信息安全工程師案例分析當(dāng)天每日一練試題地址：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://m.xiexiliangjiufa.com/class27-2-1.aspx

信息安全工程師案例分析每日一練試題（2017/3/21）在線測試：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2017/3/21

信息安全工程師案例分析每日一練試題內(nèi)容（2017/3/21）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
設(shè)計源于需求，需求源于目標。要弄清安全的需求，就要首先明確安全的管理目標。一般而言，針對安全的管理目標包括政策需求和業(yè)務(wù)需求。獲取和分析安全需求通常是從國家法律、組織政策、業(yè)務(wù)策略和責(zé)任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內(nèi)容。安全信息系統(tǒng)構(gòu)建的最終目標，就是要求通過多層次手段最終所實現(xiàn)的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設(shè)計階段，為了確保信息系統(tǒng)的安全屬性真正達到設(shè)計時確定的安全目標，安全設(shè)計可以參照以下幾個設(shè)計原則：
需要對應(yīng)用系統(tǒng)進行風(fēng)險分析；
確認安全風(fēng)險并將安全需求具體化；
通過在應(yīng)用中實現(xiàn)安全機制來滿足安全需求；
安全機制被正確地設(shè)計。
在實施階段至最終處理階段，安全設(shè)計可以參照以下幾個設(shè)計原則：
需要正確地實施安全機制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對信息系統(tǒng)的安全管理有清晰的安全目標；
安全管理包括對安全需求的管理，例如，要對風(fēng)險和成本進行平衡，以確保滿足管理目標。
在安全信息系統(tǒng)構(gòu)建過程中，需要遵循這些原則采取具體的機制和措施，以求達到安全目標和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。

信息系統(tǒng)安全體系框架

國外廣泛采用的是 NIST SP800-64 標準《信息安全開發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個主要階段，各階段的安全措施與步驟如下圖所示。

SDLC的6個主要階段
【問題1】（4分）
根據(jù)信息系統(tǒng)安全體系（ISSA）的基本內(nèi)容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補充完整。
（1）       （2）        （3）          （4）         
【問題2】（3分）
根據(jù)信息系統(tǒng)開發(fā)生命周期的6個階段將信息系統(tǒng)開發(fā)生命周期（SDLC）圖中的（5）—（10）空補充完整。
（5）      （6）       （7）        （8）        （9）       （10）
【問題3】（5分）
在構(gòu)建信息系統(tǒng)模型時，要解決開放式環(huán)境帶來的復(fù)雜、多變的安全威脅應(yīng)該怎樣設(shè)計信息系統(tǒng)？（2分）該如何實現(xiàn)？（3分）
【問題4】（3分）
要實現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從哪些方面來尋找一個平衡點？

信管網(wǎng)15867187152：
（1）法律法規(guī)與政策
（2）安全管理體系
（3）安全技術(shù)體系
（4）標準規(guī)范體系
（5）安全依據(jù)
（6）初級階段
（7）設(shè)計階段
（8）實施階段
（9）運維階段
（10）最終處理階段
將信息系統(tǒng)分成兩部分:在不可控的開放環(huán)境下運作的部分〈開放式系統(tǒng)部分）；在可控的封閉環(huán)境下運作的部分（封部式系統(tǒng)部分）。
①物理安全。行為監(jiān)測和物理訪問控制。
②網(wǎng)絡(luò)安全。防火墻、vpn、周邊網(wǎng)絡(luò)架構(gòu)。
③主機安全。權(quán)限監(jiān)控、入侵檢測、反病毒軟件。
④數(shù)據(jù)安全。加密、數(shù)字簽名、身份驗證。
⑤獨立評估。定期進行系統(tǒng)安全測試。
⑥安全應(yīng)急機制。內(nèi)部溝通與外部通信。

信管網(wǎng)xxxx嬳：
【問題1】 
（1）法律法規(guī)與政策 
（2）安全管理體系 
（3）安全技術(shù)體系 
（4）標準規(guī)范體系 
【問題2】 
（5）安全依據(jù) 
（6）初始階段 
（7）設(shè)計階段 
（8）實施階段 
（9）運維階段 
（10）最終處理階段 
【問題3】 
1.風(fēng)險分析 
2.安全策略 
3.安全架構(gòu) 
【問題4】 
從技術(shù)、管理、風(fēng)險控制、策略來尋找平衡點 

信管網(wǎng)hjcenry2016：
【問題1】
（1）法律法規(guī)與政策
（2）安全管理體系
（3）安全技術(shù)體系
（4）標準規(guī)范體系
【問題2】
（5）安全依據(jù)
（6）初始階段
（7）設(shè)計階段
（8）實施階段
（9）運維階段
（10）最終處理階段
【問題3】
1.風(fēng)險分析
2.安全策略
3.安全架構(gòu)
【問題4】
從技術(shù)、管理、風(fēng)險控制、策略來尋找平衡點