专业信息安全工程师网站|培训机构|服务商(2021信息安全工程师学习QQ群:327677606,客服QQ:800184589)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 每日一练 >> 文章内容
信息安全工程师案例分析每日一练试题(2020/10/11)
来源:信管网 2020年10月12日 【所有评论 分享到微信

信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题(2020/10/11)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/10/11

点击查看:更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容(2020/10/11)

5.阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
设计源于需求,需求源于目标。要弄清安全的需求,就要首先明确安全的管理目标。一般而言,针对安全的管理目标包括政策需求和业务需求。获取和分析安全需求通常是从国家法律、组织政策、业务策略和责任追究等方西出发,而这些都是系统管理层需要考虑的内容。安全信息系统构建的最终目标,就是要求通过多层次手段最终所实现的信息系统完全满足管理层的要求。
在初始盼段和设计阶段,为了确保信息系统的安全属性真正达到设计时确定的安全目标,安全设计可以参照以下几个设计原则:
需要对应用系统进行风险分析;
确认安全风险并将安全需求具体化;
通过在应用中实现安全机制来满足安全需求;
安全机制被正确地设计。
在实施阶段至最终处理阶段,安全设计可以参照以下几个设计原则:
需要正确地实施安全机制;需要正确地配置安全属性;
需要正确地使用和管理安全属性;
针对信息系统的安全管理有清晰的安全目标;
安全管理包括对安全需求的管理,例如,要对风险和成本进行平衡,以确保满足管理目标。
在安全信息系统构建过程中,需要遵循这些原则采取具体的机制和措施,以求达到安全目标和安全需求。
信息系统安全体系(ISSA) ,其基本框架如下图所示。
 
信息系统安全体系框架
国外广泛采用的是 NIST SP800-64 标准《信息安全开发生命周期中的安全考虑指南》。该《指南》介绍了把安全纳入信息系统开发生命周期的所有阶段(从初始阶段到最终处理阶段)的框架。引用 NIST SP800-64 的《指南》作为参考, SDLC 基本上可分为6个主要阶段,各阶段的安全措施与步骤如下图所示。
 
SDLC的6个主要阶段
【问题1】(4分)
根据信息系统安全体系(ISSA)的基本内容将信息系统安全体系框架图中的(1)—(4)空补充完整。
【问题2】(3分)
根据信息系统开发生命周期的6个阶段将信息系统开发生命周期(SDLC)图中的(5)—(10)空补充完整。
【问题3】(5分)
在构建信息系统模型时,要解决开放式环境带来的复杂、多变的安全威胁应该怎样设计信息系统?(2分)该如何实现?(3分)
【问题4】(3分)
要实现系统的安全,也不能仅从技术角度考虑,也需要从哪些方面来寻找一个平衡点?信管网试题答案与解析:www.cnitpm.com/st/3822228973.html

信管网考友试题答案分享:

信管网cnitpm20330568152:

cnitpm17224864799的原帖: 2020/7/25 9:32:44
问题1:<br>(1)法律法规与政策<br>(2)安全管理体系<br>(3)安全技术体系<br>(4)标准规范体系<br>问题2:<br>(5)安全依据<br>(6)初始阶段<br>(7)设计阶段<br>(8)实施阶段<br>(9)运维阶段<br>(10)最终处理阶段<br><br>问题3:<br>关注软件的漏洞和操作系统的漏洞,采用多层网络系统<br><br>综合应用密码保护,网络安全,操作系统保护和编程语言保护来实现<br><br>问题4:<br>根据要保护的数据信息的价值来决定平衡点,包括速度,安全和成本等多方面的均衡。
是第几章的内容啊

信管网cnitpm439753710:
【1】信息系统安全体系(issa)框架:法律法规与政策、信息安全管理体系、信息安全技术体系、标准规范体系 【2】信息系统开发生命周期:安全依据->初始阶段->设计阶段->实施阶段->运维阶段->最后处理阶段 【3】信息系统环境分为不可控的开放环境与可控的封闭环境;在不可控的开放环境下,基于密码的使用安全措施达到对信息系统的数据交易安全,确保数据安全性;在可控的封闭环境下,可针对物理、网络与系统等安全部署达到信息系统的数据交易安全,从而避免或大幅减少密码的实用。 【4】要实现系统的安全,也不能仅从技术角度考虑,也需要从成本、安全、速度等方面来寻找平衡点。

信管网cnitpm1475296114:
问题1: (1)信息安全法律法规体系结构 (2)信息安全管理体系结构 (3)信息安全技术体系结构 (4)信息安全标准体系结构 问题2: (5)安全依据 (6)准备阶段 (7)评估阶段 (8)实施阶段 (9)运维阶段 (10)结果处置阶段 问题3: 信息系统环境可以划分为不可信的开放式环境和可信的封闭式环境。 对于开放式环境,可以利用多接口防火墙将网络划分为多个子网,并使用入侵检测系统对可能的外界入侵行为进行监控和防御。对于封闭式系统,要使用被屏蔽子网体系结构的防火墙,将网络划分为外部网络、dmz和内部网络。重要和核心的数据库、业务、网络协议、代码等服务器需要放置在安全性最高、可信的内部网络中。对外提供网络服务的服务器,比如web服务器、电子邮件服务器可以放置在dmz区域。安全要求最低的主机可以放置在外部网络中。在网关位置还需要部署ids入侵检测系统,对外部入侵行为进行监控和防御。 问题4: 除了从技术角度,还要从风险评估、网络安全体系、网络安全策略方面寻找平衡点。

信管网cnitpm17224864799:
问题1:<br>(1)法律法规与政策<br>(2)安全管理体系<br>(3)安全技术体系<br>(4)标准规范体系<br>问题2:<br>(5)安全依据<br>(6)初始阶段<br>(7)设计阶段<br>(8)实施阶段<br>(9)运维阶段<br>(10)最终处理阶段<br><br>问题3:<br>关注软件的漏洞和操作系统的漏洞,采用多层网络系统<br><br>综合应用密码保护,网络安全,操作系统保护和编程语言保护来实现<br><br>问题4:<br>根据要保护的数据信息的价值来决定平衡点,包括速度,安全和成本等多方面的均衡。

信管网试题答案与解析:www.cnitpm.com/st/3822228973.html
扫码关注公众号

温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!

信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。

信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。

相关内容

发表评论  查看完整评论  

推荐文章