5.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應欄內。
【說明】
信息系統(tǒng)安全是指對信息系統(tǒng)及其處理的信息采取適當的安全保障措施，防止未授權的訪問、使用、泄露、中斷、修改、破壞，從而確保信息系統(tǒng)及其信息的機密性、完整性和可用性，保證信息系統(tǒng)功能的正確實現。信息系統(tǒng)安全測評是依據信息安全測評的要求，在風險評估的基礎上，對在信息系統(tǒng)生命周期中采取的技術類、管理類、過程類和人員類的安全保證措施進行測評和檢查，確定信息系統(tǒng)安全保證措施對履行其職能的有效性及其面臨安全風險的可承受度。信息系統(tǒng)安全測評依據的概念模型是一種合理的和自我包容的整體安全保障模型。包含保證對象、生命周期和信息特征三方面的模型。
本模型主要特點為：
（1）以安全概念和關系為基礎，將風險和策略作為信息系統(tǒng)安全保障的基礎和核心；
（2）強調信息系統(tǒng)安全保障持續(xù)發(fā)展的動態(tài)安全模型，即強調信息系統(tǒng)安全保障應滲入整個信息系統(tǒng)生命周期的全過程；
（3）強調信息系統(tǒng)安全保障的概念，信息系統(tǒng)的安全保障是通過綜合技術、管理、過程和人員的要求等措施實施和實現信息系統(tǒng)的安全目標，通過對信息系統(tǒng)的技術、管理、過程和人員要求的評估結果以及相應的認證認可，提供對信息系統(tǒng)安全保障的信心；
（4）通過風險和策略基礎，生命周期和保障層面，實現信息的可用性和完整性，從而達到保障組織機構執(zhí)行其使命的根本目的。
在基于安全風險分析得出的信息系統(tǒng)安全保護等級劃分的基礎上，提出安全需求，即得到評估對象的保護輪廓，如下圖所示。

為了提煉出評估對象的安全需求，需要建立安全環(huán)境，如下圖所示。
系統(tǒng)生命周期內的安全保障和評估應該貫穿下列各階段：
（1）確定系統(tǒng)使命、系統(tǒng)安全目標；
（2）確定系統(tǒng)結構、威脅分析、脆弱性分析、風險分析、安全要求、安全策略；
（3）物理環(huán)境安全、系統(tǒng)安全實施、采購安全控制、網絡安全、應用安全、數據安全、管理安全；
（4）交付與運行系統(tǒng)運轉的可用性、系統(tǒng)安全評估的可信性；
（5）維護安全、升級安全、廢棄安全(殘余信息保護)。

模糊測試是一種黑盒測試技術，它將大量的畸形數據輸入到目標程序中，通過監(jiān)測程序的異常來發(fā)現被測程序中可能存在的安全漏洞。
如下圖所示，完整的模糊測試都要經歷以下幾個基本的階段。
（1）考慮被測目標類型。 （2）枚舉輸入向量。
（3）依據測試對象的特征，制定相應的模糊測試數據生成策略。
（4）執(zhí)行過程可能包括發(fā)送數據包給自標應用程序、打開一個文件或發(fā)起一個目標進程。
（5）對故障或異常的監(jiān)視。
（6）一旦確定被測目標存在故障，重現故障最常用的手段就是重放檢測。
【問題1】（9分）
根據試題說明將各圖中空缺（1）—（18）補充完整。
【問題2】（2分）
信息系統(tǒng)安全測評的基本原則包括標準性原則、關鍵業(yè)務原則、可控性原則等，其中可控性原則里又包括服務可控性、人員與信息可控性、過程可控性、工具可控性。按照項目管理要求，成立項目實施團隊，項目組長負責制，這是屬于什么原則？
【問題3】（2分）
信息系統(tǒng)安全測評方法主要有哪兩種方法？如果要求軟件開發(fā)團隊快速查找、定位、修復和管理軟件代碼安全問題，應采用哪種方法？
【問題4】（2分）
信息系統(tǒng)安全測評由三個階段組成：安全評估階段、安全認證階段、認證監(jiān)督階段。通過安全評估的信息系統(tǒng)將進入安全認證階段，首先要做什么？