阅读以下关于信息系统安全性的叙述。某企业根据业务扩张的要求，需要将原有的业务系统扩展到互联网

需要将原有的业务系统扩展到互联网上，建立自己的B2C业务系统，但此时系统的安全性成为一个非常重要的设计需求。【问题1】（8分） 信息系统面临的安全威胁多种多样，来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。【问题2】（7分） 认证是安全系统中不可缺少的环节，请简要描述主要的认证方式，并说明该企业应采用哪种认证方式。

试题五（25分）

阅读以下关于信息系统安全性的叙述，在答题纸上回答问题1至问题3。

某企业根据业务扩张的要求，需要将原有的业务系统扩展到互联网上，建立自己的B2C业务系统，此时系统的安全性成为一个非常重要的设计需求。为此，该企业向软件开发商提出如下要求：

（1）合法用户可以安全地使用该系统完成业务；

（2）灵活的用户权限管理；

（3）保护系统数据的安全，不会发生信息泄漏和数据损坏；

（4）防止来自于互联网上各种恶意攻击；

（5）业务系统涉及到各种订单和资金的管理，需要防止授权侵犯；

（6）业务系统直接面向最终用户，需要在系统中保留用户使用痕迹，以应对可能的商业诉讼。

该软件开发商接受任务后，成立方案设计小组，提出的设计方案是：在原有业务系统的基础上，保留了原业务系统中的认证和访问控制模块；为了防止来自互联网的威胁，增加了防火墙和入侵检测系统。

企业和软件开发商共同组成方案评审会，对该方案进行了评审，各位专家对该方案提出了多点不同意见。李工认为，原业务系统只针对企业内部员工，采用了用户名／密码方式是一可以的，但扩展为基于互联网的B2C业务系统后，认证方式过于简单，很可能造成用户身份被盗取：王工认为，防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为，即使是在原有业务系统上的扩展与改造，也必须全面考虑信息系统面临的各种威胁，设计完整的系统安全架构，而不是修修补补。

【问题1】

信息系统面临的安全威胁多种多样，来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。

【问题2】

认证是安全系统中不可缺少的环节，请简要描述主要的认证方式，并说明该企业应采用哪种认证方式。

【问题3】

请解释授权侵犯的具体含义；针对王工的意见给出相应的解决方案，说明该解决方案的名称、内容和目标。

阅读以下关于企业应用集成的叙述，在回答问题1至问题3。

某软件公司承担了某大型企业应用系统集成任务，该企业随着信息化的进展，积累了许多异构的遗产信息系统，这些系统分别采用J2EE、.NET等技术进行开发，分布在不同的地理位置，采用不同的协议进行数据传输。企业要求集成后的系统能够实现功能整合，并在组织现有功能的基础上提供增值服务。为了按时完成任务，选择合适的企业应用集成方法和架构非常重要。项目组在讨论方案时，提出了两种集成思路。

(1)刘工建议采用传统的应用集成方法，将应用集成分为多个层次，并采用消息代理中间件连接遗产系统。

(2)王工建议采用基于SOA的方法进行应用集成，将现有遗产系统采用Web Service的方式进行包装，暴露统一格式的接口，并采用企业服务总线(ESB)进行连接。

项目组仔细分析比较了两种方案的优点和不足后，认为刘工和王工的建议都合理，但是结合当前项目的实际情况，最后决定采用王工的建议。

请分析比较两种方案优点和不足，完成表1-1中的空白部分。

试题五（共25分）

阅读以下关于信息系统安全性的说明，在答题纸上回答问题l至问题3。

【说明】

某大型跨国企业的IT部门一年前基于SOA(Service-Oriented Architecture)对企业原有的多个信息系统进行了集成，实现了原有各系统之间的互连互通，搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行，IT部门发现在满足企业正常业务运作要求的同时，系统也暴露出明显的安全性缺陷，并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况，企业决定由IT部门成立专门的项目组负责提高现有系统的安全性。

项目组在仔细调研和分析了系统现有安全性问题的基础上，决定首先为在网络中传输的数据提供机密性(Confidentiality)与完整性(Integrity)保障，同时为系统核心业务功能的访问提供访问控制机制，以保证只有授权用户才能使用特定功能。

经过分析和讨论，项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时，张工认为应该采用传统的强制访问控制(Mandatory Access Control)机制．而王工则建议采用基于角色的访问控制(Role-Based Access Control)与可扩展访问控制标记语言(eXtensible Access Control Markup Language，XACML)相结合的机制。项目组经过集体讨论，最终采用了王工的方案。

【问题1】（8分）

请用400字以内的文字，分别针对采用对称加密策略与公钥加密策略，说明如何利用加密技术为在网络中传输的数据提供机密性与完整性保障。

【问题2】（9分）

请用300字以内的文字，从授权的可管理性、细粒度访问控制的支持和对分布式环境的支持三个方面指出项目组采用王工方案的原因。

【问题3】（8分）

图5-1给出了基于XACML的授权决策中心的基本结构以及一次典型授权决策的执行过程，请分别将备选答案填入图中的(1)～(4)。

备选答案：策略管理点(PAP)、策略执行点(PEP)、策略信息点(PIP)、策略决策点(PDP)

阅读以下关于业务持续和灾难恢复的叙述，根据要求回答问题1～问题3。

[说明]

随着信息系统的深入应用，它在政府或企业中发挥着越来越重要的作用。由此也产生了一些问题：一旦由于故障甚至灾难导致信息系统局部或全部瘫痪，就会对相关的政府或企业造成重大的损失，因此需要业务持续和灾难恢复规划。

