軟考信息系統監理師：2016年4月1日作業

一、合同管理
1、合同按照信息系統工程範圍劃分哪幾類？

（1）        總承包合同

（2）        單項項目承包合同

（3）        分包合同

2、簽訂分包合同，應具備的2個條件是什麼？

（1）        總承建單位只能將自己承包的部分項目分包給具有相應資質條件的分承包單位

（2）        分包項目必須經過建設單位的同意

3、分包的禁止性規定有哪些？

（1）        禁止轉包；

（2）        禁止將項目分包給不具備具有相應資質條件的單位；

（3）        禁止再次轉包；

（4）        禁止分包主體結構。

4、合同按項目付款方式爲哪幾類？

（1）        總價合同；

（2）        單價合同；

（3）        成本加酬金合同。

5、總價合同的適用前提是什麼？

總價合同的適用前提是項目工作量不大且能精確計算、工期較短、技術不太複雜、風險不大的項目。

6、信息系統工程合同的內容是什麼？

（1）        甲乙雙方的權利與義務是合同的基本內容；

（2）        建設單位提交有關基礎資料的期限；

（3）        項目的質量要求；

（4）        承建單位提交各階段項目成果的期限；

（5）        項目費用和項目款的交付方式；

（6）        項目變更的約定；

（7）        雙方的其他協作條件；

（8）        違約責任。

7、信息系統工程合同簽訂的注意事項有哪些？

（1）        質量驗收標準；

（2）        驗收時間；

（3）        技術支持服務；

（4）        損害賠償；

（5）        保密約定；

（6）        軟件的合法性

（7）        技術標準及工程依據

（8）        合同附件

（9）        簽約資格

8、監理工作在合同管理中的主要內容由哪三部分組成？（記）

（1）        合同的簽訂管理；

（2）        合同的檔案管理

（3）        合同的履行管理

9、判斷：信息系統工程合同只能採用書面形式。

正確

10、合同履行管理的依據、方式、保證、重點，分別是什麼？

（1）        履行合同管理的依據---合同分析；

（2）        履行合同管理的方式---合同控制；

（3）        履行合同管理的保證---合同監督；

（4）        履行合同管理的重點---項目索賠管理。

11、合同什麼管理是合同管理的基礎？

合同的檔案管理，也即合同文件管理，是整個合同管理的基礎。

12、合同檔的管理包括甲乙方合同管理，甲方與監理方合同的管理，同時適用於這2類合同的檔案管理方法是什麼？

（1）        建立監理工作的合同檔案管理體系；

（2）        制定監理工作的合同檔案管理制度。

13、監理工作的合同檔案管理制度有哪些？

（1）        合同的審查批准制度；

（2）        印章管理制度；

（3）        合同的統計考察制度；

（4）        合同的信息管理制度。

14、合同檔案管理的具體工作有哪些？

（1）        收集、整理、統計、保管監理工作在各項活動中形成的全部檔案，清點庫存。

（2）        按照有關規定做好檔案留存與銷燬的鑑定工作。

（3）        對擬銷燬的檔案建立銷燬清冊，經監理單位負責人和企業資產清算機構負責人審覈，建設單位主管部門批准，方可銷燬。

（4）        按照檔案的去向分別編制移交和寄存檔案的目錄。

15、合同管理的原則是什麼？（記）

（1）        事前預控原則

（2）        實施糾偏原則

（3）        充分協商原則

（4）        公正處理原則

16、索賠的程序？

（1）        質量索賠發生的28天內，向建設單位和監理單位發出索賠意向通知；

（2）        發出索賠意向通知後28天內，向建設單位和監理單位提供延長工期和（或）補償經濟損失的索賠報告及有關資料。

（3）        監理單位在收到承建單位送交的索賠報告及有關資料後，於約定時間內給予答覆，或要求承建單位進一步補充索賠理由和證據。

（4）        監理單位在收到承建單位送交的索賠報告和有關資料後約定時間內未予答覆或未對承建單位作進一步要求，視爲該索賠已經認可。

（5）        當該索賠事件持續進行時，承建單位應當階段性向監理單位發出索賠意向，在索賠事件終了約定時間內，向監理單位送交索賠的有關資料和最終索賠報告。索賠答覆程序與上述（3）、（4）規定相同，建設單位的反索賠的時限與上述規定相同。

