论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 65 篇帖子 ]  前往页数 1, 2, 3, 4, 5  下一页
作者 内容
 文章标题 : 请教一道题信息安全考题
帖子发表于 : 2010-10-08 18:36 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2018-01-05 15:24
拥有: 3,363.00 安全币

奖励: 222 安全币
在线: 1791 点
帖子: 237
单选。据说这题没有答案,看似简单,但里面包含了很多信息安全方面的概念,有一点含糊不清都会选择错误,我自己偏向于选择A,至于BCD选项,我觉得我自己理解的安全理论里都有否定BCD的依据,至于对错就不知道了,所以请大家看下。

你做为一名信息中心的主任,在实际工作中当你无法将数据库管理员和系统管理员的职责分别赋予两个人的情况下,产生一定的风险,这个时候你会采取
A 对实际操作人员的操作过程进行审计
B 向人力资源部门报告,调配相关人员迅速解决该问题
C 根据组织机构制定的安全策略方针,迅速采取控制措施
D 当以上3项都不可能解决问题的话,报告高级管理层并详细清晰的描述该问题可能导致的损失,等待高层决定是否接受该风险或调配资源执行相关的控制措施。


--------本帖迄今已累计获得25安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-08 22:34 
离线
中级用户

注册: 2008-04-17 21:11
最近: 2012-09-04 12:41
拥有: 582.90 安全币

奖励: 44 安全币
在线: 236 点
帖子: 63
个人认为D的做法便为恰当。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 00:04 
离线
顶级用户

注册: 2008-01-08 09:09
最近: 2015-12-18 11:54
拥有: 12,489.50 安全币

奖励: 3044 安全币
在线: 2785 点
帖子: 776
地址: 浙江杭州
过程审计 是事后的行为 减弱了风险
人力资源未必就能给你找到合适的人 风险仍可能存在
方针太虚了 不实际
既然风险不能规避 那就接受吧


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 09:46 
离线
高级用户

注册: 2004-09-03 14:32
最近: 2015-01-15 10:17
拥有: 577.60 安全币

奖励: 0 安全币
在线: 3451 点
帖子: 165
A和C都对


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 10:20 
离线
高级用户

注册: 2009-05-25 11:07
最近: 2015-01-18 18:59
拥有: 1,717.00 安全币

奖励: 1635 安全币
在线: 2063 点
帖子: 177
地址: natthun%gmail.com
D选项很有意思,如果ABC的任一项可行,则D不可选;选D的情形是ABC都不能其解决或ABC方案信息主任无足够资源实施,需要由高层决定采取的措施,或A或B或C或接受。
A.操作过程审计,是否有独立的审计人员?如有,是否可让其担任上述职责之一?由于身兼两职,可以很方便消除用于审计的证据,依靠审计不能消除此风险甚至减小风险。
B.增加人员确实有助于消除此风险,但存在问题是信息中心主任是否能向人力资源申请并得到有效支持?信息方面的人才在公司层面已经集中在信息中心,其他可能更多的是偏向业务,无法完全胜任信息工作的,是否有人员可调配?如果没有,招聘是件棘手的事。
C.依据现有方针采取措施,现有方针要求分离,对于不能分离情形是否有应对措施?是否拥有足够资源实施控制措施且能消除此风险?

感觉D项是最合适的,信息安全需要自上而下,由组织决定风险的处理方式。楼主不妨把自己理解的安全理论里都有否定BCD的依据写出来,大家一起讨论学习下。

superman007 写道:
A和C都对
ps:C选项是否包含A?如果是,若A正确则C正确,就不能选A和C啦(只有一个答案) :D 逻辑上A、C都对意味着都错 :mrgreen:


--------本帖迄今已累计获得72安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 10:37 
离线
顶级用户

注册: 2008-01-08 09:09
最近: 2015-12-18 11:54
拥有: 12,489.50 安全币

奖励: 3044 安全币
在线: 2785 点
帖子: 776
地址: 浙江杭州
楼上的分析很精辟么


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 11:29 
离线
初级用户

注册: 2007-07-21 20:10
最近: 2016-03-28 21:47
拥有: 314.00 安全币

奖励: 27 安全币
在线: 202 点
帖子: 42
B和C都可以立刻排除。
选A的话,是否能审计出某些不正常的操作,比如先以数据库管理员的身份访问或删除了某些敏感数据,然后通过系统管理员的身份把操作记录删除了。既然把操作记录删除了,应该就审计不出来了吧?
比较头大的是这里系统管理员是否也是安全管理员呢(拥有删除操作记录的权限)?如果他没有删除操作记录的权限,审计应该还是有效的,但是事后的,还是具有比较大的风险。

