一、项目整体绩效评估

 

1、三E审计是什么的合称?(记)

三E审计是经济审计、效率审计和效果审计的合称。

2、霍尔三维结构是从哪三个方面考察系统工程的工作过程的?

从逻辑、时间和知识三方面考察系统的工作过程。

3、投资回收期的公式?(记,并理解)

投资回收期pt=(累计净现金流量开始出现正值的年份数)-1+(上年累计净现金流量的绝对值/当前净现金流量)

上年累计净现金流量是到上年末为止,尚未被弥补的初始投资额,要在本年被弥补的金额。由于其为负,故取绝对值,该绝对值占本年净现金流量的比值就是在本年均匀弥补时所需用的时间。

如:初始投资1 000 000元,第一年回收200 000元,第二年回收400 000元,第三年回收300 000元,第四年回收400 000元,则:

第三年累计净现金流量:-1 000000+200 000+400 000+300 000=-100 000元,

第四年累计净现金流量:-1 000000+200 000+400 000+300 000+400 000=300 000元,

在第四年累计净现金流量开始出现正值。

投资回收期=4-1+|-100 000|/400000=3+0.25=3.25年

二、信息安全相关知识

1、在三安系统三维空间示意图中,XYZ轴分别代表什么意思?(记)同时,XYX上分别有哪些要素?

X轴:“安全机制”(基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系)

Y轴:OSI网络参考模型(物理层、链路层、网络层、传输层、会话层、表示层、应用层)

Z轴:安全服务(对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务)

 

2MIS+SS-MISS2-MIS的名字叫什么?(记)同时,它们的特点分别是什么?

MIS+S==management information system + security “初级信息安全系统”或“基本信息安全保障系统。”

特点:应用基本不变;硬件和系统软件通用;安全设备基本不带密码。

 

S-MIS:security-management information system“标准信息安全保障系统”

特点:硬件和系统软件通用;PKI/CA安全保障系统必须带密码;应用系统必须根本改变。

 

S2-MIS:super security management informationsystem “超安全的信息安全保障系统”

特点:硬件和系统软件都专用;PKI/CA安全保障系统必须带密码;应用系统必须根本改变;主要的硬件和系统软件需要PKI/CA认证。

3、安全威胁的对象是一个单位中的有形资产和无形资产,主要是什么?

有形资产。

4、请描述威胁、脆弱性、影响之间的关系?

威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。

脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。但如果威胁不存在,系统本身的脆弱仍然带来一定的风险。

影响可以看作是威胁与脆弱性的特殊组合。受时间、地域、行业、性质的影响,系统面临的威胁也不一样,风险发生的频率、概率都不尽相同,因此影响程序也很难确定。

5、假设威胁不存在,系统本身的脆弱性仍会带来一定的风险,请举2个例子。(记)

如数据管理中的数据不同步导致完整性遭到破坏;存储设备硬件故障使大量数据丢失。

6、安全策略的核心内容是七定,哪七定?这七定中,首先是解决什么?其次是什么?

定方案、定岗、定位、定员、定目标、定制度、定工作流程。

首先是解决定方案,其次是定岗。

75个安全保护等级分别是什么?每级适用于什么内容?(重点记5个名字,同时重点记第34级的适用)

第一级为用户自主保护级,适用于普通内联网用户;

第二级为系统审计保护级,适用于通过内联网或国际网进行商务活动、要保密的非重要单位;

第三级为安全标记保护级,适用于地主各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位;

第四级为结构化保护级,适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。

第五级为访问验证保护级,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

8、确定信息系统安全方案,主要包括哪些内容?

1)      首先确定采用MIS+SS-MISS2-MIS系统架构。

2)      确定业务和数据存储方案。

3)      网络拓扑结构。

4)      基础安全设施和主要安全设备的选型。

5)      信息应用系统的安全级别的确定。

6)      系统资金和人员投入的档次。

9、什么技术是信息安全的根本?是建立安全空间5大要素的基石?

密码技术是信息安全的根本,是建立安全空间认证、权限、完整、加密、不可否认五大要素所不可缺少的技术。

10、安全空间五大要素是什么?

认证、权限、完整、加密、不可否认。

11、常见的对称密钥算法有哪些?(记)对称密钥算法的优缺点是什么?

SDBI(国家密码办公室批准的国内算法,仅硬件中存在)、IDEA、RC4、DES、3DES等。

优点:加/解密速度快;密钥管理简单;适宜一对一的信息加密传输。

缺点:加密算法简单,密钥长度有限,加密强度不高;密钥分发困难,不适宜一对多的加密信息传输。

12、哈希算法在数字签名中,可以解决什么问题?常见的哈希算法有哪些?

