信息安全工程師案例分析當(dāng)天每日一練試題地址：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2021/4/18）在線測(cè)試：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2021/4/18

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/4/18）

5.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。
【說明】
信息系統(tǒng)安全是指對(duì)信息系統(tǒng)及其處理的信息采取適當(dāng)?shù)陌踩Ｕ洗胧?，防止未授?quán)的訪問、使用、泄露、中斷、修改、破壞，從而確保信息系統(tǒng)及其信息的機(jī)密性、完整性和可用性，保證信息系統(tǒng)功能的正確實(shí)現(xiàn)。信息系統(tǒng)安全測(cè)評(píng)是依據(jù)信息安全測(cè)評(píng)的要求，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)在信息系統(tǒng)生命周期中采取的技術(shù)類、管理類、過程類和人員類的安全保證措施進(jìn)行測(cè)評(píng)和檢查，確定信息系統(tǒng)安全保證措施對(duì)履行其職能的有效性及其面臨安全風(fēng)險(xiǎn)的可承受度。信息系統(tǒng)安全測(cè)評(píng)依據(jù)的概念模型是一種合理的和自我包容的整體安全保障模型。包含保證對(duì)象、生命周期和信息特征三方面的模型。
本模型主要特點(diǎn)為：
（1）以安全概念和關(guān)系為基礎(chǔ)，將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心；
（2）強(qiáng)調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動(dòng)態(tài)安全模型，即強(qiáng)調(diào)信息系統(tǒng)安全保障應(yīng)滲入整個(gè)信息系統(tǒng)生命周期的全過程；
（3）強(qiáng)調(diào)信息系統(tǒng)安全保障的概念，信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、過程和人員的要求等措施實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全目標(biāo)，通過對(duì)信息系統(tǒng)的技術(shù)、管理、過程和人員要求的評(píng)估結(jié)果以及相應(yīng)的認(rèn)證認(rèn)可，提供對(duì)信息系統(tǒng)安全保障的信心；
（4）通過風(fēng)險(xiǎn)和策略基礎(chǔ)，生命周期和保障層面，實(shí)現(xiàn)信息的可用性和完整性，從而達(dá)到保障組織機(jī)構(gòu)執(zhí)行其使命的根本目的。
在基于安全風(fēng)險(xiǎn)分析得出的信息系統(tǒng)安全保護(hù)等級(jí)劃分的基礎(chǔ)上，提出安全需求，即得到評(píng)估對(duì)象的保護(hù)輪廓，如下圖所示。
為了提煉出評(píng)估對(duì)象的安全需求，需要建立安全環(huán)境，如下圖所示。
系統(tǒng)生命周期內(nèi)的安全保障和評(píng)估應(yīng)該貫穿下列各階段：
（1）確定系統(tǒng)使命、系統(tǒng)安全目標(biāo)；
（2）確定系統(tǒng)結(jié)構(gòu)、威脅分析、脆弱性分析、風(fēng)險(xiǎn)分析、安全要求、安全策略；
（3）物理環(huán)境安全、系統(tǒng)安全實(shí)施、采購安全控制、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、管理安全；
（4）交付與運(yùn)行系統(tǒng)運(yùn)轉(zhuǎn)的可用性、系統(tǒng)安全評(píng)估的可信性；
（5）維護(hù)安全、升級(jí)安全、廢棄安全(殘余信息保護(hù))。

模糊測(cè)試是一種黑盒測(cè)試技術(shù)，它將大量的畸形數(shù)據(jù)輸入到目標(biāo)程序中，通過監(jiān)測(cè)程序的異常來發(fā)現(xiàn)被測(cè)程序中可能存在的安全漏洞。
如下圖所示，完整的模糊測(cè)試都要經(jīng)歷以下幾個(gè)基本的階段。
（1）考慮被測(cè)目標(biāo)類型。 （2）枚舉輸入向量。
（3）依據(jù)測(cè)試對(duì)象的特征，制定相應(yīng)的模糊測(cè)試數(shù)據(jù)生成策略。
（4）執(zhí)行過程可能包括發(fā)送數(shù)據(jù)包給自標(biāo)應(yīng)用程序、打開一個(gè)文件或發(fā)起一個(gè)目標(biāo)進(jìn)程。
（5）對(duì)故障或異常的監(jiān)視。
（6）一旦確定被測(cè)目標(biāo)存在故障，重現(xiàn)故障最常用的手段就是重放檢測(cè)。
【問題1】（9分）
根據(jù)試題說明將各圖中空缺（1）—（18）補(bǔ)充完整。
【問題2】（2分）
信息系統(tǒng)安全測(cè)評(píng)的基本原則包括標(biāo)準(zhǔn)性原則、關(guān)鍵業(yè)務(wù)原則、可控性原則等，其中可控性原則里又包括服務(wù)可控性、人員與信息可控性、過程可控性、工具可控性。按照項(xiàng)目管理要求，成立項(xiàng)目實(shí)施團(tuán)隊(duì)，項(xiàng)目組長(zhǎng)負(fù)責(zé)制，這是屬于什么原則？
【問題3】（2分）
信息系統(tǒng)安全測(cè)評(píng)方法主要有哪兩種方法？如果要求軟件開發(fā)團(tuán)隊(duì)快速查找、定位、修復(fù)和管理軟件代碼安全問題，應(yīng)采用哪種方法？
【問題4】（2分）
信息系統(tǒng)安全測(cè)評(píng)由三個(gè)階段組成：安全評(píng)估階段、安全認(rèn)證階段、認(rèn)證監(jiān)督階段。通過安全評(píng)估的信息系統(tǒng)將進(jìn)入安全認(rèn)證階段，首先要做什么？
信管網(wǎng)試題答案與解析：www.jazzmuze.com/st/3821228927.html

