信息安全工程師案例分析當天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2019/4/18）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2019/4/18

信息安全工程師案例分析每日一練試題內(nèi)容（2019/4/18）

試題五（25分） 
 閱讀以下關(guān)于信息系統(tǒng)安全性的敘述，在答題紙上回答問題1至問題3。    
某企業(yè)根據(jù)業(yè)務(wù)擴張的要求，需要將原有的業(yè)務(wù)系統(tǒng)擴展到互聯(lián)網(wǎng)上，建立自己的B2C業(yè) 務(wù)系統(tǒng)，此時系統(tǒng)的安全性成為一個非常重要的設(shè)計需求。為此，該企業(yè)向軟件開發(fā)商提出如要求：  
（1）合法用戶可以安全地使用該系統(tǒng)完成業(yè)務(wù)；  
（2）靈活的用戶權(quán)限管理；   
（3）保護系統(tǒng)數(shù)據(jù)的安全，不會發(fā)生信息泄漏和數(shù)據(jù)損壞；  
（4）防止來自于互聯(lián)網(wǎng)上各種惡意攻擊；  
（5）業(yè)務(wù)系統(tǒng)涉及到各種訂單和資金的管理，需要防止授權(quán)侵犯；    
（6）業(yè)務(wù)系統(tǒng)直接面向最終用戶，需要在系統(tǒng)中保留用戶使用痕跡，以應(yīng)對可能的商業(yè) 拆訟。   該軟件開發(fā)商接受任務(wù)后，成立方案設(shè)計小組，提出的設(shè)計方案是：在原有業(yè)務(wù)系統(tǒng)的基 礎(chǔ)上，保留了原業(yè)務(wù)系統(tǒng)中的認證和訪問控制模塊；為了防止來自互聯(lián)網(wǎng)的威脅，增加了防火墻和入侵檢測系統(tǒng)。   
企業(yè)和軟件開發(fā)商共同組成方案評審會，對該方案進行了評審，各位專家對該方案提出了 多點不同意見。李工認為，原業(yè)務(wù)系統(tǒng)只針對企業(yè)內(nèi)部員工，采用了用戶名/密碼方式是可以的，但擴展為基于互聯(lián)網(wǎng)的B2C業(yè)務(wù)系統(tǒng)后，認證方式過于簡單，很可能造成用戶身份被盜??；王工認為，防止授權(quán)侵犯和保留用戶痕跡的要求在方案中沒有體現(xiàn)。而劉工則認為，即使是在原有業(yè)務(wù)系統(tǒng)上的擴展與改造，也必須全面考慮信息系統(tǒng)面臨的各種威脅，設(shè)計完整的系統(tǒng)安全架構(gòu)，而不是修修補補。 
【問題1】（9分）   信息系統(tǒng)面臨的安全威脅多種多樣，來自多個方面。請指出信息系統(tǒng)面臨哪些方面的安全 威脅并分別予以簡要描述。 
【問題2】（8分）   認證是安全系統(tǒng)中不可缺少的環(huán)節(jié)，請簡要描述主要的認證方式，并說明該企業(yè)應(yīng)采用哪 種認證方式。 
【問題3】（8分）   請解釋授權(quán)侵犯的具體含義；針對王工的意見給出相應(yīng)的解決方案，說明該解決方案的名 稱、內(nèi)容和目標。
信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/2327820582.html

信管網(wǎng)考友試題答案分享：

信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/2327820582.html