5.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
設(shè)計源于需求，需求源于目標(biāo)。要弄清安全的需求，就要首先明確安全的管理目標(biāo)。一般而言，針對安全的管理目標(biāo)包括政策需求和業(yè)務(wù)需求。獲取和分析安全需求通常是從國家法律、組織政策、業(yè)務(wù)策略和責(zé)任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內(nèi)容。安全信息系統(tǒng)構(gòu)建的最終目標(biāo)，就是要求通過多層次手段最終所實現(xiàn)的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設(shè)計階段，為了確保信息系統(tǒng)的安全屬性真正達到設(shè)計時確定的安全目標(biāo)，安全設(shè)計可以參照以下幾個設(shè)計原則：
需要對應(yīng)用系統(tǒng)進行風(fēng)險分析；
確認安全風(fēng)險并將安全需求具體化；
通過在應(yīng)用中實現(xiàn)安全機制來滿足安全需求；
安全機制被正確地設(shè)計。
在實施階段至最終處理階段，安全設(shè)計可以參照以下幾個設(shè)計原則：
需要正確地實施安全機制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對信息系統(tǒng)的安全管理有清晰的安全目標(biāo)；
安全管理包括對安全需求的管理，例如，要對風(fēng)險和成本進行平衡，以確保滿足管理目標(biāo)。
在安全信息系統(tǒng)構(gòu)建過程中，需要遵循這些原則采取具體的機制和措施，以求達到安全目標(biāo)和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。

國外廣泛采用的是 NIST SP800-64 標(biāo)準(zhǔn)《信息安全開發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個主要階段，各階段的安全措施與步驟如下圖所示。
【問題1】（4分）
根據(jù)信息系統(tǒng)安全體系（ISSA）的基本內(nèi)容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補充完整。
【問題2】（3分）
根據(jù)信息系統(tǒng)開發(fā)生命周期的6個階段將信息系統(tǒng)開發(fā)生命周期（SDLC）圖中的（5）—（10）空補充完整。
【問題3】（5分）
在構(gòu)建信息系統(tǒng)模型時，要解決開放式環(huán)境帶來的復(fù)雜、多變的安全威脅應(yīng)該怎樣設(shè)計信息系統(tǒng)？（2分）該如何實現(xiàn)？（3分）
【問題4】（3分）
要實現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從哪些方面來尋找一個平衡點？