专业信息安全工程师网站|培训机构|服务商(2021信息安全工程师学习QQ群:327677606,客服QQ:800184589)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 每日一练 >> 文章内容
信息安全工程师案例分析每日一练试题(2021/3/28)
来源:信管网 2021年03月29日 【所有评论 分享到微信

信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题(2021/3/28)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2021/3/28

点击查看:更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容(2021/3/28)

5.阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
信息系统安全是指对信息系统及其处理的信息采取适当的安全保障措施,防止未授权的访问、使用、泄露、中断、修改、破坏,从而确保信息系统及其信息的机密性、完整性和可用性,保证信息系统功能的正确实现。信息系统安全测评是依据信息安全测评的要求,在风险评估的基础上,对在信息系统生命周期中采取的技术类、管理类、过程类和人员类的安全保证措施进行测评和检查,确定信息系统安全保证措施对履行其职能的有效性及其面临安全风险的可承受度。信息系统安全测评依据的概念模型是一种合理的和自我包容的整体安全保障模型。包含保证对象、生命周期和信息特征三方面的模型。
本模型主要特点为:
(1)以安全概念和关系为基础,将风险和策略作为信息系统安全保障的基础和核心;
(2)强调信息系统安全保障持续发展的动态安全模型,即强调信息系统安全保障应渗入整个信息系统生命周期的全过程;
(3)强调信息系统安全保障的概念,信息系统的安全保障是通过综合技术、管理、过程和人员的要求等措施实施和实现信息系统的安全目标,通过对信息系统的技术、管理、过程和人员要求的评估结果以及相应的认证认可,提供对信息系统安全保障的信心;
(4)通过风险和策略基础,生命周期和保障层面,实现信息的可用性和完整性,从而达到保障组织机构执行其使命的根本目的。
在基于安全风险分析得出的信息系统安全保护等级划分的基础上,提出安全需求,即得到评估对象的保护轮廓,如下图所示。
信息系统安全保障等级评估总体框架
为了提炼出评估对象的安全需求,需要建立安全环境,如下图所示。

信息系统安全保障等级评估规范
系统生命周期内的安全保障和评估应该贯穿下列各阶段:
(1)确定系统使命、系统安全目标;
(2)确定系统结构、威胁分析、脆弱性分析、风险分析、安全要求、安全策略;
(3)物理环境安全、系统安全实施、采购安全控制、网络安全、应用安全、数据安全、管理安全;
(4)交付与运行系统运转的可用性、系统安全评估的可信性;
(5)维护安全、升级安全、废弃安全(残余信息保护)。
系统生命周期内的安全保障和评估

模糊测试是一种黑盒测试技术,它将大量的畸形数据输入到目标程序中,通过监测程序的异常来发现被测程序中可能存在的安全漏洞。
如下图所示,完整的模糊测试都要经历以下几个基本的阶段。
(1)考虑被测目标类型。 (2)枚举输入向量。
(3)依据测试对象的特征,制定相应的模糊测试数据生成策略。
(4)执行过程可能包括发送数据包给自标应用程序、打开一个文件或发起一个目标进程。
(5)对故障或异常的监视。
(6)一旦确定被测目标存在故障,重现故障最常用的手段就是重放检测。
一般模糊测试执行流程
【问题1】(9分)
根据试题说明将各图中空缺(1)—(18)补充完整。
【问题2】(2分)
信息系统安全测评的基本原则包括标准性原则、关键业务原则、可控性原则等,其中可控性原则里又包括服务可控性、人员与信息可控性、过程可控性、工具可控性。按照项目管理要求,成立项目实施团队,项目组长负责制,这是属于什么原则?
【问题3】(2分)
信息系统安全测评方法主要有哪两种方法?如果要求软件开发团队快速查找、定位、修复和管理软件代码安全问题,应采用哪种方法?
【问题4】(2分)
信息系统安全测评由三个阶段组成:安全评估阶段、安全认证阶段、认证监督阶段。通过安全评估的信息系统将进入安全认证阶段,首先要做什么?
信管网试题答案与解析:www.cnitpm.com/st/3821228927.html

信管网考友试题答案分享:

信管网cnitpm57427373058:
安全需求,评估实施,评估结果,等级认证,安全环境,安全目标,安全管理,评估规范,策略与组织,开发与采购,实施与交付,运行与维护,更新与废弃,识别目标,识别输入,生成模糊测试数据,执行模糊测试数据,确定可利用性,过程可控性,模糊测试,代码审计。代码审计,信息系统首先试运行6个月

信管网cnitpm57427373058:
安全需求,评估实施,评估结果,等级认证<br>安全环境,安全目标,安全需求,评估规范<br>策略与组织,开发与采购,实施与交付,运行与维护,更新与废弃,识别目标,识别输入,生成模糊数据,执行模糊数据,确定可用性<br>过程可控性,模糊测试,代码审计,代码审计<br>信息系统试运行6个月

信管网cnitpm57427373058:
安全需求,评估实施,评估结果,等级认证<br>安全环境,安全目标,安全管理,评估规范<br>策略与组织,开发与采购,实施与交互,运行与维护,更新与废弃<br>识别目标,识别输入,生成模糊测试数据,执行模糊测试数据,确定可利用性<br>过程可控性原则<br>模糊测试,代码审计,代码审计<br>首先信息系统试运行6个月

信管网cnitpm57427373058:
安全需求,评估实施,评估结果,认证等级,安全环境。安全目标,安全需求。规范等级<br>开发与采购。实施与交付,运行与维护,更新与销毁<br>识别

信管网cnitpm5436332219:
问题1:(1)安全需求(2)评估实施(3)评估结果(4)等级认证(5)安全环境(6)安全目标(7)安全需求(8)评估规范(9)策划与组织(10)开发与采购(11)实施与交付(12)运行与维护(13)更新与废弃(14)识别目标(15)识别输入(16)生成模糊测试数据(17)执行模糊测试数据(18)确定可利用性 问题2:过程可控性原则 问题3:模糊测试和代码审计,采用代码审计 问题4:试运行6个月

信管网试题答案与解析:www.cnitpm.com/st/3821228927.html
扫码关注公众号

温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!

信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。

信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。

相关内容

发表评论  查看完整评论  

推荐文章