信息安全工程師案例分析當(dāng)天每日一練試題地址：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/10/3）在線測(cè)試：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2020/10/3

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2020/10/3）

閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。
【說(shuō)明】
設(shè)計(jì)源于需求，需求源于目標(biāo)。要弄清安全的需求，就要首先明確安全的管理目標(biāo)。一般而言，針對(duì)安全的管理目標(biāo)包括政策需求和業(yè)務(wù)需求。獲取和分析安全需求通常是從國(guó)家法律、組織政策、業(yè)務(wù)策略和責(zé)任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內(nèi)容。安全信息系統(tǒng)構(gòu)建的最終目標(biāo)，就是要求通過(guò)多層次手段最終所實(shí)現(xiàn)的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設(shè)計(jì)階段，為了確保信息系統(tǒng)的安全屬性真正達(dá)到設(shè)計(jì)時(shí)確定的安全目標(biāo)，安全設(shè)計(jì)可以參照以下幾個(gè)設(shè)計(jì)原則：
需要對(duì)應(yīng)用系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析；
確認(rèn)安全風(fēng)險(xiǎn)并將安全需求具體化；
通過(guò)在應(yīng)用中實(shí)現(xiàn)安全機(jī)制來(lái)滿足安全需求；
安全機(jī)制被正確地設(shè)計(jì)。
在實(shí)施階段至最終處理階段，安全設(shè)計(jì)可以參照以下幾個(gè)設(shè)計(jì)原則：
需要正確地實(shí)施安全機(jī)制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對(duì)信息系統(tǒng)的安全管理有清晰的安全目標(biāo)；
安全管理包括對(duì)安全需求的管理，例如，要對(duì)風(fēng)險(xiǎn)和成本進(jìn)行平衡，以確保滿足管理目標(biāo)。
在安全信息系統(tǒng)構(gòu)建過(guò)程中，需要遵循這些原則采取具體的機(jī)制和措施，以求達(dá)到安全目標(biāo)和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。

信息系統(tǒng)安全體系框架

國(guó)外廣泛采用的是 NIST SP800-64 標(biāo)準(zhǔn)《信息安全開(kāi)發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開(kāi)發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個(gè)主要階段，各階段的安全措施與步驟如下圖所示。

SDLC的6個(gè)主要階段
【問(wèn)題1】（4分）
根據(jù)信息系統(tǒng)安全體系（ISSA）的基本內(nèi)容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補(bǔ)充完整。
（1）       （2）        （3）          （4）         
【問(wèn)題2】（3分）
根據(jù)信息系統(tǒng)開(kāi)發(fā)生命周期的6個(gè)階段將信息系統(tǒng)開(kāi)發(fā)生命周期（SDLC）圖中的（5）—（10）空補(bǔ)充完整。
（5）      （6）       （7）        （8）        （9）       （10）
【問(wèn)題3】（5分）
在構(gòu)建信息系統(tǒng)模型時(shí)，要解決開(kāi)放式環(huán)境帶來(lái)的復(fù)雜、多變的安全威脅應(yīng)該怎樣設(shè)計(jì)信息系統(tǒng)？（2分）該如何實(shí)現(xiàn)？（3分）
【問(wèn)題4】（3分）
要實(shí)現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從哪些方面來(lái)尋找一個(gè)平衡點(diǎn)？

