信息安全工程師案例分析當(dāng)天每日一練試題地址：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://m.xiexiliangjiufa.com/class27-2-1.aspx

信息安全工程師案例分析每日一練試題（2016/12/13）在線測(cè)試：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2016/12/13

信息安全工程師案例分析每日一練試題內(nèi)容（2016/12/13）

閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。
【說(shuō)明】
設(shè)計(jì)源于需求，需求源于目標(biāo)。要弄清安全的需求，就要首先明確安全的管理目標(biāo)。一般而言，針對(duì)安全的管理目標(biāo)包括政策需求和業(yè)務(wù)需求。獲取和分析安全需求通常是從國(guó)家法律、組織政策、業(yè)務(wù)策略和責(zé)任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內(nèi)容。安全信息系統(tǒng)構(gòu)建的最終目標(biāo)，就是要求通過(guò)多層次手段最終所實(shí)現(xiàn)的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設(shè)計(jì)階段，為了確保信息系統(tǒng)的安全屬性真正達(dá)到設(shè)計(jì)時(shí)確定的安全目標(biāo)，安全設(shè)計(jì)可以參照以下幾個(gè)設(shè)計(jì)原則：
需要對(duì)應(yīng)用系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析；
確認(rèn)安全風(fēng)險(xiǎn)并將安全需求具體化；
通過(guò)在應(yīng)用中實(shí)現(xiàn)安全機(jī)制來(lái)滿足安全需求；
安全機(jī)制被正確地設(shè)計(jì)。
在實(shí)施階段至最終處理階段，安全設(shè)計(jì)可以參照以下幾個(gè)設(shè)計(jì)原則：
需要正確地實(shí)施安全機(jī)制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對(duì)信息系統(tǒng)的安全管理有清晰的安全目標(biāo)；
安全管理包括對(duì)安全需求的管理，例如，要對(duì)風(fēng)險(xiǎn)和成本進(jìn)行平衡，以確保滿足管理目標(biāo)。
在安全信息系統(tǒng)構(gòu)建過(guò)程中，需要遵循這些原則采取具體的機(jī)制和措施，以求達(dá)到安全目標(biāo)和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。

信息系統(tǒng)安全體系框架

國(guó)外廣泛采用的是 NIST SP800-64 標(biāo)準(zhǔn)《信息安全開(kāi)發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開(kāi)發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個(gè)主要階段，各階段的安全措施與步驟如下圖所示。

SDLC的6個(gè)主要階段
【問(wèn)題1】（4分）
根據(jù)信息系統(tǒng)安全體系（ISSA）的基本內(nèi)容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補(bǔ)充完整。
（1）       （2）        （3）          （4）         
【問(wèn)題2】（3分）
根據(jù)信息系統(tǒng)開(kāi)發(fā)生命周期的6個(gè)階段將信息系統(tǒng)開(kāi)發(fā)生命周期（SDLC）圖中的（5）—（10）空補(bǔ)充完整。
（5）      （6）       （7）        （8）        （9）       （10）
【問(wèn)題3】（5分）
在構(gòu)建信息系統(tǒng)模型時(shí)，要解決開(kāi)放式環(huán)境帶來(lái)的復(fù)雜、多變的安全威脅應(yīng)該怎樣設(shè)計(jì)信息系統(tǒng)？（2分）該如何實(shí)現(xiàn)？（3分）
【問(wèn)題4】（3分）
要實(shí)現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從哪些方面來(lái)尋找一個(gè)平衡點(diǎn)？

信管網(wǎng)hjcenry2016：
【問(wèn)題1】
（1）法律法規(guī)與政策
（2）安全管理體系
（3）安全技術(shù)體系
（4）標(biāo)準(zhǔn)規(guī)范體系
【問(wèn)題2】
（5）安全依據(jù)
（6）初始階段
（7）設(shè)計(jì)階段
（8）實(shí)施階段
（9）運(yùn)維階段
（10）最終處理階段
【問(wèn)題3】
1.風(fēng)險(xiǎn)分析
2.安全策略
3.安全架構(gòu)
【問(wèn)題4】
從技術(shù)、管理、風(fēng)險(xiǎn)控制、策略來(lái)尋找平衡點(diǎn)

信管網(wǎng)867506922：
問(wèn)題1：（1）法律法規(guī)與政策（2）安全管理體系、（3）安全技術(shù)體系、（4）標(biāo)準(zhǔn)規(guī)范體系

問(wèn)題2: （5）安全依據(jù)（6）初始階段（7）設(shè)計(jì)階段（8）實(shí)施階段（9）運(yùn)維階段（10）最終處理階段

問(wèn)題3:需要建立一個(gè)不可控的開(kāi)放式系統(tǒng)和一個(gè)可控的封閉式系統(tǒng)；在一個(gè)不可控的開(kāi)放式系統(tǒng)里不可避免地需要采用基于密碼的安全措施來(lái)達(dá)到信息系統(tǒng)交易安全。封閉式系統(tǒng)則通過(guò)有效地物理、系統(tǒng)和網(wǎng)絡(luò)等環(huán)境控制措施來(lái)保護(hù)信息系統(tǒng)交易數(shù)據(jù)，從而避免或大幅度的減少密碼的使用

問(wèn)題4:需要從安全、速度、成本等方面考慮；主要表現(xiàn)為3個(gè)方面：（1）風(fēng)險(xiǎn)分析（2）安全策略（3）安全架構(gòu)

信管網(wǎng)xiaococoy：
1、國(guó)家法律和組織政策、安全管理、技術(shù)、人員管理
2、信息系統(tǒng)開(kāi)發(fā)生命周期sdlc的6個(gè)階段：調(diào)研、需求確認(rèn)、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)集成、系統(tǒng)實(shí)施、應(yīng)急處理
3、
4、管理

信管網(wǎng)qiuchaodo：
安全規(guī)范  安全設(shè)計(jì)  安全技術(shù)  安全管理
需求收集  需求分析  系統(tǒng)設(shè)計(jì)  安全技術(shù)  實(shí)施   檢查
加密    多層次

安全管理找平衡點(diǎn)