信息安全测评与风险评估考试资料（五篇范例）

第一篇：信息安全测评与风险评估考试资料《信息安全测评与风险评估》（本科目闭卷考试，考试题型：填空56分，解答18分，案例分析26）P4安全测评工具：系统科学/系统工程P6贯标：测评人员在测评活动中严格遵循相关标准的行为P19安全域：将一个大型信息系统中具有某种相似性的子系统“聚集”在一起P43数据安全三个属性：完整性、保密性、可用性数据安全三个测评：数据完整性、数据保密性、数据备份与恢复数据安全三个手段：访谈、检查、测试P75主机安全测评：身份鉴别、自主访问控制、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制P119网络安全测评：结构安全与网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护P169应用安全测评：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制P217风险：不确定性对目标的影响信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件发生及其对组织造成的影响PP259威胁：可能导致对系统或组织危害的事故潜在起因威胁识别分为：重点识别和全面识别重点识别：是按照资产重要性进行排序，从而决定威胁识别的巨细程度和投入多少识别资源全面识别：对每一个资产可能面临的所有威胁都要进行详细分析，而不管资产本身重要程度的高低P283脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节P313风险分析：依据国家有关标准对信息系统及由其处理、传输和存储的信息的保密性、完整性喝可用性等安全属性进行分析和评价的过程风险分析与威胁识别、脆弱性识别之间的关系？风险分析将在威胁识别、脆弱性识别基础上进行风险计算，对风险进行定级，提出相应的风险控制措施，最后再次评估残余风险，从而使得人们对信息系统所面临的风险从模糊的感觉上升到更为科学、理性的认识上面来。第二篇：信息安全风险评估服务1、风险评估概述1.1风险评估概念信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。1.2风险评估相关资产，任何对组织有价值的事物。威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。2、风险评估的发展现状2.1信息安全风险评估在美国的发展第一阶段（60-70年代）以计算机为对象的信息保密阶段1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。特点：仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。2.2我国风险评估发展●2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题●2003年8月至2010年在国信办直接指导下，组成了风险评估课题组●2004●2005年，国家信息中心《风险评估指南》，《风险管理指南》年全国风险评估试点●在试点和调研基础上，由国信办会同公安部，安全部，等起草了《关于开展信息安全风险评估工作的意见》征求意见稿●2006年，所