应该是选D。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 13:21 
离线
初级用户

注册: 2007-07-21 20:10
最近: 2016-03-28 21:47
拥有: 314.00 安全币

奖励: 27 安全币
在线: 202 点
帖子: 42
细想之下,对这题的“考点”又有新的想法,首先老外的考点应该是比较直接的,不会太拐弯抹角的。

第一个考点是,在一项安全措施(职责分离)不起作用的情况下,能不能用A B C三种办法来起“补偿”作用。我们学过,当一种安全措施不起效,就可以安排其他安全措施作为补偿。很明显,B和C都不会起作用。B能起作用就不会出现题目说明的情况了,而C策略方针不会给出具体的措施。

第二个考点是,答案A,也就是审计能否作为职责分离的补偿措施呢?答案是在某些情况下肯定是可以的,但某些情况下又不行,因为审计只是种事后的措施,而且系统管理员很可能消除证据。

也就是说,答案A只在某些情况下生效,那么最佳答案只能是D,接受这个风险或者另找其他补偿措施了。


--------本帖迄今已累计获得42安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 15:46 
离线
初级用户

注册: 2007-11-19 22:38
最近: 2012-02-29 14:30
拥有: 198.30 安全币

奖励: 5 安全币
在线: 629 点
帖子: 35
我觉得这种题目本身就是个错误的题目。题干太模糊,选项和题干自相矛盾,选项中需要假设的太多。没有交代清楚风险的原因,风险的严重程度。如果要我选,选C。。个人认为更合适。。

先说题干:职责没有分离,产生了一定的风险。 我们对可能风险的处置,基本都是根据风险的严重程度来的。这个风险严重程度如何?组织能不能接受?题目没有交待。

A。采用审计。 对于风险,我们最优的措施首先肯定是消除。预防甚于检查嘛。 但是如果是组织可以接受的风险,审计也可以。但A肯定不是最合适的答案。
B。找人力资源部门。粗看,能够直接消除风险。但没有C合适
C。依据组织策略,作出措施。很通用的答案
D。这个答案,太不靠谱。ABC不行的话,通知高层。题干说B是直接原因,直接把风险产生的根本消除了,风险依然存在。那是不是把风险产生的原因搞错了。而且应该说,组织策略中,应该包含了一切处理的流程。也包括了,如何上报高层


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 16:00 
离线
超级用户

关注按钮

注册: 2007-01-10 15:26
最近: 2015-08-24 16:10
拥有: 12,090.90 安全币

奖励: 7108 安全币
在线: 11325 点
帖子: 603
地址: 北京
个人认为前面三项都是解决措施中的一种,职责分离的风险识别出来以后,可以考虑采取A,B,C三项控制措施来降低风险,如果无法有效实施的话,再向高管层报告,是否考虑接受该风险,融入了风险评估的思想。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 16:40 
离线
初级用户

注册: 2009-08-09 14:44
最近: 2012-02-09 22:07
拥有: 9.00 安全币

奖励: 0 安全币
在线: 30 点
帖子: 21
个人觉得选D是规避风险的合理作法


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 19:23 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2018-01-05 15:24
拥有: 3,363.00 安全币

奖励: 222 安全币
在线: 1791 点
帖子: 237
nathun 写道:

感觉D项是最合适的,信息安全需要自上而下,由组织决定风险的处理方式。楼主不妨把自己理解的安全理论里都有否定BCD的依据写出来,大家一起讨论学习下。

superman007 写道:
A和C都对
ps:C选项是否包含A?如果是,若A正确则C正确,就不能选A和C啦(只有一个答案) :D 逻辑上A、C都对意味着都错 :mrgreen:


A 对实际操作人员的操作过程进行审计
B 向人力资源部门报告,调配相关人员迅速解决该问题
C 根据组织机构制定的安全策略方针,迅速采取控制措施
D 当以上3项都不可能解决问题的话,报告高级管理层并详细清晰的描述该问题可能导致的损失,等待高层决定是否接受该风险或调配资源执行相关的控制措施。

