论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 65 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5  下一页
作者 内容
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-13 11:03 
离线
初级用户

注册: 2007-07-21 20:10
最近: 2016-03-28 21:47
拥有: 314.00 安全币

奖励: 27 安全币
在线: 202 点
帖子: 42
或许这道题,老外出题的思路是,一项预防性的安全措施失效,则可用一项检测性的安全措施补偿,就这么简单。

原则上同意答案D的漏洞最少,但答案D的“如果以上3项都不能解决问题”这个前提,非常模糊:
1.似乎默认承诺了先采取措施解决问题是正确的;
2.“不能解决问题”是什么含义?大家认为是未能达到管理层要求的安全水平,但不能达到这个水平到底补偿措施做还是不做呢,看题目的意思是纯粹是考虑,而没有表达出已经做了但有剩余风险的意思。

我觉得需要看看原题的英文表达才好断定,如果仍然是这么模糊的这题就没什么特别意思,其实大家都懂,只不过被这些题目的模糊表达搞死。对题目的讨论来讨论去一点意义没有。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-13 11:05 
离线
初级用户

注册: 2007-07-21 20:10
最近: 2016-03-28 21:47
拥有: 314.00 安全币

奖励: 27 安全币
在线: 202 点
帖子: 42
或许这道题,老外出题的思路是,一项预防性的安全措施失效,则可用一项检测性的安全措施补偿,就这么简单。

原则上同意答案D的漏洞最少,但答案D的“如果以上3项都不能解决问题”这个前提,非常模糊:
1.似乎默认承诺了先采取措施解决问题是正确的;
2.“不能解决问题”是什么含义?大家认为是未能达到管理层要求的安全水平,但不能达到这个水平到底补偿措施做还是不做呢,看题目的意思是纯粹是考虑,而没有表达出已经做了但有剩余风险的意思。

我觉得需要看看原题的英文表达才好断定,如果仍然是这么模糊的这题就没什么特别意思,其实大家都懂,只不过被这些题目的模糊表达搞死。对题目的讨论来讨论去一点意义没有。


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-13 12:54 
离线
中级用户

注册: 2008-04-17 21:11
最近: 2012-09-04 12:41
拥有: 579.90 安全币

奖励: 44 安全币
在线: 236 点
帖子: 63
Parol 写道:
或许这道题,老外出题的思路是,一项预防性的安全措施失效,则可用一项检测性的安全措施补偿,就这么简单。

原则上同意答案D的漏洞最少,但答案D的“如果以上3项都不能解决问题”这个前提,非常模糊:
1.似乎默认承诺了先采取措施解决问题是正确的;
2.“不能解决问题”是什么含义?大家认为是未能达到管理层要求的安全水平,但不能达到这个水平到底补偿措施做还是不做呢,看题目的意思是纯粹是考虑,而没有表达出已经做了但有剩余风险的意思。

我觉得需要看看原题的英文表达才好断定,如果仍然是这么模糊的这题就没什么特别意思,其实大家都懂,只不过被这些题目的模糊表达搞死。对题目的讨论来讨论去一点意义没有。


呵呵,看来兄弟对这个题还是很纠结。题目和答案不可能写得很全面很显然,不然一看就知道答案,那就不叫考试了。如果是,那可能满街都是CISSP、CISA、CCIE等。

一项安全措施失效,要改用另一项安全措施之前不是应该先做做分析和方案吗?如果是一项比较重大举措,那是需要报领导审批的。以此为例,当决定采用过程审计措施来补尝“职责不分离”问题之前,相信信息安全中心主任已经对现状和问题进行分析过,然后才决定采用过程审计方案。就算拍脑袋得出的方案也是经过分析的,分析对不对全不全那是另一会事。不然为何不提出用防火墙、IDS或其它更另类的措施而提出过程审计呢?以此与D相比,缺少向管理层上报分析与方案环节,然后信息安全中心主任替管理层行决定了采用过程审计方案。就此而言,有更完善的流程为何不用呢?同时D选项也表明了,如果管理层同意了方案,后面还要实施工作要做呢,不是光报报管理层就结束。

