首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符
admin
2021-01-13
84
问题
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符合(24)的要求。
选项
A、资产识别和评估
B、威胁识别和分析
C、脆弱性识别和分析
D、等保识别和分析
答案
B
解析
按照GB/T20269-2006《信息安全技术信息系统安全管理要求》,风险分析和评估包括:
资产识别和分析对资产识别和分析,不同安全等级应有选择地满足以下要求的一项:
①信息系统的资产统计和分类:确定信息系统的资产范围,进行统计和编制资产清单,并进行资产分类和重要性标识。
②信息系统的体系特征描述:在①的基础上,根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别,对信息系统的体系特征进行描述,至少应阐明信息系统的使命、边界、功能,以及系统和数据的关键性、敏感性等内容。
威胁识别和分析对威胁识别和分析,不同安全等级应有选择地满足以下要求的一项:
①威胁的基本分析:应根据以往发生的安全事件、外部提供的资料和积累的经验等,对威胁进行粗略的分析。
②威胁列表:在①的基础上,结合业务应用、系统结构特点以及访问流程等因素,建立并维护威胁列表;由于不同业务系统面临的威胁是不同的,应针对每个或者每类资产有一个威胁列表。
③威胁的详细分析:在②的基础上,考虑威胁源在保密性、完整性或可用性等方面造成损害,对威胁的可能性和影响等属性进行分析,从而得到威胁的等级;威胁等级也可通过综合威胁GB/T20269—200611的可能性和强度的评价获得。
④使用检测工具捕捉攻击:在③的基础上,对关键区域或部位进行威胁分析和评估,在业务应用许可并得到批准的条件下,可使用检测工具在特定时间捕捉攻击信息进行威胁分析。
脆弱性识别和分析对脆弱性识别和分析,不同安全等级应有选择地满足以下要求的一项:
①脆弱性工具扫描:应通过扫描器等工具来获得对系统脆弱性的认识,包括对网络设备、主机设备、安全设备的脆弱性扫描,并编制脆弱性列表,作为系统加固、改进和安全项目建设的依据;可以针对资产组合、资产分类编制脆弱性列表和脆弱性检查表。
②脆弱性分析和渗透测试:在①的基础上,脆弱性的人工分析至少应进行网络设备、安全设备以及主机系统配置检查、用户管理检查、系统日志和审计检查等;使用渗透测试应根据需要分别从组织机构的网络内部和网络外部选择不同的接入点进行;应了解测试可能带来的后果,并做好充分准备;针对不同的资产和资产组合,综合应用人工评估、工具扫描、渗透性测试等方法对系统的脆弱性进行分析和评估;对不同的方法和工具所得出的评估结果,应进行综合分析,从而得到脆弱性的等级。
③制度化脆弱性评估:在②的基础上,坚持制度化脆弱性评估,应明确规定进行脆弱性评估的时间和系统范围、人员和责任、评估结果的分析和报告程序,以及报告中包括新发现的漏洞、已修补的漏洞、漏洞趋势分析等。
转载请注明原文地址:https://kaotiyun.com/show/e8XZ777K
本试题收录于:
系统集成项目管理工程师上午基础知识考试题库软考中级分类
0
系统集成项目管理工程师上午基础知识考试
软考中级
相关试题推荐
若关系模型R∈2NF,且每一个非主属性都不传递依赖于主码,则( )。
CD上声音的采样频率为44.1kHz,样本精度为16bit,双声道立体声,那么其未经压缩的数据传输率为(11)。
在(a)处填入所需的实体、联系及其属性,完成概念模型设计。在(b)、(c)、(d)、(e)处填入对应关系的属性,完成逻辑结构设计。
根据上述说明,用SQL定义“原材料”和“仓库”的关系模式如下,请在空缺处填入正确的内容。createTable仓库(仓库号Char(4),面积Int,
阅读下列说明,回答问题1至问题5。【说明】某仓储超市采用POS(PointofSale)收银机负责前台的销售收款,为及时掌握销售信息,并依此指导进货,拟建立商品进、销、存数据库管理系统。该系统的需求分析已经基本完成,下面将进入概念模型的设计。
在软件开发过程中常用图来作为描述的工具。DFD就是面向(1)分析方法的描述工具。在一整套分层DFD中,如果某一张图中有N个加工(Process),则这张图允许有(2)张子图。在一张DFD图中,任意两个加工之间(3)。在画分层DFD的时候,应注意保持(4)之
IS09000系列标准和软件成熟度模型CMM都着眼于质量和过程管理。IS09000系列标准的主导思想是:强调质量(1);使影响产品质量的全部因素始终处于(2)状态;要求证实企业具有持续提供符合要求产品的(3);强调质量管理必须始终坚持进行质量(4)。而CM
IS09000系列标准和软件成熟度模型CMM都着眼于质量和过程管理。IS09000系列标准的主导思想是:强调质量(1);使影响产品质量的全部因素始终处于(2)状态;要求证实企业具有持续提供符合要求产品的(3);强调质量管理必须始终坚持进行质量(4)。而CM
数据库镜像技术的优点是(49)。
在以下对千兆以太网和快速以太网的描述中,(29)是错误的
随机试题
痰饮、悬饮、支饮、溢饮四者当如何鉴别?
一国政府不规定本国的官方汇率,外汇汇率是由外汇市场根据外汇的供求状况自发地决定的汇率制度是()
关于胆汁,描述错误的是
按化学结构分类合成镇痛药有
内爬升塔机的固定间隔不得小于()楼层。
主控项目检验内容中要用数据说明的包括()。
合成定蓝(还原靛蓝)()
ABC投资咨询公司正在进行投资组合的分析,该组合包含着2只股票:X和Y。X股票和Y股票的预期收益率分别为10%和13%,标准差分别是30%和40%。投资占比各为50%。ABC的分析师经过计算之后得出,该投资组合的标准差为35%。ABC公司是否应该接受该投资
在教育学中,________是指儿童个体生长发育的一种状况,指个体的生理和心理机能与能力都达到比较完备的阶段。
1.03,2.05,2.07,4.09,(),8.13
最新回复
(
0
)