地大《安全信息管理》离线作业

共5道大题，每题20分，共计100分

一、信息安全的常用方法有哪些？

答：信息安全的常用方法有： 1、弱点评估

弱点评估是指对机构的技术基础、政策和程序进行系统的、包括对组织内部计算环境的安全性及其对内外攻击的脆弱性的完整性分析。这些技术驱动的评估通常包括：

(1)使用特定的lT安全活动(例如加固特定类型的平台)。 (2)评估整个计算基础结构。

(3)使用拥有的软件工具分析基础结构及其全部组件。 (4)提供详细的分析，说明检测到的技术弱点，为解决这些弱点提出具体的措施。 2、信息系统审计

信息系统审计是对公司内部控制进行的独立评估，向管理部门、规章制定机构和公司股东保证信息是准确而有效的。审计通常利用特定行业的处理模型、基准、相关的标准，或者确定的最佳实践。审计既考虑财务业绩，又考虑操作性能。审计也可以基于拥有的业务过程风险控制以及分析方法和工具。审计通常由许可的或者认证的审计员执行，具有法定的权力和责任。在审计过程中，审计员评审公司业务记录的准确性和完整性。 3、信息安全风险评估

安全风险评估扩展了上述弱点评估的范围，着眼于分析公司内部与安全相关的风险，包括内部和外部的风险源，以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或目标对风险评估进行排列，其关注的焦点通常集中在安全的以下4个方面：

(1)检查与安全相关的公司实践，以标识出建立或缓和安全风险的优点和弱点。这一程序可能包括对信息进行比较分析，根据工业标准和最佳实践对信息进行等级评定。

(2)对系统进行技术分析，对政策进行评审，以及对物理安全进行审查。

(3)检查IT的基础结构，以确定技术上的弱点。这些弱点包括对如下情况的敏感性：恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更。

(4)帮助决策制定者综合权衡风险以选择成本效率对策。 4、可管理的安全服务提供者

可管理的安全服务提供者依靠专家的经验管理公司的系统和网络。他们使用自己或者其他厂商的安全软件和设备保护组织的基础结构。通常，可管理的安全服务将潜在地监督和保护组织的计算基础结构，使之免受攻击和滥用。这些解决方案趋向于根据每个客户的具体业务需求进行定制，以及使用专门技术。既可以对入侵做出积极的响应，也可以在入侵发生后即时通报用户。其中一些利用自动的、基于计算机的学习和分析，大大地降低了响应时间，增加了准确度。

弱点评估、信息系统审计和信息安全风险评估有助于描述安全问题的特征， 但是并不能管理安全问题，而可管理的服务提供者可以对机构的安全进行管理。虽

然上述每种方法对试图保护自己的机构都有用，但都有一定的局限性，因此，要基于具体的使用环境。小公司可能不得不使用可管理的服务提供者；IT资产有限的公司只能管理弱点，而且取决于必须保护的对象，也许并不需要做太多工作。

二、信息安全风险评估的过程是什么？

答：信息安全风险评估的过程是： 1、信息资产评估

使用信息资产的识别过程中得到的信息，就可以为机构中每项信息资产的价值指定权重分数。根据机构的需要，使用的数字可以不同。一些团体使用1—100的权重分数，其中100代表在几分钟内就会使公司停止运转的信息资产。还有的团体使用l一10的权重分数，或者用l、3和5代表低、中和高价值的资产。也可以根据自己的需要建立权重值。 2、风险的确定 如前所述，风险=出现漏洞的可能性×价值(或影响)一已控制风险的比例+不确定因素。

3、识别可能的控制

对于每一个威胁及其残留风险的相关漏洞而言，应该建立一份控制计划的初步列表。残留风险是指使用了现有的控制方法后信息资产残留的风险。 控制的一种特殊应用是访问控制，它主要控制用户进入机构信息区域。这些区域包括信息系统、物理限制区域，如机房甚至整个机构。访问控制通常由政策、计划和技术组成。

