计算机等级考试三级信息安全技术章节习题6

六、信息安全管理

填空

信息安全的一个重要原则是 ___

技(术)管(理)并重

信息安全的3个基本属性是 ___、___和___

机密性、完整性、可用性

风险评估的结果可以用许多方法来提交,主要包含 \_、___和___

信息支持分类表、权重标准分析表、漏洞风险等级表

信息安全管理中的风险计算公式为 ___

风险 = 出现漏洞的可能性 × 信息资产的价值 - 当前控制减轻的风险概率 + 对漏洞了解的不确定性

进行信息安全管理措施中,事故响应的4个阶段分别为 ___、___、___、___ p355

计划、检测、反应、恢复

简答

简述如何确定一个信息系统的安全保护等级

第一级,信息系统受到破坏后,会对公民法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益

第二级,信息系统受到破坏后,会对公民法人和其他组织的合法权益产生严重损害,或对社会秩序和公共利益造成损害,但不损害国家安全

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或对国家安全造成严重损害

第五级,信息系统受到破坏后,会国家安全造成特别严重损害

简述信息安全发展过程中所历经的3个主要阶段以及它们各自的特点

通信保密阶段、计算机安全阶段、信息安全保障阶段

在信息安全管理体系中,组织机构满足哪些基本条件之后可以向被认可的认证机构提出认证申请?

  • 努力遵循法律法规的行为,已北相关机构认识
  • 体系文件完全符合标准要求
  • 体系已被有效实施,即组织结构在风险评估的基础上,识别出需要保护的关键信息资产、制定信息安全方针、确定安全控制目标与控制方式并实施、完成体系审核与评估活动并采取相应的纠正预防措施

简述自评估和检查评估的区别及优缺点

信息安全风险包括哪些方面?

指威胁源采用恰当的威胁方式利用脆弱性造成不良后果。风险管理重的风险种类有很多,如纯粹风险、投机风险、财产风险、责任风险、人生风险、信任风险、环境风险、职业风险、自然风险、巨灾风险、社会风险、政治风险、经济风险、税收风险、法规风险等

如何理解信息安全管理中的业务持续性管理与灾难恢复?

灾难恢复计划是为灾难做准备和从灾难中恢复的计划。应急计划小组必须区分灾难和事故,但在攻击发生前,这是不可能区分出来的。一个事件最初归类为事故,但后来常常判定为一个灾难。此时,机构可以改变事故相应方式,采取行动,取保价值最高的资产安全,即使在短期内被破坏的风险较大,但仍在较长事件内保有价值。另为,灾难恢复计划的关键是恢复主站点上的操作,使机构运转起来。DRP 的目标是恢复到灾难前的状态

访问控制有哪几类?

  • 预防性访问控制
  • 探查性访问控制
  • 纠正性访问控制

如何确定安全策略是否达到组织机构所需的安全目标?

  • 安全策略是否符合法律、法规、技术标准及合同要求
  • 管理层是否已批准了安全策略,并明确承诺支持策略的实施
  • 安全策略是否损害来组织机构、员工及第三方的利益
  • 安全策略是否实用、可操作并可以在组织机构重全面实施
  • 安全策略是否满足组织机构在各个方面的安全要求
  • 安全策略是否已传达给组织结构重的员工与相关利益方,并得到了他们的同意

在制定业务持续性计划时,要采取哪些策略?

3 重选项:热站点、暖站点和冷站点,3 重共享功能:时间共享、服务台和共有协议

热站点:完全配置好的计算机设备

暖站点:提供与热站点相同的许多服务和选项,不包括实际应用程序,或未安装和配置的应用程序

冷站点:只提供初步的服务和功能

简述信息系统开发和实施的安全原则

  • 主管参与
  • 优化和创新
  • 充分利用信息资源
  • 实用和时效
  • 有效安全控制
  • 适用发展变化

我国信息安全事件分级分类方法有哪些?

应急计划小组的成员可由哪些人员组成?

