一、项目整体绩效评估


1、三E审计是什么的合称?(记)

三E审计是经济审计、效率审计和效果审计的合称,因为三者的第一个英文字母均为E,顾称为三E审计。

2、霍尔三维结构是从哪三个方面考察系统工程的工作过程的?

霍尔三维结构是霍尔(A Hall)提出的关于系统方法论的结构,它从逻辑、时间、知识三方面考察系统工程的工作过程。


3、投资回收期的公式?(记,并理解)
投资回收期的公式:(累计净现金流量开始出现正值的年份)-1 + (上年累计净现金流量值的绝对值/当前净现金流量)。


二、信息安全相关知识


1、在三安系统三维空间示意图中,X,Y,Z轴分别代表什么意思?(记)同时,X、Y、Z上分别有哪些要素?

(1).X轴是“安全机制”,包括基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范系统。

(2).Y轴是OSI网络参考模型,包括物理层、链路层、网络层、传输层、会话层、表示层、应用层

(3).Z轴是“安全服务”,包括对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务。


2、MIS+S、S-MIS、S2-MIS的名字叫什么?(记)同时,它们的特点分别是什么?

(1).MIS+S=Management Information System + Security 系统为“初级信息安全保障系统”或“基本信息安全保障系统”。

特点:业务应用系统基本不变、硬件和系统软件通用、安全设备基本不带密码。


(2).S-MIS=Security - Management Information System 系统为“标准信息安全保障系统”。

特点:硬件和系统软件通用、PKI/CA安全保障系统必须带密码、主要通用的硬件、软件也要通过PKI/CA认证。


(3).S2-MIS=Super Security - Management Information System系统为“超安全的信息安全保障系统”。

特点: 硬件和系统软件都专用、PKI/CA安全基础设施必须带密码、业务应用系统必须根本改变、主要的硬件和系统软件需要PKI/CA认证。


3、安全威胁的对象是一个单位中的有形资产和无形资产,主要是什么?

信息安全保障系统首先要考虑“有形资产”的保护。


4、请描述威胁、脆弱性、影响之间的关系?

威胁、脆弱性、影响之间存在着一定的对应关系:

威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。

脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实 际的伤害,但威胁可以利用脆弱性发挥作用。但如果威胁不存在,系统本身的脆弱仍然带来一定的风险。

影响可以看作是威胁与脆弱性的特殊组合。


5、假设威胁不存在,系统本身的脆弱性仍会带来一定的风险,请举2个例子。(记)
假设威胁不存在,系统本身的脆弱性仍会带来一定的风险,如数据管理中的数据不同步导致完整性遭到破坏;存储设备硬件故障使大量数据丢失。


6、安全策略的核心内容是七定,哪七定?这七定中,首先是解决什么?其次是什么?
安全策略的核心内容就是“七定”:定方案、定岗、定位、定员、定目标、定制定、定工作流程。

这“七定”中,首先是解决“定方案”,其次是“定岗”


7、5个安全保护等级分别是什么?每级适用于什么内容?(重点记5个名字,同时重点记第3、4级的适用)

第1级用户自主保护级:适用于普通内联网用户。

第2级系统审计保护级:适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。

第3级安全标记保护级:适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。

第4级结构化保护级:适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端特技企业集团、国家重点科研单位机构和国防建设等部门。

第5级访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。


8、确定信息系统安全方案,主要包括哪些内容?

1)首先确定采用MIS+S、S-MIS或S2-MIS体系架构;

(2)确定业务和数据存储的方案;

(3)网络拓扑结构;

(4)基础安全设施和主要安全设备的选型;

(5)业务应用信息系统的安全级别的确定;

(6)系统资金和人员投入的档次。


9、什么技术是信息安全的根本?是建立安全空间5大要素的基石?

密码技术是信息安全的根本,是建立“安全空间”“认证、权限、完整、加密和不可否认”5大要素所不可缺少的“基石”。


10、安全空间五大要素是什么?
安全空间五大要素:认证、权限、完整、加密和不可否认。


11、常见的对称密钥算法有哪些?(记)对称密钥算法的优缺点是什么?
常见的对称密钥算法有:SDBI(国家密码办公室批准的国内算法、仅硬件中存在)、IDEA、RC4、DES、3DES等。

优点:加/解密速度快、密钥管理简单、适宜一对一的信息加密传输过程。

缺点:加密算法简单,密钥长度有限,加密强度不高、密钥分发困难,不适宜一对多的加密信息传输。 


12、哈希算法在数字签名中,可以解决什么问题?常见的哈希算法有哪些?
哈希算法在数字签名中可以解决验证签名和用户身份证、不可抵赖性的问题。

常见的哈希算法有:SDH(国家密码办公室批准的HASH算法)、SHA、MD5等。


13、我国实行密码分级制度,密码等级及适用范围是什么?(记)

(1).商用密码——国内企业、事业单位

(2).普用密码——政府、党政部门

(3).绝密密码——中央和机要部门

(4).军用密码——军队


14、WLAN的安全机制中,WEP、WEP2、WPA,哪个加密效果最好?
WLAN的安全机制中WPA2加密效果最好,它们的效果顺序由高到低是:WPA2>WPA>WEP2>WEP。


15、PKI的体系架构,概括为两大部分,即信息服务体系和什么?

