信息系统安全工程生命周期

2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析AB卷（带答案）一.综合题(共15题)1.单选题国家密码管理局发布的《无线局域网产品须使用的系列密码算法》，其中规定密钥协商算法应使用的是（）。

问题1选项A.PKIB.DSAC.CPKD.ECDH【答案】D【解析】本题考查网络安全法律法规相关的知识点。

国家密码管理局于2006年1月6日发布公告，公布了《无线局域网产品须使用的系列密码算法》，包括：对称密码算法：SMS4；签名算法： ECDSA；密钥协商算法： ECDH；杂凑算法：SHA-256；随机数生成算法：自行选择。

其中，ECDSA和ECDH密码算法须采用国家密码管理局指定的椭圆曲线和参数。

答案选D。

2.单选题无线传感器网络WSN是由部署在监测区域内大量的廉价微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统。

以下针对WSN安全问题的描述中，错误的是（）。

问题1选项A.通过频率切换可以有效抵御WSN物理层的电子干扰攻击B.WSN链路层容易受到拒绝服务攻击C.分组密码算法不适合在WSN中使用D.虫洞攻击是针对WSN路由层的一种网络攻击形式【答案】C【解析】本题考查无线传感器网络WSN的相关知识。

WSN是一种节点资源受限的无线网络，其链路层安全策略的轻量化研究适合于各种应用环境的WSN系统，且效果显著。

结合序列密码和分组密码各自的优势，提出了一种新型轻量的WSN链路层加密算法——TinySBSec，该协议采用的是对称分组密码。

加密算法可以是RC5或是Skipjack算法。

其加密算法的工作模式为CBC模式，是一种拥有反馈机制的工作模式。

故本题选C。

点播：无线传感器网络WSN是由部署在监测区域内大量的廉价微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统。

