专业信息安全工程师网站|培训机构|服务商(2021信息安全工程师学习QQ群:327677606,客服QQ:800184589)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 每日一练 >> 文章内容
信息安全工程师案例分析每日一练试题(2020/11/17)
来源:信管网 2020年11月18日 【所有评论 分享到微信

信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题(2020/11/17)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/11/17

点击查看:更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容(2020/11/17)

阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
设计源于需求,需求源于目标。要弄清安全的需求,就要首先明确安全的管理目标。一般而言,针对安全的管理目标包括政策需求和业务需求。获取和分析安全需求通常是从国家法律、组织政策、业务策略和责任追究等方西出发,而这些都是系统管理层需要考虑的内容。安全信息系统构建的最终目标,就是要求通过多层次手段最终所实现的信息系统完全满足管理层的要求。
在初始盼段和设计阶段,为了确保信息系统的安全属性真正达到设计时确定的安全目标,安全设计可以参照以下几个设计原则:
需要对应用系统进行风险分析;
确认安全风险并将安全需求具体化;
通过在应用中实现安全机制来满足安全需求;
安全机制被正确地设计。
在实施阶段至最终处理阶段,安全设计可以参照以下几个设计原则:
需要正确地实施安全机制;需要正确地配置安全属性;
需要正确地使用和管理安全属性;
针对信息系统的安全管理有清晰的安全目标;
安全管理包括对安全需求的管理,例如,要对风险和成本进行平衡,以确保满足管理目标。
在安全信息系统构建过程中,需要遵循这些原则采取具体的机制和措施,以求达到安全目标和安全需求。
信息系统安全体系(ISSA) ,其基本框架如下图所示。

信息系统安全体系框架

国外广泛采用的是 NIST SP800-64 标准《信息安全开发生命周期中的安全考虑指南》。该《指南》介绍了把安全纳入信息系统开发生命周期的所有阶段(从初始阶段到最终处理阶段)的框架。引用 NIST SP800-64 的《指南》作为参考, SDLC 基本上可分为6个主要阶段,各阶段的安全措施与步骤如下图所示。

SDLC的6个主要阶段
【问题1】(4分)
根据信息系统安全体系(ISSA)的基本内容将信息系统安全体系框架图中的(1)—(4)空补充完整。
(1)       (2)        (3)          (4)         
【问题2】(3分)
根据信息系统开发生命周期的6个阶段将信息系统开发生命周期(SDLC)图中的(5)—(10)空补充完整。
(5)      (6)       (7)        (8)        (9)       (10)
【问题3】(5分)
在构建信息系统模型时,要解决开放式环境带来的复杂、多变的安全威胁应该怎样设计信息系统?(2分)该如何实现?(3分)
【问题4】(3分)
要实现系统的安全,也不能仅从技术角度考虑,也需要从哪些方面来寻找一个平衡点?

信管网试题答案与解析:www.cnitpm.com/st/280647420.html

信管网考友试题答案分享:

信管网cnitpm439753710:
【1】(1)法律法规与政策(2)安全技术体系(3)安全管理体系(4)标准规范体系 【2】(5)安全依据(6)初始阶段(7)开发阶段(8)实施阶段(9)运维阶段(10)最后处理阶段 【3】在开放的不可控环境下,基于密码的使用保证信息系统的交易信息安全;在封闭的可控环境下,通过对物理、网络、系统的物理控制保证信息系统的交易安全,从而避免或大幅减少密码的使用; 【4】安全成本、安全风险、安全管理

信管网cnitpm57427373058:
法律法规与政策,安全管理体系,安全技术体系,安全标准体系<br>安全依据,初始阶段,设计阶段,实施阶段,运维阶段,最终处理阶段<br>可控的封闭环境下运行的系统部分和不可控的开放环境下运行的系统部分<br>风险分析。安全策略,安全架构

信管网cnitpm1475296114:
问题1: (1)信息安全法律法规体系结构 (2)信息安全管理体系 (3)信息安全技术体系 (4)信息安全标准体系 问题2: (5)安全依据 (6)初始阶段 (7)设计阶段 (8)实施阶段 (9)运维阶段 (10)最终处理阶段 问题3: 构建信息系统时,网络可以分为安全性低、不可控的开放式网络和安全性较高、可控的封闭式网络。 对于开放式网络,可以引入多接口防火墙,构建封闭的网络。引入入侵检测系统,对可能遭到的入侵行为进行检测和预防。 对于封闭式网络,可以构建被屏蔽子网体系结构的防火墙,将网络分为外部网络、dmz非军事区和内部网络。在内部网络中部署安全要求最高的用户资料、协议、文件和数据服务器。dmz中可以部署面向外网的web服务器和邮件服务器等。外部网络中可以部署信息安全要求最低的主机和设备。 问题4: 除了从技术角度,还需要从风险分析、安全策略、安全架构方面来寻找平衡点。

信管网cnitpm1475296114:
问题1 (1)信息安全法律法规体系 (2)信息安全管理体系 (3)信息安全技术体系 (4)信息安全标准体系 问题2 (5)问题分析与规划 (6)需求分析 (7)软件设计 (8)程序编码 (9)软件测试 (19)运行维护 问题3 要根据风险评估结果,结合安全需求和部署运营成本,综合与平衡各方面因素来设计信息系统。实现过程如下: 进行风险识别和分析,对资产价值、脆弱性、威胁进行综合分析,给出安全目标,依照目标来制定安全策略,对于开放式环境,应该考虑外部网络带来的安全隐患,防范恶意代码、网络入侵等攻击,部署防火墙、入侵检测、入侵防护、认证系统、访问控制系统,并考虑设备的物理安全。同时制定相应的安全管理规则并进行管理人员和使用人员的信息安全培训。 问题4 在考虑技术因素的同时,必须从资产价值、威胁、脆弱性风险分析的角度出发,综合设备、人员与管理运行成本各类因素,寻找系统实现的平衡点,在合理的成本范围内达到最高的安全要求。

信管网cnitpm57427373058:
法律法规与政策,安全技术体系,安全管理体系,安全标准体系<br>安全依据,初始阶段,设计阶段,运维阶段,评估阶段,最终处理阶段<br>分为可控的封闭式环境信息系统模型和不可控的开放式信息系统模型<br>主机安全,网络安全,物理安全,应急机制。

信管网试题答案与解析:www.cnitpm.com/st/280647420.html
扫码关注公众号

温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!

信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。

信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。

相关内容

发表评论  查看完整评论  

推荐文章