共5道大题,每题20分,共计100分。
一、信息安全的常用方法有哪些?
答:信息安全的常用方法有:
1、弱点评估。
弱点评估是指对机构的技术基础、政策和程序进行系统的、包括对组织内部计算环境的安全性及其对内外攻击的脆弱性的完整性分析。这些技术驱动的评估通常包括:
1)使用特定的lt安全活动(例如加固特定类型的平台)。
2)评估整个计算基础结构。
3)使用拥有的软件工具分析基础结构及其全部组件。
4)提供详细的分析,说明检测到的技术弱点,为解决这些弱点提出具体的措施。
2、信息系统审计。
信息系统审计是对公司内部控制进行的独立评估,向管理部门、规章制定机构和公司股东保证信息是准确而有效的。审计通常利用特定行业的处理模型、基准、相关的标准,或者确定的最佳实践。审计既考虑财务业绩,又考虑操作性能。
审计也可以基于拥有的业务过程风险控制以及分析方法和工具。审计通常由许可的或者认证的审计员执行,具有法定的权力和责任。在审计过程中,审计员评审公司业务记录的准确性和完整性。
3、信息安全风险评估。
安全风险评估扩展了上述弱点评估的范围,着眼于分析公司内部与安全相关的风险,包括内部和外部的风险源,以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或目标对风险评估进行排列,其关注的焦点通常集中在安全的以下4个方面:
1)检查与安全相关的公司实践,以标识出建立或缓和安全风险的优点和弱点。这一程序可能包括对信息进行比较分析,根据工业标准和最佳实践对信息进行等级评定。
2)对系统进行技术分析,对政策进行评审,以及对物理安全进行审查。
3)检查it的基础结构,以确定技术上的弱点。这些弱点包括对如下情况的敏感性:恶意**的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更。
4)帮助决策制定者综合权衡风险以选择成本效率对策。
4、可管理的安全服务提供者。
可管理的安全服务提供者依靠专家的经验管理公司的系统和网络。他们使用自己或者其他厂商的安全软件和设备保护组织的基础结构。通常,可管理的安全服务将潜在地监督和保护组织的计算基础结构,使之免受攻击和滥用。
这些解决方案趋向于根据每个客户的具体业务需求进行定制,以及使用专门技术。既可以对入侵做出积极的响应,也可以在入侵发生后即时通报用户。其中一些利用自动的、基于计算机的学习和分析,大大地降低了响应时间,增加了准确度。
弱点评估、信息系统审计和信息安全风险评估有助于描述安全问题的特征, 但是并不能管理安全问题,而可管理的服务提供者可以对机构的安全进行管理。虽然上述每种方法对试图保护自己的机构都有用,但都有一定的局限性,因此,要基于具体的使用环境。小公司可能不得不使用可管理的服务提供者;it资产有限的公司只能管理弱点,而且取决于必须保护的对象,也许并不需要做太多工作。
二、信息安全风险评估的过程是什么?