我个人认为选A,对不对请大家指教,如果我是信息中心主任我会这么干,因为首先出于各种原因不能避免职责分离的话,对他们的操作进行审计,哪怕是事后的,万一出了问题,至少也能对相关责任人追究责任,甚至挽回损失,是属于积极和有效的。
B:确实华尔不实,两个原因。1、消极的等待,问题很急切需要解决呢。2、人力资源部门一时找不到合适的人来做怎么办。

C:根据组织机构制定的安全策略方针,迅速采取控制措施。这一条安全人员在设计机构安全策略的时候不可能会违反基本的职责分离的原则来制定安全策略。更谈不上制定什么措施了。

D:看上去很诱惑人,但是完全错误的,我的理解是职责不分离,一人身兼两职甚至多职都有可能使自己企业的核心信息资产受到很严重的损失,恶意的,通常很难挽回。这种损失如果详细、清晰的向管理层描述的话,那么管理层是不可能接受这种损失的,所以就谈不上接受了。


--------本帖迄今已累计获得38安全币用户奖励--------


最后由 coolmarke 编辑于 2010-10-09 20:27,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 19:34 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2018-01-05 15:24
拥有: 3,363.00 安全币

奖励: 222 安全币
在线: 1791 点
帖子: 237
totpig 写道:
我觉得这种题目本身就是个错误的题目。题干太模糊,选项和题干自相矛盾,选项中需要假设的太多。没有交代清楚风险的原因,风险的严重程度。如果要我选,选C。。个人认为更合适。。

先说题干:职责没有分离,产生了一定的风险。 我们对可能风险的处置,基本都是根据风险的严重程度来的。这个风险严重程度如何?组织能不能接受?题目没有交待。


没有交代清楚风险的原因,风险的严重程度

答:请再详细阅读一下题目,我个人觉得是很清楚的,这兄弟理解可能有问题。你是一名信息中心的老大(这是你的视觉),风险原因就是职责不分离,数据库管理员和系统管理员的职责不分离会造成什么样的风险,它的严重程度如何,对于职业安全人员来说是很清楚的。不需要再进行名词的解释了吧。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 20:13 
离线
顶级用户

关注按钮

注册: 2009-09-09 15:33
最近: 2016-05-03 09:22
拥有: 6,669.00 安全币

奖励: 2109 安全币
在线: 11570 点
帖子: 1116
地址: 上海
我选A
题干的意思,我理解“职责分别赋予两个人”是一种“强控制”,IS审计师在控制缺陷之前应当先检查“补偿性控制”A选项“对实际操作人员的操作过程进行审计 ”就是一个补偿性控制。

其次题干中“你是信息中心主任”“实际工作中”等信息,首先想到是补偿性控制,其后再是B、C选项。

我支持A


--------本帖迄今已累计获得42安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-09 21:57 
离线
初级用户

注册: 2007-07-21 20:10
最近: 2016-03-28 21:47
拥有: 314.00 安全币

奖励: 27 安全币
在线: 202 点
帖子: 42
coolmarke 写道:
totpig 写道:
我觉得这种题目本身就是个错误的题目。题干太模糊,选项和题干自相矛盾,选项中需要假设的太多。没有交代清楚风险的原因,风险的严重程度。如果要我选,选C。。个人认为更合适。。

先说题干:职责没有分离,产生了一定的风险。 我们对可能风险的处置,基本都是根据风险的严重程度来的。这个风险严重程度如何?组织能不能接受?题目没有交待。


没有交代清楚风险的原因,风险的严重程度

答:请再详细阅读一下题目,我个人觉得是很清楚的,这兄弟理解可能有问题。你是一名信息中心的老大(这是你的视觉),风险原因就是职责不分离,数据库管理员和系统管理员的职责不分离会造成什么样的风险,它的严重程度如何,对于职业安全人员来说是很清楚的。不需要再进行名词的解释了吧。



我觉得楼主想得太多了,这种题目不可能考得那么深入。而且答案D已经说得很清楚了,信息中心主任不可能不清楚这个风险,但A B C三种办法在不能起作用的情况下(注意答案的前提限制),由管理层决定是否接受或者“另外调配资源来解决这个风险”。既有前提,又有向管理层的汇报,管理层不安排有效措施是管理层的DUE CARE问题,作为信息中心主任已经DUE DILEGENCE了。

做CISSP的考题我发现不能想的太多,依照题意分清因果条件反而是最容易选到最佳答案。


--------本帖迄今已累计获得17安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 65 篇帖子 ]  前往页数 1, 2, 3, 4, 5  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012