試題五（25分） 
 閱讀以下關于信息系統(tǒng)安全性的敘述，在答題紙上回答問題1至問題3。    
某企業(yè)根據(jù)業(yè)務擴張的要求，需要將原有的業(yè)務系統(tǒng)擴展到互聯(lián)網(wǎng)上，建立自己的B2C業(yè) 務系統(tǒng)，此時系統(tǒng)的安全性成為一個非常重要的設計需求。為此，該企業(yè)向軟件開發(fā)商提出如要求：  
（1）合法用戶可以安全地使用該系統(tǒng)完成業(yè)務；  
（2）靈活的用戶權限管理；   
（3）保護系統(tǒng)數(shù)據(jù)的安全，不會發(fā)生信息泄漏和數(shù)據(jù)損壞；  
（4）防止來自于互聯(lián)網(wǎng)上各種惡意攻擊；  
（5）業(yè)務系統(tǒng)涉及到各種訂單和資金的管理，需要防止授權侵犯；    
（6）業(yè)務系統(tǒng)直接面向最終用戶，需要在系統(tǒng)中保留用戶使用痕跡，以應對可能的商業(yè) 拆訟。   該軟件開發(fā)商接受任務后，成立方案設計小組，提出的設計方案是：在原有業(yè)務系統(tǒng)的基 礎上，保留了原業(yè)務系統(tǒng)中的認證和訪問控制模塊；為了防止來自互聯(lián)網(wǎng)的威脅，增加了防火墻和入侵檢測系統(tǒng)。   
企業(yè)和軟件開發(fā)商共同組成方案評審會，對該方案進行了評審，各位專家對該方案提出了 多點不同意見。李工認為，原業(yè)務系統(tǒng)只針對企業(yè)內部員工，采用了用戶名/密碼方式是可以的，但擴展為基于互聯(lián)網(wǎng)的B2C業(yè)務系統(tǒng)后，認證方式過于簡單，很可能造成用戶身份被盜?。煌豕ふJ為，防止授權侵犯和保留用戶痕跡的要求在方案中沒有體現(xiàn)。而劉工則認為，即使是在原有業(yè)務系統(tǒng)上的擴展與改造，也必須全面考慮信息系統(tǒng)面臨的各種威脅，設計完整的系統(tǒng)安全架構，而不是修修補補。 
【問題1】（9分）   信息系統(tǒng)面臨的安全威脅多種多樣，來自多個方面。請指出信息系統(tǒng)面臨哪些方面的安全 威脅并分別予以簡要描述。 
【問題2】（8分）   認證是安全系統(tǒng)中不可缺少的環(huán)節(jié)，請簡要描述主要的認證方式，并說明該企業(yè)應采用哪 種認證方式。 
【問題3】（8分）   請解釋授權侵犯的具體含義；針對王工的意見給出相應的解決方案，說明該解決方案的名 稱、內容和目標。