答:信息安全风险评估的过程是:
1、信息资产评估。
使用信息资产的识别过程中得到的信息,就可以为机构中每项信息资产的价值指定权重分数。根据机构的需要,使用的数字可以不同。一些团体使用1—100的权重分数,其中100代表在几分钟内就会使公司停止运转的信息资产。
还有的团体使用l一10的权重分数,或者用l、3和5代表低、中和**值的资产。也可以根据自己的需要建立权重值。
2、风险的确定。
如前所述,风险=出现漏洞的可能性×价值(或影响)一已控制风险的比例+不确定因素。
3、识别可能的控制。
对于每一个威胁及其残留风险的相关漏洞而言,应该建立一份控制计划的初步列表。残留风险是指使用了现有的控制方法后信息资产残留的风险。
控制的一种特殊应用是访问控制,它主要控制用户进入机构信息区域。这些区域包括信息系统、物理限制区域,如机房甚至整个机构。访问控制通常由政策、计划和技术组成。
控制访问有许多方法,访问控制可以是强制的、非任意的和任意的。每种方法都针对一组控制,以管理对某类信息或信息集合的访问。
4、记录风脸评估的结果。
在风险评估过程结束时,将得到一份很长的信息资产列表,其中包含这些信息资产的各种数据。到目前为止,这个过程的目标是识别机构中有某些漏洞的信息资产,并将它们列出来,依照最需要保护的顺序划出等级。在准备这个列表时,需要收集和存储资产面临的威胁和包含的漏洞等许多信息,还应收集已有控制的一些信息。
最后的总结文件是漏洞风险等级表。
三、三种基本的火灾检测系统是什么?并写出这三种检测系统的具体内容。
答:有三种基本的火灾检测系统:热检测、烟检测和火焰检测。
1、热检测系统包含一个高级的热传感器,它以两种方式操作。第一种方式称为固定温度,当区域内的温度达到预定义的级别,通常在135~165华氏度或57~74摄氏度之间,该传感器就开始检测。第二种方式称为上升速度,传感器检测区域在相对较短的时间内不寻常的温度快速增长。
对于每一种情况,如果条件满足,就激活警报和灭火系统。热检测系统并不昂贵,也很容易维护。遗憾的是,热检测器通常在问题已经出现后(火已经充分燃烧了)才发现它。
因此在人员处于危险状态的区域中,热检测系统并不是防火的最佳方式,也不能用于放置价值很高的设备,或很容易在高温情况下损坏的设备的区域。
2、烟检测系统是检测潜在危险火灾的最常见方式,大多数居民区和商业建筑的建筑标准都要求拥有它们。烟检测器的操作方式有3种。其一,检测某区域。
如果该红外线被打断(假定是由烟所引起的),就激活警报或灭火系统。其二,电离传感器在检测房间里包含少量无害的辐射物质。当燃烧的某些副产品进入该房间时,它们就改变了房间里的导电级别,从而激活检测器。
电离传感器系统比光电传感器要高级得多,可以更早地检测到火灾,因为足够多的可见物质进入光电传感器,触发警报之前的很长时间,就能检测出不可见的副产品。其三,烟检测器是空气除尘检测器。空气除尘检测器是很高级的系统,它用于高敏感区域。
它们的工作方式是吸人空气,过滤它,将它移到一个包含激光束的房间。如果激光束由于烟尘微粒转向或折射,则激活系统。该类型的系统一般比效率较差的系统要昂贵得多;然而它们的早期检测效果更好,常用于存储在价值极高的设备的区域内。
3、火焰检测器是一个传感器,检测由燃烧的火焰产生的红外线或紫外线。这些系统需要直接面对火焰,并将火焰“信号’’和已知火焰信号数据库进行比较,以判断是否激活警报和灭火系统。火焰检测系统是高度敏感的,非常昂贵,必须在可以扫描受保护区域的各个角落的地方安装。
它们一般不用于人员生命处于危险的区域,然而,它们很适合检测化学物品存储区域,因为正常的化学品散发的物质可能激活烟检测器。
四、对安全组织机构的基本要求是什么?
答:安全组织的运行应独立于信息系统的运行,是一个综合性的组织。
1)建立信息系统安全组织的基本要求。
信息安全组织应当由单位安全负责人领导,绝对不能隶属于计算机运行或计算机应用部门。
该安全组织是本单位的常设工作职能机构,其具体工作应当由专门的安全负责人负责。
安全组织的成员类型主要有硬件、软件、系统分析、审计、人事、保卫、通信、本单位应用业务,以及其他所需要的业务技术专家等人员。
该组织一般有着双重的组织联系,即接受当地公安机关计算机安全监察部门的管理、指导,以及与本业务系统上下级安全管理工作联系。
2)制定基本安全防范措施的基本任务。
