信息安全工程師案例分析當天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/10/3）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2020/10/3

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2020/10/3）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應欄內。
【說明】
設計源于需求，需求源于目標。要弄清安全的需求，就要首先明確安全的管理目標。一般而言，針對安全的管理目標包括政策需求和業(yè)務需求。獲取和分析安全需求通常是從國家法律、組織政策、業(yè)務策略和責任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內容。安全信息系統(tǒng)構建的最終目標，就是要求通過多層次手段最終所實現的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設計階段，為了確保信息系統(tǒng)的安全屬性真正達到設計時確定的安全目標，安全設計可以參照以下幾個設計原則：
需要對應用系統(tǒng)進行風險分析；
確認安全風險并將安全需求具體化；
通過在應用中實現安全機制來滿足安全需求；
安全機制被正確地設計。
在實施階段至最終處理階段，安全設計可以參照以下幾個設計原則：
需要正確地實施安全機制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對信息系統(tǒng)的安全管理有清晰的安全目標；
安全管理包括對安全需求的管理，例如，要對風險和成本進行平衡，以確保滿足管理目標。
在安全信息系統(tǒng)構建過程中，需要遵循這些原則采取具體的機制和措施，以求達到安全目標和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。

信息系統(tǒng)安全體系框架

國外廣泛采用的是 NIST SP800-64 標準《信息安全開發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個主要階段，各階段的安全措施與步驟如下圖所示。

SDLC的6個主要階段
【問題1】（4分）
根據信息系統(tǒng)安全體系（ISSA）的基本內容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補充完整。
（1）       （2）        （3）          （4）         
【問題2】（3分）
根據信息系統(tǒng)開發(fā)生命周期的6個階段將信息系統(tǒng)開發(fā)生命周期（SDLC）圖中的（5）—（10）空補充完整。
（5）      （6）       （7）        （8）        （9）       （10）
【問題3】（5分）
在構建信息系統(tǒng)模型時，要解決開放式環(huán)境帶來的復雜、多變的安全威脅應該怎樣設計信息系統(tǒng)？（2分）該如何實現？（3分）
【問題4】（3分）
要實現系統(tǒng)的安全，也不能僅從技術角度考慮，也需要從哪些方面來尋找一個平衡點？

信管網cnitpm1475296114：
問題1 （1）信息安全法律法規(guī)體系 （2）信息安全管理體系 （3）信息安全技術體系 （4）信息安全標準體系 問題2 （5）問題分析與規(guī)劃 （6）需求分析 （7）軟件設計 （8）程序編碼 （9）軟件測試 （19）運行維護 問題3 要根據風險評估結果，結合安全需求和部署運營成本，綜合與平衡各方面因素來設計信息系統(tǒng)。實現過程如下： 進行風險識別和分析，對資產價值、脆弱性、威脅進行綜合分析，給出安全目標，依照目標來制定安全策略，對于開放式環(huán)境，應該考慮外部網絡帶來的安全隱患，防范惡意代碼、網絡入侵等攻擊，部署防火墻、入侵檢測、入侵防護、認證系統(tǒng)、訪問控制系統(tǒng)，并考慮設備的物理安全。同時制定相應的安全管理規(guī)則并進行管理人員和使用人員的信息安全培訓。 問題4 在考慮技術因素的同時，必須從資產價值、威脅、脆弱性風險分析的角度出發(fā)，綜合設備、人員與管理運行成本各類因素，尋找系統(tǒng)實現的平衡點，在合理的成本范圍內達到最高的安全要求。

信管網cnitpm57427373058：
法律法規(guī)與政策，安全技術體系，安全管理體系，安全標準體系＜br＞安全依據，初始階段，設計階段，運維階段，評估階段，最終處理階段＜br＞分為可控的封閉式環(huán)境信息系統(tǒng)模型和不可控的開放式信息系統(tǒng)模型＜br＞主機安全，網絡安全，物理安全，應急機制。

信管網cnitpm57427373058：
安全法律法規(guī)與政策，安全管理體系，安全技術體系，安全標準體系。＜br＞安全依據，初始階段，設計階段，，運維階段，最終處理階段＜br＞分為兩部分:不可控的開放環(huán)境下的信息系統(tǒng)（開放式信息體系）可控的封閉式的信息系統(tǒng)（封閉式信息體系）。＜br＞

信管網cnitpm5436332219：
問題1：法律法規(guī)與政策、安全管理體系、標準規(guī)范體系、安全技術體系 問題2:安全依據、初始階段、設計階段、實施階段、運維階段、最終處理階段 問題3：將信息系統(tǒng)分為兩部分：在不可控的開放環(huán)境下運作的部分；在可控的封閉環(huán)境下運作的部分。開放式系統(tǒng)部分采用基于密碼的安全措施來達到信息系統(tǒng)交易安全。封閉式系統(tǒng)則通過有效的物理、系統(tǒng)和網絡等環(huán)境控制措施來保護信息系統(tǒng)交易數據，從而避免或大幅減少密碼的使用。 問題4：安全、速度、成本

信管網mgwolf：
3、將信息系統(tǒng)分成兩部分：不可控的開放環(huán)境運行部分；可控的封閉環(huán)境下的運作部分。實現：開放式系統(tǒng)部分采用基于密碼的安全措施，封閉式系統(tǒng)則通過物理系統(tǒng)，網絡等環(huán)境控制措施，避免或減少密碼的使用。。 4、安全，速度，成本