信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/11/17）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2020/11/17

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2020/11/17）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
設(shè)計源于需求，需求源于目標(biāo)。要弄清安全的需求，就要首先明確安全的管理目標(biāo)。一般而言，針對安全的管理目標(biāo)包括政策需求和業(yè)務(wù)需求。獲取和分析安全需求通常是從國家法律、組織政策、業(yè)務(wù)策略和責(zé)任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內(nèi)容。安全信息系統(tǒng)構(gòu)建的最終目標(biāo)，就是要求通過多層次手段最終所實(shí)現(xiàn)的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設(shè)計階段，為了確保信息系統(tǒng)的安全屬性真正達(dá)到設(shè)計時確定的安全目標(biāo)，安全設(shè)計可以參照以下幾個設(shè)計原則：
需要對應(yīng)用系統(tǒng)進(jìn)行風(fēng)險分析；
確認(rèn)安全風(fēng)險并將安全需求具體化；
通過在應(yīng)用中實(shí)現(xiàn)安全機(jī)制來滿足安全需求；
安全機(jī)制被正確地設(shè)計。
在實(shí)施階段至最終處理階段，安全設(shè)計可以參照以下幾個設(shè)計原則：
需要正確地實(shí)施安全機(jī)制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對信息系統(tǒng)的安全管理有清晰的安全目標(biāo)；
安全管理包括對安全需求的管理，例如，要對風(fēng)險和成本進(jìn)行平衡，以確保滿足管理目標(biāo)。
在安全信息系統(tǒng)構(gòu)建過程中，需要遵循這些原則采取具體的機(jī)制和措施，以求達(dá)到安全目標(biāo)和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。

信息系統(tǒng)安全體系框架

國外廣泛采用的是 NIST SP800-64 標(biāo)準(zhǔn)《信息安全開發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個主要階段，各階段的安全措施與步驟如下圖所示。

SDLC的6個主要階段
【問題1】（4分）
根據(jù)信息系統(tǒng)安全體系（ISSA）的基本內(nèi)容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補(bǔ)充完整。
（1）       （2）        （3）          （4）         
【問題2】（3分）
根據(jù)信息系統(tǒng)開發(fā)生命周期的6個階段將信息系統(tǒng)開發(fā)生命周期（SDLC）圖中的（5）—（10）空補(bǔ)充完整。
（5）      （6）       （7）        （8）        （9）       （10）
【問題3】（5分）
在構(gòu)建信息系統(tǒng)模型時，要解決開放式環(huán)境帶來的復(fù)雜、多變的安全威脅應(yīng)該怎樣設(shè)計信息系統(tǒng)？（2分）該如何實(shí)現(xiàn)？（3分）
【問題4】（3分）
要實(shí)現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從哪些方面來尋找一個平衡點(diǎn)？

信管網(wǎng)cnitpm439753710：
【1】（1）法律法規(guī)與政策（2）安全技術(shù)體系（3）安全管理體系（4）標(biāo)準(zhǔn)規(guī)范體系 【2】（5）安全依據(jù)（6）初始階段（7）開發(fā)階段（8）實(shí)施階段（9）運(yùn)維階段（10）最后處理階段 【3】在開放的不可控環(huán)境下，基于密碼的使用保證信息系統(tǒng)的交易信息安全；在封閉的可控環(huán)境下，通過對物理、網(wǎng)絡(luò)、系統(tǒng)的物理控制保證信息系統(tǒng)的交易安全，從而避免或大幅減少密碼的使用； 【4】安全成本、安全風(fēng)險、安全管理

信管網(wǎng)cnitpm57427373058：
法律法規(guī)與政策，安全管理體系，安全技術(shù)體系，安全標(biāo)準(zhǔn)體系＜br＞安全依據(jù)，初始階段，設(shè)計階段，實(shí)施階段，運(yùn)維階段，最終處理階段＜br＞可控的封閉環(huán)境下運(yùn)行的系統(tǒng)部分和不可控的開放環(huán)境下運(yùn)行的系統(tǒng)部分＜br＞風(fēng)險分析。安全策略，安全架構(gòu)