信管網(wǎng)考友試題答案分享：

信管網(wǎng)2121816301：
1.安全需求，評(píng)估實(shí)施，評(píng)估結(jié)果，等級(jí)認(rèn)證，安全環(huán)境，安全目標(biāo)，安全管理，評(píng)估規(guī)范，策略與組織，開發(fā)與采購，實(shí)施與交付，運(yùn)行與維護(hù)，更新與廢棄，識(shí)別目標(biāo)，識(shí)別輸入，生成模糊數(shù)據(jù)測(cè)試，形成模糊數(shù)據(jù)測(cè)試，確定可利用性＜br＞2.過程可控性＜br＞3.模糊測(cè)試，代碼審計(jì)，代碼審計(jì)＜br＞4.先運(yùn)行6個(gè)月

信管網(wǎng)2121816301：
1.安全需求，評(píng)估實(shí)施，評(píng)估結(jié)果，等級(jí)認(rèn)證，安全環(huán)境，安全目標(biāo)，安全管理，評(píng)估規(guī)范，策略與組織，開發(fā)與采購，實(shí)施與交付，運(yùn)行與維護(hù)，更新與廢棄，識(shí)別目標(biāo)，識(shí)別輸入，生成模糊數(shù)據(jù)測(cè)試，執(zhí)行模糊測(cè)試數(shù)據(jù)，確定可利用性＜br＞2.過程可控性＜br＞3.模糊測(cè)試，代碼審計(jì)，代碼審計(jì)＜br＞4.先運(yùn)行6個(gè)月

信管網(wǎng)cnitpm57427373058：
安全需求，評(píng)估實(shí)施，評(píng)估結(jié)果，等級(jí)認(rèn)證，安全環(huán)境，安全目標(biāo)，安全管理，評(píng)估規(guī)范，策略與組織，開發(fā)與采購，實(shí)施與交付，運(yùn)行與維護(hù)，更新與廢棄，識(shí)別目標(biāo)，識(shí)別輸入，生成模糊測(cè)試數(shù)據(jù)，執(zhí)行模糊測(cè)試數(shù)據(jù)，確定可利用性，過程可控性，模糊測(cè)試，代碼審計(jì)。代碼審計(jì)，信息系統(tǒng)首先試運(yùn)行6個(gè)月

信管網(wǎng)cnitpm57427373058：
安全需求，評(píng)估實(shí)施，評(píng)估結(jié)果，等級(jí)認(rèn)證＜br＞安全環(huán)境，安全目標(biāo)，安全需求，評(píng)估規(guī)范＜br＞策略與組織，開發(fā)與采購，實(shí)施與交付，運(yùn)行與維護(hù)，更新與廢棄，識(shí)別目標(biāo)，識(shí)別輸入，生成模糊數(shù)據(jù)，執(zhí)行模糊數(shù)據(jù)，確定可用性＜br＞過程可控性，模糊測(cè)試，代碼審計(jì)，代碼審計(jì)＜br＞信息系統(tǒng)試運(yùn)行6個(gè)月

信管網(wǎng)cnitpm57427373058：
安全需求，評(píng)估實(shí)施，評(píng)估結(jié)果，等級(jí)認(rèn)證＜br＞安全環(huán)境，安全目標(biāo)，安全管理，評(píng)估規(guī)范＜br＞策略與組織，開發(fā)與采購，實(shí)施與交互，運(yùn)行與維護(hù)，更新與廢棄＜br＞識(shí)別目標(biāo)，識(shí)別輸入，生成模糊測(cè)試數(shù)據(jù)，執(zhí)行模糊測(cè)試數(shù)據(jù)，確定可利用性＜br＞過程可控性原則＜br＞模糊測(cè)試，代碼審計(jì)，代碼審計(jì)＜br＞首先信息系統(tǒng)試運(yùn)行6個(gè)月

信管網(wǎng)試題答案與解析：www.jazzmuze.com/st/3821228927.html