免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2013年上半年 信息系统项目管理师 上午试卷 综合知识
  第11题      
  知识点:   信息系统安全风险评估   攻击者
  关键词:   范围   辐射   攻击   通信        章/节:   信息系统安全管理       

 
攻击者通过搭线或在电磁波辐射范围内安装截收装置等方式获得机密信息,或通过对信息流量和流向、通信频率和长度等参数的分析推导出有用信息的威胁称为(11)。
 
 
  A.  破坏
 
  B.  抵赖
 
  C.  截取
 
  D.  窃取
 
 
 

 
  第14题    2022年上半年  
   52%
()是利用公开密钥进行加密的技术。
  第53题    2021年下半年  
   55%
目标资源具有一个等级的安全标签,访问者拥有包含等级列表的许可,其中定义可以访问哪个等级的目标,该模型属于()。
  第9题    2008年下半年  
   42%
安全管理是信息系统安全能动性的组成部分,它贯穿于信息系统规划、设计、运行和维护的各阶段。安全管理中的介质安全属于(9) 。
   知识点讲解    
   · 信息系统安全风险评估    · 攻击者
 
       信息系统安全风险评估
        信息安全与安全风险
        建立安全保障系统的步骤如下:
        (1)拟定新系统的功能——目标。
        (2)现有系统分析——风险识别。
        (3)对识别出的风险预估可能造成的后果——风险评估。
        (4)按照风险大小和主次设计风险应对策略——控制风险。
        (5)对设计对策进行投入产出评估。
        (6)判断可行性。
        (7)设计。
        (8)实施。
        安全风险识别
        简单来说,安全风险识别就是把“安全威胁”找出来。“安全威胁”是指对业务应用信息系统正常运行的“威胁”。在考虑业务应用信息系统的安全时,需要考虑企业的有形资产和无形资产,信息安全保障系统首先要考虑有形资产的保护,无形资产是在有形资产被破坏之后才引发的结果。
        1.安全威胁的分类
        安全威胁也叫安全风险,风险是指特定的威胁或因企业资产的脆弱性而导致企业资产损失或伤害的可能性。风险包含3个方面的含义:
        .对信息或资产产生的威胁。
        .威胁的发生会对资产产生影响。
        .威胁具有发生的可能性(概率)。
        业务应用信息系统的安全威胁(风险)分类如下。
        按风险的性质划分为:
        .静态风险:自然力的不规则作用和人们的错误判断和错误行为导致的风险。
        .动态风险:由于人们欲望的变化、生产方式和生产技术的变化以及企业组织的变化导致的风险。
        按风险的结果划分为:
        .纯粹风险:当风险发生时,仅仅会造成损害的风险。
        .投机风险:当风险发生时,可能产生利润也可能造成损失的风险。
        按风险源的角度划分为:
        .自然事件风险:不以人的意志为转移的不可抗拒的天灾人祸。
        .人为事件风险:人为事件造成损失的概率远远大于自然事件威胁造成的损失。人为事件风险可分为意外的人为事件风险和有意的人为事件风险。
        .软件风险:指由于软件体系结构的合理程度及其对于外界变化的适应能力而产生的风险。软件系统风险的大小影响软件的质量,主要表现在兼容风险、维护风险和使用风险上。
        .软件过程风险:指在软件开发周期过程中可能出现的风险以及软件实施过程中外部环境的变化可能引起的风险。
        .项目管理风险:主要源于应用软件产品的不可预见性、软件生产过程不存在绝对正确的过程形式以及信息系统应用项目的独特性。
        .应用风险:指在应用系统或软件过程中尤其是在网络环境下,由于网络连接或操作而产生的风险。包括安全性、未授权远程访问、不精确信息、不完整处理等。
        .用户使用风险:指终端用户进行开发和应用过程中产生的风险,包括不充分地使用资源、不兼容的系统、无效应用、职责不分等。
        2.安全威胁的对象及资产评估鉴定
        安全威胁的对象是一个企业中的有形资产和无形资产,主要是有形资产。
        从安全角度来讲,一个信息系统内的资产在没有被评估鉴定之前,是不可能成功实施安全管理并进行维护的。
        资产评估鉴定的步骤如下:
        (1)根据企业的业务逐级划分资产的界限。
        (2)确定各个级别的资产隶属部门的岗位和责任人、相关干系人,并核实各自的责任、权限和落实的情况,以及监督、监管的制度和措施。
        (3)确定各个级别资产的价值和重要性,以及受到可能威胁的强弱程度。
        (4)确定获取及维护各个级别资产的费用(包括人力和财力)。
        3.信息系统安全薄弱环节鉴定评估
        可以用威胁、脆弱性(弱点)、影响来计量风险。威胁、脆弱性、影响三者关系如下:
        .威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。脆弱性可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。影响可以看作是威胁与脆弱性的特殊组合。
        .风险=威胁×弱点×影响。
        对安全薄弱环节的鉴定评估包括鉴定物理环境、组织机构、业务流程、人员、管理、硬件、软件和通信设施等的弱点,这些都可能被各种安全威胁利用。
        一些典型的安全薄弱环节如下:
        .未报告的新的网络连接。
        .未受过相应培训的业务人员。
        .错误的选择和使用密码。
        .没有正确的访问控制措施。
        .没有对信息或软件进行定期备份。
        .备份介质无人管理或管理混乱。
        .绕过安全防范设备,进行拨号接入专用网络。
        .安全岗位、安全制度不落实。
        .密码和授权长期不变。
        .内外网没有有效信息隔离。
        .使用非正版的软件和硬件。
        .施工和维护人员没有合法的资质证件。
        .所处的地方易遭到自然威胁(如雷击、洪水等)的破坏。
        风险识别与风险评估的方法
        风险识别的常用方法有:
        .问询法(头脑风暴法、面谈法和德尔菲法等)
        .财务报表法(各种财务报表和记录)
        .流程图法(网络图或WBS法)
        .现场观察法
        .历史资料(索赔记录及其他风险信息)
        .环境分析法(相关方和社会环境变化趋势,可能变更的法律法规等)
        .类比法
        .专家咨询
        风险评估的常用方法有:
        .概率分布(专家预测)
        .外推法(使用历史数据)
        .定性评估
        .矩阵图分析
        .风险发展趋势评价方法
        .项目假设前提评价及数据准确度评估
 
       攻击者
        根据网络攻击来源,攻击者可分成两大类:内部人员和外部人员。根据网络攻击的动机与目的,常见的攻击者可以分为六种:间谍、恐怖主义者、黑客、职业犯罪分子、公司职员和破坏者。
   题号导航      2013年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第11题    在手机中做本题