软考高项学员:2016年4月26日作业
一、项目整体绩效评估
1、三E审计是什么的合称?(记)经济审计、效率审计和效果想审计的合称。
2、霍尔三维结构是从哪三个方面考察系统工程的工作过程的?逻辑、时间、知识三个方面。
3、投资回收期的公式?(记,并理解)投资回收期等于项目总投资额与项目投产后获得的年净收入之比
二、信息安全相关知识
1、在三安系统三维空间示意图中,X,Y,Z轴分别代表什么意思?(记)同时,X、Y、X上分别有哪些要素?
X轴是安全机制,Y轴是OSI网络参考模型,Z轴是安全服务。X轴上有基础设施安全、平台安全、检测安全、通信安全、应用安全、运行安全、管理安全等要素;Y轴上有物理层、链路层、网络层、传输层、回话层、表示层、应用层等要素,Z轴上有对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、禁止否认性服务等要素。
2、MIS+S、S-MIS、S2-MIS的名字叫什么?(记)同时,它们的特点分别是什么?
MIS+S:初级信息安全保障系统(基本信息安全保障系统)。特点,应用基本不变,硬件和系统软件通用,安全设备基本不带密码。
S-MIS:标准信息安全保障系统。特点:硬件和系统软件通用,PKI/CA安全保障系统必须带密码,应用系统必须根本改变。
S2-MIS:超安全的信息安全保障系统。特点:硬件和系统软件都专用,PKI/CA安全保障系统必须带密码,主要硬件和系统软件需要PKI/CA认证。
3、安全威胁的对象是一个单位中的有形资产和无形资产,主要是什么?
有形资产指的如银行账户、存在、信用卡,商品、证券、债券、股票、保单、产品的工艺流程、工艺参数等;无形资产指的是诚信、可靠的信誉,以及产品的商标、商家的专利、知识产权等。
4、请描述威胁、脆弱性、影响之间的关系?
威胁、脆弱性、影响之间存在着一定的对应关系,威胁可看成从系统外部对系统产生的作用而导致系统功能及目标受阻的所有现象。脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有时实际的伤害,但威胁可以利用脆弱性发挥作用。实际上,系统风险可以看做是威胁利用了脆弱性而引起的。如果系统不存在脆弱性,那么威胁也不存在,风险也就没有了。影响可以看做是威胁与脆弱性的特殊组合。受时间、地域、行业、性质的影响,系统面临的威胁也不一样,风险发生的概率、频率都不尽相同,因此影响程度也很难确定。
5、假设威胁不存在,系统本身的脆弱性仍会带来一定的风险,请举2个例子。(记)
如数据管理中数据不同步导致完整性遭到破坏;存储设备硬件故障使大量数据丢失。
6、安全策略的核心内容是七定,哪七定?这七定中,首先是解决什么?其次是什么?
定方案、定岗、定位、定员、定目标、定制度、定工作流程;首先是定方案,其次是定岗。
7、5个安全保护等级分别是什么?每级适用于什么内容?(重点记5个名字,同时重点记第3、4级的适用)
第一级为用户自主保护级,应用于普通内联网用户;
第二级为系统审计保护级,适用于通过内联网或国际网进行商务活动、要保密的非重要单位;
第三级为安全标记保护级,适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位;
第四级为结构化保护级,适用于中央级国家机关、广播电视部门、重要物质储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门;
第五级为访问验证保护级,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
8、确定信息系统安全方案,主要包括哪些内容?
1)首先确定采用MIS+S/S-MIS/S2-MIS系统架构。2)确定业务和数据存储方案;3)网络拓扑结构;4)基础安全设施和主要安全设备的选型;5)信息应用系统的安全级别的确定。6)系统资金和人员投入的档次。
9、什么技术是信息安全的根本?是建立安全空间5大要素的基石?
密码技术是信息安全的根本,
10、安全空间五大要素是什么?
