2016年信息安全工程师考试案例分析讨论[一].docxVIP

2016年信息安全工程师考试案例分析讨论（一）信息安全工程师考试因为是首次开考，案例分析试题资源比较少，希赛软考学院为大家整理了几篇信息安全工程师案例分析讨论，希望对大家能有所帮助。案例背景：赖某在一家公司作程序员。他的上级戴某让他编写一个程序，使人们可以直接在公司的账目文件中修改表项。赖某知道，一般来说，对账簿进行修改的规程要求每步结算。赖某意识到这个新程序的使用可能会使某些人对一些敏感数据进行修改，并且无法追踪是谁做了修改、是什么时候修改、是以什么理由进行修改的。赖某向戴某提出了这些担忧，但是戴某告诉他不要担心，按他的要求编写程序就行了，并说他知道有误用程序的可能性，但仍坚持其要求，；理由是账簿周期性地会有错误数据产生，而且公司需要对其进行修正。下面考虑戴某的可能选择：1、赖某编写了这个程序。那么他可能成为该欺诈行为的帮凶。2、赖某向戴某的上级告发戴某。那么戴某或上级可能会把他看成一个制造麻烦的人，因而申斥或解雇他。3、赖某拒绝编写程序。那么戴某可能以他没有完成任务解雇他。4、赖某在程序中附加一些额外的代码，用于记录程序什么时候运行、谁运行的、作了哪些修改。这个额外的日志文件可以提供欺诈行为的犯罪证据。但是如果没有欺诈行为存在，而戴某又发现了这个秘密日志，那么赖某就会遇到麻烦。讨论：1、程序员是否要为自己编写的程序负责。对程序所产生的后果是否要负责。如果是一个修改药物配方的程序呢？2、程序员是否只是一个遵循命令行事的雇员？3、当一个雇员认为行为不合理而拒绝服从时，他要承担多大的个人风险？4、如果赖某设计并编写了这个程序，他有什么样的法律、道德问题？案例背景：苏某通过合法渠道购买了一个软件包。这是一个私人软件包，受版权保护，并有一个许可协定，声明此软件只供购买者本人使用。苏某向李四展示了这个软件。李四很满意，但是李四想进一步试用。至此还没有出现问题。独立考虑下面每一步有什么问题。1、苏某将软件拷贝了一份给李四使用。2、苏某将软件拷贝了一份给李四使用，并且李四使用了一段时间。3、苏某将软件拷贝了一份给李四使用，并且李四使用了一段时间后，自己也购买了一份。4、苏某将软件拷贝了一份给李四使用，但条件是李四在第二天早上必须归还，且不能自行拷贝。李四按要求做了。5、在同样条件下，苏某将软件拷贝了一份给李四，但李四在归还之前又自行拷贝了一份。6、在同样条件下，苏某将软件拷贝了一份给李四，李四在归还之前又自行拷贝了一份，然后自己又购买了一份。7、在同样条件下，苏某将软件拷贝了一份给李四，但李四第二天没有归还。对每种情况独立考虑，谁受到影响，涉及哪些问题，优先原则。案例背景：郭某是一个程序员，在一家大公司下的计算机子公司X工作。这家公司有很多政府合同。陆某是郭某的上级，分配郭某去编写不同种类的仿真程序。为了提高工作效率，郭某编写了一些工具程序，如交叉引用等工具。但这些都不是分配给他的工作，而是郭某晚上在自己家里使用自己的计算机编写完成的。他在工作中使用，没有将这些告诉任何人。郭某决定出售自己的这些工具程序。当公司经理得知后，命陆某转告郭某，无权出售这些工具，因为受聘时签订的合同，注明了他的所有发明都属于公司。陆某不同意这个观点，因为他知道郭某是自行完成这些工具的。所有他很不情愿地告诉郭某不要在市场上出售这些工具，并叫郭某复制了一份给他。之后，陆某辞去了该公司的工作，并在另一计算机公司Y当上了管理人员。该公司是X公司的竞争对手。他把郭某的工具复制版发给和他一起工作的员工们。使他们大大提高了工作效率。因而陆某受到经理嘉奖，获得一大笔奖金。郭某听说后就和陆某联系交涉，而陆某争辩说，因为这些工具属于X公司，且它的运转靠的是政府资金，所以这些工具是公共产品，并不属于任何人。讨论：1、权利问题。对于这些工具软件。郭某、陆某、X公司、Y公司各自的权利是什么？2、权利的根据。谁给了他们的这些权利？这个案例牵涉到哪些有关公平竞争、商业、财产权的原则。3、在公司开发产品的考虑。郭某能作什么事？4、对员工自己开发的产品应该如何处理。X公司如何作？陆某如何作？Y公司如何作？案例背景：李国华是一个计算机记录员，在一个数据收集记录部门工作，可以访问有关财产税记录的相关文件。为了作一项科学研究，王爱民被授权访问记录的数字部分，但无权访问相关人的姓名部分。王爱民找到了想要使用的一些信息，但是需要对应的姓名和地址信息。于是他向李国华索要相关人的姓名、地址，以便与这些研究对象进行联系，从而获得更多信息，开展进一步研究。李国华是否应该将姓名、地址信息告诉王爱民呢？讨论：1、工作权限与责任问题。记录员没有权力决定数据信息是否可以给别人使用。应该请示上级。2、隐私数据使用问题。科学研究只能访问统计数据，而不能随便访问涉及个人隐私的信息数据。3、使用隐私数据动机问题。声称作研究用，但