1.8 书面实验
1. 讨论和描述CIA三元组。
2. 要求某人对其用户账户的行为负责的要求是什么?
3. 描述变更控制管理的好处。
4. 实施分类计划的七个主要步骤或阶段是什么?
5. 请说出(ISC)2 为CISSP 定义的六个主要安全角色名称。
6. 完整的组织安全策略由哪四个组成部分?其基本目的是什么?
答案:
1. CIA 三元组是保密性、完整性和可用性的结合。保密性指用于确保保护数据、对象或资源的隐密性的措施。完整性是保护数据可靠性和正确性的概念。可用性指被授权的主体能及时不间断地访问对象。CIA 三元组这个术语用来表示安全解决方案的三个关键组件。
2. 问责制的要求是标识、身份验证、授权和审计。这些组成部分都需要法律上的支持,才能真正让某入对自己的行为负责。
3. 变更控制管理的好处包括:防止由于不受控制的变更而导致不必要地降低安全性,记录和跟踪环境、标准化、使所有更改符合安全策略,以及在不需要或意外结果发生时回滚更改的能力。
1) 确定管理人员,并定义其职责。
2) 指定信息如何进行分类和标记的评估标准。
3) 对每个资源进行数据分类和增加标签(数据所有者会执行此步骤,监督者应予以审核)。
4) 记录数据分类策略中发现的任何异常,并集成到评估标准中。
5) 选择将应用于每个分类级别的安全控制措施,以提供必要的保护级别。
6) 指定解除资源分类的流程,以及将资源保管权转移给外部实体的流程。
7) 建立一个组织范围的培训程序来指导所有人员使用分类系统。
4. 这六个安全角色是高级管理者、IT/安全人员、数据所有者、数据托管员、操作员/用户和审计人员。
5. 安全策略的四个组成部分是策略、标准/基线、指南和程序。策略是广泛的安全声明。标准是硬件和软件安全合规性的定义。当没有合适的程序时,可使用指南。程序是以安全方式执行工作任务的详细分步说明。
1.9 复习题
1. 下列哪一项是安全的主要目标?
A. 网络的边界范围
B. CIA三元组
C. 独立系统
D. 互联网
2. 对脆弱性和风险的评估基于以下哪种威胁?
A. CIA三元组的一个或多个原则
B. 数据有效性
C. 应尽关心
D. 尽责程度
3. 下列哪一项是CIA 三元组中的原则,代表授权主体被授予及时和不间断地访问客体的权限?
A. 标识
B. 可用性
C. 加密
D. 分层防御
4. 下列哪一项不被视为违反保密性?
A. 窃取密码
B. 窃听
C. 破坏硬件
D. 社会工程
5. 下列哪一项是不正确的?
A. 保密性的违反包括人为错误。
B. 保密性的违反包括管理监督。
C. 保密性的违反仅限于直接的故意攻击。
D. 当传输没有正确加密时可能发生违反保密性的情况。
6.STRIDE 常用于评估对应用程序或操作系统的威胁。下列哪一项不是STRIDE 的元素?
A. 欺骗
B. 特权提升
C. 否认
D. 泄露
7. 如果安全机制提供了可用性,它就提供了高度保障授权的主体可以()数据、客体和资源。
A. 控制
B. 审计
C. 访问
D. 否认
8. ()指对个人身份信息或可能对他人造成伤害、令他人感到尴尬的信息加以保密。
A. 隔绝
B. 隐藏
C. 隐私
D. 关键性
9. 对于所有受影响的个人,除了下列哪一项之外,个人都有知情权?
A. 限制个人电子邮件
B. 录音电话交谈
C. 收集有关上网习惯的信息
D.用于保存电子邮件的备份机制
10. 数据分类管理的什么元素可覆盖所有其他形式的访问控制?
A. 分类
B. 物理访问
C. 管理员职责
D. 获得所有权
11. 以下哪一项确保活动或事件的主体不能否认事件的发生?
A. CIA 三元组
B. 抽象
C. 不可否认性
D. 散列值
12. 以下哪个概念相对于分层安全是最重要和最特别的?
A. 多层
B. 串行
C. 并行
D. 过滤
13. 下列哪一项不是数据隐藏的例子?
