中項筆記（九）

——2016年4月4日
一、變更管理
1、變更管理的原則是首先？
  變更管理的原則是首先建立項目基準、變更流程和變更控制委員會。

2、國內較多的配置工具有哪些？（3個）
  Rational C1earCase、VisualSvurceSafe、ConcurrentVersions Systemp

3、CCB是決策機構還是作業機構？
  決策機構

4、項目經理在變更中的作用是什麼？
  項目經理在變更中的作用是：響應變更提出者的要求，評估變更對項目的影響及應對方案，將要求由技術要求轉化爲資源需求，供授權人決策；並據評審結果實施即調整項目基準，確保項目基準反映項目實施情況。

5、變更的工作程序？（記）
  提出與接受變更申請、對變更的初審、變更方案論證、項目變更委員會審查、發出變更通知並開始實施、變更實施監控、變更效果評估、判斷髮生變更後的項目是否已納入正軌。

6、變更初審的目的是什麼？（記）
（1）對變更提出方施加影響，確認變更的必要性，確保變更是有價值的。
（2）格式校驗，完整性較驗，確保評估所需信息準備充分。
（3）在干係人間就提出供評估的變更信息達成共識。
（4）變更初審的常見方式爲變更申請文檔的審覈流轉。

7、變更效果的評估從哪幾個方面進行？
（1）首要的評估依據，是項目荃準。
（2）還需結合變更的初衷來看，變更所要達到的目的是否已達成。
（3）評估變更方案中的技術論證、經濟論證內容與實施過程的差距並推進解決。

8、針對變更，何時可以使用分批處理、分優先級的方式，以提高效率？
  在項目整體壓力較大的情況下，更需強調變更的提出、處理應當規範化，可以使用分批處理、分優先級等方式提高效率。

9、項目規模小、與其它項目關聯度小時，高精尖更應簡便高效，需注意哪三點？
（1）對變更產生的因素施加影響。防止不必要的變更，減少無謂的評估，提高必要變更的通過效率。
（2）對變更的確認應當正式化。
（3）變更的操作過程應當規範化。

10、對進度變更的控制，應包括哪些主題？（記）
（1）判斷項目進度的當前狀態。
（2）對造成進度變更的因素施加影響。
（3）查明進度是否已經改變。
（4）在實際變更出現時對其進行管理。

11、對成本變更的控制，包括哪些主題？
（1）對造成成本基準變更的因素施加影響。
（2）確保變更請求獲得同意。
（3）當變更發生時，管理這些實際的變更。
（4）保證潛在的費用超支不超過授權的項目階段資金和總體資金。
（5）監督費用績效，找出與成本基準的偏差。
（6）準確記錄所有與成本基準的偏差。
（7）防止錯誤的、不恰當的或未批准的變更被納入費用或資源使用報告中。
（8）就審定的變更，通知利害關係者。
（9）採取措施，將預期的費用超支控制在可接受的範圍內。

12、請簡述變更管理與配置管理的區別？
  如果把項目整體的交付物視作項目的配置項，配置管理可視爲對項目完整性管理的一套系統，當用於項目基準調整時，變更管理可視爲其一部分。亦可視變更管理與配置管理爲相關聯的兩套機制，變更管理由項目交付或基準配置調整時，由配置管理系統調用:變更管理最終應將對項目的調整結果反饋給配置管理系統，以確保項目執行與對項目的賬目相一致。

二、安全管理
1、信息安全三元組是什麼？
  保密性、完整性、可用性。

2、數據的保密性一般通過哪些來實現？
  網絡安全協議、認證服務、加密服務。

3、確保數據完整性的技術包括哪些？
  消息源的不可抵賴、防火牆系統、通信安全、***檢測系統。

4、確保可用性的技術包括哪些？
  磁盤和系統的容錯及備份、可接受的登錄及進程性能、可靠的功能性的安全進程和機制。

5、在ISO/IEC27001中，信息安全管理的內容被概括爲哪11個方面？
  信息安全方針與策略；組織信息安全；資產管理；人力資源安全；物理和環境安全；通信和操作安全；訪問控制；信息系統的獲取、開發和保持；信息安全事件管理；業務持續性管理；符合性。