基本任务实在**主管部门的管理指导下,由与系统有关的各方面专家定期或适时进行风险分析,根据本单位的实际情况和需要,确定计算机信息系统的安全等级管理总体目标,提出相应的对策并监督实施,使得本单位计算机信息系统的应用发展建设能够与计算机安全保护工作同步前行。
3)安全组织的基本标准。
由主管领导负责的逐级计算机安全防范责任制,各级的职责划分明确,并能有效地开展工作。
明确计算机使用部门或岗位的安全责任制。
有专职或兼职的安全员,行业部门或大型企事业单位应确立计算机委员会、安全组织等逐级的安全管理机制,安全组织人员的构成要合理,并能切实发挥职能作用。
有健全的安全管理规章制度。按照国家有关法律法规的规定,建立、完善各项计算机安全管理规章制度,并落到实处。
在职工群众中普及安全知识,提高信息安全意识,对重点岗位的职工进行专门的培训和考核,持证上岗。
定期进行计算机信息系统风险分析,并对信息安全实行等级保护制度,本着保障安全、有利于生产(工作、发展)和注意节约的原则,制定安全政策。
在实体安全、信息安全、运行安全和网络安全等方面采取必要的安全措施。
对本部门计算机信息系统的安全保护工作有档案记录和应急计划。
严格执行计算机信息系统案件上报制度,对信息系统安全隐患能及时发现并及时采取整改措施。
对信息系统安全保护工作定期总结评比,奖惩严明。
安全管理至少有9个主要环节:领导重视,组织落实,采取等级保护体制,贵任分解明确并落实到人,具体措施到位,各类安全管理制度健全,建立安全技术保障,周密细致的信息安全工作,严格周详的审计应急计划。
五、设备安全管理包括几个方面?并具体说说这几个方面的内容。
答:设备安全管理包括设备的选型、检测、安装、登记、使用、维修和储存管理等几个方面。
1、设备选型。
信息系统采用有关信息安全技术措施和采购相应的安全设备时,应遵循下列原则:
严禁采购和使用未经国家信息安全测评机构认可的信息安全产品;
尽量采用我国自主开发研制的信息安全技术和设备;
尽量避免直接采用境外的密码设备;
必须采用境外信息安全产品时,该产品必须通过国家信息安全组织机构的认证;
严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的国内密码设备。
2、设备检测。
信息系统中的所有安全设备必须是经过国家信息安全产品测评认证的合格产品,并应该符合中华人民共和圈网家标准《数据处理设备的安全》、《电动办公机器的安全》中规定的要求,其电磁辐射强度、可靠性及兼容性也应符合安全管理等级要求。
3、设备安装。
安装设备时,要做到以下几点:
设备符合系统选型要求并获得批准后,方可购置安装;
通过上述“设备检测”项的测试后,设备才能进入试运行阶段,试运行时间的长短可根据需要自行确定;
通过试运行的设备才能投入生产系统,正式运行。
4、设备登记。
对所有设备均应建立项目齐全、管理严格的购置、移交、使用、维护、维修和报废等登记制度,并认真做好登记及检查工作,保证设备管理工作正规化。5、设备使用管理。
对设备的使用管理要做到以下几点:
每台(套)设备的使用均应制定专人负责并建立详细的运行日志;
由设备负责人负责设备的使用登记,登记内容应包括运行起止时间、累积运行时数及运行状况等;
地大《安全信息管理》离线作业
共5道大题,每题20分,共计100分。一 信息安全的常用方法有哪些?常用的信息安全防护方法 1 禁用不必要的服务 2 按照补丁程序 3 安装安全防护产品 4提高安全意识 5 养成良好的习惯 6 及时备份数据。二 信息安全风险评估的过程是什么?1 评估准备。2 识别并评价资产。3 评估威胁 脆弱性 控...
李沟公司2023年安全信息总结
工作总结。2012年以来,在各级领导的大力支持和帮助下,我们坚持党的安全生产方针,加大对国家法律 法规 安全指令 行业标准和上级部门及集团公司一系列安全文件的宣传力度,要求各级领导干部要清醒认识当前面临的严峻形势 带着责任抓安全,带着良心抓安全,带着感情抓安全,全力以赴,严防死守,不能有任何闪失。强...
2023年度重大安全风险管控方案
煤矿重大安全风险管控。煤矿严格按照 山西省安全生产委员会办公室关于推进安全风险分级管控和隐患排查治理双重预防机制构建工作的通知 晋安办发 2017 42号 要求,努力构建安全风险分级管控和隐患排查治理双重预防工作机制,坚决防范遏制重特大事故发生并结合矿井实际对我矿重大安全风险管做出如下管控要求。一 ...