信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2018/10/23）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2018/10/23

信息安全工程師案例分析每日一練試題內(nèi)容（2018/10/23）

試題五（25分） 
 閱讀以下關(guān)于信息系統(tǒng)安全性的敘述，在答題紙上回答問題1至問題3。    
某企業(yè)根據(jù)業(yè)務(wù)擴(kuò)張的要求，需要將原有的業(yè)務(wù)系統(tǒng)擴(kuò)展到互聯(lián)網(wǎng)上，建立自己的B2C業(yè) 務(wù)系統(tǒng)，此時(shí)系統(tǒng)的安全性成為一個(gè)非常重要的設(shè)計(jì)需求。為此，該企業(yè)向軟件開發(fā)商提出如要求：  
（1）合法用戶可以安全地使用該系統(tǒng)完成業(yè)務(wù)；  
（2）靈活的用戶權(quán)限管理；   
（3）保護(hù)系統(tǒng)數(shù)據(jù)的安全，不會發(fā)生信息泄漏和數(shù)據(jù)損壞；  
（4）防止來自于互聯(lián)網(wǎng)上各種惡意攻擊；  
（5）業(yè)務(wù)系統(tǒng)涉及到各種訂單和資金的管理，需要防止授權(quán)侵犯；    
（6）業(yè)務(wù)系統(tǒng)直接面向最終用戶，需要在系統(tǒng)中保留用戶使用痕跡，以應(yīng)對可能的商業(yè) 拆訟。   該軟件開發(fā)商接受任務(wù)后，成立方案設(shè)計(jì)小組，提出的設(shè)計(jì)方案是：在原有業(yè)務(wù)系統(tǒng)的基 礎(chǔ)上，保留了原業(yè)務(wù)系統(tǒng)中的認(rèn)證和訪問控制模塊；為了防止來自互聯(lián)網(wǎng)的威脅，增加了防火墻和入侵檢測系統(tǒng)。   
企業(yè)和軟件開發(fā)商共同組成方案評審會，對該方案進(jìn)行了評審，各位專家對該方案提出了 多點(diǎn)不同意見。李工認(rèn)為，原業(yè)務(wù)系統(tǒng)只針對企業(yè)內(nèi)部員工，采用了用戶名/密碼方式是可以的，但擴(kuò)展為基于互聯(lián)網(wǎng)的B2C業(yè)務(wù)系統(tǒng)后，認(rèn)證方式過于簡單，很可能造成用戶身份被盜??；王工認(rèn)為，防止授權(quán)侵犯和保留用戶痕跡的要求在方案中沒有體現(xiàn)。而劉工則認(rèn)為，即使是在原有業(yè)務(wù)系統(tǒng)上的擴(kuò)展與改造，也必須全面考慮信息系統(tǒng)面臨的各種威脅，設(shè)計(jì)完整的系統(tǒng)安全架構(gòu)，而不是修修補(bǔ)補(bǔ)。 
【問題1】（9分）   信息系統(tǒng)面臨的安全威脅多種多樣，來自多個(gè)方面。請指出信息系統(tǒng)面臨哪些方面的安全 威脅并分別予以簡要描述。 
【問題2】（8分）   認(rèn)證是安全系統(tǒng)中不可缺少的環(huán)節(jié)，請簡要描述主要的認(rèn)證方式，并說明該企業(yè)應(yīng)采用哪 種認(rèn)證方式。 
【問題3】（8分）   請解釋授權(quán)侵犯的具體含義；針對王工的意見給出相應(yīng)的解決方案，說明該解決方案的名 稱、內(nèi)容和目標(biāo)。
信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/2327820582.html

信管網(wǎng)考友試題答案分享：

信管網(wǎng)看吉吉1114：
1 信息系統(tǒng)面臨物理環(huán)境，網(wǎng)絡(luò)，主機(jī)系統(tǒng)，應(yīng)用系統(tǒng)，數(shù)據(jù)方面的安全威脅。
物理環(huán)境安全威脅是指機(jī)房和辦公建筑物及其配套設(shè)施，設(shè)備，線路以及用電在安全方面存在的威脅，例如：建筑物，設(shè)備，線路遭到破壞或出現(xiàn)故障，遭到非法訪問，設(shè)備被盜竊，用電出現(xiàn)中斷等。
網(wǎng)路安全威脅是指網(wǎng)絡(luò)通信設(shè)備及網(wǎng)絡(luò)安全設(shè)備，網(wǎng)絡(luò)通訊線路，網(wǎng)絡(luò)通訊服務(wù)受到威脅，例如非法使用網(wǎng)絡(luò)資源，非法訪問和控制網(wǎng)絡(luò)通訊設(shè)備，非法占有網(wǎng)絡(luò)通訊信道，網(wǎng)絡(luò)通信服務(wù)帶寬和質(zhì)量不能保證，網(wǎng)絡(luò)線路泄密，傳播非法信息等。
主機(jī)系統(tǒng)安全威脅是指主機(jī)硬件設(shè)備，操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)以及其他相關(guān)軟件受到威脅，例如：非法訪問或控制操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)以及其他相關(guān)軟件系統(tǒng)，非法占用網(wǎng)絡(luò)或系統(tǒng)資源等。
應(yīng)用系統(tǒng)安全威脅是指應(yīng)用系統(tǒng)受到威脅，例如：非法訪問和控制業(yè)務(wù)應(yīng)用系統(tǒng)，非法占用業(yè)務(wù)應(yīng)用系統(tǒng)資源等。
數(shù)據(jù)安全威脅是指數(shù)據(jù)存儲和傳播受到威脅，例如：數(shù)據(jù)泄露，數(shù)據(jù)篡改和破環(huán)，數(shù)據(jù)不可用。
2 身份認(rèn)證 包括熟悉口令和指紋識別   
報(bào)文認(rèn)證    報(bào)文源和報(bào)文宿的認(rèn)證     報(bào)文內(nèi)容的認(rèn)證
智能卡 usb key 身份認(rèn)證
3 內(nèi)部攻擊   入侵審計(jì)    

信管網(wǎng)tianshixiao：
面臨主動(dòng)攻擊等各種威脅，這些威脅來自自然威脅，系統(tǒng)威脅，人為威脅，在系統(tǒng)的保密性，完整性，可用性方面都會受到不同的威脅。

認(rèn)證可以防止主動(dòng)攻擊，例如篡改，重播等，常見的認(rèn)證方式有口令認(rèn)證，生物特征認(rèn)證，虹膜認(rèn)證等等，該企業(yè)采用對用戶授權(quán)，用戶以自己的口令密碼登錄認(rèn)證。
授權(quán)侵犯是指

信管網(wǎng)ｄｅｌｅｔｅ：
問題1：信息系統(tǒng)的安全有：（1）計(jì)算機(jī)設(shè)備安全（2）操作系統(tǒng)安全（3）數(shù)據(jù)庫系統(tǒng)安全（4）惡意代碼攻擊

信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/2327820582.html