信管網(wǎng)cnitpm1475296114：
問題1： （1）信息安全法律法規(guī)體系結(jié)構(gòu) （2）信息安全管理體系 （3）信息安全技術(shù)體系 （4）信息安全標(biāo)準(zhǔn)體系 問題2： （5）安全依據(jù) （6）初始階段 （7）設(shè)計階段 （8）實(shí)施階段 （9）運(yùn)維階段 （10）最終處理階段 問題3： 構(gòu)建信息系統(tǒng)時，網(wǎng)絡(luò)可以分為安全性低、不可控的開放式網(wǎng)絡(luò)和安全性較高、可控的封閉式網(wǎng)絡(luò)。 對于開放式網(wǎng)絡(luò)，可以引入多接口防火墻，構(gòu)建封閉的網(wǎng)絡(luò)。引入入侵檢測系統(tǒng)，對可能遭到的入侵行為進(jìn)行檢測和預(yù)防。 對于封閉式網(wǎng)絡(luò)，可以構(gòu)建被屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻，將網(wǎng)絡(luò)分為外部網(wǎng)絡(luò)、dmz非軍事區(qū)和內(nèi)部網(wǎng)絡(luò)。在內(nèi)部網(wǎng)絡(luò)中部署安全要求最高的用戶資料、協(xié)議、文件和數(shù)據(jù)服務(wù)器。dmz中可以部署面向外網(wǎng)的web服務(wù)器和郵件服務(wù)器等。外部網(wǎng)絡(luò)中可以部署信息安全要求最低的主機(jī)和設(shè)備。 問題4： 除了從技術(shù)角度，還需要從風(fēng)險分析、安全策略、安全架構(gòu)方面來尋找平衡點(diǎn)。

信管網(wǎng)cnitpm1475296114：
問題1 （1）信息安全法律法規(guī)體系 （2）信息安全管理體系 （3）信息安全技術(shù)體系 （4）信息安全標(biāo)準(zhǔn)體系 問題2 （5）問題分析與規(guī)劃 （6）需求分析 （7）軟件設(shè)計 （8）程序編碼 （9）軟件測試 （19）運(yùn)行維護(hù) 問題3 要根據(jù)風(fēng)險評估結(jié)果，結(jié)合安全需求和部署運(yùn)營成本，綜合與平衡各方面因素來設(shè)計信息系統(tǒng)。實(shí)現(xiàn)過程如下： 進(jìn)行風(fēng)險識別和分析，對資產(chǎn)價值、脆弱性、威脅進(jìn)行綜合分析，給出安全目標(biāo)，依照目標(biāo)來制定安全策略，對于開放式環(huán)境，應(yīng)該考慮外部網(wǎng)絡(luò)帶來的安全隱患，防范惡意代碼、網(wǎng)絡(luò)入侵等攻擊，部署防火墻、入侵檢測、入侵防護(hù)、認(rèn)證系統(tǒng)、訪問控制系統(tǒng)，并考慮設(shè)備的物理安全。同時制定相應(yīng)的安全管理規(guī)則并進(jìn)行管理人員和使用人員的信息安全培訓(xùn)。 問題4 在考慮技術(shù)因素的同時，必須從資產(chǎn)價值、威脅、脆弱性風(fēng)險分析的角度出發(fā)，綜合設(shè)備、人員與管理運(yùn)行成本各類因素，尋找系統(tǒng)實(shí)現(xiàn)的平衡點(diǎn)，在合理的成本范圍內(nèi)達(dá)到最高的安全要求。

信管網(wǎng)cnitpm57427373058：
法律法規(guī)與政策，安全技術(shù)體系，安全管理體系，安全標(biāo)準(zhǔn)體系＜br＞安全依據(jù)，初始階段，設(shè)計階段，運(yùn)維階段，評估階段，最終處理階段＜br＞分為可控的封閉式環(huán)境信息系統(tǒng)模型和不可控的開放式信息系統(tǒng)模型＜br＞主機(jī)安全，網(wǎng)絡(luò)安全，物理安全，應(yīng)急機(jī)制。