可以解决验证签名和用户身份验证、不可抵赖性的问题。

常见的哈希算法有SDH(国家密码办公室批准的HASH算法)、SHA、MD5等。

13、我国实行密码分级制度,密码等级及适用范围是什么?(记)

商用密码—国内企业、事业单位。

普用密码—政府、党政部门

绝密密码—中央和机要部门

军用密码—军队

14WLAN的安全机制中,WEPWEP2WPA,哪个加密效果最好?

WPA。

15PKI的体系架构,概括为两大部分,即信任服务体系和什么?

信任服务体系和密钥管理中心。

16PMIPKI的区别是什么?(记)

PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。

PKI主要进行身份鉴别,证明用户身份,即“你是谁”。

17、概括地讲,安全审计是采用什么和什么技术?实现在不同网络环境中终端对终端的监控与管理,在必要时可以做什么?

概括地讲,安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理 ,在必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。

18、安全教育培训的知识分为哪四级?

知识级培训、政策级培训、实施级培训和执行级培训。

19ISO/IEC17799标准涉及10个领域,是哪10个?哪一个是防止商业活动的中断和防止商业过程免受重大失误或灾难的影响?

1)      信息安全政策。

2)      安全组织。

3)      资产分类与管理。

4)      个人信息安全守则。

5)      设备及使用环境的信息安全管理。

6)      沟通和操作管理。

7)      系统访问控制。

8)      系统开发和维护。

9)      业务持续经营计划。

10)   合规性。

业务持续经营计划的制定和实施,是防止商业活动的中断和防止关键商业过程免受重大失误或灾难的影响。

20ISSE-CMM模型中,最重要的术语是什么?

过程、过程区、工作产品、过程能力

21ISSESSESESA在信息系统安全方面的具体体现,请分别阐述英文的中文意思。

ISSE:information system security engineering ,信息安全系统工程

SSE:system security engineering,系统安全工程

SE:system engineering ,系统工程

SA:system acquisition ,系统获取

三、信息工程监理知识

 

1、信息系统工程监理的什么是四控三管一协调?四控三管一协调是什么?(记)

信息系统工程质量控制

信息系统工程进度控制

信息系统工程成本控制

信息系统工程变更控制

 

信息系统工程合同管理

信息系统工程信息管理

信息系统工程安全管理

 

在信息系统工程实施过程中协调有关单位及人员间的工作关系。

2、《信息系统工程监理》,总监不得将哪些工作委托总监代表?(记)

1)      主持编写工程监理规划,审批工程监理细则。

2)      协调建设单位和承建单位的合同争议,参与索赔的处理,审批工程延期。

3)      根据工程项目的进展情况进行监理人员的调配,调换不称职的监理人员。

4)      审核签认承建单位的付款申请、付款证书和竣工结算。

3、监理大纲、监理规划、监理细则这三种方件的区别?

监理大纲是在建设单位选择合适的监理单位时,监理单位为了获得监理任务,在项目监理招标阶段项目监理单位案性文件。监理大纲的作用,是为监理单位的经营目标服务的,起着承接监理任务的作用。

监理规划是在监理委托合同签订后,由监理单位制定的指导监理工作开展的纲领性文件。在内容和深度方面比监理委托合同更加具体化,更加具有指导监理工作的实际价值。

监理实施细则是在监理规划指导下,监理项目部已建立,各项专业监理工作责任制已经落实,配备的专业监理工程师已经上岗,再由专业监理工程师根据专业特点及本专业技术要求编制的、具有实施性和可操作性的业务性文件。细则由各专业监理工程师主持编制,并报送项目总监理工程师认可批准执行。

4、总监、总监代表、监理工程师、监理员,这四个角色中,可以缺少谁?

总监代表。

5、关于工程暂停令,有哪些知识点?(记)

1)      工程暂停令必须由总监签发

2)      当承建单位要求暂停,且工程需要暂停时

3)      施工单位未经批准擅自施工或拒绝项目监理机构管理。

4)      施工单位未按照审查通过的工程设计文件施工;

5)      施工单位违反工程建设强制性标准的;

6)      施工单位存在重大质量、安全事故隐患或发生质量、安全事故的。

6、判断:信息系统工程监理是对项目的乙方进行全方位、全过程的监督管理?

错。

7、目前,信息系统监理资质是由哪儿颁发?资质分为哪四级?

由中国电子企业协会监理分会颁发。资质分为甲级(25个)、乙级(12个)、丙级(5个)、临时级(2个)