第1題

下列關(guān)于信息系統(tǒng)生命周期中實(shí)施階段所涉及主要安全需求描述錯(cuò)誤的是：（）

A．確保采購(gòu)定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求

B．確保整個(gè)系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置

C．確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力

D．確保信息系統(tǒng)的使用已得到授權(quán)

信管網(wǎng)參考答案：B

信管網(wǎng)參考解析：信息系統(tǒng)生命周期是指信息系統(tǒng)在使用過(guò)程中隨著其生存環(huán)境的變化，要不斷維護(hù)、修改，具有產(chǎn)生、發(fā)展、成熟、消亡（更新）的過(guò)程周期循環(huán)。

信息系統(tǒng)生命周期由系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施以及系統(tǒng)管理和維護(hù)四個(gè)時(shí)期組成，每一個(gè)時(shí)期又進(jìn)一步劃分成若干個(gè)階段。

1．系統(tǒng)分析

系統(tǒng)的分析，也叫系統(tǒng)的調(diào)查與分析，是信息系統(tǒng)生命周期的第一個(gè)階段，也是最重要的一個(gè)環(huán)節(jié)。系統(tǒng)分析時(shí)期的任務(wù)包括確定信息系統(tǒng)必須完成的總目標(biāo)，確定工程的可行性，導(dǎo)出實(shí)現(xiàn)工程目標(biāo)應(yīng)該采取的策略及系統(tǒng)必須完成的功能，估計(jì)完成該項(xiàng)工程需要的資源和成本，并且制定工程進(jìn)度表。系統(tǒng)分析時(shí)期通常進(jìn)一步劃分成三個(gè)階段，即問(wèn)題的定義、可行性研究和需求分析。問(wèn)題定義階段的主要任務(wù)是確定所開(kāi)發(fā)的信息系統(tǒng)要完成的目標(biāo)是什么，如果不知道信息系統(tǒng)的目標(biāo)就試圖開(kāi)發(fā)信息系統(tǒng)，顯然是盲目的，只會(huì)白白浪費(fèi)時(shí)間和金錢?？尚行匝芯侩A段的主要任務(wù)是分析達(dá)到信息系統(tǒng)的目標(biāo)是否存在可行的辦法?？尚行匝芯康慕Y(jié)果是信息系統(tǒng)的負(fù)責(zé)人做出是否繼續(xù)進(jìn)行這個(gè)信息系統(tǒng)的開(kāi)發(fā)決定的重要依據(jù)。一般來(lái)說(shuō)，只有投資可能取得較大效益的那些信息系統(tǒng)才值得繼續(xù)進(jìn)行下去，及時(shí)終止不值得投資的工程項(xiàng)目，可以避免更大的浪費(fèi)。需求分析階段的主要任務(wù)是確定目標(biāo)系統(tǒng)必須具備哪些功能以及系統(tǒng)正常運(yùn)行時(shí)應(yīng)滿足的性能指標(biāo)。

2．系統(tǒng)設(shè)計(jì)

系統(tǒng)設(shè)計(jì)是信息系統(tǒng)生命周期中另一個(gè)重要階段。系統(tǒng)設(shè)計(jì)的主要目的就是為下一階段的系統(tǒng)實(shí)施制定藍(lán)圖。系統(tǒng)設(shè)計(jì)包括兩個(gè)方面的內(nèi)容，首先是系統(tǒng)總體設(shè)計(jì)，總體設(shè)計(jì)的任務(wù)是提供信息系統(tǒng)的概括的解決方案，主要內(nèi)容包括信息系統(tǒng)的功能模塊的劃分，功能模塊之間的層次結(jié)構(gòu)和關(guān)系。其次是系統(tǒng)詳細(xì)設(shè)計(jì)，詳細(xì)設(shè)計(jì)的任務(wù)是把系統(tǒng)總體設(shè)計(jì)的結(jié)果具體化。這個(gè)階段的任務(wù)不是編寫程序，而是設(shè)計(jì)出各個(gè)功能模塊的詳細(xì)規(guī)格說(shuō)明，如信息系統(tǒng)各個(gè)模塊的處理流程，系統(tǒng)的數(shù)據(jù)流程和數(shù)據(jù)庫(kù)邏輯結(jié)構(gòu)的設(shè)計(jì)。

