信息系统安全策略针对信息传输、发布、处理、存储中可能发生的安全威胁制定，一个良好的安全策略应该具备（）

A.技术上可实现

B.组织上可执行

C.职责范围明确

D.约束具有强制性

随着社会信息化的普及，计算机网络已经在各行各业得到了广泛的应用。目前，绝大多数业务处理几乎完全依赖计算机和网络执行，各种重要数据如政府文件、工资档案、财务账目和人事档案等均依赖计算机和网络进行存储与传输。另一方面，针对计算机和网络的攻击活动日益猖獗，网络安全已经成为当前社会的主要安全问题之一。

在上述背景下，国家标准《信息处理系统工程开放系统互联基本参考模型——第二部分：安全体系结构》（GB/T 9387.2-1995）定义了基于OSI参考模型7层协议之上的信息安全体系，其核心内容是：为了保证异构计算机进程与进程之间远距离交换信息的安全，定义了认证服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务等5大类安全服务，以及提供这些服务的8类安全机制及相应的OSI安全管理，并根据具体系统适当配置于OSI模型的7层协议之中。

请以“网络安全体系设计”为题，依次从以下三个方面进行论述。 1．概要叙述你参与管理和开发的软件项目以及你在其中承担的主要工作，并详细阐述该软件系统在网络安全方面的要求。 2．请对GB/T 9387.2-1995中定义的5大类安全服务进行描述，阐述每类安全服务的定义和主要实现手段。 3．请结合项目实际，具体阐述你在项目中实现了上述5大类安全服务中的哪些服务，具体运用了哪些实现手段。

【说明】

某大型教育培训机构近期上线了在线网络学校系统，该系统拓扑结构如图4-1所示。

企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试，系统注册用户分为网校学员、教师及管理员三类，其中网校学员采用用户名／口令机制进行认证，教师及管理员采用基于公钥的认证机制。

【问题1】（8分）

为防止针对网校学员的口令攻击，请从口令的强度、传输存储及管理等方面，说明可采取哪些安全防护措施。相应地，对于网校学员所采用的口令认证机制进行测试时，请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。

【问题2】（6分）

为提高系统认证环节安全性，系统在网校教师及管理员登录认证时引入了USB Key，请说明对公钥认证客户端进行安全测试时，USB Key的功能与性能测试应包含哪些基本的测试点。

【问题3】（6分）

系统证书服务器主要提供证书审核注册管理及证书认证两项功能，根据系统实际情况，目前只设置人员证书，请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。

B．信息安全事件

C．信息安全事故

D．信息安全故障

此题为判断题(对，错)。

B．可接受使用策略（AUP）

C．风险评估

D．业务影响分析

E．业务可持续性分析

B．分等级进行系统定级

C．分等级实行监管

D．分等级进行测评

A.时效性

B.真实性

C.客观性

D.长期性

B．评审和修订

C．修订

D．评审

此题为判断题(对，错)。