业务持续和灾难恢复规划涉及一些特定的或相关的规划，当正常的信息处理业务突然中断时，用来减轻甚至避免其所带来的影响。它们用来保证维持组织运作的关键系统的可用性。

某大型网上书店通过Internet为用户提供网上图书查询及订购等多种服务。由于每天的业务量非常多，因此对业务有持续性要求，并且需要具备灾难恢复功能。在对原有系统的改进方案中提供：

(1)对于一些关键应用系统，采用双机冗余热备的方式进行保护。

(2)由于资金问题，公司并不打算建设自己专有的用于备份数据的备份中心(假设这里的备份中心仅用于备份数据)，而是决定租用其他公司提供的商业备份中心，每隔一段时间，把公司的业务数据备份到备份中心。

请用200字以内的文字，说明双机冗余热备方式主要解决的是系统运行中的哪些问题，以及在选择双机冗余热备产品时通常需要考虑哪些问题。

阅读以下关于业务持续和灾难恢复的叙述，回答问题1至问题3。

随着信息系统的深入应用，它在政府或企业中发挥着越来越重要的作用。由此也产生了一些问题：一旦由于故障、甚至灾难导致信息系统局部或全部瘫痪，就会对相关的政府或企业造成重大的损失，因此需要业务持续和灾难恢复规划。

业务持续和灾难恢复规划涉及到一些特定的或相关的规划，当正常的信息处理业务突然中断时，用来减轻甚至避免其所带来的影响。它们用来保证维持组织运作的关键系统的可用性。

某大型网上书店通过Internet 为用户提供网上图书查询及订购等多种服务。由于每天的业务量非常多，因此对业务有持续性要求，并且需要具备灾难恢复功能。在对原有系统的改进方案中提出：

1)对于一些关键应用系统，采用双机冗余热备的方式进行保护：

2)由于资金问题，公司并不打算建设自己专有的用于备份数据的备份中心(假设这里的备份中心仅用于备份数据)，而是决定租用其他公司提供的商业备份中心，每隔一段时间，把公司的业务数据备份到备份中心。

请用150字以内文字，说明双机冗余热备方式主要解决的是系统运行中的哪些问题？在选择双机冗余热备产品时通常需要考虑哪些问题？

以下关于信息安全的叙述中，错误的是()。

A软件安全的核心是操作系统的安全性

B网络环境下的信息系统的安全性比独立的计算机系统更脆弱

C信息安全的主要问题是：黑客犯罪、病毒泛滥、垃圾信息成灾

D用户采用身份验证、访问控制、加密、防病毒等措施就能确保信息系统的安全

阅读下列关于项目进度控制方面的叙述，回答问题1和问题2，将解答填入对应栏内。

【说明】

某信息系统项目合同工期为23个月，其施工网络计划如下图所示。(时间单位：月)

该施工网络计划的计算工期为多少？为确保本项目工期目标的实现，施工进度计划中哪些工作应为重点控制对象？为什么？

试题一（25 分）

阅读以下关于企业应用集成的叙述，在答题纸上回答问题 1 至问题 3。

某软件公司承担了某大型企业应用系统集成任务，该企业随着信息化的进展，积累了许多异构的遗产信息系统，这些系统分别采用 J2EE、.NET 等技术进行开发，分布在不同的地理位置，采用不同的协议进行数据传输。企业要求集成后的系统能够实现功能整合，并在组织现有功能的基础上提供增值服务。为了按时完成任务，选择合适的企业应用集成方法和架构非常重要。项目组在讨论方案时，提出了两种集成思路。

（1）刘工建议采用传统的应用集成方法，将应用集成分为多个层次，并采用消息代理中间件连接遗产系统。 （2） 王工建议采用基于SOA的方法进行应用集成， 将现有遗产系统采用Web Service的方式进行包装，暴露统一格式的接口，并采用企业服务总线（ESB）进行连接。 项目组仔细分析比较了两种方案的优点和不足后，认为刘工和王工的建议都合理，但是结合当前项目的实际情况，最后决定采用王工的建议。

【问题 1】 （8 分）

请分析比较两种方案优点和不足，完成表 1-1 中的空白部分。

【问题 2】 （8 分）

针对该企业的集成实际情况，请用 200 字以内的文字叙述王工建议中企业服务总线（ESB）应该具有的基本功能。

【问题 3】 （9 分）

王工的方案拟采用 Web Service 作为基于 SOA集成方法的实现技术。 请根据该系统的实际情况，用 300 字以内的文字说明系统应该分为哪几个层次，并简要说明每个层次的功能和相关标准。

阅读以下关于某软件系统开发项目的叙述，回答问题1至问题4。

W公司的主要业务是利用网络进行音像制品的管理和销售，以提高其物流配送的效率。随着业务范围的扩展和业务过程的改进，公司CIO发现现有信息系统业务过程过于僵化、维护困难，不能真正地为企业贡献价值，已经不能满足公司长久发展的战略。在该公司CIO的建议下，W公司在三月初委托某软件企业为其开发出一套新的音像制品管理及销售系统AVMSS，要求新系统能够对其现有系统业务过程进行重新设计，以提高公司业务的执行效率并降低维护成本。

该软件企业成立了项目组来开发AVMSS，在对开发任务进行了初步的了解之后，项目组认为W公司原有系统的数据架构稳定，没有必要对原有关系数据模式进行重新设计：新系统应着眼于对系统控制流的改造，通过系统业务流程再造以应对公司的发展需要。但在选择系统开发方法时出现了分歧，张工认为应该采用流行的面向对象开发方法，而李工则认为应该采用成熟的结构化开发方法，项目组经过讨论最终确定在AVMSS系统分析与设计过程中采用李工的建议。

请对张工和李工所提出的两种系统开发方法进行比较，结合AVMSS系统说明为什么项目组最终采用了李工的建议。