信息安全管理 课后答案【第三章】张红旗 王新昌 人民邮电出版社
信息安全管理 课后习题答案 免费下载 张红旗 王新昌 杨英杰 唐慧林 人民邮电出版社
第三章
1.解释以下概念:
(1)资产:所谓资产就是被组织赋予了价值、需要保护的有用资源。
(2)资产的价值:为了明确对资产的保护,所对资产进行的估价。
(3)威胁:威胁是指可能对资产或组织造成损害的事故的潜在原因。
(4)脆弱性:所谓脆弱性就是资产的弱点或薄弱点,这些弱点可能被威胁利用
造成安全事件的发生,从而对资产造成损害。
(5)安全风险:所谓安全风险,就是特定的威胁利用资产的一种或多种脆弱性,
导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结
合。
(6)风险评估:即对信息和信息处理设施的威胁、影响(Impact,指安全事件
所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。
(7)风险管理:所谓风险管理就是以可接受的费用识别、控制、降低或消除可
能影响信息系统的安全风险的过程。
(8)安全需求:
(9)安全控制:安全控制就是保护组织资产、防止威胁、减少脆弱性、限制安
全事件影响的一系列安全实践、过程和机制。
(10)剩余风险:即实施安全控制后,仍然存在的安全风险。
(11)适用性声明:所谓适用性声明,是指对适用于组织需要的目标和控制的评
述。
2.叙述风险评估的基本步骤。
(1)按照组织业务运作流程进行资产识别,并根据估价原则对资产进行估价;
(2)根据资产所处的环境进行威胁评估;
(3)对应每一威胁,对资产或组织存在的脆弱性进行评估;
(4)对已采取的安全机制进行识别和确认;
(5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等级。
3.资产、威胁与脆弱性之间的关系如何?
资产、威胁与脆弱性之间的对应关系包括:
一项资产可能存在多个威胁;
威胁的来源可能不只一个,应从人员(包括内部与外部)、环境(如
自然灾害)、资产本身(如设备故障)等方面加以考虑;
每一威胁可能利用一个或数个脆弱性。
4.信息系统的脆弱性一般包括哪几类?
大体可以分为以下几类。
技术脆弱性––––系统、程序和设备中存在的漏洞或缺陷,如结构设计
问题和编程漏洞等;
操作脆弱性––––软件和系统在配置、操作及使用中的缺陷,包括人员
日常工作中的不良习惯、审计或备份的缺乏等;
管理脆弱性––––策略、程序和规章制度等方面的弱点。
5.叙述风险评价方法中定性分析法的原理。
根据风险定义可知,风险是资产所受到的威胁、存在的脆弱性(薄弱点)及威胁
利用薄弱点所造成的潜在影响三方面共同作用的结果。风险是威胁发生的可能
性、脆弱性被威胁利用的可能性和威胁的潜在影响的函数,记为:
R = R(PT,PV,I)
其中 R——资产受到某一威胁时所具有的风险;
PT——威胁发生的可能性;
PV——脆弱性被利用的可能性;
I——威胁的潜在影响,I = 资产相对价值V × 价值损失程度CL;
根据前面所述,威胁的潜在影响I 可以用资产的相对价值V 来代替,上面的函数
可改写为:
R = R(PT,PV,V)
上面是考虑三个变量的风险的计算函数,如果将威胁发生的可能性PT和脆弱性被
利用的可能性PV综合为一个变量(因素)——威胁真实发生的可能性PTV = PT ×
PV,此时PT可以看成是威胁发生的平均可能性,这样风险函数可以改写为:
R = R(PTV,V)
6.比较基本风险评估与详细风险评估的优缺点。
基本风险评估有许多优点,主要是:
风险评估所需资源最少,简便易实施;
同样或类似的控制能被许多信息安全管理体系所采用,不需要耗费很
大的精力。如果一个组织的多个信息安全管理体系在相同的环境里运
作,并且业务要求类似,这些控制可以提供一个经济有效的解决方案。
基本风险评估的缺点包括:
安全基线水平难以设置,如果安全水平被设置的太高,就可能需要过
多的费用,或产生控制过度的问题;如果水平设置太低,一些系统可
能不会得到充分的安全;
管理与安全相关的变更可能有困难。例如,如果一个信息安全管理体
系被升级,评估最初的控制是否仍然充分就有一定困难。
详细风险评估的优点主要包括:
可以获得一个更精确的对安全风险的认识,从而可以更为精确地识别
出反映组织安全要求的安全水平;
可以从详细的风险评估中获得额外信息,使与组织变革相关的安全管
理受益。
详细风险评估的缺点主要是,需要花费相当的时间、精力和技术去获得可行的结
果。
7.某企业有三个网络系统:研发、生产与销售;系统的保密性、完整性、可用
性均定性划分为低(1)、中(2)、高(3)三个等级;PO、PD均划分为5 级,并
赋予以下数值:很低(0.1)、低(0.3)、中(0.5)、高(0.7)、很高(0.9)。请完
成该企业网络系统的风险计算结果表。
8.降低风险的主要途径有哪些?分别叙述。
组织根据控制费用与风险平衡的原则识别并选择了安全控制措施后,对所选择的
安全控制应当严格实施并保持,通过以下途径达到降低风险的目的:
避免风险:例如,将重要的计算机与 Internet 隔离,使之免受外部网
络的攻击;
转移风险:例如,通过购买商业保险将风险转移,或将高风险的信息
处理业务外包给第三方;
减少威胁:例如,建立并实施恶意软件控制程序,减少信息系统受恶
意软件攻击的机会;
减少脆弱性:例如,经常性地为系统安装补丁,修补系统漏洞,以防
止系统脆弱性被利用;
减少威胁可能的影响:例如,建立业务持续性计划,把灾难造成的损
失降到最低;
检测意外事件,并做出响应和恢复:例如,使用网络管理系统对网络
性能与故障进行监测,及时发现问题并做出反应。