17、一個完整的索賠報告包括哪四部分？

（1）        總論部分；

（2）        根據部分；

（3）        計算部分；

（4）        證據部分。

18、針對索賠意向通知書，監理審查的重點有哪些？

（1）        費用索賠申請報告的程序、時限符合合同要求；

（2）        費用索賠申請報告的格式和內容符合規定；

（3）        費用索賠申請的資料必須真實、齊全、手續完備；

（4）        申請索賠的合同依據、理由必須正確、充分；

（5）        索賠金額的計算原則與方法必須合理、合法。

19、索賠事件處理的原則？

（1）        預防爲主；

（2）        必須以合同爲依據；

（3）        公平合理原則

（4）        協商原則

（5）        授權原則

（6）        必須注意資料的積累

（7）        及時、合理地處理索賠。

20、合同爭議有2種解決方式，分別是什麼？

（1）        根據合同約定向約定的仲裁委員會申請仲裁；

（2）        向有管轄權的人民法院起訴。

21、由於承建單位違約導致實施合同終止後，監理單位應按何種程序處理？

（1）        實施合同終止時，清理承建的單位已按實施合同規定實際完成的工作所應得的款項和已經得到支付的款項；

（2）        實施現場餘留的材料、軟硬件設備及臨時項目的價值

（3）        對已完成項目進行檢查和驗收、移交項目資料、該部分項目的清理、質量缺陷修復等所需的費用；

（4）        實施合同規定的承建單位應支付的違約金。

22、因不可抗力事件，導致的費用及延誤的工期，雙方如何承擔？

（1）        項目本身的損害、因項目損害導致第三方人員傷亡和財產損失以及運至實施場地用於實施的材料和待安裝的設備的損害，由建設單位承擔；

（2）        建設單位、承建單位人員傷亡由其所在單位負責，並承擔相應費用；

（3）        承建的單位設備損壞及停工損失，由其承建單位承擔；

（4）        停工期間，承建單位應監理單位要求留在實施場地的必要的管理人員及保衛人員的費用由發包人承擔；

（5）        項目所需清理、修復費用，由建設單位承擔；

（6）        延誤的工期相應順延。

23、《計算機軟件保護條例》規定，計算機軟件包括什麼？

（1）        計算機程序

（2）        文檔

24、某政府單位花500萬委託軟件公司開發一套軟件，若合同未約定知識產權，則產權屬於誰？

軟件公司

 