PKI体系包括:信息服务体系和密钥管理中心两大部分


16、PMI与PKI的区别是什么?(记)

PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。

PKI主要进行身份鉴别,证明用户身份,即“你是谁”。 


17、概括地讲,安全审计是采用什么和什么技术?实现在不同网络环境中终端对终端的监控与管理,在必要时可以做什么?

(1).安全审计是采用数据挖掘和数据仓库技术。

(2).实现在不同网络环境中终端对终端的监控和管理,在必要时可以通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。


18、安全教育培训的知识分为哪四级?

知识级培训、政策级培训、实施级培训、执行级培训


19、ISO/IEC17799标准涉及10个领域,是哪10个?哪一个是防止商业活动的中断和防止商业过程免受重大失误或灾难的影响?

ISO/IEC17799标准涉及10个领域包括信息安全政策、安全组织、资产分类和管理、个人信息安全守则、设备及使用环境的信息安全管理、沟通和操作管理、系统访问控制、系统开发和维护、业务持续经营计划、合规性。

其中,业务持续经营计划是防止商业活动的中断和防止商业过程免受重大失误或灾难的影响。


20、ISSE-CMM模型中,最重要的术语是什么?
ISSE-CMM模型中,最重要的术语包括过程、过程区、工作产品、过程能力。


21、ISSE是SSE、SE和SA在信息系统安全方面的具体体现,请分别阐述英文的中文意思。
(1).ISSE是SSE系统安全工程(SystemsSecurity Engineering)

(2).SE系统工程(System Engineering)

(3).SA系统获取(System Acquisition)在信息系统安全方面的具体体现


三、信息工程监理知识


1、信息系统工程监理的什么是四控三管一协调?四控三管一协调是什么?(记)

信息系统工程监理的主要内容是四控三管一协调。

四控:质量控制、进度控制、投资控制、变更控制;

三管:合同管理、信息管理、安全管理;

一协调:沟通协调。


2、《信息系统工程监理》,总监不得将哪些工作委托总监代表?(记)

(1).主持编写工程监理规划,审批工程监理细则;

(2).协调建设单位和承建单位的合同争议,参与索赔的处理,审批工程延期;

(3).根据工程项目的进展情况进行监理人员的调配,调换不称职的监理人员;

(4).审核签认承建单位的付款申请、付款证书和竣工结算。


3、监理大纲、监理规划、监理细则这三种方件的区别?

监理大纲:由监理公司技术总监编制,用于监理招投标阶段,目的是为了赢得监理项目;

监理规划:是在赢得监理项目后由总监理工程师编写,是监理工作的纲领性文件;

监理细则:是由专业监理工程师编写的,用来指导监理工作的实施细则。


4、总监、总监代表、监理工程师、监理员,这四个角色中,可以缺少谁?

可以缺少总监代表。


5、关于工程暂停令,有哪些知识点?(记)

(1).实施、开始中出现质量异常情况,经提出后承建单位仍不采取改进措施者;或者采取的改进措施不力,还未使质量状况发生好转趋势者;

(2).隐蔽作业未经现场监理人员查验自行封闭、掩盖者;

(3).对已发生的质量事故未进行处理和提出有效的改进措施就继续进行者;

(4).擅自变更设计及开发方案自行实施、开发者;

(5).使用没有技术合格证的工程材料、没有授权证书的软件,或者擅自替换、变更工程材料及使用盗版软件者。

(6).未经技术资质审查的人员进入现场实施、开发者。

(7).工程暂停令必须由总监签发

(8).当承建单位要求暂停,且工程需要暂停时


6、判断:信息系统工程监理是对项目的乙方进行全方位、全过程的监督管理?

错。监理只做四控三管一协调。如人力资源管理等是不参与管理的。


7、目前,信息系统监理资质是由哪儿颁发?资质分为哪四级?

由中国电子企业协会颁发。资质分为甲级(25个)、乙级(12个)、丙级(5个)、丙级临时级(2个)