,提出组织管理信息安全的方法,由管理层批准,指导
14、 ISMS 的所有实施工作。信息安全策略是在信息安全方针的基础上,根据风险评估的结果,为降低信息安全风险,保证控制措施的有效执行而制定的具体明确的信息安全实施规则。定义 ISMS 的范围 组织所有的信息系统; 组织的部分信息系统; 特定的信息系统。实施信息安全风险评估 首先,组织应当确定的风险评估方法; 其次,组织利用已确定的风险评估方法识别风险; 之后,组织进行分析并评价风险。信息安全风险管理主要包括以下几种措施: 接受风险 规避风险 转移风险 降低风险信息安全事件是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
15、通常情况下,信息安全事件的发生是由于自然的、人为的或者软硬件自身存在缺陷或故障造成的。信息安全事故由单个或一系列有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大可能性。1. 管理评审的定义指组织的最高管理者按规定的时间间隔对信息安全管理体系进行评审,以确保体系的持续适宜性、充分性和有效性。管理评审过程应确保收集到必要的信息,以供管理者进行评价,管理评审应形成文件。 信息安全管理认证是第三方依据程序对产品、过程、服务符合规定的要求给予书面保证(合格证书) ,认证的基础是标准,认证的方法包括对产品特性的抽样检验和对组织体系的审核与评定,认证的证明方式是认证证书与认证标志。认证是
16、第三方所从事的活动,通过认证活动,组织可以对外提供某种信任与保证,如产品质量保证、信息安全保证等。 信息安全认证包括两类:一类为 ISMS 认证,另一类为信息安全产品认证。4、如果某个网站允许用户上传任意类型的文件,黑客最可能进行的攻击是( )A、拒绝服务攻击B、口令破解C、文件上传漏洞攻击D、SQL 注入攻击某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的内附范围内,应考虑是否接受此风险或进一步增加相应的安全措施。(正确)网络监听不是主动攻击类型。(正确)关于 Linux 操作系统,下面说法正确的是( )? A. 有特定的厂商对系统进行维护B. 是世界上占市场份额最大的操作系统C. 系统的安装和使用比 Windows 系统简单D. 完全开源的,可以根据具体要求对系统进行修改目前国内对信息安全人员的资格认证为( )。 A. 国际注册信息安全专家(简称 CISSP) B. 国际注册信息系统审计师(简称 CISA) nts