二、信息安全管理
1、信息系統安全屬性分爲哪三個方面？各自的定義？

（1）        可用性

（2）        保密性

（3）        完整性

2、國家祕密分爲祕密、機密和什麼三個等級？

國家祕密分爲祕密、機密、絕密三個等級

3、常用的保密技術有哪些？

（1）        防偵測

（2）        防輻射

（3）        信息加密

（4）        物理保密

4、保障信息網絡系統完整性的主要方法有哪些？

（1）        協議

（2）        糾錯編碼方法

（3）        密碼校驗和方法

（4）        數字簽名

（5）        公正

5、技術體系是全面提供信息系統安全保護的技術保障系統，它由物理安全技術和系統安全技術組成，各包括哪些內容？

物理安全技術

（1）        機房安全

（2）        設施安全

系統安全技術

（1）        平臺安全

（2）        數據安全

（3）        通信安全

（4）        應用安全

（5）        運行安全

6、組織機構體系是信息系統的組織保障系統，由哪三個模塊構成？

組織機構體系是信息系統的組織保障系統，由機構、崗位和人事三個模塊組成

7、管理是信息系統安全的靈魂。信息系統安全的管理體系由法律管理、制度管理和什麼共3部分組成？

管理是信息系統安全的靈魂，信息系統安全的管理體系由法律管理、制度管理和培訓管理三部分組成

8、監理在信息系統安全管理的作用有哪些？

（1）        保證建設單位在信息系統工程項目建設過程中，保證信息系統的安全在可用性、保密性、完整性與信息系統工程的可維護性技術環節上沒有衝突；

（2）        在成本控制的前提下，確保信息系統安全設計上沒有漏洞；

（3）        督促建設單位的信息系統工程應用人員在安全管理制度和安全規範下嚴格執行安全操作和管理，建立安全意識；

（4）        監督承建單位按照技術標準和建設方案施工，檢查承建單位是否存在設計過程中的非安全隱患行爲或現象等，確保整個項目建設過程中的安全建設和安全應用。

9、人員安全管理要遵循哪些原則？

（1）        授權最小化。

（2）        授權分散化。

（3）        授權規範化。

10、請寫出任意8種信息系統安全管理制度。

（1）        計算機信息網絡系統出入管理制度

（2）        計算機信息網絡系統各工作崗位的工作職責、操作規程；

（3）        計算機信息網絡系統升級、維護制度；

（4）        計算機信息網絡系統工作人員人事管理制度；

（5）        計算機信息網絡系統安全檢查制度；

（6）        計算機信息網絡系統應急制度；

（7）        計算機信息網絡系統信息資料處理制度；

（8）        計算機信息網絡系統工作人員安全教育、培訓制度；

（9）        計算機信息網絡系統循環任職、強制休假制度。

11、物理訪問的安全管理中，監理安全管理注意事項有哪四條？（記）

（1）        硬件設施在合理範圍內是否能防止強制***；

（2）        計算機設備的鑰匙是否有良好的控制以降低未授權者進入的危險；

（3）        智能終端是否上鎖或有安全保護，以防止短路板、芯片或計算機被搬移；

（4）        計算機設備在搬移時是否需要設備授權通行的證明。

12、邏輯訪問的安全管理中，監理在邏輯訪問風險分析與安全管理上，主要的原則有哪五條？（記）

（1）        瞭解信息處理的整體環境並評估其安全需求，可通過審查相關數據，詢問有關人員，個人觀察及風險評估；

（2）        通過對一些可能進入系統訪問路徑進行記錄及複覈，評價這些控制點的正確性、有效性。這種記錄及複覈包括審覈系統軟、硬件的安全管理，以確認其控制弱點或重要點；

（3）        通過相關測試數據訪問控制點，評論安全系統的功能和有效性；

（4）        分析測試結果和其他審覈結論，評價訪問控制的環境並判斷是否達到控制目標；

（5）        審覈書面策略，觀察實際操作和流程，與一般公認的信息安全標準相比較，評價組織環境的安全性及其適當性等。

13、什麼是特洛伊***、去尾法、色粒米技術、計算機蠕蟲、邏輯炸彈、網絡竊聽、DOS？

特洛伊***：是指將一些帶有惡意的、欺詐性的代碼置於已授權的計算機程序中，當程序啓動時這些代碼也會啓動。

去尾法：將交易發生後計算出的餘額（如利息）中小數點後的餘額（如分）刪除並轉入某個未經授權的賬戶，因爲金額微小而往往不被注意；

色麗米技術：這是一種類似去尾法的舞弊行爲，不同的是將餘額切分成更小的金額，再轉入未授權的賬戶；

計算機蠕蟲：蠕蟲是一種破壞性程序，可以破壞計算機內數據或是適用大量計算機及通信資源，但不像計算機病毒那樣能自行復制；

邏輯炸彈：是在滿足特定的邏輯條件時按某種不同的方式運行，對目標系統實施破壞的計算機程序；

網絡竊聽：不進行直接的網絡***，但藉助網絡竊聽器的軟件或硬件，掌握對方的重要信息，如賬號、密碼等，它意味着高級別的泄密，對網絡安全造成極大的威脅。

DOS:DOS***行爲表現在使服務器充斥大量要求響應的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷，以至於癱瘓而停止提供正常的網絡服務，是目前最爲常見的網絡***方法。