认证、权限、完整、加密和不可否认。
11、常见的对称密钥算法有哪些?(记)对称密钥算法的优缺点是什么?
常见的对称秘钥算法:SDBI/IDEA/RC4/DES/3DES,优点:加/解密速度快;秘钥管理简单;适宜一对一的加密传输;缺点:加密算法简单,秘钥长度有限,加密强度不高;秘钥分发困难,不适宜一对多的加密信息传输。
12、哈希算法在数字签名中,可以解决什么问题?常见的哈希算法有哪些?
解决验证签名和用户身份验证、不可抵赖性的问题。常见算法:SDH/SHA/MD5
13、我国实行密码分级制度,密码等级及适用范围是什么?(记)
1)商用密码--国内企业、事业单位;2)普用密码--政府、党政部门;3)绝密密码--中央和机要部门;4)军用密码--军队。
14、WLAN的安全机制中,WEP、WEP2、WPA,哪个加密效果最好?
WPA加密效果最好
15、PKI的体系架构,概括为两大部分,即信任服务体系和什么?
秘钥管理中心
16、PKI与PMI的区别是什么?(记)
PMI主要进行授权管理,证明这个用户有什么权限,能干什么;
PKI主要进行身份鉴别,证明用户的身份。
17、概括地讲,安全审计是采用什么和什么技术?实现在不同网络环境中终端对终端的监控与管理,在必要时可以做什么?
概括地讲,安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。
18、安全教育培训的知识分为哪四级?
知识级的培训、政策级的培训、实施级的培训和执行级的培训。
19、ISO/IEC17799标准涉及10个领域,是哪10个?哪一个是防止商业活动的中断和防止商业过程免受重大失误或灾难的影响?
1)信息安全政策;2)安全组织;3)资产分类与管理;4)个人信息安全守则;5)设备及使用环境的信息安全管理;6)沟通和操作管理;7)系统访问控制;8)系统开发和维护;9)业务持续经营计划;10)合规性。业务持续经营计划的制定和实施,是防止商业活动中断和防止关键商业过程免受重大失误或灾难的影响。
20、ISSE-CMM模型中,最重要的术语是什么?
过程,过程区,工作产品和过程能力
21、ISSE是SSE、SE和SA在信息系统安全方面的具体体现,请分别阐述英文的中文意思。
ISSE:信息安全系统工程;SSE:系统安全工程;SE系统工程;SA:系统获取
三、信息工程监理知识
1、信息系统工程监理的什么是四控三管一协调?四控三管一协调是什么?(记)
信息系统工程监理的主要内容是四控三管一协调,四控:进度控制、质量控制、投资控制和变更控制;三管:信息管理、安全管理和合同管理;协调:沟通协调
2、《信息系统工程监理》,总监不得将哪些工作委托总监代表?(记)
项目监理计划,签发开工/复工报审表、监理通知、付款证书、竣工监理报告、调解合同争议、处理索赔、审批工程延期、监理人员调配
3、监理大纲、监理规划、监理细则这三种方件的区别?
监理大纲是投标时由公司总监理工程师组织编写的,是投标文件的基础;监理规划是项目总监主持编写,具有合作效应,经业主方同意后生效;监理细则由专业质量监理工程师组织编写。
4、总监、总监代表、监理工程师、监理员,这四个角色中,可以缺少谁?
总监代表可以缺少
5、关于工程暂停令,有哪些知识点?(记)
必须由总监签发,签发条件:承建方要求暂停,且工程需要暂停时;乙方违反了标准,且整改不听的,发暂停令,发了不停,向政府有关部门报告;具有质量隐患需要停工的。
6、判断:信息系统工程监理是对项目的乙方进行全方位、全过程的监督管理?错(只做四控三管一协调)
7、目前,信息系统监理资质是由哪儿颁发?资质分为哪四级?
中国电子企业协会。甲乙丙及临时资质