成员应是各利益团体的经理或代表。业务经理熟悉改领域的操作过程,所以应提供其活动的细节,说明他们能承受多大危险。项目小组的信息技术经理应熟悉可处于风险之中的系统和所需的 IRP、DRP 和 BCP ,以提供计划过程重的技术内容。信息安全经理需要监视项目的安全计划,提供威胁、漏洞、攻击的信息和计划过程中需要的恢复需求。

组织机构需求信息安全管理体系认证的目的有哪些?

  • 获得最佳的信息安全运行方式
  • 保证商业安全
  • 降低风险
  • 避免损失
  • 保持核心竞争优势
  • 提高商业活动中的信誉
  • 提高竞争能力
  • 满足客户的要求
  • 保证可持续发展
  • 符合法律法规的要求

具有什么特征的攻击才能被界定为事故?

事故是对信息资产的一个攻击,它明显威胁着信息资源的机密性、完整性和可用性。如果发生了威胁信息的行为并且已完成,则盖行为就界定为一个事故。

工作人员上岗前、在岗期间以及离职时,人员安全的控制措施分别有哪些?

定期对不同岗位的人员进行考核,考核包括政治思想、保密观念和业务技术等多各方面

定期对系统的所以工作人员从政治思想业务水平、工作表现等方面进行考核,对不适于接触信息系统能够的人员要适时调离

员工从一般岗位转到信息安全重要岗位,组织机构也应当对其进行信用检查。对于处在有相当权力位置的人员,这种检查应定期进行

风险评估中,风险值由哪些因素决定?请写出计算公式

风险 = 出现漏洞的可能性 × 信息资产的价值 - 当前控制减轻的风险概率 + 对漏洞了解的不确定性

为保证网络通信线路的安全,应注意哪几个方面?

  • 用于数据传输的线路应符合有关标准,如线路噪声不应超标等
  • 传输线路应采用屏蔽电缆并有露天保护或埋于地下,要求远距离电线路或强电磁场反射源,以减少由于干预引起的数据错误
  • 铺设电缆应采用金属套装、屏蔽电缆或加装金属套装,以减少各种辐射对路线的干扰,定期检查各线段及接点,更换老化变质的电缆
  • 定期检查接线盒及其他易被人接近的线路部位
  • 定期测试信号轻度,检查是否有非法装置接入线路
  • 配置必要的检查设备,以发现非法窃听
  • 如果条件许可或是信息安全需要,可以使用光缆,光缆对非法窃听很敏感,但容易被发现
  • 调试解调器应放置在收监视的区域,以便即时发现和防止外来连接的企图,调制解调器的连接应定期检验,以检验是否有篡改行为

信息安全管理认证的依据与范围、申请认证的基本条件有哪些?

认证的依据:BS7799-2:1999标准

认证范围通常与它实施安全管理体系的范围是相同的但,并不需要必须相同

基本条件:

  • 努力遵循法律法规的行为,已北相关机构认识
  • 体系文件完全符合标准要求
  • 体系已被有效实施,即组织结构在风险评估的基础上,识别出需要保护的关键信息资产、制定信息安全方针、确定安全控制目标与控制方式并实施、完成体系审核与评估活动并采取相应的纠正预防措施

系统运行阶段的维护活动通常有哪几类?

  • 改正性维护:诊断和改正在使用过程重发现的系统错误
  • 适合性维护:修改系统以适应环境的变化
  • 完善性维护:根据用户的要求改进或扩充系统使其更完善
  • 预防性维护:修改系统为将来的维护活动做准备

简述影响维护代价的技术因素和非技术因素

  • 技术因素
    • 软件对运行环境的依赖性
    • 编程语言
    • 编程风格
    • 测试与改错工作
    • 文档的质量
  • 非技术因素
    • 应用域的复杂性
    • 开发人员的复杂性
    • 系统的生命周期
    • 业务操作模式变化对系统的影响
-------------本文结束感谢阅读-------------

欢迎关注我的其它发布渠道