信息安全工程師案例分析當(dāng)天每日一練試題地址：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://m.xiexiliangjiufa.com/class27-2-1.aspx

信息安全工程師案例分析每日一練試題（2016/11/5）在線測試：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2016/11/5

信息安全工程師案例分析每日一練試題內(nèi)容（2016/11/5）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
在現(xiàn)在企業(yè)的信息系統(tǒng)建設(shè)中，信息系統(tǒng)的安全越來越受到重視，系統(tǒng)安全需求分析是構(gòu)建安全信息系統(tǒng)的基礎(chǔ)。系統(tǒng)安全需求分析是指針對安全的目標，對信息系統(tǒng)中可能存在的風(fēng)險及潛在威脅影響進行發(fā)現(xiàn)并分析，并以此為依據(jù)對信息及信息系統(tǒng)進行有依據(jù)的安全分類，從而利用不同的安全技術(shù)制定保護措施來應(yīng)對風(fēng)險。
【問題1】（3分）
在 FIPS-199 安全需求分類方法中，安全目標的關(guān)鍵就是實現(xiàn)安全的三大要素，這三要素分別是什么？
【問題2】（4分）
EA 是一種基于組織業(yè)務(wù)目標，對信息系統(tǒng)進行構(gòu)建和改進的方法和管理工具。因此，組織在設(shè)計或?qū)ΜF(xiàn)有系統(tǒng)進行升級更新時，都可以利用 EA 對己有的信息系統(tǒng)進行分析。EA 包含四層架構(gòu)，包括業(yè)務(wù)體系結(jié)構(gòu)、信息體系結(jié)構(gòu)、解決方案體系結(jié)構(gòu)、解決方案體系結(jié)構(gòu)，這四層體系結(jié)構(gòu)也可視為對組織信息化的四種視角。EA 應(yīng)用到組織的信息安全戰(zhàn)略規(guī)劃和信息安全體系結(jié)構(gòu)的設(shè)計過程中如下圖所示，根據(jù)EA的四層架構(gòu)將下圖中的a、b、c、d補充完整。

【問題3】（4分）
在進行信息系統(tǒng)安全設(shè)計時，采用的是信息系統(tǒng)安全體系ISSA，這個體系結(jié)構(gòu)包括哪些內(nèi)容？
【問題4】（4分）
要實現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從風(fēng)險分析、安全策略、安全架構(gòu)這三個方面來尋找一個平衡點，同時在設(shè)計特定企業(yè)的安全信息系統(tǒng)的時候需要考慮行業(yè)的特殊性，一般可以從哪些方面來考慮企業(yè)信息系統(tǒng)安全？

信管網(wǎng)四葉草福5：
1、機密性  完整性   可用性

2、a 信息結(jié)構(gòu)
   b 業(yè)務(wù)體系結(jié)構(gòu)
   c 解決方案和應(yīng)用程序體系結(jié)構(gòu)
   d 解決方案和應(yīng)用程序體系結(jié)構(gòu)

3、信息系統(tǒng)安全技術(shù)體系   安全管理體系  安全標準體系  安全法律法規(guī)

4、物理安全  網(wǎng)絡(luò)安全 主機安全  數(shù)據(jù)安全  獨立評估  安全應(yīng)急機制

信管網(wǎng)ningning：
1、三大要素：機密性；完整性；可用性；
      2、a：信息體系結(jié)構(gòu)；b：業(yè)務(wù)體系結(jié)構(gòu)；c：解決方案和應(yīng)用程序體系結(jié)構(gòu)；d：解決方案和應(yīng)用程序體系結(jié)構(gòu)；
      3、信息系統(tǒng)安全技術(shù)體系、安全管理體系、安全標準體系和安全法律法規(guī)；
      4、（1）物理安全。行為監(jiān)測和物理訪問控制；（2）網(wǎng)絡(luò)安全。防火墻、vpn、周邊網(wǎng)絡(luò)架構(gòu)；（3）主機安全。權(quán)限監(jiān)控、入侵檢測、反病毒軟件；（4）數(shù)據(jù)安全。加密、數(shù)據(jù)簽名、身份驗證；（5）獨立評估。定期進行系統(tǒng)安全測試；（6）安全應(yīng)急機制。內(nèi)部溝通和外部通信；

信管網(wǎng)testjing：
第一問：機密性，完整性，可用性
第二問：信息體系結(jié)構(gòu)，業(yè)務(wù)體系結(jié)構(gòu)，解決方案和應(yīng)用程序體系結(jié)構(gòu)，解決方案和應(yīng)用程序體系結(jié)構(gòu)
第三問：包括信息系統(tǒng)安全技術(shù)體系，安全管理體系，安全標準體系和法律法規(guī)與政策
第四問：物理安全，網(wǎng)絡(luò)安全，主機安全，數(shù)據(jù)安全，獨立評估和安全應(yīng)急機制