WSN通过频率切换可以有效抵御WSN物理层的电子干扰攻击，链路层容易受到拒绝服务攻击，虫洞是针对WSN路由层的一种网络攻击形式。

信息系统的系统开发生命周期信息系统的系统开发生命周期是指对一个信息系统进行开发的整个过程，从确定需求到最终交付和维护系统的各个阶段。

这个过程包括项目计划、需求分析、系统设计、编码实现、系统测试、部署与交付和系统维护等阶段。

以下将逐一介绍这些阶段的内容及重要性。

1. 项目计划项目计划是在系统开发生命周期中的起点，它确定了整个项目的目标、范围、时间和资源预算等。

在项目计划阶段，需要明确项目所要解决的问题、目标和需求，以及项目的可行性和可实施性等，从而为后续的开发工作提供指导和基础。

2. 需求分析需求分析阶段是对用户需求进行详细理解和分析的过程，通过与用户的沟通和需求调研，明确系统的功能需求、非功能需求和约束条件等。

这一阶段的重点是确保对需求的准确理解和明确，为后续的系统设计和开发提供基础。

3. 系统设计系统设计阶段是根据需求分析的结果，对系统的整体结构和功能进行设计的过程。

在系统设计中，需要确定系统的模块划分、数据结构、算法设计以及界面设计等。

通过系统设计，可以为系统的开发实现提供详细的指导和规划。

4. 编码实现编码实现阶段是将系统设计的结果具体实现为可执行代码的过程。

在这一阶段，开发团队根据系统设计的要求，进行编程工作，将系统的各个模块逐步开发出来，并进行代码调试和优化。

编码实现是整个开发过程中的核心环节，直接决定了系统的质量和性能。

5. 系统测试系统测试阶段是对已经编码实现的系统进行全面的功能测试和性能测试的过程。

在系统测试中，需要对系统的各项功能进行验证，确保系统满足用户的需求，并进行性能测试，验证系统的性能指标是否符合要求。

系统测试是保证系统质量的重要环节。

6. 部署与交付部署与交付阶段是将已经测试通过的系统部署到用户的生产环境中，并进行用户培训和系统交付的过程。

在这一阶段，需要进行系统部署的规划和组织，确保系统能够正常运行，同时对用户进行培训，使其能够熟练使用系统。

7. 系统维护系统维护阶段是在系统交付后进行的持续运维和维护工作。

工程全生命周期方案1. 背景介绍工程全生命周期方案是指从工程规划阶段开始，到项目运营与维护阶段结束的整个工程过程中的管理与实施方案。

随着工程管理理念的不断完善和工程实施的不断复杂化，工程全生命周期管理逐渐成为工程管理的重要组成部分。

本文将从工程规划、设计、施工、验收、运营与维护等各个阶段，对工程全生命周期的管理与实施方案进行详细阐述。

2. 工程规划阶段工程规划阶段是工程全生命周期的起始阶段，也是最为重要的阶段之一。

在这个阶段，我们需要对工程的整体目标、需求、资源、成本、风险等各项因素进行全面分析与评估，确定工程项目的可行性。

同时，还需要完成土地规划、环境评估、安全评估等各项前期工作。

在工程规划阶段，我们需要制定一套健全的管理与实施方案，确保工程项目的各项工作能够有条不紊地进行。

首先，我们需要建立一个专业化的规划团队，由经验丰富的规划专家和工程管理人员组成，负责全面分析工程项目的各项因素，确定规划目标和方案。

其次，我们需要制定一个详细的规划方案，包括土地规划、环境评估、安全评估等各项前期工作的具体内容和实施计划。

同时，还需要充分考虑各种风险因素，制定风险管理方案，确保工程项目的顺利进行。

最后，我们需要对规划方案进行评估和审查，以确保规划方案的科学性和合理性。

只有经过严格的审查和评估，我们才能确定最终的规划方案，并正式启动工程项目。

3. 工程设计阶段工程设计阶段是工程全生命周期中的一个重要阶段，它直接关系到工程项目的质量和效益。

在这个阶段，我们需要对工程项目的各项设计工作进行全面规划与管理，确保设计结果能够满足工程项目的需求。

在工程设计阶段，我们需要建立一个专业化的设计团队，由设计专家和工程管理人员组成，负责完成工程项目的各项设计工作。

首先，我们需要对工程项目的各项需求进行分析与梳理，明确工程项目的设计目标与方案。

其次，我们需要制定一个详细的设计方案，包括各项设计工作的具体内容和计划。

同时，还需要充分考虑各种风险因素，制定风险管理方案，确保设计工作的顺利进行。

全国软考真题（中级）信息安全工程师2019年上半年下午考试真题及答案解析（案例分析）【试题一】（14分）阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】访问控制是保障信息系统安全的主要策略之一，其主要任务是保证系统资源不被非法使用和非常规访问。

访问控制规定了主体对客体访向的限制，并在身份认证的碁础上，对用户提出的资源访问请求加以控制。

当前,主要的访问控制模型包括：自主访问控制（DAC）模型和强制访问控制(MAC)模型。

【问题1】(6分)针对信息系统的访问控制包含哪三个基本要素？【参考答案】1、主体2、客体3、授权访问【问题2】(4分)BLP模型是一种强制访问控制模型，请问：（1）BLP模型保证了信息的机密性还是完整性？（2）BLP模型采用的访问控制策略是上读下写还是下读上写？【参考答案】1、机密性2、上读下写【问题3】(4分)Linux系统中可以通过Is•命令查看文件的权限，例如：文件net.txt的权限属性如下所示：-rwx-------1 root root 5025 May 25 2019 /home/abc/net.txt请问：（1）文件net.txt属于系统的哪个用户？（2）文件net.txt权限的数字表示是什么？【参考答案】（1）root（2）700【试题二】（13分）阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。

.密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类：对称密码算法和非对称密码算法。

此外，密码技术还用于信息鉴别、数据完整性检验、数字签名等。

【问题1】(6分)信息安全的基本目标包括真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。

密码学的三大安全百标C.I.A分别表示什么？【参考答案】C：保密性I：完整性A：可用性【问题2】(5分)仿射密码是一种典型的对称密码算法。

mis系统开发的生命周期名词解释随着科技的不断进步和信息化的快速发展，管理信息系统（Management Information System，MIS）在各个行业中扮演着越来越重要的角色。