3．系統(tǒng)實(shí)施

系統(tǒng)實(shí)施是新系統(tǒng)開(kāi)發(fā)工作的最后一個(gè)階段。所謂實(shí)施指的是將上述系統(tǒng)設(shè)計(jì)階段的結(jié)果在計(jì)算機(jī)上實(shí)現(xiàn)，將原來(lái)紙面上的、類似于設(shè)計(jì)圖式的新系統(tǒng)的設(shè)計(jì)方案轉(zhuǎn)換成可執(zhí)行的應(yīng)用系統(tǒng)。系統(tǒng)設(shè)計(jì)階段的主要任務(wù)是：按總體設(shè)計(jì)方案購(gòu)置和安裝計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)；建立數(shù)據(jù)庫(kù)系統(tǒng)；程序設(shè)計(jì)與調(diào)試；整理基礎(chǔ)數(shù)據(jù)；培訓(xùn)操作人員和試運(yùn)行。

4．系統(tǒng)維護(hù)

系統(tǒng)維護(hù)是系統(tǒng)投入正常運(yùn)行之后一件長(zhǎng)期而又艱巨的工作。維護(hù)時(shí)期的主要任務(wù)是使系統(tǒng)持久地滿足用戶的需要。具體地說(shuō)，系統(tǒng)維護(hù)的任務(wù)包括當(dāng)系統(tǒng)在使用過(guò)程中發(fā)現(xiàn)錯(cuò)誤時(shí)應(yīng)該加以改正；當(dāng)環(huán)境改變時(shí)應(yīng)該修改系統(tǒng)以適應(yīng)新的環(huán)境；當(dāng)企業(yè)有新的需求時(shí)應(yīng)該及時(shí)改進(jìn)信息系統(tǒng)以滿足企業(yè)的需求。每一次維護(hù)活動(dòng)本質(zhì)上都是一次壓縮和簡(jiǎn)化了的系統(tǒng)定義和開(kāi)發(fā)過(guò)程。

信息系統(tǒng)的生命周期是周而復(fù)始進(jìn)行的，一個(gè)系統(tǒng)開(kāi)發(fā)完成以后就不斷地評(píng)價(jià)和積累問(wèn)題，積累到一定程度就要重新進(jìn)行系統(tǒng)分析，開(kāi)始一個(gè)新的生命周期。一般來(lái)說(shuō)，不管系統(tǒng)運(yùn)行的好壞，每隔一定的時(shí)期也要進(jìn)行新一輪的開(kāi)發(fā)。信息系統(tǒng)生命周期如圖所示。

另外需要注意的是，信息系統(tǒng)的生命周期并不等于信息系統(tǒng)軟件的生命周期，信息系統(tǒng)的生命周期考查的對(duì)象包含了組成信息系統(tǒng)的軟件和硬件，具有更多的內(nèi)容。但由于信息系統(tǒng)的大多數(shù)功能一般是通過(guò)軟件來(lái)實(shí)現(xiàn)的，因此，信息系統(tǒng)的生命周期和信息系統(tǒng)軟件的生命周期的聯(lián)系又是十分密切的。

第2題

After reviewing its business processes, a large organization is deploying a new web application based on a VoIP technology. Which of the following is the MOST appropriate approach for implementing access control that will facilitate security management of the VoIP web application?

A、Fine-grained access control

B、Role-based access control (RBAC)

C、Access control lists

D、Network/service access control

信管網(wǎng)參考答案：B

信管網(wǎng)參考解析：在評(píng)估完它的業(yè)務(wù)流程后，一個(gè)大型組織整打算配置一個(gè)新的基于語(yǔ)音通話的應(yīng)用。下面哪一個(gè)是最合適的實(shí)施訪問(wèn)控制并將可以推動(dòng)語(yǔ)音網(wǎng)絡(luò)運(yùn)用的安全管理：

A、詳盡的訪問(wèn)控制

B、基于角色的訪問(wèn)控制

C、訪問(wèn)控制列表

D、網(wǎng)絡(luò)/服務(wù)訪問(wèn)控制

注：授權(quán)本VoIP案例可以通過(guò)基于角色的訪問(wèn)控制（RBAC）技術(shù)解決。RBAC是易于管理和執(zhí)行高效的強(qiáng)在大型網(wǎng)絡(luò)環(huán)境中包括VoIP實(shí)現(xiàn)訪問(wèn)控制。訪問(wèn)控制列表和細(xì)粒度的訪問(wèn)控制對(duì)VoIP網(wǎng)絡(luò)應(yīng)用沒(méi)有規(guī)模企業(yè)范圍的系統(tǒng)，因?yàn)樗麄冎饕腔趥€(gè)人用戶的身份和權(quán)限的具體技術(shù)。網(wǎng)絡(luò)/服務(wù)地址VoIP可用但沒(méi)有解決應(yīng)用層的訪問(wèn)和授權(quán)。