高级学员：2015年10月26日作业

高级学员：2015年10月26日作业

一、PMI权限（授权）管理基础设施

1、访问控制包括哪2个重要过程，及内容；

答：a.认证过程：通过“鉴别”来检验主体的合法身份

b.授权管理：通过“授权”来赋予用户对某项资源的访问权限

2、简述PMI与PKI有何不同？ 哪个是“你能做什么”，哪个是“你是谁”

答：PMI：你能做什么，主要是授权

  PKI：你是谁，身份鉴别

二、信息安全审计系统

1、×××国家标准-计算机系统安全保护能力的5个等级；

答：1）自主保护级：普通内联网用户

2）系统审计保护级：适用于内联网或者国际网进行商务活动，需要保密的非重要单位。

3）安全标记保护级：适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、

交通运输、大型工

商与信息技术企业、重点工程建设等单位。

4）结构化保护级：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门

、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。

5）访问验证保护级：适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

2、网络监听型、主动信息获取型、系统嵌入型AGENT的概念；

答：a网络监听型Agent：运行在一个网络监听专用硬件平台上，该硬件被称为网探

b系统嵌入型Agent：安装在各个受保护的主机上的安全保护软件，这些软件实现基于主机的安全审

计和监管。

c主动信息获取型Agent：针对非主机类型的设备的日志手机，例如：防火墙、交换机、路由器等

三、信息安全系统的组织管理

1、企业信息化信息安全的组织管理中，人员安全包括哪6条；

答：1.人员审查

2.岗位责任和授权

3.人员培训

4.人员考核

5.签订保密合同

6.人员调离

2、针对信息安全的培训分为哪四级，各级的主要内容；

答：1.知识级：建立对计算机信息系统威胁和脆弱性的敏感性，了解计算机信息系统保护的基本知

识。

2.政策级：提供理解计算机信息系统安全原则的能力，使行政领导能做出本企业计算机信息安全的

合理、科学政策。

3.实施级：提供认识和评估承受威胁和攻击的能力，通过培训，负有安全责任的各级领导和安全管

理负责人能制定、实施其企业安全政策。

4.执行级：给计算机信息系统各类人员提供实际、执行、评估其所在计算机信息系统安全规程的方

法和技能，使工作人员在执行与其职务有关任务时能够应用安全概念。

3、在信息安全标委会中，成立了哪几个工作组？

答：WG1：标准体系与协调工作组

WG3：密码和信息安全管理工作组

WG4：鉴别与授权工作组

WG5：信息安全评估工作组

WG7：信息安全管理工作组

三、ISSE-CMMS

1、ISSE-CMM包括哪三类过程区？

答：包含a工程，b项目，c组织三个过程区

四、新技术

1、云计算的三个模式；

答：IAAS：基础设施即服务

PAAS：平台即服务

SAAS：软件即服务

2、物联网的三层；

答：1.感知层

2.网络层

3.应用层

3、事件管理、问题管理、服务级别协议的区别；

答：

事件管理：偶尔发生一次的事情（被动式）

问题管理：经常发生的问题(找问题原因)

服务级别协议：对技术和质量(品质、水准、性能)的要求，罚款不属于。

4、看看《大数据发展纲要》、互联网+、中国智能制造2025。

5、WEB SERVICE适用的四种情况，及不适用的2种情况；

答：WebService使用情况：

1.跨防火墙

2.集成不同语言编写，在不同平台上运行的应用程序

3.跨公司业务集成

4.软件重用

不适合：

1.单机应用

2.局域网中的同构应用程序

6、DAS、NAS、SAN的区别；

答：

DAS：直接连接存储

NAS：网络连接存储

SAN：存储基于网络

7、综合布线系统包括哪6个子系统。

答：1）建筑群子系统

    2）设备间子系统

    3）垂直干线子系统

    4）管理子系统

    5）水平子系统

    6）工作区子系统