信息安全工程師案例分析當(dāng)天每日一練試題地址：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://m.xiexiliangjiufa.com/class27-2-1.aspx

信息安全工程師案例分析每日一練試題（2017/5/14）在線測(cè)試：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2017/5/14

信息安全工程師案例分析每日一練試題內(nèi)容（2017/5/14）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。
【說明】
設(shè)計(jì)源于需求，需求源于目標(biāo)。要弄清安全的需求，就要首先明確安全的管理目標(biāo)。一般而言，針對(duì)安全的管理目標(biāo)包括政策需求和業(yè)務(wù)需求。獲取和分析安全需求通常是從國(guó)家法律、組織政策、業(yè)務(wù)策略和責(zé)任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內(nèi)容。安全信息系統(tǒng)構(gòu)建的最終目標(biāo)，就是要求通過多層次手段最終所實(shí)現(xiàn)的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設(shè)計(jì)階段，為了確保信息系統(tǒng)的安全屬性真正達(dá)到設(shè)計(jì)時(shí)確定的安全目標(biāo)，安全設(shè)計(jì)可以參照以下幾個(gè)設(shè)計(jì)原則：
需要對(duì)應(yīng)用系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析；
確認(rèn)安全風(fēng)險(xiǎn)并將安全需求具體化；
通過在應(yīng)用中實(shí)現(xiàn)安全機(jī)制來滿足安全需求；
安全機(jī)制被正確地設(shè)計(jì)。
在實(shí)施階段至最終處理階段，安全設(shè)計(jì)可以參照以下幾個(gè)設(shè)計(jì)原則：
需要正確地實(shí)施安全機(jī)制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對(duì)信息系統(tǒng)的安全管理有清晰的安全目標(biāo)；
安全管理包括對(duì)安全需求的管理，例如，要對(duì)風(fēng)險(xiǎn)和成本進(jìn)行平衡，以確保滿足管理目標(biāo)。
在安全信息系統(tǒng)構(gòu)建過程中，需要遵循這些原則采取具體的機(jī)制和措施，以求達(dá)到安全目標(biāo)和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。

信息系統(tǒng)安全體系框架

國(guó)外廣泛采用的是 NIST SP800-64 標(biāo)準(zhǔn)《信息安全開發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個(gè)主要階段，各階段的安全措施與步驟如下圖所示。

SDLC的6個(gè)主要階段
【問題1】（4分）
根據(jù)信息系統(tǒng)安全體系（ISSA）的基本內(nèi)容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補(bǔ)充完整。
（1）       （2）        （3）          （4）         
【問題2】（3分）
根據(jù)信息系統(tǒng)開發(fā)生命周期的6個(gè)階段將信息系統(tǒng)開發(fā)生命周期（SDLC）圖中的（5）—（10）空補(bǔ)充完整。
（5）      （6）       （7）        （8）        （9）       （10）
【問題3】（5分）
在構(gòu)建信息系統(tǒng)模型時(shí)，要解決開放式環(huán)境帶來的復(fù)雜、多變的安全威脅應(yīng)該怎樣設(shè)計(jì)信息系統(tǒng)？（2分）該如何實(shí)現(xiàn)？（3分）
【問題4】（3分）
要實(shí)現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從哪些方面來尋找一個(gè)平衡點(diǎn)？

信管網(wǎng)xb：
1政策需求和業(yè)務(wù)需求
2風(fēng)險(xiǎn)分析
3安全需求具體化
4安全機(jī)制
5政策分析
6需求分析
7風(fēng)險(xiǎn)評(píng)估
8安全系統(tǒng)評(píng)估
9
10數(shù)據(jù)庫安全
11

信管網(wǎng)dx08850885：
【問題1】（1）法律法規(guī)與政策 （2）安全管理體系 （3）安全技術(shù)體系 （4）標(biāo)準(zhǔn)規(guī)范體系
【問題2】
（5）安全依據(jù)（6）初始階段（7）設(shè)計(jì)階段（8）實(shí)施階段（9）運(yùn)維階段（10）最終處理階段
【問題3】1.風(fēng)險(xiǎn)分析      2.安全策略      3.安全架構(gòu)
【問題4】從技術(shù)、管理、風(fēng)險(xiǎn)控制、策略來尋找平衡點(diǎn)

信管網(wǎng)九歌：
（1）安全管理
（2）安全技術(shù)
（3）安全服務(wù)
（4）安全機(jī)制
（5）
（6）安全需求分析
（7）安全設(shè)計(jì)
（8）安全測(cè)試
（9）安全運(yùn)行
（10）安全處置