MIS系统的开发过程是一个复杂而又需要严密规划的过程，涉及到许多专业名词。

本文将对MIS系统开发的生命周期中涉及的部分名词进行解释和说明，以帮助读者更好地理解MIS系统开发的过程。

需求分析（Requirement Analysis）需求分析是MIS系统开发的第一步，它涉及到收集和分析用户的需求，以确定系统的功能和性能要求。

通过与用户的沟通和交流，开发团队能够确保开发出一个能够满足用户需求的系统。

在需求分析阶段，开发团队会进行用户访谈、文档分析、观察用户使用现有系统等活动，以全面了解用户的需求。

系统设计（System Design）系统设计是MIS系统开发过程的第二个阶段。

在这个阶段，开发团队将根据需求分析的结果，制定出一个完整的系统设计方案。

该方案将包括系统的架构、界面设计、数据模型、算法等各个方面的设计。

系统设计旨在确保系统能够高效、可靠地运行，并能够与其他系统进行无缝集成。

编码与测试（Coding and Testing）编码与测试是MIS系统开发的具体实施阶段。

在这个阶段，开发团队将根据系统设计方案，开始编写代码并进行系统测试。

编码是将设计方案转化为可执行的代码的过程，开发团队需要使用合适的编程语言和工具来实现系统的各个功能。

测试是为了验证系统的功能和性能是否符合需求分析阶段所确定的要求，并纠正可能存在的错误和问题。

部署与实施（Deployment and Implementation）部署与实施是MIS系统开发的最后一个阶段。

在这个阶段，开发团队将完成的系统部署到用户的环境中，并进行系统的实施。

部署包括将系统安装和配置到用户的计算机或服务器上，并确保系统能够正常运行。

实施是指将系统投入使用，并进行必要的培训和支持，以确保用户能够有效地使用系统。

系统安全及系统安全工程的定义系统安全是指通过设计、实施和维护一系列措施和方法，以确保计算机系统及其资源的完整性、可用性和保密性，从而保护系统免受内部和外部的威胁和攻击。

系统安全工程则是指在系统开发、运维和维护过程中，负责对系统安全进行规划、设计、实施和监控的一门综合性学科。

下面将详细介绍系统安全及系统安全工程的定义。

系统安全是指在计算机系统中保护数据和硬件资源的一个重要方面。

在计算机系统中，数据和硬件资源可以被不同的威胁和攻击进行破坏、修改、窃取或拒绝服务。

系统安全的目标是保护这些数据和资源的完整性、可用性和保密性，以确保系统正常运行并防止未经授权的访问和操作。

系统安全的三个主要方面是完整性、可用性和保密性。

完整性是指确保数据和资源没有被非法进行修改或删除。

完整性的保护涉及到防止恶意软件、黑客攻击和意外操作对系统进行破坏或修改。

例如，采用访问控制和身份验证机制，可防止未经授权的操作对系统进行破坏。

可用性是指系统能够按照用户的需要和期望正常运行。

可用性的保护包括防止系统遭受拒绝服务攻击或意外故障导致系统无法正常使用。

例如，通过备份和冗余设计，可确保即使部分系统出现故障，其他部分仍然能够继续工作。

保密性是指保护数据和资源不被未经授权的访问者获取。

保密性的保护涉及到数据加密、访问控制和安全通信等手段。

例如，使用密码学算法对敏感数据进行加密，只有经过身份验证的用户才能够获得解密的权限。

系统安全工程是负责规划、设计、实施和监控系统安全的学科。

系统安全工程的目标是通过综合运用各种安全技术和方法，保证系统安全和数据安全。

系统安全工程包括以下几个主要方面：1.风险评估：通过对系统进行综合评估，确定系统面临的威胁和风险，并制定相应的应对措施和策略，以减少安全风险。

2.安全策略设计：制定安全策略和规范，明确系统安全的目标和要求，为后续的安全实施提供指导。

3.安全架构设计：通过对系统整体架构和组成部分的分析和设计，确定系统的安全需求，并选择和配置相应的安全措施和技术。

安全规划是信息安全生命周期管理的起点和基础，良好的规划设计可以为组织带来正确的指导和方向。

根据国家《网络安全法》“第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

”1.通过保障的思想建立安全规划背景信息安全规划设计可以根据美国信息保障技术框架〔IATF〕ISSE过程建立需求，本阶段可对应ISSE中开掘信息保护需求阶段。

根据“信息安全保障基本内容”确定安全需求，安全需求源于业务需求，通过风险评估，在符合现有政策法规的情况下，建立基于风险与策略的基本方针。

因此，安全规划首先要熟悉并了解组织的业务特性，在信息安全规划背景设计中，应描述规划对象的业务特性、业务类型、业务范围以及业务状态等相关信息，并根据组织结构选择适用的安全标准，例如国家关键基础设施的信息安全需要建立在信息安全等级保护基础之上、第三方支付机构可选择PCI-DSS作为可依据的准则等。

信息系统保护轮廓〔ISPP〕是根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。

传统的风险评估可以基于GB/T 20984《信息安全风险评估标准》执行具体的评估，评估分为技术评估与管理评估两部分。

从可遵循的标准来看，技术评估通过GB/T 22240—2008《信息安全等级保护技术要求》中物理安全、网络安全、系统安全、应用安全及数据安全五个层面进行评估；管理安全可以选择ISO/IEC 27001：2013《信息技术信息安全管理体系要求》进行，该标准所包含的14个控制类113个控制点充分表达组织所涉及的管理风险。

在工作中，可以根据信息系统安全目标来标准制定安全方案。

信息系统安全目标是根据信息系统保护轮廓编制、从信息系统安全保障的建设方〔厂商〕角度制定的信息系统安全保障方案。

根据组织的安全目标设计建设目标，由于信息技术的飞速发展以及组织业务的高速变化，一般建议建设目标以1-3年为宜，充分表达信息安全规划设计的可实施性，包括可接受的成本、合理的进度、技术可实现性，以及组织管理和文化的可接受性等因素。