信管網(wǎng)cnitpm1475296114：
問(wèn)題1 （1）信息安全法律法規(guī)體系 （2）信息安全管理體系 （3）信息安全技術(shù)體系 （4）信息安全標(biāo)準(zhǔn)體系 問(wèn)題2 （5）問(wèn)題分析與規(guī)劃 （6）需求分析 （7）軟件設(shè)計(jì) （8）程序編碼 （9）軟件測(cè)試 （19）運(yùn)行維護(hù) 問(wèn)題3 要根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，結(jié)合安全需求和部署運(yùn)營(yíng)成本，綜合與平衡各方面因素來(lái)設(shè)計(jì)信息系統(tǒng)。實(shí)現(xiàn)過(guò)程如下： 進(jìn)行風(fēng)險(xiǎn)識(shí)別和分析，對(duì)資產(chǎn)價(jià)值、脆弱性、威脅進(jìn)行綜合分析，給出安全目標(biāo)，依照目標(biāo)來(lái)制定安全策略，對(duì)于開(kāi)放式環(huán)境，應(yīng)該考慮外部網(wǎng)絡(luò)帶來(lái)的安全隱患，防范惡意代碼、網(wǎng)絡(luò)入侵等攻擊，部署防火墻、入侵檢測(cè)、入侵防護(hù)、認(rèn)證系統(tǒng)、訪問(wèn)控制系統(tǒng)，并考慮設(shè)備的物理安全。同時(shí)制定相應(yīng)的安全管理規(guī)則并進(jìn)行管理人員和使用人員的信息安全培訓(xùn)。 問(wèn)題4 在考慮技術(shù)因素的同時(shí)，必須從資產(chǎn)價(jià)值、威脅、脆弱性風(fēng)險(xiǎn)分析的角度出發(fā)，綜合設(shè)備、人員與管理運(yùn)行成本各類因素，尋找系統(tǒng)實(shí)現(xiàn)的平衡點(diǎn)，在合理的成本范圍內(nèi)達(dá)到最高的安全要求。

信管網(wǎng)cnitpm57427373058：
法律法規(guī)與政策，安全技術(shù)體系，安全管理體系，安全標(biāo)準(zhǔn)體系＜br＞安全依據(jù)，初始階段，設(shè)計(jì)階段，運(yùn)維階段，評(píng)估階段，最終處理階段＜br＞分為可控的封閉式環(huán)境信息系統(tǒng)模型和不可控的開(kāi)放式信息系統(tǒng)模型＜br＞主機(jī)安全，網(wǎng)絡(luò)安全，物理安全，應(yīng)急機(jī)制。

信管網(wǎng)cnitpm57427373058：
安全法律法規(guī)與政策，安全管理體系，安全技術(shù)體系，安全標(biāo)準(zhǔn)體系。＜br＞安全依據(jù)，初始階段，設(shè)計(jì)階段，，運(yùn)維階段，最終處理階段＜br＞分為兩部分:不可控的開(kāi)放環(huán)境下的信息系統(tǒng)（開(kāi)放式信息體系）可控的封閉式的信息系統(tǒng)（封閉式信息體系）。＜br＞

信管網(wǎng)cnitpm5436332219：
問(wèn)題1：法律法規(guī)與政策、安全管理體系、標(biāo)準(zhǔn)規(guī)范體系、安全技術(shù)體系 問(wèn)題2:安全依據(jù)、初始階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段、最終處理階段 問(wèn)題3：將信息系統(tǒng)分為兩部分：在不可控的開(kāi)放環(huán)境下運(yùn)作的部分；在可控的封閉環(huán)境下運(yùn)作的部分。開(kāi)放式系統(tǒng)部分采用基于密碼的安全措施來(lái)達(dá)到信息系統(tǒng)交易安全。封閉式系統(tǒng)則通過(guò)有效的物理、系統(tǒng)和網(wǎng)絡(luò)等環(huán)境控制措施來(lái)保護(hù)信息系統(tǒng)交易數(shù)據(jù)，從而避免或大幅減少密碼的使用。 問(wèn)題4：安全、速度、成本

信管網(wǎng)mgwolf：
3、將信息系統(tǒng)分成兩部分：不可控的開(kāi)放環(huán)境運(yùn)行部分；可控的封閉環(huán)境下的運(yùn)作部分。實(shí)現(xiàn)：開(kāi)放式系統(tǒng)部分采用基于密碼的安全措施，封閉式系統(tǒng)則通過(guò)物理系統(tǒng)，網(wǎng)絡(luò)等環(huán)境控制措施，避免或減少密碼的使用。。 4、安全，速度，成本