首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符
admin
2021-01-13
63
问题
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符合(24)的要求。
选项
A、资产识别和评估
B、威胁识别和分析
C、脆弱性识别和分析
D、等保识别和分析
答案
B
解析
按照GB/T20269-2006《信息安全技术信息系统安全管理要求》,风险分析和评估包括:
资产识别和分析对资产识别和分析,不同安全等级应有选择地满足以下要求的一项:
①信息系统的资产统计和分类:确定信息系统的资产范围,进行统计和编制资产清单,并进行资产分类和重要性标识。
②信息系统的体系特征描述:在①的基础上,根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别,对信息系统的体系特征进行描述,至少应阐明信息系统的使命、边界、功能,以及系统和数据的关键性、敏感性等内容。
威胁识别和分析对威胁识别和分析,不同安全等级应有选择地满足以下要求的一项:
①威胁的基本分析:应根据以往发生的安全事件、外部提供的资料和积累的经验等,对威胁进行粗略的分析。
②威胁列表:在①的基础上,结合业务应用、系统结构特点以及访问流程等因素,建立并维护威胁列表;由于不同业务系统面临的威胁是不同的,应针对每个或者每类资产有一个威胁列表。
③威胁的详细分析:在②的基础上,考虑威胁源在保密性、完整性或可用性等方面造成损害,对威胁的可能性和影响等属性进行分析,从而得到威胁的等级;威胁等级也可通过综合威胁GB/T20269—200611的可能性和强度的评价获得。
④使用检测工具捕捉攻击:在③的基础上,对关键区域或部位进行威胁分析和评估,在业务应用许可并得到批准的条件下,可使用检测工具在特定时间捕捉攻击信息进行威胁分析。
脆弱性识别和分析对脆弱性识别和分析,不同安全等级应有选择地满足以下要求的一项:
①脆弱性工具扫描:应通过扫描器等工具来获得对系统脆弱性的认识,包括对网络设备、主机设备、安全设备的脆弱性扫描,并编制脆弱性列表,作为系统加固、改进和安全项目建设的依据;可以针对资产组合、资产分类编制脆弱性列表和脆弱性检查表。
②脆弱性分析和渗透测试:在①的基础上,脆弱性的人工分析至少应进行网络设备、安全设备以及主机系统配置检查、用户管理检查、系统日志和审计检查等;使用渗透测试应根据需要分别从组织机构的网络内部和网络外部选择不同的接入点进行;应了解测试可能带来的后果,并做好充分准备;针对不同的资产和资产组合,综合应用人工评估、工具扫描、渗透性测试等方法对系统的脆弱性进行分析和评估;对不同的方法和工具所得出的评估结果,应进行综合分析,从而得到脆弱性的等级。
③制度化脆弱性评估:在②的基础上,坚持制度化脆弱性评估,应明确规定进行脆弱性评估的时间和系统范围、人员和责任、评估结果的分析和报告程序,以及报告中包括新发现的漏洞、已修补的漏洞、漏洞趋势分析等。
转载请注明原文地址:https://kaotiyun.com/show/e8XZ777K
本试题收录于:
系统集成项目管理工程师上午基础知识考试题库软考中级分类
0
系统集成项目管理工程师上午基础知识考试
软考中级
相关试题推荐
MPEG视频中的时间冗余信息可以采用(4)的方法进行压缩编码。
补充图22-25中的联系和联系的类型。若车辆可购买多种不同的保险,则对应有多个保险单。如果考虑需要理赔的情况,则在结算车辆维修费用时,需要用户指定此次委托维修的车辆的不同保险单所负担的总维修费用的比例。请对增加了“保险单”实体的图22-25进行修改,画
【说明】某工程项目公司的信息管理系统的部分关系模式如下:职工(职工编号,姓名,性别,居住城市)项目(项目编号,项目名称,状态,城市,负责人编号)职工项目(职工编号,项目编号)其中:(1)一个职工可以同时参与多
给出上述各关系模式的主键,以及投保单关系模式的函数依赖。分析投保单关系模式属于第几范式,并简单说明原因。修改上述关系模式,以达到4NF。
设顺序存储的某线性表共有123个元素,按分块查找的要求等分为3块。若对索引表采用顺序查找方法来确定子块,且在确定的子块中也采用顺序查找方法,则在等概率的情况下,分块查找的平均查找长度为(72)。
设关系R和S的元数分别为r和s。那么,由属于R但不属于S的元组组成的集合运算称为(1)。在一个关系中找出所有满足某个条件的元组的运算称为(2)运算。对R和S进行(3)运算可得到一个r+s元的元组集合,其每个元组的前r个分量来自R的一个元组,后s个分量来自S
软件测试在软件生命周期中横跨两个阶段,单元测试通常在(1)阶段完成。单元测试主要采用(2)技术,一般由(3)完成。测试一个模块时需要为该模块编写一个驱动模块和若干个(4)。渐增式集成是将单元测试和集成测试合并到一起,(5)集成测试中不必编写驱动模块。
盗窃信用卡的人的购买行为可能不同于信用卡持有者,信用卡公司通过分析不同于常见行为的变化来检测窃贼,这属于________分析。
阅读下列说明和表,回答问题,将解答填入答题纸的对应栏内。【说明】防火墙类似于我国古代的护城河,可以阻挡敌人的进攻。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙通过使用各种安全规则来实现网络的安全策略。防火墙的
随机试题
简述敬顺昊天的宗教现实功能。
肛管的长度是:
等渗性缺水亦称
下列各项中,不属于对上市公司进行监管的类型的是()。
替代效应与价格的变动方向是()。
生产观念致力于解决下列企业经营中()的问题。
会场的整体布局要做到庄重、美观、舒适,一般不用考虑会议的()。
案例:在讲授《素描》一课时,高老师先给学生讲述了什么是素描,然后让学生从老师带来的众多绘画工具中,选出素描可以用的工具,用了5分钟。然后,高老师带学生进行了大量的线条练习,让学生在纸上进行排线练习,用了30分钟。最后,高老师用10分钟给学生讲了光
承认推行户籍法的难度,并不意味着可以无限期地搁置制定这部法律。法治社会的要义,就是通过法律来解决问题、协调矛盾,而不能等到所有问题都解决了,所有矛盾都消失了,才平平稳稳地推出一部迟到的法律。一些政策的推行,固然可以为法律的实施铺平道路、扫除障碍,然而政策终
下列作家与其作品的对应,错误的是()。
最新回复
(
0
)