最后,审计就是最好的补尝指措施吗?不见得吧!?难道不可以同时上含审计以内的二、三、四、五、六项补尝措施吗?说不定真的上了这么多措施后可以等同于“职责分离”的效果呢...(后面这句话是开个玩笑)


--------本帖迄今已累计获得52安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-13 14:47 
离线
版主

注册: 2007-02-24 17:41
最近: 2014-12-26 13:46
拥有: 7,252.90 安全币

奖励: 11840 安全币
在线: 4106 点
帖子: 497
地址: 广东深圳
这个世界还是大同的,回头看看大家的回复,最终纠结的应该就是题目的表述了。
同意上上楼的建议,楼主可以将英文原文贴上来看看~


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-13 15:23 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2015-07-14 15:19
拥有: 3,369.00 安全币

奖励: 222 安全币
在线: 1779 点
帖子: 237
stanley 写道:
这个世界还是大同的,回头看看大家的回复,最终纠结的应该就是题目的表述了。
同意上上楼的建议,楼主可以将英文原文贴上来看看~


英文原帖我这里没有,这道题目是在我们整个系统举行的全国**系统IT交流-广州交流会上一个安全专家提出的,据说该题是出自国外某个安全机构的,交流会上讨论是相当激烈,但没有一个让大家都能接受的答案,大家都有自己的一套理论来支持自己的选项,而且就算是选择同一个选项的朋友他们的观点也不尽相同(这是我最感兴趣的),打个可能不太恰当的比方:感觉好像武侠小说里《侠客行》这首诗,很多人对着同一首诗来练功,最后练成的武功都不一样,学的同一首诗最后甚至还分成外功和内功,但有一点相同:他们都是高手。各人对安全理论的理解和自己公司的各种环境包括管理层等等不同的因素,选择肯定就会不一样。适合自己就好.总之我个人觉得不管选哪一项都不存在正确和错误,这可能就是这道题的魅力吧。


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-14 21:13 
离线
中级用户

注册: 2007-12-21 23:01
最近: 2013-09-18 14:58
拥有: 360.60 安全币

奖励: 30 安全币
在线: 2291 点
帖子: 89
个人觉得应该选C
A:审计属于事后控制措施,事前的预防好于事后的补偿性控制措施
B: 属于事前预防措施,但是信息安全调配资源不是信息中心主任说干就能干的事
C:个人认为最好的,根据安全策略,那么信息安全策略里面就会说到风险评估方法,风险的可接受准则,和风险处理的方法
那么就用他做一个风险评估并向管理层报告,看看是否能够申请到资源,如果不能自然就使用补偿性控制措施。
D:其实还是风险评估,但是策略里面应该有的,如果策略不能搞定,那么说明你的这个东西跟信息安全目标是不符合的,那么自然无法操 作!


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-15 23:30 
离线
超级用户

注册: 2007-07-18 13:51
最近: 2014-10-22 09:27
拥有: 2,658.40 安全币

奖励: 413 安全币
在线: 1950 点
帖子: 335
地址: BeiJing
coolmarke 写道:
单选。据说这题没有答案,看似简单,但里面包含了很多信息安全方面的概念,有一点含糊不清都会选择错误,我自己偏向于选择A,至于BCD选项,我觉得我自己理解的安全理论里都有否定BCD的依据,至于对错就不知道了,所以请大家看下。

你做为一名信息中心的主任,在实际工作中当你无法将数据库管理员和系统管理员的职责分别赋予两个人的情况下,产生一定的风险,这个时候你会采取
A 对实际操作人员的操作过程进行审计
B 向人力资源部门报告,调配相关人员迅速解决该问题
C 根据组织机构制定的安全策略方针,迅速采取控制措施
D 当以上3项都不可能解决问题的话,报告高级管理层并详细清晰的描述该问题可能导致的损失,等待高层决定是否接受该风险或调配资源执行相关的控制措施。

