5.閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。
【說(shuō)明】
設(shè)計(jì)源于需求，需求源于目標(biāo)。要弄清安全的需求，就要首先明確安全的管理目標(biāo)。一般而言，針對(duì)安全的管理目標(biāo)包括政策需求和業(yè)務(wù)需求。獲取和分析安全需求通常是從國(guó)家法律、組織政策、業(yè)務(wù)策略和責(zé)任追究等方西出發(fā)，而這些都是系統(tǒng)管理層需要考慮的內(nèi)容。安全信息系統(tǒng)構(gòu)建的最終目標(biāo)，就是要求通過(guò)多層次手段最終所實(shí)現(xiàn)的信息系統(tǒng)完全滿足管理層的要求。
在初始盼段和設(shè)計(jì)階段，為了確保信息系統(tǒng)的安全屬性真正達(dá)到設(shè)計(jì)時(shí)確定的安全目標(biāo)，安全設(shè)計(jì)可以參照以下幾個(gè)設(shè)計(jì)原則：
需要對(duì)應(yīng)用系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析；
確認(rèn)安全風(fēng)險(xiǎn)并將安全需求具體化；
通過(guò)在應(yīng)用中實(shí)現(xiàn)安全機(jī)制來(lái)滿足安全需求；
安全機(jī)制被正確地設(shè)計(jì)。
在實(shí)施階段至最終處理階段，安全設(shè)計(jì)可以參照以下幾個(gè)設(shè)計(jì)原則：
需要正確地實(shí)施安全機(jī)制；需要正確地配置安全屬性；
需要正確地使用和管理安全屬性；
針對(duì)信息系統(tǒng)的安全管理有清晰的安全目標(biāo)；
安全管理包括對(duì)安全需求的管理，例如，要對(duì)風(fēng)險(xiǎn)和成本進(jìn)行平衡，以確保滿足管理目標(biāo)。
在安全信息系統(tǒng)構(gòu)建過(guò)程中，需要遵循這些原則采取具體的機(jī)制和措施，以求達(dá)到安全目標(biāo)和安全需求。
信息系統(tǒng)安全體系（ISSA) ，其基本框架如下圖所示。

國(guó)外廣泛采用的是 NIST SP800-64 標(biāo)準(zhǔn)《信息安全開(kāi)發(fā)生命周期中的安全考慮指南》。該《指南》介紹了把安全納入信息系統(tǒng)開(kāi)發(fā)生命周期的所有階段（從初始階段到最終處理階段）的框架。引用 NIST SP800-64 的《指南》作為參考， SDLC 基本上可分為6個(gè)主要階段，各階段的安全措施與步驟如下圖所示。
【問(wèn)題1】（4分）
根據(jù)信息系統(tǒng)安全體系（ISSA）的基本內(nèi)容將信息系統(tǒng)安全體系框架圖中的（1）—（4）空補(bǔ)充完整。
【問(wèn)題2】（3分）
根據(jù)信息系統(tǒng)開(kāi)發(fā)生命周期的6個(gè)階段將信息系統(tǒng)開(kāi)發(fā)生命周期（SDLC）圖中的（5）—（10）空補(bǔ)充完整。
【問(wèn)題3】（5分）
在構(gòu)建信息系統(tǒng)模型時(shí)，要解決開(kāi)放式環(huán)境帶來(lái)的復(fù)雜、多變的安全威脅應(yīng)該怎樣設(shè)計(jì)信息系統(tǒng)？（2分）該如何實(shí)現(xiàn)？（3分）
【問(wèn)題4】（3分）
要實(shí)現(xiàn)系統(tǒng)的安全，也不能僅從技術(shù)角度考慮，也需要從哪些方面來(lái)尋找一個(gè)平衡點(diǎn)？