6、什麼是業務持續性管理？
  應防止業務活動的中斷，保護關鍵業務流程不會受到重大的信息系統失效或災難的影響並確保它們的及時恢復。應實施業務持續性管理過程以減少對組織的影響，並通過預防和恢復控制措施的結合將信息資產的損失恢復到可接受的程度。這個過程需要識別關鍵的業務過程，並將業務持續性的信息安全管理要求與其他的諸如運營、員工安置、材料、運輸和設施等持續性要求予以整合。災難、安全失效服務丟失和服務可用性的後果應取決於業務影響分析。應建立和實施業務持續性計劃，以確保基本運營能及時恢復。信息安全應該是整體業務持續性過程和組織內其他管理過程的一個不可或缺的一個部分。除了通用的風險評估過程外，業務連續性管理應包括識別和減少風險的控制措施、限制有害事件的影響以及確保業務過程需要的信息能夠隨時得到。

7、應用系統常用的保密技術有哪些？
  最小授權原則；防暴露；信息加密；物理保密。

8、影響信息完整性的主要因素有哪些？
  影響信息完整性的主要因素有設備故障、誤碼(傳輸、處理和存儲過程中產生的誤碼，定時的穩定度和精度降低造成的誤碼，各種干擾源造成的誤碼)、人爲***和計算機病毒等。

9、保障應用系統完整性的主要方法有哪些？
  協議；糾錯編碼方法；密碼校驗和方法；數字簽名；公證。

10、哪個性質一般用系統正常使用時間和整個工作時間之比來度量？
  可用性一般用系統正常使用時間和整個工作時間之比來度量。

11、在安全管理體系中，不同安全等級的安全管理機構應按哪種順序逐步建立自己的信息安全組織機構管理體系？
  配備安全管理人員；建立安全職能部門；成立安全領導小組；主要負責人出任領導；建立信息安全保密管理部門。

12、在信息系統安全管理要素一覽表中，“風險管理”類，包括哪些族？“業務持續性管理”類包括哪些族？
  風險管理包括的族：風險管理要求和策略；風險分析和評估；風險控制；基於風險的決策；風險評估的管理。業務持續性管理”類包括的族：備份與恢復；安全事件處理。

13、GB/T20271-2006中，信息系統安全技術體系是如何描述的？（只答一級標題）
  物理安全、運行安全、數據安全

14、對於電源，什麼叫緊急供電？穩壓供電？電源保護？不間斷供電？
  緊急供電:配置抗電壓不足的基本設備、改進設備或更強設備，如基本UPS,改進的UPS、多級UPS和應急電源(發電機組)等。
  穩壓供電:採用線路穩壓器，防止電壓波動對計算機系統的影響。
  電源保護:設置電源保護裝置，如金屬氧化物可變電阻、二極管、氣體放電管、濾波器、電壓調整變壓器和浪涌濾波器等，防止/減少電源發生故障。
  不間斷供電:採用不間斷供電電源，防止電壓波動、電器干擾和斷電等對計算機系統的不良影響。

15、人員進出機房和操作權限範圍控制包括哪些？
  應明確機房安全管理的責任人，機房出入應有指定人員負責，未經允許的人員不準進入機房:獲准進入機房的來訪人員，其活動範圍應受限制，並有接待人員陪同;機房鑰匙由專人管理，未經批准，不準任何人私自複製機房鑰匙或服務器開機鑰匙;沒有指定管理人員的明確准許，任何記錄介質、文件材料及各種被保護品均不準帶出機房，與工作無關的物品均不準帶入機房;機房內嚴禁吸菸及帶入火種和水源。應要求所有來訪人員經過正式批准，登記記錄應妥善保存以備查;獲准進入機房的人員，一般應禁止攜帶個人計算機等電子設備進入機房，其活動範圍和操作行爲應受到限制，並有機房接待人員負責和陪同。

