搜索
一、总论1.什么是信息安全管理,为什么需要信息安全管理?信息安全管理是组织为实现信息安全目标而进行的管理活动,是组织完整的管理体系中的一个重要组成部分,是为保护信息资产安全,指导和控制组织的关于信息安全风险的相互协调的活动。信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护组织所有信息资产的一系列活动。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。由于信息具有易传输、易扩散、易破损的特点,信息资产比传统资产更加脆弱,更易受到损害,信息及信息系统需要严格管理和妥善保护。2.系统列举常用的信息安全技术?密码技术、访问控制和鉴权;物理安全技术:环境安全、设备安全、人员安全;网络安全技术:防火墙、VPN、入侵检测/入侵防御、安全网关;容灾与数据备份3.信息安全管理的主要内容有哪些?信息安全需求是信息安全的出发点,它包括机密性需求、完整性需求、可用性需求、抗抵赖性、真实性需求、可控性需求和可靠性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点,对这些实施适当的控制措施可确保组织相应环节的信息安全,从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置技术或管理手段,信息安全控制措施是信息安全管理的基础。4.什么是信息安全保障体系,它包含哪些内容?(见一、3图)5.信息安全法规对信息安全管理工作意义如何?法律法规是组织从事各种政务、商务活动所处社会环境的重要组成部分,它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面:1.为人们从事在信息安全方面从事各种活动提供规范性指导2.能够预防信息安全事件的发生3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段二、信息安全风险评估1.什么是信息安全风险评估?它由哪些基本步骤组成?信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。2.信息资产可以分为哪几类?请分别举出一两个例子说明。根据ISO/IEC13335-1,资产是指任何对组织有价值的东西,资产包括:物理资产、信息/数据、软件、提供产品和服务的能力(注:供应能力)、人员、无形资产(商标等)。3.威胁源有哪些?其常见表现形式分别是什么?4.请解释以下名词:(1)资产;资产是指任何对组织有价值的东西(二、2)(2)威胁;威胁是可能对资产或组织造成损害的潜在原因。(3)脆弱点;脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。(4)风险;信息安全风险是指威胁利用利用一个或一组资产的脆弱点导致组织受损的潜在,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现(5)影响。影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为直接形式5.风险评估方法分为哪几种?其优缺点分别是什么?常见的风险评估方法有三种:基线风险评估方法详细风险评估方法综合风险评估方法基线评估的优点是:(1)风险分析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时间和努力;(2)如果组织的大量系统都在普通环境下运行并且如果安全需要类似,那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力。基线评估的的缺点是:基线水平难以设置(2)风险评估不全面、不透彻,且不易处理变更。详细评估的优点是:(1)有可能为所有系统识别出适当的安全措施;(2)详细分析的结果可用于安全变更管理。详细评估的缺点:需要更多的时间、努力和专业知识。综合评估方法将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。综合评估也有缺点:如果初步的高级风险分析不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致某些严重的风险未被发现。6.请写出风险计算公式,并解释其中各项所代表的含义。风险可形式化的表示为R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。相应的风险值由A、T、V的取值决定,是它们的函数,可以表示为:VR=R(A,T,V)=R(L(A,T,V),F(A,T,V))�其中,L(A,T,V)、F(A,T,V)分别表示对应安全事件发生的可能性及影响,它们也都是资产、威胁、脆弱点的函数,但其表达式很难给出。而风险则可表示为可能性L和影响F的函数,简单的处理就是将安全事件发生的可能性L与安全事件的影响F相乘得到风险值,实际就是平均损失,即VR=L(A,T,V)×F(A,T,V)7.风险评估文件由哪些主要文档组成?风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档,这些文档包括:(1)风险评估计划(2)风险评估程序(3)资产识别清单(4)重要资产清单(5)威胁列表(6)脆弱点列表(7)已有安全措施确认表(8)风险评估报告(9)风险处理计划(10)风险评估记录8.常用的综合评价方法有哪些,试进行比较。常用的综合评价方法有综合指数法、功效评分法、TOPSIS法、层次分析法、主成份分析法、聚类分析法等。(1)综合指数法是多指标系统的一种评价方法。综合指数法通过计算各评价对象对每个指标折算指数值来实现不同指标值的无量纲化,并通过加权平均方法计算综合指数值,(2)功效评分法通过功效系数来实现不同指标的无量纲化,然后在利用其他方法来确定功效权值,如均权法、层次分析法、离差权法等。(3)TOPSIS法是通过检测评价对象与最优解、最劣解的距离来进行排序,若评价对象最靠近最优解同时又最远离最劣解,则为最好;否则不为最优。