A. 防止授权的客体阅读者删除客体
B. 防止未经授权的访问者访问数据库
C. 限制较低分类级别的主体访问较高分类级别的数据
D. 阻止应用程序直接访问硬件
14. 变更管理的主要目标是什么?
A. 维护文档
B. 使用户得到变更通知
C. 允许失败的变更进行回滚
D. 防止安全危害
15. 数据分类方案的主要目标是什么?
A. 控制授权主体对客体的访问。
B. 根据指定的重要性和敏感性标签,对数据进行程序化和分层的保护过程。
C. 为问责制建立事务跟踪。
D. 为操作访问控制提供最有效的方法来授予或限制功能。
16. 对数据进行分类时,通常不考虑下列哪一项特征?
A. 价值
B. 客体的大小
C. 可用的生命周期
D. 对国家安全的影响
17. 两种常见的数据分类方案是什么?
A. 政府/军事分类方案和商业/私营部门分类方案
B.个人和政府
C. 私营部门和非限制性部门
D. 已分类和未分类
18. 对于已分类的数据,下列哪一项是最低的军事数据分类级别?
A. 敏感
B. 机密
C. 专有
D. 私有
19. 商业/私营部门的哪个数据分类级别用于控制组织内的个人信息?
A. 机密
B. 私有
C. 敏感
D. 专有
20. 数据分类可用在除哪一项之外的所有安全控制中?
A. 存储
B. 处理
C. 分层
D. 传输
答案:
1. B. 安全的主要目的和目标是保密性、完整性和有效性,通常称为CIA 三元组。
2. A. 对脆弱性和风险评估都基于它们对一个或多个CIA 三元组的威胁。
3. B. 可用性指被投权的主体能及时和不间断地访问客体。
4. C. 硬件破坏是对可用性和完整性的破坏。违反保密性的行为包括捕获网络流量、窃取密码文件、社会工程、端口扫描、肩窥、窃听和嗅探。
5. C. 违反保密性规定的行为不仅限于直接的故怠攻击。许多未经授权泄矗敏感或机密信息的情况是由于人为错误、疏忽或无能造成的。
6. D. 泄露不是STRIDE 的要素。STRIDE 的元素包括欺骗、篡改、否认、信息泄露、拒绝服务和特权提升。
7. C. 数据、对象和资源的可访问性是可用性的目标。如果安全机制提供了可用性,那么它就提供了对数据、对象和资源可被授权主体访问的高度保证。
8. C. 隐私指对个人身份信息保密,或对可能使他人受到伤害、让他人感动尴尬或丢脸的信息保密。隔绝是把东西存放在不可到达的地方。隐藏是指藏匿或防止泄露的行为。信息的关键程度是其关键性的衡量标准。
9. D. 用户应该知道电子邮件被保留了,但执行此操作的备份机制不需耍向他们公开。
10. D. 通常,所有者对其拥有的对象具有完全的功能和特权。在操作系统中,具备所有权的能力通常被授予最强大的账户,因为它可以用来超越任何其他实施的访问控制限制。`
11. C. 不可否认性确保活动或事件的主体不能否认事件的发生。
12. B. 分层防护使用一系列安全机制中的多个安全机制。在串行分层防护中安全控制以线性方式一个接一个连续执行。因此,单个安全控制的故障并不会导致整个解决方案失效。
13. A. 防止已授权阅读者删除客体,是访问控制(而不是数据隐藏)的一个例子。如果你可阅读一个客体,它对你来说就不是隐藏的。
14. D. 变更管理的主要目标是防止危害安全。
15. B. 数据分类方案的主要目标是基于指定的重要性与敏感性标签,对数据进行正式化和分层化的安全防护过程。
16. B. 大小不是建立数据分类的标准。在对目标进行分类时,应该考虑价值、生命周期和安全。
17. A. 军事(或政府)和私营部门(或商业)是两种常见的数据分类方案。
18. B. 在列出的选项中,机密是军事数据分类中最低的。请记住,标为“机密”“秘密”和“绝密”的项目统称为“密级“,而“机密”在列表中的“秘密”以下。
19. B. 商业机构/私营部门的私有数据分类方案可以用于保护个人信息。
20. C. 分层防护是安全机制的核心内容,但它不是数据分类的重点。
490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