16、針對電磁兼容，計算機設備防泄露包括哪些內容？
  對需要防止電磁泄露的計算機設備應配備電磁干擾設備，在被保護的計算機設備工作時電磁干擾設備不準關機;必要時可以採用屏蔽機房。屏蔽機房應隨時關閉屏蔽門；不得在屏蔽牆上打釘鑽孔，不得在波導管以外或不經過過濾器對屏蔽機房內外連接任何線纜;應經常測試屏蔽機房的泄露情況並進行必要的維護。

17、對哪些關鍵崗位人員進行統一管理，允許一人多崗，但業務應用操作人員不能由其它關鍵崗位人員兼任？
  對安全管理員、系統管理員、數據庫管理員、網絡管理員、重要業務開發人員、系統維護人員和重要業務應用操作人員等信息系統關鍵崗位人員進行統一管理;允許一人多崗，但業務應用操作人員不能由其他關鍵崗位人員兼任。

18、業務開發人員和系統維護人員不能兼任或擔任哪些崗位？
  業務開發人員和系統維護人員不能兼任或擔負安全管理員、系統管理員、數據庫管理員、網絡管理員和重要業務應用操作人員等崗位或工作。

19、應用系統運行中涉及四個層次的安全，按粒度從粗到細的排序是什麼？（記）
  系統級安全、資源訪問安全、功能性安全、數據域安全。

20、哪些是系統級安全？
  敏感系統的隔離、訪問IP地址段的限制、登錄時間段的限制、會話時間的限制、連接數的限制、特定時間段內登錄次數的限制以及遠程訪問控制等，系統級安全是應用系統的第一道防護大門。

21、什麼是資源訪問安全？
  對程序資源的訪問進行安全控制，在客戶端上，爲用戶提供和其權限相關的用戶界面，僅出現和其權限相符的菜單和操作按鈕;在服務端則對URL程序資源和業務服務類方法的調用進行訪問控制。

22、什麼是功能性安全？
  功能性安全會對程序流程產生影響，如用戶在操作業務記錄時，是否需要審覈，上傳附件不能超過指定大小等。

23、什麼是數據域安全？
  數據域安全包括兩個層次，其一是行級數據域安全，即用戶可以訪問哪些業務記錄，其二是字段級數據域安全，即用戶可以訪問業務記錄的哪些字段。

24、系統運行安全檢查和記錄的範圍有哪些？（並敘述每個的內容）
（1）應用系統的訪問控制檢查。包括物理和邏輯訪問控制，是否按照規定的策略和程序進行訪問權限的增加、變更和取消，用戶權限的分配是否遵循“最小特權”原則。
 （2）應用系統的日誌檢查。包括數據庫日誌、系統訪問日誌、系統處理日誌、錯誤日誌及異常日誌。
（3）應用系統可用性檢查:包括系統中斷時間、系統正常服務時間和系統恢復時間等。
（4）應用系統能力檢查。包括系統資源消耗情況、系統交易速度和系統吞吐量等。
（5）應用系統的安全操作檢查。用戶對應用系統的使用是否按照信息安全的相關策略和程序進行訪問和使用。
（6）應用系統維護檢查。維護性問題是否在規定的時間內解決，是否正確地解決問題，解決問題的過程是否有效等;
（7）應用系統的配置檢查。檢查應用系統的配置是否合理和適當，各配置組件是否發揮其應有的功能。
（8）惡意代碼的檢查。是否存在惡意代碼，如病毒、***、隱蔽通道導致應用系統數據的丟失、損壞、非法修改、信息泄露等。

25、保密等級按有關規定劃分爲：絕密、機密和？
  絕密、機密和祕密。

26、可靠性等級分爲哪三級？
  對可靠性要求最高的爲A級，系統運行所要求的最低限度可靠性爲C級，介於中間的爲B級