(4)层次分析法是将决策问题的有关元素分解成目标、准则、方案等层次,在此基础上进行定量和定性分析的一种决策方法。层次分析法的决策过程如下:a)分析各影响因素间的关系,建立层次模型b)构建两两比较判断矩阵c)计算单个判断矩阵对应的权重向量d)计算各层元素对目标层的合成权重向量(5)主成分分析是一种多元统计分析方法,对于多指标的复杂评价系统,由于指标多,数据处理相当复杂,由于指标之间存在一定的关系,可以适当简化。主成分分析的思想是通过一定的变换,用较少的指标来代替原先较多的指标,从而达到简化问题的处理与分析的目的。(6)聚类分析法是解决“物以类聚”,解决事务分类的一种数学方法。它是在没有或不用样品所述类别信息的情况下,依据对样品采集的数据的内在结构以及相互间的关系,在样品间相似性度量的基础上,对样品进行分类的一种方法。9.常用的定性与定量的风险分析方法有哪些?各有什么特点?定量方法试图用具体的货币表示形式的损失值来分析和度量风险,定量方法主要有基于期望损失的风险评估方法与基于期望损失效用的风险评估方法等。基于期望损失的风险评估方法以期望损失作为风险大小的度量标准。基于期望损失效用的风险评估方法好处就是能够更好的区分“高损失、低可能性”及“低损失、高可能性”两种不同安全事件的风险.定性方法不是给出具体的货币形式的损失,而是用诸如“极为严重、严重、一般、可忽略”等定性方法来度量风险。定性方法一般基于一定的定量方法,在定量方法的基础上进行裁剪和简化。典型的定性风险分析与评价方法有风险矩阵测量、威胁分级法、风险综合评价等。1.风险矩阵测量这种方法的特点是事先建立资产价值、威胁等级和脆弱点等级的一个对应矩阵,预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。2.威胁分级法这种方法是直接考虑威胁、威胁导致的安全事件对资产产生的影响以及威胁导致安全事件发生的可能性来确定风险。3.风险综合评价这种方法中风险由威胁导致的安全事件发生的可能性、对资产的影响程度以及已经存在的控制措施三个方面来确定。与风险矩阵法和威胁分级法不同,本方法将控制措施的采用引入风险的评价之中。三、网络无习题四、物理安全1.为了保证信息系统安全,应当从哪些方面来保证环境条件应当从机房安全,安全区域来保证环境条件防盗、防毁、防电磁泄漏、加强设备的安全管理和规范存储媒介的使用是设备安全防护的基本要求;为防止未经授权的访问,预防对信息系统基础设施(设备)和业务信息的破坏与干扰,应当对信息系统所处的环境进行区域划分,并把关键的和敏感的业务信息处理设施放置在安全区域,同时要对放置信息系统的空间进行细致周密的规划,并从温度和湿度、空气含尘度、噪声、电磁干扰、供电等方面来保证环境条件。2.移动存储介质的安全隐患有哪些?如体积小、易丢失;“摆渡”技术的威胁;信息失效;公私混用;病毒危害;管理困难等3.电磁泄漏的技术途径有哪些?计算机电磁泄漏信息泄露主要有两种途径:一是被处理的信息会通过计算机内部产生的电磁波向空中发射,称为辐射发射(见图4-1);二是这种含有信息的电磁波也可以通过计算机内部产生的电磁波向空中发射,称为传导发射抑制计算机中信息泄露的技术途径有两种:一是电子隐蔽技术,二是物理抑制技术4.信息系统的记录按其重要性和机密程度可以分为哪几类?一类记录——关键性记录这类记录对设备的功能来说是最重要的、不可替换的,是火灾或其它灾害后立即需要,但又不能再复制的那些记录。二类记录——重要记录这类记录对设备的功能来说很重要,可以在不影响系统最主要功能的情况下进行复制。但比较困难和昂贵。三类记录——有用记录这类记录的丢失可能引起极大的不便,但可以很快复制。四类记录——不重要记录5.简述计算机机房安全等级的划分。A类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。该类机房放置需要最高安全性和可靠性的系统和设备。B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。它的安全性介于A类和C类之间。C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。该类机房存放只需要最低限度的安全性和可靠性的一般性系统。6.信息安全人员的审查应当从哪几个方面进行?审查范围:人员安全意识、法律意识和安全技能等。人员审查标准:1、人员审查必须根据信息系统所规定的安全等级确定审查标准。2、信息系统的关键岗位人选,如安全负责人、安全管理员、系统管理员和保密员等,必须经过严格的政审并要考核其业务能力。3、因岗挑选人,制定选人方案。遵循“先测评、后上岗;先试用、后聘用”原则。4、所有人员都应遵循“最小特权”原则,并承担保密义务和相关责任。7.人员安全管理的基本原则是什么?人员管理的三个基本原则为:1.多人负责原则;2.任期有限原则;3、职责分离原则。8.职员授权管理的主要内容有哪些?职员授权管理主要涉及职员定岗、用户管理及承包人或公众访问系统时需要考虑的特殊因素五、信息系统安全审计1.什么是信息安全审计,它主要有哪些方面的功能?安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析,并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。信息安全审计的有多方面的作用与功能,包括取证、威慑、发现系统漏洞、发现系统运行异常等。(1)取证:利用审计工具,监视和记录系统的活动情况。(2)威慑:通过审计跟踪,并配合相应的责任追究机制,对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。(3)发现系统漏洞:安全审计为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。(4)发现系统运行异常:通过安全审计,为系统管理员提供系统运行的统计日志,管理员可根据日志数据库记录的日志数据,分析网络或系统的安全性,输出安全性分析报告,因而能够及时发现系统的异常行为,并采取相应的处理措施。2.CC在安全审计方面有哪些要