14、來自互聯網上的安全問題主要分成兩大類，主動式***和被動式***，試解釋之。

主動***：是指***者通過有選擇的修改、刪除、延遲、亂序、複製、插入數據等以達到其非法目的。主動式***可以歸納爲中斷、篡改、僞造三種；

被動式***：一般採用網絡分析和竊聽來收集信息。

15、什麼是對稱密鑰加密？不對稱密鑰加密？

對稱密匙加密：是指發件人和收件人使用其共同擁有的單個密匙。這種密匙既用於加密，也用於解密，叫做機密祕鑰。

不對稱祕鑰加密：另一類加密方法叫做公鑰加密，或者叫不對稱加密。這類加密方法需要用到兩個密鑰——一個公鑰和一個私鑰，這兩個密鑰在數學上是相關的。

16、什麼是數字簽名和證書？

數字簽名：信息是由簽名者發送的；信息自簽發到收到爲止未曾做過任何修改。這樣數字簽名就可用來防止電子信息因易被修改而被人僞造，或冒用別人名義發送信息，或發出（收到）信件後又加以否認等情況發生。

證書：公鑰證書通常簡稱爲證書，用於互聯網、外聯網和內聯網上進行身份驗證並確保數據交換的安全。

17、什麼是網閘？

網閘，即安全隔離與信息交換系統，是新一代高安全度的企業級信息安全防護設備，它依託安全隔離技術爲信息網絡提供了更高層次的安全防護能力，不僅使得信息網絡的抗***能力大大增強，而且有效地防範了信息外泄事件的發生。

18、什麼是防火牆？

防火牆是指設置在不同網絡或網絡安全域之間的一系列部件的組合。防火牆在物理上基本上是一臺具有網關或路由功能的計算機或服務器。在邏輯上防火牆完成了網絡通信的限制、分離和分析功能，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡安全。

19、什麼是***檢測系統？

進行***檢測的軟件與硬件的組合就是***檢測系統。

***檢測一般分爲三個步驟：信息收集、信息分析和響應

數據分析是***檢測的核心

20、什麼是全備份、差分備份、增量備份？（記）

全備份：將系統中所有的數據信息全部備份；

差分備份：只備份上次備份後系統中變化過的數據信息；

增量備份：只備份上次完全備份後系統中變化過的數據信息；

21、請大家在百度百科搜索：RAID0、1、2、3、4、5，並寫成作業。

RAID 0 （無冗餘和無校驗的數據分塊）：具有最高的I/O性能和最高的磁盤空間利用率，易管理，但系統的故障率高，屬於非冗餘系統。它主要是應用於那些關注性能、容量和價格而不是可靠性的應用程序。

百度百科解釋：

RAID 0並不是真正的RAID結構，沒有數據冗餘，沒有數據校驗的磁盤陳列。實現RAID 0至少需要兩塊以上的硬盤，它將兩塊以上的硬盤合併成一塊，數據連續地分割在每塊盤上。 因爲帶寬加倍，所以讀/寫速度加倍， 但RAID 0在提高性能的同時，並沒有提供數據保護功能，只要任何一塊硬盤損壞就會丟失所有數據。因此RAID 0 不可應用於需要數據高可用性的關鍵領域。

RAID 1（磁盤鏡像陣列）：由磁盤對組成，每一個工作盤都有其對應的鏡像盤，上面保存着與工作盤完全相同的數據拷貝，具有最高的安全性，但空間磁盤利用率只有50% 。RAID 1主要用於存放系統軟件、數據及其他重要文件。它提供了數據的實時備份，一旦發生故障，所有的關鍵數據即刻就可重新使用。