控制访问有许多方法，访问控制可以是强制的、非任意的和任意的。每种方法都针对一组控制，以管理对某类信息或信息集合的访问。 4、记录风脸评估的结果

在风险评估过程结束时，将得到一份很长的信息资产列表，其中包含这些信息资产的各种数据。到目前为止，这个过程的目标是识别机构中有某些漏洞的信息资产，并将它们列出来，依照最需要保护的顺序划出等级。在准备这个列表时，需要收集和存储资产面临的威胁和包含的漏洞等许多信息，还应收集已有控制的一些信息。最后的总结文件是漏洞风险等级表。

三、三种基本的火灾检测系统是什么？并写出这三种检测系统的具体内容。

答：有三种基本的火灾检测系统：热检测、烟检测和火焰检测。

1、热检测系统包含一个高级的热传感器，它以两种方式操作。第一种方式称为固定温度，当区域内的温度达到预定义的级别，通常在135~165华氏度或57~74摄氏度之间，该传感器就开始检测。第二种方式称为上升速度，传感器检测区域在相对较短的时间内不寻常的温度快速增长。对于每一种情况，如果条件满足，就激活警报和灭火系统。热检测系统并不昂贵，也很容易维护。遗憾的是，热检测器通常在问题已经出现后(火已经充分燃烧了)才发现它。因此在人员处于危险状态的区域中，热检测系统并不是防火的最佳方式，也不能用于放置价值很高的设备，或很容易在高温情况下损坏的设备的区域。

2、烟检测系统是检测潜在危险火灾的最常见方式，大多数居民区和商业建筑的建筑标准都要求拥有它们。烟检测器的操作方式有3种。其一，检测某区域。如果该红外线被打断(假定是由烟所引起的)，就激活警报或灭火系统。其二，电离传感器在检测房间里包含少量无害的辐射物质。当燃烧的某些副产品进入该房间时，它们就改变了房间里的导电级别，从而激活检测器。电离传感器系统比光电传感器要高级得多，可以更早地检测到火灾，因为足够多的可见物质进入光电传感器，触发警报之前的很长时间，就能检测出不可见的副产品。其三，烟检测器是空气除尘检测器。空气除尘检测器是很高级的系统，它用于高敏感区域。它们的工作方式是吸人空气，过滤它，将它移到一个包含激光束的房间。如果激光束由于烟尘微粒转向或折射，则激活系统。该类型的系统一般比效率较差的系统要昂贵得多；然而它们的早期检测效果更好，常用于存储在价值极高的设备的区域内。

3、火焰检测器是一个传感器，检测由燃烧的火焰产生的红外线或紫外线。这些系统需要直接面对火焰，并将火焰“信号’’和已知火焰信号数据库进行比较，以判断是否激活警报和灭火系统。火焰检测系统是高度敏感的，非常昂贵，必须在可以扫描受保护区域的各个角落的地方安装。它们一般不用于人员生命处于危险的区域，然而，它们很适合检测化学物品存储区域，因为正常的化学品散发的物质可能激活烟检测器。

四、对安全组织机构的基本要求是什么？

答：安全组织的运行应独立于信息系统的运行，是一个综合性的组织。 (1)建立信息系统安全组织的基本要求

①信息安全组织应当由单位安全负责人领导，绝对不能隶属于计算机运行或计算机应用部门。

②该安全组织是本单位的常设工作职能机构，其具体工作应当由专门的安全负责人负责。

③安全组织的成员类型主要有硬件、软件、系统分析、审计、人事、保卫、通信、本单位应用业务，以及其他所需要的业务技术专家等人员。

④该组织一般有着双重的组织联系，即接受当地公安机关计算机安全监察部门的管理、指导，以及与本业务系统上下级安全管理工作联系。

(2)制定基本安全防范措施的基本任务

基本任务实在政府主管部门的管理指导下，由与系统有关的各方面专家定期或适时进行风险分析，根据本单位的实际情况和需要，确定计算机信息系统的安全等级管理总体目标，提出相应的对策并监督实施，使得本单位计算机信息系统的应用发展建设能够与计算机安全保护工作同步前行。

(3)安全组织的基本标准

①由主管领导负责的逐级计算机安全防范责任制，各级的职责划分明确，并能有效地开展工作。

②明确计算机使用部门或岗位的安全责任制。