既然说没有答案,那是就是题干的信息不够,不能支持给出答案来,ABCD都是解决问题的办法,“在实际工作中当你无法将数据库管理员和系统管理员的职责分别赋予两个人的情况下”是不是加了人也不能将职责分开,如果这样理解的话就只能选AD了,再根据D的说法选A,不过我也是支持B的说法调配人员也不是说现在招人,可以将1个人分成2个系统的系统管理员或DBA,C选项的话如果公司有相应的策略方针C的话也对。
不是说没有答案吗,能让大家思考一下也不错。


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-15 23:33 
离线
超级用户

注册: 2007-07-18 13:51
最近: 2014-10-22 09:27
拥有: 2,658.40 安全币

奖励: 413 安全币
在线: 1950 点
帖子: 335
地址: BeiJing
如果这道题是问答题的话,答案基本就能统一的,放到培训里让大家思考一下也是不错的利用,如果作为正式的考题,出题人就2了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-16 14:42 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2015-07-14 15:19
拥有: 3,369.00 安全币

奖励: 222 安全币
在线: 1779 点
帖子: 237
白河愁 写道:
如果这道题是问答题的话,答案基本就能统一的,放到培训里让大家思考一下也是不错的利用,如果作为正式的考题,出题人就2了。


嗯,同意楼上朋友的观点,这题适合交流讨论,不太适合用来做考题。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-22 13:40 
离线
高级用户

关注按钮

注册: 2006-12-06 13:53
最近: 2017-08-08 14:25
拥有: 2,330.30 安全币

奖励: 2784 安全币
在线: 3649 点
帖子: 208
不管答案是什么,信息安全管理体系ISMS明确了:
信息审计是职责分工补偿的重要手段

答案不重要,重要的是解决问题,怎么样可以快速有效又相对占用低成本的解决问题是最重要的。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-30 11:54 
离线
中级用户

注册: 2007-07-26 21:28
最近: 2014-10-16 09:10
拥有: 413.00 安全币

奖励: 277 安全币
在线: 569 点
帖子: 104
it5u 写道:
个人觉得选D是规避风险的合理作法



这个正解。可以正面分析问题,可以让上级领导对风险的了解。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-11-04 11:48 
离线
顶级用户

注册: 2009-05-17 11:00
最近: 2013-10-09 09:35
拥有: 9,107.00 安全币

奖励: 11523 安全币
在线: 1721 点
帖子: 684
地址: 苏州
个人认为选C。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2011-08-05 15:22 
离线
中级用户

注册: 2010-05-05 13:03
最近: 2014-08-25 13:06
拥有: 276.00 安全币

奖励: 3 安全币
在线: 368 点
帖子: 81
我觉得D应该是对的!首先解决这个问题可以很灵活,d向考虑的听全面。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2011-08-06 17:07 
离线
新手

注册: 2011-06-28 12:09
最近: 2013-12-20 16:13
拥有: 154.00 安全币

奖励: 8 安全币
在线: 294 点
帖子: 12
选D

我的理解是首先要确定这家公司的系统和数据库里的数据是否对业务产生重要影响?影响的范围有多大?如果是财务erp,那么请问公司本身是否是上市公司?在什么地方上市?对计算机系统是否有法规限制 ?等等

如果只是个小的数据库那么系统管理员和数据库管理员权限放一起,即使发生篡改或欺诈,对于公司影响也不大,那么如果要控制这些风险的话,事后的审计也就可以了。

选B的话似乎没有必要,因为如果不了解真正的风险,就直接去要人,也浪费。

关于C,如果公司的安全策略方针有这么详细到人员配置,那么去做控制也不错;但是从公司的描述来看,似乎是木有的。

所以说,先作个风险评估吧。

不过话说回来,系统管理员和 dba本来就该分开的,一个人做的话即可以直接接触到数据层网络层又可以管理应用层,即使审计也完全可以把日志抹去的


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2011-08-07 16:33 
离线
中级用户

注册: 2005-05-10 12:54
最近: 2014-12-08 00:26
拥有: 125.90 安全币

奖励: 58 安全币
在线: 1786 点
帖子: 79
A、B、C不能彻底解决问题,风险怎么处理,由管理层来决定。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 65 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012