信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2021/1/17）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/1/17

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/1/17）

5.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
設(shè)計源于需求，需求源于目標。要弄清安全的需求，就要首先明確安全的管理目標。一般而言，針對安全的管理目標包括政策需求和業(yè)務(wù)需求。獲取和分析安全需求通常是從國家法律、組織政策、業(yè)務(wù)策略和責(zé)任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內(nèi)容。安全信息系統(tǒng)構(gòu)建的最終目標，就是要求通過多層次手段最終所實現(xiàn)的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設(shè)計階段，為了確保信息系統(tǒng)的安全屬性真正達到設(shè)計時確定的安全目標，安全設(shè)計可以參照以下幾個設(shè)計原則：
需要對應(yīng)用系統(tǒng)進行風(fēng)險分析；
確認安全風(fēng)險并將安全需求具體化；
通過在應(yīng)用中實現(xiàn)安全機制來滿足安全需求；
安全機制被正確地設(shè)計。
在實施階段至最終處理階段，安全設(shè)計可以參照以下幾個設(shè)計原則：
需要正確地實施安全機制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對信息系統(tǒng)的安全管理有清晰的安全目標；
安全管理包括對安全需求的管理，例如，要對風(fēng)險和成本進行平衡，以確保滿足管理目標。
在安全信息系統(tǒng)構(gòu)建過程中，需要遵循這些原則采取具體的機制和措施，以求達到安全目標和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。
國外廣泛采用的是 NIST SP800-64 標準《信息安全開發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個主要階段，各階段的安全措施與步驟如下圖所示。
【問題1】（4分）
根據(jù)信息系統(tǒng)安全體系（ISSA）的基本內(nèi)容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補充完整。
【問題2】（3分）
根據(jù)信息系統(tǒng)開發(fā)生命周期的6個階段將信息系統(tǒng)開發(fā)生命周期（SDLC）圖中的（5）—（10）空補充完整。
【問題3】（5分）
在構(gòu)建信息系統(tǒng)模型時，要解決開放式環(huán)境帶來的復(fù)雜、多變的安全威脅應(yīng)該怎樣設(shè)計信息系統(tǒng)？（2分）該如何實現(xiàn)？（3分）
【問題4】（3分）
要實現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從哪些方面來尋找一個平衡點？信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/3822228973.html

信管網(wǎng)考友試題答案分享：

信管網(wǎng)cnitpm439753710：
【1】信息系統(tǒng)安全體系（issa）框架：（1）法律法規(guī)與政策（2）安全管理體系（3）安全技術(shù)體系（4）標準規(guī)范體系 【2】安全依據(jù)-初始階段-開發(fā)階段-實施階段-運維階段-最終處理階段 【3】信息系統(tǒng)環(huán)境可分為不可控的開放環(huán)境與可控的封閉環(huán)境；在不可控的開放環(huán)境：采用基于密碼的使用來實現(xiàn)信息系統(tǒng)的交易安全；在可控的封閉環(huán)境：通過對物理、網(wǎng)絡(luò)、系統(tǒng)等環(huán)境措施來達到信息數(shù)據(jù)的交易安全，從而避免或大幅減少密碼的使用。 【4】要實現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)的角度考慮，也需要從安全、速度、成本方面來尋找平衡點

信管網(wǎng)cnitpm20330568152：

是第幾章的內(nèi)容啊

信管網(wǎng)cnitpm439753710：
【1】信息系統(tǒng)安全體系（issa）框架：法律法規(guī)與政策、信息安全管理體系、信息安全技術(shù)體系、標準規(guī)范體系 【2】信息系統(tǒng)開發(fā)生命周期：安全依據(jù)->初始階段->設(shè)計階段->實施階段->運維階段->最后處理階段 【3】信息系統(tǒng)環(huán)境分為不可控的開放環(huán)境與可控的封閉環(huán)境；在不可控的開放環(huán)境下，基于密碼的使用安全措施達到對信息系統(tǒng)的數(shù)據(jù)交易安全，確保數(shù)據(jù)安全性；在可控的封閉環(huán)境下，可針對物理、網(wǎng)絡(luò)與系統(tǒng)等安全部署達到信息系統(tǒng)的數(shù)據(jù)交易安全，從而避免或大幅減少密碼的實用。 【4】要實現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從成本、安全、速度等方面來尋找平衡點。

信管網(wǎng)cnitpm1475296114：
問題1： （1）信息安全法律法規(guī)體系結(jié)構(gòu) （2）信息安全管理體系結(jié)構(gòu) （3）信息安全技術(shù)體系結(jié)構(gòu) （4）信息安全標準體系結(jié)構(gòu) 問題2： （5）安全依據(jù) （6）準備階段 （7）評估階段 （8）實施階段 （9）運維階段 （10）結(jié)果處置階段 問題3： 信息系統(tǒng)環(huán)境可以劃分為不可信的開放式環(huán)境和可信的封閉式環(huán)境。 對于開放式環(huán)境，可以利用多接口防火墻將網(wǎng)絡(luò)劃分為多個子網(wǎng)，并使用入侵檢測系統(tǒng)對可能的外界入侵行為進行監(jiān)控和防御。對于封閉式系統(tǒng)，要使用被屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻，將網(wǎng)絡(luò)劃分為外部網(wǎng)絡(luò)、dmz和內(nèi)部網(wǎng)絡(luò)。重要和核心的數(shù)據(jù)庫、業(yè)務(wù)、網(wǎng)絡(luò)協(xié)議、代碼等服務(wù)器需要放置在安全性最高、可信的內(nèi)部網(wǎng)絡(luò)中。對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器，比如web服務(wù)器、電子郵件服務(wù)器可以放置在dmz區(qū)域。安全要求最低的主機可以放置在外部網(wǎng)絡(luò)中。在網(wǎng)關(guān)位置還需要部署ids入侵檢測系統(tǒng)，對外部入侵行為進行監(jiān)控和防御。 問題4： 除了從技術(shù)角度，還要從風(fēng)險評估、網(wǎng)絡(luò)安全體系、網(wǎng)絡(luò)安全策略方面尋找平衡點。

信管網(wǎng)cnitpm17224864799：
問題1:＜br＞（1）法律法規(guī)與政策＜br＞（2）安全管理體系＜br＞（3）安全技術(shù)體系＜br＞（4）標準規(guī)范體系＜br＞問題2:＜br＞（5）安全依據(jù)＜br＞（6）初始階段＜br＞（7）設(shè)計階段＜br＞（8）實施階段＜br＞（9）運維階段＜br＞（10）最終處理階段＜br＞＜br＞問題3:＜br＞關(guān)注軟件的漏洞和操作系統(tǒng)的漏洞，采用多層網(wǎng)絡(luò)系統(tǒng)＜br＞＜br＞綜合應(yīng)用密碼保護，網(wǎng)絡(luò)安全，操作系統(tǒng)保護和編程語言保護來實現(xiàn)＜br＞＜br＞問題4:＜br＞根據(jù)要保護的數(shù)據(jù)信息的價值來決定平衡點，包括速度，安全和成本等多方面的均衡。

信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/3822228973.html