第1題

下列關于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是：（）

A．確保采購定制的設備、軟件和其他系統(tǒng)組件滿足已定義的安全要求

B．確保整個系統(tǒng)已按照領導要求進行了部署和配置

C．確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力

D．確保信息系統(tǒng)的使用已得到授權

信管網參考答案：B

信管網參考解析：信息系統(tǒng)生命周期是指信息系統(tǒng)在使用過程中隨著其生存環(huán)境的變化，要不斷維護、修改，具有產生、發(fā)展、成熟、消亡（更新）的過程周期循環(huán)。

信息系統(tǒng)生命周期由系統(tǒng)分析、系統(tǒng)設計、系統(tǒng)實施以及系統(tǒng)管理和維護四個時期組成，每一個時期又進一步劃分成若干個階段。

1．系統(tǒng)分析

系統(tǒng)的分析，也叫系統(tǒng)的調查與分析，是信息系統(tǒng)生命周期的第一個階段，也是最重要的一個環(huán)節(jié)。系統(tǒng)分析時期的任務包括確定信息系統(tǒng)必須完成的總目標，確定工程的可行性，導出實現(xiàn)工程目標應該采取的策略及系統(tǒng)必須完成的功能，估計完成該項工程需要的資源和成本，并且制定工程進度表。系統(tǒng)分析時期通常進一步劃分成三個階段，即問題的定義、可行性研究和需求分析。問題定義階段的主要任務是確定所開發(fā)的信息系統(tǒng)要完成的目標是什么，如果不知道信息系統(tǒng)的目標就試圖開發(fā)信息系統(tǒng)，顯然是盲目的，只會白白浪費時間和金錢?？尚行匝芯侩A段的主要任務是分析達到信息系統(tǒng)的目標是否存在可行的辦法?？尚行匝芯康慕Y果是信息系統(tǒng)的負責人做出是否繼續(xù)進行這個信息系統(tǒng)的開發(fā)決定的重要依據(jù)。一般來說，只有投資可能取得較大效益的那些信息系統(tǒng)才值得繼續(xù)進行下去，及時終止不值得投資的工程項目，可以避免更大的浪費。需求分析階段的主要任務是確定目標系統(tǒng)必須具備哪些功能以及系統(tǒng)正常運行時應滿足的性能指標。

2．系統(tǒng)設計

系統(tǒng)設計是信息系統(tǒng)生命周期中另一個重要階段。系統(tǒng)設計的主要目的就是為下一階段的系統(tǒng)實施制定藍圖。系統(tǒng)設計包括兩個方面的內容，首先是系統(tǒng)總體設計，總體設計的任務是提供信息系統(tǒng)的概括的解決方案，主要內容包括信息系統(tǒng)的功能模塊的劃分，功能模塊之間的層次結構和關系。其次是系統(tǒng)詳細設計，詳細設計的任務是把系統(tǒng)總體設計的結果具體化。這個階段的任務不是編寫程序，而是設計出各個功能模塊的詳細規(guī)格說明，如信息系統(tǒng)各個模塊的處理流程，系統(tǒng)的數(shù)據(jù)流程和數(shù)據(jù)庫邏輯結構的設計。

3．系統(tǒng)實施

系統(tǒng)實施是新系統(tǒng)開發(fā)工作的最后一個階段。所謂實施指的是將上述系統(tǒng)設計階段的結果在計算機上實現(xiàn)，將原來紙面上的、類似于設計圖式的新系統(tǒng)的設計方案轉換成可執(zhí)行的應用系統(tǒng)。系統(tǒng)設計階段的主要任務是：按總體設計方案購置和安裝計算機網絡系統(tǒng)；建立數(shù)據(jù)庫系統(tǒng)；程序設計與調試；整理基礎數(shù)據(jù)；培訓操作人員和試運行。

4．系統(tǒng)維護

系統(tǒng)維護是系統(tǒng)投入正常運行之后一件長期而又艱巨的工作。維護時期的主要任務是使系統(tǒng)持久地滿足用戶的需要。具體地說，系統(tǒng)維護的任務包括當系統(tǒng)在使用過程中發(fā)現(xiàn)錯誤時應該加以改正；當環(huán)境改變時應該修改系統(tǒng)以適應新的環(huán)境；當企業(yè)有新的需求時應該及時改進信息系統(tǒng)以滿足企業(yè)的需求。每一次維護活動本質上都是一次壓縮和簡化了的系統(tǒng)定義和開發(fā)過程。

信息系統(tǒng)的生命周期是周而復始進行的，一個系統(tǒng)開發(fā)完成以后就不斷地評價和積累問題，積累到一定程度就要重新進行系統(tǒng)分析，開始一個新的生命周期。一般來說，不管系統(tǒng)運行的好壞，每隔一定的時期也要進行新一輪的開發(fā)。信息系統(tǒng)生命周期如圖所示。

另外需要注意的是，信息系統(tǒng)的生命周期并不等于信息系統(tǒng)軟件的生命周期，信息系統(tǒng)的生命周期考查的對象包含了組成信息系統(tǒng)的軟件和硬件，具有更多的內容。但由于信息系統(tǒng)的大多數(shù)功能一般是通過軟件來實現(xiàn)的，因此，信息系統(tǒng)的生命周期和信息系統(tǒng)軟件的生命周期的聯(lián)系又是十分密切的。

第2題

After reviewing its business processes, a large organization is deploying a new web application based on a VoIP technology. Which of the following is the MOST appropriate approach for implementing access control that will facilitate security management of the VoIP web application?

A、Fine-grained access control

B、Role-based access control (RBAC)

C、Access control lists

D、Network/service access control

信管網參考答案：B

信管網參考解析：在評估完它的業(yè)務流程后，一個大型組織整打算配置一個新的基于語音通話的應用。下面哪一個是最合適的實施訪問控制并將可以推動語音網絡運用的安全管理：

A、詳盡的訪問控制

B、基于角色的訪問控制

C、訪問控制列表

D、網絡/服務訪問控制

注：授權本VoIP案例可以通過基于角色的訪問控制（RBAC）技術解決。RBAC是易于管理和執(zhí)行高效的強在大型網絡環(huán)境中包括VoIP實現(xiàn)訪問控制。訪問控制列表和細粒度的訪問控制對VoIP網絡應用沒有規(guī)模企業(yè)范圍的系統(tǒng)，因為他們主要是基于個人用戶的身份和權限的具體技術。網絡/服務地址VoIP可用但沒有解決應用層的訪問和授權。