百度百科解釋：

RAID 1：通過磁盤數據鏡像實現數據冗餘，在成對的獨立磁盤上產生互 爲備份的數據。當原始數據繁忙時，可直接從鏡像拷貝中讀取數據，因此RAID 1可以提高讀取性能。RAID 1是磁盤陣列中單位成本最高的，但提供了很高的數據安全性和可用性。當一個磁盤失效時，系統可以自動切換到鏡像磁盤上讀寫，而不需要重組失效的數據。

RAID 2（採用糾偏海明碼的磁盤陣列）：採用了海明碼糾錯技術，用戶需增加校驗盤來提供單糾錯和雙驗錯功能。對數據的訪問涉及陣列中的每一個盤。大量數據傳輸時I/O性能較高，但不利於小批量數據傳輸，因此實際應用中很少使用。

百度百科解釋：

RAID 2是RAID 0的改良版，以漢明碼（Hamming Code）的方式將數據進行編碼後分割爲獨立的位元，並將數據分別寫入硬盤中。因爲在數據中加入了錯誤修正碼（ECC，Error Correction Code），所以數據整體的容量會比原始數據大一些。

RAID 3級和RAID 4級（採用奇偶校驗碼的磁盤陣列）：把奇偶校驗碼存放在一個獨立的校驗盤上。如果有一個盤失敗，其上的數據可以通過對其他盤上的數據進行異或運算得到。讀數據很快，但因爲寫入數據時要計算校驗碼，因此速度很慢。

百度百科解釋：

RAID 3是把數據分成多個“塊”，按照一定的容錯算法，存放在N+1個硬盤上，實際數據佔用的有效空間爲N個硬盤的空間總和，而第N+1個硬盤上存儲的數據是校驗容錯信息，當這N+1個硬盤中的其中一個硬盤出現故障時，從其它N個硬盤中的數據也可以恢復原始數據，這樣，僅使用這N個硬盤也可以帶傷繼續工作（如採集和回放素材），當更換一個新硬盤後，系統可以重新恢復完整的校驗容錯信息。由於在一個硬盤陣列中，多於一個硬盤同時出現故障率的機率很小，所以一般情況下，使用RAID3，安全性是可以得到保障的。

RAID4和RAID3很象，數據都是依次存儲在多個硬盤之上，奇偶校驗碼存放在獨立的奇偶校驗盤上，唯一不同的是，在數據分割上RAID3對數據的訪問是按位進行的，RAID4是以數據塊爲單位。即RAID 4是按數據塊爲單位存儲的，那麼數據塊應該怎麼理解呢？簡單的話，一個數據塊是一個完整的數據集合，比如一個文件就是一個典型的數據塊。當然，對於硬盤的讀取，一個數據塊並不是一個文件，而是由操作系統所決定的，這就是我們熟悉的簇（Cluster）。RAID 4這樣按塊存儲可以保證塊的完整，不受因分條帶存儲在其他硬盤上而可能產生的不利影響（比如當其他多個硬盤損壞時，數據就完了）。

RAID 5（無獨立校驗盤的奇偶校驗碼磁盤陣列）：與RAID 4類似，但沒有獨立的校驗盤，校驗信息分佈在組內所有盤上，對於大批量和小批量的數據的讀寫性能都很好。RAID 4級和RAID 5級使用了獨立存取技術，陣列中每一個磁盤都相互獨立地操作，所以I/O請求可以並行處理。因此，該技術非常適合於I/O請求率高的應用，而不太適應於要求高數據傳輸率的應用。與其他方案類似，RAID 4和RAID 5也應用了數據分塊技術，但塊的尺寸相對大一些。

百度百科解釋：

RAID 5 是一種存儲性能、數據安全和存儲成本兼顧的存儲解決方案。 RAID 5可以理解爲是RAID 0和RAID1的折中方案。RAID 5可以爲系統提供數據安全保障，但保障程度要比Mirror低而磁盤空間利用率要比Mirror高。RAID 5具有和RAID 0相近似的數據讀取速度，只是多了一個奇偶校驗信息，寫入數據的速度比對單個磁盤進行寫入操作稍慢。同時由於多個數據對應一個奇偶校驗信息，RAID 5的磁盤空間利用率要比RAID 1高，存儲成本相對較低，是目前運用較多的一種解決方案。

