信息安全管理

一、信息安全管理

1、什么是信息安全管理，为什么需要信息安全管理

国际标准化组织对信息安全的定义是：“在技术上和管理上维数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂，其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁，信息资产就可能会遭受巨大的损失甚至威胁到国家安全。

2、系统列举常用的信息安全技术

密码技术、访问控制和鉴权；物理安全技术；网络安全技术；容灾与数据备份。

3、信息安全管理的主要内容有哪些

信息安全管理从信息系统的安全需求出发，结合组织的信息系统建设情况，引入适当的技术控制措施和管理体系，形成了综合的信息安全管理架构。

4、什么是信息安全保障体系，它包含哪些内容

5、信息安全法规对信息安全管理工作意义如何

它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面：

1.为人们从事在信息安全方面从事各种活动提供规范性指导；

2.能够预防信息安全事件的发生；

3.保障信息安全活动参与各方的合法权益，为人们追求合法权益提供了依据和手段。

二、信息安全风险评估

1、什么是信息安全风险评估它由哪些基本步骤组成

信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段，第一阶段为风险评估准备；第二阶段为风险识别，第三阶段为风险评价，第四阶段为风险处理。

2、信息资产可以分为哪几类请分别举出一两个例子说明。

可以分为数据、软件、硬件、文档、人员、服务。例如：软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。

3、威胁源有哪些其常见表现形式分别是什么

4、资产、威胁、脆弱点、风险、影响

资产：资产是指任何对组织有价值的东西，资产包括：物理资产、信息/数据、软件、提供产品和服务的能力、人员、无形资产。

威胁：威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生，该事件可能对系统或组织及其资产造成损害。

脆弱点：脆弱点是一个或一组资产所具有的，可能被威胁利用对资产造成损害的薄弱环节。

风险：风险是指威胁利用利用一个或一组资产的脆弱点导致组织受损的潜在，并以威胁利用脆弱点造成的一系列不期望发生的事件（或称为安全事件）来体现。

影响：影响是威胁利用资产的脆弱点导致不期望发生事件的后果。

5、风险评估方法分为哪几种其优缺点分别是什么

分为：基本风险评估、详细风险评估、综合风险评估。基本风险评估：优点：(1) 风险分析和每个防护措施的实施管理只需要最少数量的资源，并且在选择防护措施时花费更少的时间和努力； (2) 如果组织的大量系统都在普通环境下运行并且如果安全需要类似，那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力。缺点：(1)基线水平难以设置，(2)风险评估不全面、不透彻，且不易处理变更。详细风险评估：优点: (1)有可能为所有系统识别出适当的安全措施； (2) 详细分析的结果可用于安全变更管理。缺点：需要更多的时间、努力和专业知识。

6、请写出风险计算公式，并解释其中各项所代表的含义。

风险可形式化的表示为R=(A,T,V)，其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。相应的风险值由A、T、V的取值决定，是它们的函数。可以表示为：

VR=R(A,T,V)=R(L(A,T,V)，F(A,T,V))。其中，L(A,T,V)、F(A,T,V)分别表示对应安全事件发生的可能性及影响，它们也都是资产、威胁、脆弱点的函数，但其表达式很难给出。而风险则可表示为可能性L和影响F的函数，简单的处理就是将安全事件发生的可能性L与安全事件的影响F相乘得到风险值，实际就是平均损失，即VR=L(A,T,V)×F(A,T,V)

7、风险评估文件由哪些主要文档组成

包括：(1)风险评估计划； (2)风险评估程序；(3)资产识别清单； (4)重要资产清单；

(5)威胁列表； (6)脆弱点列表；(7)已有安全措施确认表； (8)风险评估报告；(9)风险处理计划；

(10)风险评估记录。

8、常用的综合评价方法有哪些，试进行比较。

常用的综合评价方法有综合指数法、功效评分法、TOPSIS法、层次分析法、主成份分析法、聚类分析法等。综合指数法通过计算各评价对象对每个指标折算指数值来实现不同指标值的无量纲化，并通过加权平均方法计算综合指数值。功效评分法通过功效系数来实现不同指标的无量纲化，然后在利用其他方法来确定功效权值，如均权法、层次分析法、离差权法等。TOPSIS法根据计算与最优对象越近，相应评价对象越优。层次分析法是将决策问题的有关元素分解成目标、准则、方案等层次，在此基础上进行定量和定性分析的一种决策方法。主成分分析是一种多元统计分析方法，对于多指标的复杂评价系统，由于指标多，数据处理相当复杂，由于指标之间存在一定的关系，可以适当简化。聚类分析法是解决“物以类聚”，解决事务分类的一种数学方法。它是在没有或不用样品所述类别信息的情况下，依据对样品

采集的数据的内在结构以及相互间的关系，在样品间相似性度量的基础上，对样品进行分类的一种方法。

9、常用的定性与定量的风险分析方法有哪些各有什么特点

典型的定性风险分析与评价方法有风险矩阵测量、威胁分级法、风险综合评价等。定量方法主要有基于期望损失的风险评估方法与基于期望损失效用的风险评估方法等。定量的方法的好处就是能够更好的区分“高损失、低可能性”及“低损失、高可能性”两种不同安全

事件的风险。定性方法一般基于一定的定量方法，在定量方法的基础上进行裁剪和简化。

三、无

四、物理安全

1、为了保证信息系统安全，应当从哪些方面来保证环境条件

防盗、防毁、防电磁泄漏、从温度和湿度、空气含尘度、噪声、电磁干扰、供电等方面来保证环境条件。

2、移动存储介质的安全隐患有哪些

交叉使用；内部介质非法带出使用，造成数据外泄；无介质操作行为记录；单位对涉密的USB存储介质无管理台帐，底数不清；没有对介质的全部流通过程（购买、使用、销毁）进行监控和管理；交叉感染。

3、电磁泄漏的技术途径有哪些

计算机电磁泄漏信息泄露主要有两种途径：一是被处理的信息会通过计算机内部产生的电磁波向空中发射，称为辐射发射；二是这种含有信息的电磁波也可以通过计算机内部产生的电磁波向空中发射，称为传导发射

抑制计算机中信息泄露的技术途径有两种：一是电子隐蔽技术，二是物理抑制技术。电子隐蔽技术主要是用干扰、调频等技术来掩饰计算机的工作状态和保护信息；物理抑制技术则是抑制一切有用信息的外泄。

4、信息系统的记录按其重要性和机密程度可以分为哪几类

一类记录——关键性记录；二类记录——重要记录；三类记录——有用记录；四类记录——不重要记录。

5、简述计算机机房安全等级的划分。