信息安全工程師案例分析當天每日一練試題地址：www.jycxcx.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jycxcx.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2018/12/25）在線測試：www.jycxcx.com/exam/ExamDayAL.aspx?t1=6&day=2018/12/25

信息安全工程師案例分析每日一練試題內容（2018/12/25）

試題五（25分） 
 閱讀以下關于信息系統(tǒng)安全性的敘述，在答題紙上回答問題1至問題3。    
某企業(yè)根據(jù)業(yè)務擴張的要求，需要將原有的業(yè)務系統(tǒng)擴展到互聯(lián)網(wǎng)上，建立自己的B2C業(yè) 務系統(tǒng)，此時系統(tǒng)的安全性成為一個非常重要的設計需求。為此，該企業(yè)向軟件開發(fā)商提出如要求：  
（1）合法用戶可以安全地使用該系統(tǒng)完成業(yè)務；  
（2）靈活的用戶權限管理；   
（3）保護系統(tǒng)數(shù)據(jù)的安全，不會發(fā)生信息泄漏和數(shù)據(jù)損壞；  
（4）防止來自于互聯(lián)網(wǎng)上各種惡意攻擊；  
（5）業(yè)務系統(tǒng)涉及到各種訂單和資金的管理，需要防止授權侵犯；    
（6）業(yè)務系統(tǒng)直接面向最終用戶，需要在系統(tǒng)中保留用戶使用痕跡，以應對可能的商業(yè) 拆訟。   該軟件開發(fā)商接受任務后，成立方案設計小組，提出的設計方案是：在原有業(yè)務系統(tǒng)的基 礎上，保留了原業(yè)務系統(tǒng)中的認證和訪問控制模塊；為了防止來自互聯(lián)網(wǎng)的威脅，增加了防火墻和入侵檢測系統(tǒng)。   
企業(yè)和軟件開發(fā)商共同組成方案評審會，對該方案進行了評審，各位專家對該方案提出了 多點不同意見。李工認為，原業(yè)務系統(tǒng)只針對企業(yè)內部員工，采用了用戶名/密碼方式是可以的，但擴展為基于互聯(lián)網(wǎng)的B2C業(yè)務系統(tǒng)后，認證方式過于簡單，很可能造成用戶身份被盜??；王工認為，防止授權侵犯和保留用戶痕跡的要求在方案中沒有體現(xiàn)。而劉工則認為，即使是在原有業(yè)務系統(tǒng)上的擴展與改造，也必須全面考慮信息系統(tǒng)面臨的各種威脅，設計完整的系統(tǒng)安全架構，而不是修修補補。 
【問題1】（9分）   信息系統(tǒng)面臨的安全威脅多種多樣，來自多個方面。請指出信息系統(tǒng)面臨哪些方面的安全 威脅并分別予以簡要描述。 
【問題2】（8分）   認證是安全系統(tǒng)中不可缺少的環(huán)節(jié)，請簡要描述主要的認證方式，并說明該企業(yè)應采用哪 種認證方式。 
【問題3】（8分）   請解釋授權侵犯的具體含義；針對王工的意見給出相應的解決方案，說明該解決方案的名 稱、內容和目標。
信管網(wǎng)試題答案與解析：www.jycxcx.com/st/2327820582.html

信管網(wǎng)考友試題答案分享：

信管網(wǎng)看吉吉1114：
1 信息系統(tǒng)面臨物理環(huán)境，網(wǎng)絡，主機系統(tǒng)，應用系統(tǒng)，數(shù)據(jù)方面的安全威脅。
物理環(huán)境安全威脅是指機房和辦公建筑物及其配套設施，設備，線路以及用電在安全方面存在的威脅，例如：建筑物，設備，線路遭到破壞或出現(xiàn)故障，遭到非法訪問，設備被盜竊，用電出現(xiàn)中斷等。
網(wǎng)路安全威脅是指網(wǎng)絡通信設備及網(wǎng)絡安全設備，網(wǎng)絡通訊線路，網(wǎng)絡通訊服務受到威脅，例如非法使用網(wǎng)絡資源，非法訪問和控制網(wǎng)絡通訊設備，非法占有網(wǎng)絡通訊信道，網(wǎng)絡通信服務帶寬和質量不能保證，網(wǎng)絡線路泄密，傳播非法信息等。
主機系統(tǒng)安全威脅是指主機硬件設備，操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)以及其他相關軟件受到威脅，例如：非法訪問或控制操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)以及其他相關軟件系統(tǒng)，非法占用網(wǎng)絡或系統(tǒng)資源等。
應用系統(tǒng)安全威脅是指應用系統(tǒng)受到威脅，例如：非法訪問和控制業(yè)務應用系統(tǒng)，非法占用業(yè)務應用系統(tǒng)資源等。
數(shù)據(jù)安全威脅是指數(shù)據(jù)存儲和傳播受到威脅，例如：數(shù)據(jù)泄露，數(shù)據(jù)篡改和破環(huán)，數(shù)據(jù)不可用。
2 身份認證 包括熟悉口令和指紋識別   
報文認證    報文源和報文宿的認證     報文內容的認證
智能卡 usb key 身份認證
3 內部攻擊   入侵審計    

信管網(wǎng)tianshixiao：
面臨主動攻擊等各種威脅，這些威脅來自自然威脅，系統(tǒng)威脅，人為威脅，在系統(tǒng)的保密性，完整性，可用性方面都會受到不同的威脅。

認證可以防止主動攻擊，例如篡改，重播等，常見的認證方式有口令認證，生物特征認證，虹膜認證等等，該企業(yè)采用對用戶授權，用戶以自己的口令密碼登錄認證。
授權侵犯是指

信管網(wǎng)ｄｅｌｅｔｅ：
問題1：信息系統(tǒng)的安全有：（1）計算機設備安全（2）操作系統(tǒng)安全（3）數(shù)據(jù)庫系統(tǒng)安全（4）惡意代碼攻擊

信管網(wǎng)試題答案與解析：www.jycxcx.com/st/2327820582.html