 

三、信息管理
1、按工程建設信息的性質劃分哪幾類？

（1）        引導信息

（2）        辨識信息

2、按工程建設信息的用途劃分哪幾類？

（1）        投資控制信息

（2）        進度控制信息

（3）        質量控制信息

（4）        合同管理信息

（5）        組織協調信息

（6）        其他用途信息

3、爲什麼說高效的文檔管理，是監理單位自身的需要？

（1）        爲了成功對工程進行監理，必須有一套嚴謹的文檔分類管理辦法，這樣，工程的詳細情況纔可能被監理項目組準確掌握，從而也爲建設單位所準確掌握

（2）        監理單位需要對監理人員的工作情況進行考覈，以決定人員的報酬和職位進行獎懲升降。

（3）        監理文檔本身就是監理工作經驗最好的總結，是監理工作最好的培訓資料，從培養人員的角度上來說，一套完善的文檔管理體制非常必要。

4、監理工程師在歸集監理資料時的注意事項有哪些？

（1）        監理資料應及時整理、真實完整、分類有序；

（2）        監理資料的管理應由總監理工程師負責，並指定專人具體實施；

（3）        監理資料應在各階段監理工作結束後及時整理歸檔；

（4）        監理檔案的編制及保存應按有關規定執行。

5、總控類文檔包括哪些？（記）

（1）        承建合同

（2）        總體方案

（3）        項目組織實施方案

（4）        技術方案

（5）        項目進度計劃

（6）        質量保證計劃

（7）        資金分解計劃

（8）        採購計劃

（9）        監理規劃及實施細則

6、監理實施類文檔包括哪些？（記）

（1）        項目變更文檔

（2）        進度監理文檔

（3）        質量監理文檔

（4）        質量回歸監理文檔

（5）        監理日報

（6）        監理月報

（7）        專題監理報告

（8）        驗收報告

（9）        總結報告

7、工程驗收監理報告必須包括哪些要素？（記）、

（1）        工程竣工準備工作綜述

（2）        驗收測試方案與規範

（3）        測試結果與分析

（4）        驗收測試結論

8、工程監理總結報告包括哪些方面？（記）

（1）        工程概況

（2）        監理工作統計

（3）        工程質量綜述

（4）        工程進度綜述

（5）        管理協調綜述

（6）        監理總評價

9、P273頁表12-5，掌握各階段產出哪些文檔？哪些文檔在哪個階段開始做？請分別回答：
開發計劃、測試計劃、用戶手冊、操作手冊、開發總結這些文檔的開始階段、產出階段。（記）

各階段產出的文檔：

計劃階段：可行性研究報告

需求分析階段：項目開發計劃、軟件需求規格說明書、數據需求規格說明書

設計階段：測試計劃、概要設計說明、詳細設計說明、數據庫設計說明；

編碼階段：用戶手冊、操作手冊

測試階段：模塊開發卷宗、測試分析報告、開發進度月報、項目開發總結。

哪些文檔在哪個階段開始做：

計劃階段開始做的文檔有：可行性研究報告、項目開發計劃、開發進度月報；

需求分析階段開始做的文檔有：軟件需求規格說明書、數據需求規格說明書、測試計劃、用戶手冊

設計階段開始做的文檔有：概要設計說明、詳細設計說明、數據庫設計說明、操作手冊

編碼階段開始做的文檔有：模塊開發卷宗

測試階段開始做的文檔有：測試分析報告、項目開發總結。

以下文檔開始階段和產出階段：

開發計劃：開始於計劃階段，產出與需求分析階段

測試計劃：開始於需求分析階段，產出於設計階段

用戶手冊：開始於需求分析階段，產出於編碼階段

操作手冊：開始於設計階段，產出於編碼階段

項目開發總結：開始於測試階段，產出於測試階段